Vpn

使用 Android 2.1 L2TP/IPsec 連接到 Cisco ASA 8.2 VPN?

  • February 11, 2020

我正在嘗試配置執行軟體版本 8.2 的 Cisco ASA 5510 以允許我的 Droid X 通過 L2TP/IPSec VPN 進行連接。我已經像這樣配置了 DefaultRAGroup:

tunnel-group DefaultRAGroup general-attributes
address-pool vpn_pool
default-group-policy droid
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
authentication pap
no authentication chap
authentication ms-chap-v2

以及相關的組策略:

group-policy droid internal
group-policy droid attributes
wins-server value (ip omitted)
dns-server value (ip omitted)
vpn-tunnel-protocol IPSec l2tp-ipsec 
split-tunnel-policy tunnelall

在我嘗試從手機連接時查看日誌,我進入“第 2 階段完成”,但沒有其他任何反應,再過幾秒鐘,手機說連接失敗。通過完整的 ipsec、isakmp 和 l2tp 調試,我可以看到 IKE 協商成功完成並建立了 IPSec SA,然後有以下消息:

IKEQM_Active() Add L2TP classification rules: ip <72.121.92.238> mask <0xFFFFFFFF> port <1701> 
L2TP LOWERLAYER: l2tp_add_classification_rules()...ip <72.121.92.238> mask <255.255.255.255> port <1701>
L2TP LOWERLAYER: l2tp_add_fw_rule(): If 1, peer IP 72.121.92.238, peer port 1701
L2TP LOWERLAYER: np_classify_add_static(PERMIT) vpif_num<1>  np_rule_id <0xd84fa348>
L2TP LOWERLAYER: l2tp_add_punt_rule(): If 1, peer IP 72.121.92.238, peer port 1701
L2TP LOWERLAYER: np_classify_add_static(PUNT) vpif_num<1>  np_rule_id <0xd850ad08>

……沒有其他事情發生。沒有 L2TP 流量,也沒有錯誤消息。檢查“show vpn-sessiondb”表明 ASA 認為它已建立 ISAKMP 和 IPSec 關聯,但沒有 L2TP/IPSec 會話。有沒有人得到這個工作?或者,如果做不到這一點,關於如何進一步解決這個問題的任何想法?

**編輯:**附加測試表明它可以與非安卓 L2TP 客戶端一起使用,它可以在 Droid X 上通過 WiFi 工作,但它不能在 Droid X 上通過 Verizon 的無線數據網路工作。我在這裡的 android 跟踪器中送出了一個錯誤:http ://code.google.com/p/android/issues/detail?id=9950

我送出給 AOSP 的錯誤報告在幾年前被關閉為“不會修復(過時)”,並且 Cisco TAC 告訴其他使用者不支持此配置。

問題是拆分隧道。我真的很驚訝你首先使用股票 vpn 客戶端來工作。真是廢話。

無論如何,主要運營商通常會為其設備分配一個私有 10.0.0.0/8 ip,因此當您嘗試拆分隧道時,它會失敗,因為它無法確定什麼是隧道,什麼不是。享受。

引用自:https://serverfault.com/questions/162651