IPSec: La negociación de la fase 2 falla con el error "[ERR ]: { 6: }: rcf_get_selectorlist() failed"

• Firewall configurado como "respondedor".
• La fase 2 de IPSec no se ejecuta.
• El registro de depuración de ikemgr (menos mp-log ikemgr.log) muestra el mensaje " rcf_get_selectorlist() falló ".

-0600 [DEBG]: { 6: }: HASH computed:
-0600 [ERR ]: { 6: }: rcf_get_selectorlist() failed 
-0600 [ERR ]: { 6: }: can't find matching selector
-0600 [PERR]: { 6: }: failed to get sainfo.

• Cortafuegos de Palo Alto
• Versiones de PANOS compatibles
• VPN IPSec
• Firewall configurado como respondedor

1. configuración de túnel incompleta: aquí el comando " show vpn flow " no muestra el ID del túnel .

palo> show vpn flow 
id    name       state   monitor   local-ip     peer-ip      tunnel-i/f  
--      ----     -----   -------   --------     -------      ----------  
n     test1      init      off     x.x.3.4      x.x.3.6     (missing info) >>>> Missing tunnel info. Normally displayed as tunnel.x 

2. Id. de proxy configurado incorrectamente: el mensaje de error también se muestra cuando el Id. de proxy no está configurado correctamente entre el dispositivo VPN local y el dispositivo VPN par.

1. Verifique si la interfaz del túnel no aparece o falta usando el comando "s how vpn flow ".
2. Una vez verificado, elimine la configuración de la fase 2, incluida la interfaz del túnel , seguido del comando de compilar .
3. Vuelva a configurarlos todos y luego ejecute el comando de compilar .
4. Para obtener ayuda, consulte Definir perfiles de cifrado IPSEC .

1. Corrija la configuración de Proxy-id en ambos lados
2. Confirmar la configuración
3. Para obtener ayuda sobre la identificación del proxy, consulte: ¿Por qué utilizar una identificación de proxy VPN ?