IPSec VPN エラー: IKE Phase-2 Negotiation is Failed as Initiator, Quick Mode

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
IPSec VPN Error: IKE Phase-2 Negotiation is Failed as Initiator, Quick Mode
https://live.paloaltonetworks.com/t5/Management-Articles/IPSec-VPN-Error-IKE-Phase-2-Negotiation-is-...

 

問題

Palo Alto Networks ファイアーウォール と他ベンダーの機器間で拠点間 IPsec VPN (site-to-site IPsec VPN) を設定した際、IKEフェーズ1 は成功しますが、IKEフェーズ2 のネゴシエーションに失敗します。
ikemgr.logの内容を以下のコマンドで確認します。

> tail follow yes mp-log ikemgr.log

 

以下のエラーが確認されます:

( description contains 'IKE protocol notification message received: INVALID-ID-INFORMATION (18).' )

および

IKE phase-2 negotiation is failed as initiator, quick mode. Failed SA: 192.168.1.150[500]-192.168.5.108[500] message id:0x43D098BB. Due to negotiation timeout

 

解決策

最も良くあるIKEフェーズ2失敗の原因は、Proxy ID の不一致によるものです。

  1. Palo Alto Networksファイアーウォールと他ベンダーの機器上でProxy ID の設定を確認します。
    Note: 他ベンダーの機器上では、Proxy ID は アクセスコントロールリスト(アクセスリスト、ACL)と呼ばれる場合があります。
  2. IPsec でネゴシエーションされる暗号化方式についても、両サイドで確認します。