jeremy 10 Posted December 20, 2005 Report Share Posted December 20, 2005 Hallo, nach der Konfig eines Site2Site-Tunnels zwischen einer PIX501(6.3(5)) und einer Netscreen schreibt das Syslog der PIX Warnungen: "%PIX-4-402103: identity doesn't match negotiated identity (ip) dest_addr= <PIX Outside>, src_addr= <NS Outside>, prot= icmp, (ident) local=<PIX Outside>, remote=<NS Outside>, local proxy=<Host PIX-Side>/255.255.255.255/0/0, remote_proxy=<Host NS-Side>/255.255.255.255/0/0" Das Ereignis wird pünktlich alle 10s protokolliert. Der Tunnel an sich funktioniert einwandfrei, wird sicher aufgebaut und ist stabil. Ich bin die Konfig mit dem Netscreen-Admin schon mehrfach durchgegangen; wir haben keine Abweichungen gefunden. Woran könnte das liegen und vor allem, wie kann man das abstellen? Ist das eine Inkompatibilität zwischen PIX und NS oder haben wir etwas übersehen? TIA jeremy Quote Link to comment
s21it21 10 Posted December 20, 2005 Report Share Posted December 20, 2005 Hallo! Also Cisco sagt das dazu: Log Message %PIX-4-402103: identity doesn't match negotiated identity Explanation Unencapsulated IPSec packet does not match the negotiated identity. The peer is sending other traffic through this SA. It may be due to an SA selection error by the peer. This may be a hostile event. Aber wenn die Verbindung passt und stabil ist, dann vergiss es. VPN-Verbindungen zw. "fremden" Herstellern ist immer spannend und nicht immer komplett logisch. lg martin Quote Link to comment
jeremy 10 Posted December 20, 2005 Author Report Share Posted December 20, 2005 Hi, die Erklärung von Cisco kannte ich schon. Trotzdem Danke! Es ist nur so, dass allein dieser Logeintrag ca. 50 MB Logfile/Monat erzeugt und das Loglevel auf Errors hochsetzen möchte ich eigentlich auch nicht. Im Netz habe ich praktisch nichts über dieses Problem gefunden und ich bin sicher nicht der einzige der einen Tunnel mit einer Netscreen betreibt. Darum hatte ich eigentlich eher an einen Konfigurationsfehler gedacht, irgendeine Lapalie; Komma statt Punkt gesetzt o.ä. Gruß jeremy Quote Link to comment
Wordo 11 Posted December 20, 2005 Report Share Posted December 20, 2005 vielleicht muss der verbindungsname im netscreen (wenns das gibt, kenn das teil nicht) genauso heissen wie deine crypto map? habe da auch ziemlich schlechte erfahrungen mit PIX und freeswan gemacht, aber da wuerd ich halt auf der serverseite dann ausfiltern Quote Link to comment
s21it21 10 Posted December 20, 2005 Report Share Posted December 20, 2005 hallo, es gibt auch die möglichkeit, bestimmte syslog-meldungen zu ignorieren. die pix schreibt dann diese meldung einfach nicht raus. ich glaub da muss man nur die syslog-nummer/id angeben, die man ignorieren will. lg martin Quote Link to comment
jeremy 10 Posted December 21, 2005 Author Report Share Posted December 21, 2005 Danke für den Tipp, Martin. Man muss die entspr. ID auf suppressed stellen. Ich hatte das zwar irgendwo in dem Cisco-Configuration Wälzer schon mal gelesen, war mir aber total entfallen. Das Alter schlägt erbarmungslos zu :D Ich hab die 402103 ausgeblendet, jetzt ist Ruhe im Karton. Allerdings wär mir eine Lösung, die den Fehler behebt schon lieber gewesen. Danke für die Unterstützung! jeremy Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.