IPSec: la négociation de la phase 2 échoue avec l'erreur « [ERR ] : { 6 : } : rcf_get_selectorlist() a échoué »

• Pare-feu configuré comme « répondeur ».
• La phase 2 IPSec ne parvient pas à se mettre en place.
• Le journal de débogage ikemgr (moins mp-log ikemgr.log) affiche le message « rcf_get_selectorlist() a échoué ».

-0600 [DEBG]: { 6: }: HASH computed:
-0600 [ERR ]: { 6: }: rcf_get_selectorlist() failed 
-0600 [ERR ]: { 6: }: can't find matching selector
-0600 [PERR]: { 6: }: failed to get sainfo.

• Pare-feu Palo Alto
• Versions de PANOS prises en charge
• VPN IPSec
• Pare-feu configuré comme répondeur

1. configuration du tunnel incomplète : Ici la commande « show vpn flow » n'affiche pas l'id du tunnel .

palo> show vpn flow 
id    name       state   monitor   local-ip     peer-ip      tunnel-i/f  
--      ----     -----   -------   --------     -------      ----------  
n     test1      init      off     x.x.3.4      x.x.3.6     (missing info) >>>> Missing tunnel info. Normally displayed as tunnel.x 

2. ID proxy incorrect configuré : le message d'erreur s'affiche également lorsque l'ID proxy n'est pas correctement configuré entre le appareil VPN local et le appareil VPN homologue.

1. Vérifiez si l' interface du tunnel ne s'affiche pas/manque à l'aide de la commande « s how vpn flow » .
2. Une fois vérifié, supprimez la configuration de la phase 2, y compris l' interface du tunnel , puis la commande valider .
3. Reconfigurez-les tous, puis exécutez la commande valider .
4. Pour obtenir de l’aide, reportez-vous à Définir les profils de chiffrement IPSEC .

1. Corrigez la configuration de l'ID proxy des deux côtés
2. Valider la configuration
3. Pour obtenir de l'aide sur l'ID proxy, reportez-vous à : Pourquoi utiliser un ID proxy VPN ?.