jeremy 10 Geschrieben 20. Dezember 2005 Melden Geschrieben 20. Dezember 2005 Hallo, nach der Konfig eines Site2Site-Tunnels zwischen einer PIX501(6.3(5)) und einer Netscreen schreibt das Syslog der PIX Warnungen: "%PIX-4-402103: identity doesn't match negotiated identity (ip) dest_addr= <PIX Outside>, src_addr= <NS Outside>, prot= icmp, (ident) local=<PIX Outside>, remote=<NS Outside>, local proxy=<Host PIX-Side>/255.255.255.255/0/0, remote_proxy=<Host NS-Side>/255.255.255.255/0/0" Das Ereignis wird pünktlich alle 10s protokolliert. Der Tunnel an sich funktioniert einwandfrei, wird sicher aufgebaut und ist stabil. Ich bin die Konfig mit dem Netscreen-Admin schon mehrfach durchgegangen; wir haben keine Abweichungen gefunden. Woran könnte das liegen und vor allem, wie kann man das abstellen? Ist das eine Inkompatibilität zwischen PIX und NS oder haben wir etwas übersehen? TIA jeremy
s21it21 10 Geschrieben 20. Dezember 2005 Melden Geschrieben 20. Dezember 2005 Hallo! Also Cisco sagt das dazu: Log Message %PIX-4-402103: identity doesn't match negotiated identity Explanation Unencapsulated IPSec packet does not match the negotiated identity. The peer is sending other traffic through this SA. It may be due to an SA selection error by the peer. This may be a hostile event. Aber wenn die Verbindung passt und stabil ist, dann vergiss es. VPN-Verbindungen zw. "fremden" Herstellern ist immer spannend und nicht immer komplett logisch. lg martin
jeremy 10 Geschrieben 20. Dezember 2005 Autor Melden Geschrieben 20. Dezember 2005 Hi, die Erklärung von Cisco kannte ich schon. Trotzdem Danke! Es ist nur so, dass allein dieser Logeintrag ca. 50 MB Logfile/Monat erzeugt und das Loglevel auf Errors hochsetzen möchte ich eigentlich auch nicht. Im Netz habe ich praktisch nichts über dieses Problem gefunden und ich bin sicher nicht der einzige der einen Tunnel mit einer Netscreen betreibt. Darum hatte ich eigentlich eher an einen Konfigurationsfehler gedacht, irgendeine Lapalie; Komma statt Punkt gesetzt o.ä. Gruß jeremy
Wordo 11 Geschrieben 20. Dezember 2005 Melden Geschrieben 20. Dezember 2005 vielleicht muss der verbindungsname im netscreen (wenns das gibt, kenn das teil nicht) genauso heissen wie deine crypto map? habe da auch ziemlich schlechte erfahrungen mit PIX und freeswan gemacht, aber da wuerd ich halt auf der serverseite dann ausfiltern
s21it21 10 Geschrieben 20. Dezember 2005 Melden Geschrieben 20. Dezember 2005 hallo, es gibt auch die möglichkeit, bestimmte syslog-meldungen zu ignorieren. die pix schreibt dann diese meldung einfach nicht raus. ich glaub da muss man nur die syslog-nummer/id angeben, die man ignorieren will. lg martin
jeremy 10 Geschrieben 21. Dezember 2005 Autor Melden Geschrieben 21. Dezember 2005 Danke für den Tipp, Martin. Man muss die entspr. ID auf suppressed stellen. Ich hatte das zwar irgendwo in dem Cisco-Configuration Wälzer schon mal gelesen, war mir aber total entfallen. Das Alter schlägt erbarmungslos zu :D Ich hab die 402103 ausgeblendet, jetzt ist Ruhe im Karton. Allerdings wär mir eine Lösung, die den Fehler behebt schon lieber gewesen. Danke für die Unterstützung! jeremy
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden