web-dev-qa-db-ja.com

Android 2.1 L2TP / IPsec?でCisco ASA 8.2 VPNに接続しますか?

ソフトウェアバージョン8.2を実行しているCisco ASA 5510を設定して、Droid XがL2TP/IPSec VPN経由で接続できるようにしようとしています。 DefaultRAGroupを次のように構成しました。

tunnel-group DefaultRAGroup general-attributes
 address-pool vpn_pool
 default-group-policy droid
tunnel-group DefaultRAGroup ipsec-attributes
 pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
 authentication pap
 no authentication chap
 authentication ms-chap-v2

および関連するグループポリシー:

group-policy droid internal
group-policy droid attributes
 wins-server value (ip omitted)
 dns-server value (ip omitted)
 vpn-tunnel-protocol IPSec l2tp-ipsec 
 split-tunnel-policy tunnelall

スマートフォンから接続しようとしたときにログを見ると「フェーズ2完了」になりましたが、その後は何も起こりません。さらに数秒後、電話は接続が失敗したと表示します。完全なipsec、isakmp、およびl2tpデバッグを使用すると、IKEネゴシエーションが正常に完了し、IPSec SAが確立された場合、次のメッセージが表示されます。

IKEQM_Active() Add L2TP classification rules: ip <72.121.92.238> mask <0xFFFFFFFF> port <1701> 
L2TP LOWERLAYER: l2tp_add_classification_rules()...ip <72.121.92.238> mask <255.255.255.255> port <1701>
L2TP LOWERLAYER: l2tp_add_fw_rule(): If 1, peer IP 72.121.92.238, peer port 1701
L2TP LOWERLAYER: np_classify_add_static(PERMIT) vpif_num<1>  np_rule_id <0xd84fa348>
L2TP LOWERLAYER: l2tp_add_punt_rule(): If 1, peer IP 72.121.92.238, peer port 1701
L2TP LOWERLAYER: np_classify_add_static(PUNT) vpif_num<1>  np_rule_id <0xd850ad08>

...そして何も起こりません。 L2TPトラフィックフローはなく、エラーメッセージもありません。 「show vpn-sessiondb」を検査すると、ASAがISAKMPおよびIPSecアソシエーションを確立したとASAが確信しているが、L2TP/IPSecセッションがないことを示します。誰かがこれを機能させていますか?または、失敗した場合、この問題をさらにトラブルシューティングするためのアイデアはありますか?

編集:追加のテストでは、Android以外のL2TPクライアントで動作すること、Wi-Fi経由でDroid Xから動作することが示されていますが、 Droid X over Verizonのワイヤレスデータネットワーク。 Androidトラッカー: http://code.google.com/p/Android/issues/detail?id=995 にバグを報告しました

7
Will Rogers

AOSPに提出したバグレポートは「修正されない(廃止)」として数年前にクローズされ、Cisco TACはこの構成はサポートされていないことを他のユーザーに伝えました。

1
Will Rogers

問題はスプリットトンネリングです。ストックVPNクライアントを使用して、そもそもそれが最初から機能していることに驚いています。それはがらくたです。

とにかく、主要な通信事業者は通常、デバイスにプライベート10.0.0.0/8 ipを割り当てます。そのため、トンネルを分割しようとすると、何がトンネルされ、何がトンネルされないかを判断できないため、失敗します。楽しい。

1
Michichael

私もこれをしようと思っています。 他の誰かがどのようにしてこれを機能させたかについてのディスカッションについては、シスコフォーラムを参照してください (私もあなたがこれを見たと思います)。

DefaultRAGroupの編集は少し厄介なようです。 Cisco Androidプロジェクト(Cius)のためにAnyConnectが将来的に機能するという議論もありますが、AnyConnectのライセンスコストはIPSECに比べて少し高くなります。 IPSEC/L2TPまたは純粋なIPSECソリューション。

0
dunxd