Re: Site-to-Site IPSEC tunnel between PIX 7.2 and PIX 6.3

From

Roman Sindarovskiy (2:5020/400)

To

Roman Sindarovskiy (2:5054/37.63)

Date

2007-10-28T17:10:54Z

Area

RU.CISCO

From: Roman Sindarovskiy <rakis@electromir.ru>

Roman Sindarovskiy wrote:
 >PIX 7:
 >name a2.b2.c2.d2 PIX6
 >PIX 6:
 >name a1.b1.c1.d1 PIX7
> И ничего, т.е. создается впечатление что нет даже попыток поднятия туннеля.
Туннель всеж пытается подняться, вот только не сразу после выполнения 
clear команд, как должен (?), а мин через 10-30.
Кусок лога с PIX 7:
Oct 28 13:27:18 [IKEv1]: Group = a2.b2.c2.d2, IP = a2.b2.c2.d2, Can't 
find a valid tunnel group, aborting...!
Oct 28 13:27:18 [IKEv1]: Group = a2.b2.c2.d2, IP = a2.b2.c2.d2, Removing 
peer from peer table failed, no match!
Oct 28 13:27:18 [IKEv1]: Group = a2.b2.c2.d2, IP = a2.b2.c2.d2, Error: 
Unable to remove PeerTblEntry
Oct 28 13:27:23 [IKEv1]: IP = a2.b2.c2.d2, Header invalid, missing SA 
payload! (next payload = 4)
Кусок лога с PIX 6:
VPN Peer:ISAKMP: Peer Info for PIX7/500 not found - peers:0
IPSEC(key_engine): request timer fired: count = 2,
   (identity) local= a2.b2.c2.d2, remote= PIX7,
     local_proxy= 192.168.114.0/255.255.255.0/0/0 (type=4),
     remote_proxy= 192.168.10.0/255.255.255.0/0/0 (type=4)
Но группа ведь описана :-/ Есть ли какие либо ограничения? Правила на 
именование туннельной группы?
--- ifmail v.2.15dev5.4
 * Origin: Demos online service (2:5020/400)
SEEN-BY: 400/814 450/1024 461/43 640 465/11 469/999 4625/8 4641/444 5000/5000
SEEN-BY: 5006/1 5007/1 5010/70 5011/13 5012/46 5015/28 5019/26 5020/175 400
SEEN-BY: 5020/545 982 1354 1521 1909 1922 2238 4441 5021/29 5025/3 5026/14
SEEN-BY: 5027/12 5030/1080 5034/13 5035/38 5036/1 5042/18 5045/7 5049/1
SEEN-BY: 5051/15 5054/1 4 8 9 28 30 35 36 37 67 75 81 89 5060/88 5061/15
SEEN-BY: 5062/10 5063/3 5066/18 5075/5 5077/70 5084/9 5085/13 5093/57 5095/20
SEEN-BY: 5096/18 6001/10 6009/1

PATH: 5020/400 545 5054/1 37