IPSec:第 2 阶段协商失败,错误为“[ERR ]:{6:}:rcf_get_selectorlist() 失败”
4277
Created On 11/06/22 22:41 PM - Last Modified 01/07/25 09:25 AM
Symptom
- 防火墙配置为“响应者”。
- IPSec第 2 阶段无法启动。
- ikemgr 调试日志(较少的 mp-log ikemgr.log)显示“ rcf_get_selectorlist() failed ”消息。
-0600 [DEBG]: { 6: }: HASH computed:
-0600 [ERR ]: { 6: }: rcf_get_selectorlist() failed
-0600 [ERR ]: { 6: }: can't find matching selector
-0600 [PERR]: { 6: }: failed to get sainfo.Environment
- Palo Alto 防火墙
- 支持的 PANOS 版本
- IPSec VPN
- 配置为响应者的防火墙
Cause
The following two possibilities will trigger the error.
- 隧道配置不完整:此处“ show vpn flow ”命令不显示隧道ID。
palo> show vpn flow
id name state monitor local-ip peer-ip tunnel-i/f
-- ---- ----- ------- -------- ------- ----------
n test1 init off x.x.3.4 x.x.3.6 (missing info) >>>> Missing tunnel info. Normally displayed as tunnel.x
- 配置的 Proxy-id 不正确:当本地VPN设备和对等VPN设备之间的 Proxy-id 配置不正确时,也会显示该错误消息。
Resolution
对于“隧道配置不完整”
- 使用“s how vpn flow命令”验证隧道接口是否未显示或丢失。
- 验证后,删除第 2 阶段配置(包括隧道接口) ,然后执行提交命令。
- 重新配置所有这些,然后执行提交命令。
- 如需帮助,请参阅定义 IPSEC 加密配置文件。
- 更正双方的 Proxy-id 配置
- 提交配置
- 有关代理 ID 的帮助,请参阅: 为什么使用VPN代理 ID ?