jeremy 10 Geschrieben 20. Dezember 2005 Melden Teilen Geschrieben 20. Dezember 2005 Hallo, nach der Konfig eines Site2Site-Tunnels zwischen einer PIX501(6.3(5)) und einer Netscreen schreibt das Syslog der PIX Warnungen: "%PIX-4-402103: identity doesn't match negotiated identity (ip) dest_addr= <PIX Outside>, src_addr= <NS Outside>, prot= icmp, (ident) local=<PIX Outside>, remote=<NS Outside>, local proxy=<Host PIX-Side>/255.255.255.255/0/0, remote_proxy=<Host NS-Side>/255.255.255.255/0/0" Das Ereignis wird pünktlich alle 10s protokolliert. Der Tunnel an sich funktioniert einwandfrei, wird sicher aufgebaut und ist stabil. Ich bin die Konfig mit dem Netscreen-Admin schon mehrfach durchgegangen; wir haben keine Abweichungen gefunden. Woran könnte das liegen und vor allem, wie kann man das abstellen? Ist das eine Inkompatibilität zwischen PIX und NS oder haben wir etwas übersehen? TIA jeremy Zitieren Link zu diesem Kommentar
s21it21 10 Geschrieben 20. Dezember 2005 Melden Teilen Geschrieben 20. Dezember 2005 Hallo! Also Cisco sagt das dazu: Log Message %PIX-4-402103: identity doesn't match negotiated identity Explanation Unencapsulated IPSec packet does not match the negotiated identity. The peer is sending other traffic through this SA. It may be due to an SA selection error by the peer. This may be a hostile event. Aber wenn die Verbindung passt und stabil ist, dann vergiss es. VPN-Verbindungen zw. "fremden" Herstellern ist immer spannend und nicht immer komplett logisch. lg martin Zitieren Link zu diesem Kommentar
jeremy 10 Geschrieben 20. Dezember 2005 Autor Melden Teilen Geschrieben 20. Dezember 2005 Hi, die Erklärung von Cisco kannte ich schon. Trotzdem Danke! Es ist nur so, dass allein dieser Logeintrag ca. 50 MB Logfile/Monat erzeugt und das Loglevel auf Errors hochsetzen möchte ich eigentlich auch nicht. Im Netz habe ich praktisch nichts über dieses Problem gefunden und ich bin sicher nicht der einzige der einen Tunnel mit einer Netscreen betreibt. Darum hatte ich eigentlich eher an einen Konfigurationsfehler gedacht, irgendeine Lapalie; Komma statt Punkt gesetzt o.ä. Gruß jeremy Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 20. Dezember 2005 Melden Teilen Geschrieben 20. Dezember 2005 vielleicht muss der verbindungsname im netscreen (wenns das gibt, kenn das teil nicht) genauso heissen wie deine crypto map? habe da auch ziemlich schlechte erfahrungen mit PIX und freeswan gemacht, aber da wuerd ich halt auf der serverseite dann ausfiltern Zitieren Link zu diesem Kommentar
s21it21 10 Geschrieben 20. Dezember 2005 Melden Teilen Geschrieben 20. Dezember 2005 hallo, es gibt auch die möglichkeit, bestimmte syslog-meldungen zu ignorieren. die pix schreibt dann diese meldung einfach nicht raus. ich glaub da muss man nur die syslog-nummer/id angeben, die man ignorieren will. lg martin Zitieren Link zu diesem Kommentar
jeremy 10 Geschrieben 21. Dezember 2005 Autor Melden Teilen Geschrieben 21. Dezember 2005 Danke für den Tipp, Martin. Man muss die entspr. ID auf suppressed stellen. Ich hatte das zwar irgendwo in dem Cisco-Configuration Wälzer schon mal gelesen, war mir aber total entfallen. Das Alter schlägt erbarmungslos zu :D Ich hab die 402103 ausgeblendet, jetzt ist Ruhe im Karton. Allerdings wär mir eine Lösung, die den Fehler behebt schon lieber gewesen. Danke für die Unterstützung! jeremy Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.