使用 Android 2.1 L2TP/IPsec 連接到 Cisco ASA 8.2 VPN？

我正在嘗試配置執行軟體版本 8.2 的 Cisco ASA 5510 以允許我的 Droid X 通過 L2TP/IPSec VPN 進行連接。我已經像這樣配置了 DefaultRAGroup：

tunnel-group DefaultRAGroup general-attributes
address-pool vpn_pool
default-group-policy droid
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
authentication pap
no authentication chap
authentication ms-chap-v2

以及相關的組策略：

group-policy droid internal
group-policy droid attributes
wins-server value (ip omitted)
dns-server value (ip omitted)
vpn-tunnel-protocol IPSec l2tp-ipsec 
split-tunnel-policy tunnelall

在我嘗試從手機連接時查看日誌，我進入“第 2 階段完成”，但沒有其他任何反應，再過幾秒鐘，手機說連接失敗。通過完整的 ipsec、isakmp 和 l2tp 調試，我可以看到 IKE 協商成功完成並建立了 IPSec SA，然後有以下消息：

IKEQM_Active() Add L2TP classification rules: ip <72.121.92.238> mask <0xFFFFFFFF> port <1701> 
L2TP LOWERLAYER: l2tp_add_classification_rules()...ip <72.121.92.238> mask <255.255.255.255> port <1701>
L2TP LOWERLAYER: l2tp_add_fw_rule(): If 1, peer IP 72.121.92.238, peer port 1701
L2TP LOWERLAYER: np_classify_add_static(PERMIT) vpif_num<1>  np_rule_id <0xd84fa348>
L2TP LOWERLAYER: l2tp_add_punt_rule(): If 1, peer IP 72.121.92.238, peer port 1701
L2TP LOWERLAYER: np_classify_add_static(PUNT) vpif_num<1>  np_rule_id <0xd850ad08>

……沒有其他事情發生。沒有 L2TP 流量，也沒有錯誤消息。檢查“show vpn-sessiondb”表明 ASA 認為它已建立 ISAKMP 和 IPSec 關聯，但沒有 L2TP/IPSec 會話。有沒有人得到這個工作？或者，如果做不到這一點，關於如何進一步解決這個問題的任何想法？

**編輯：**附加測試表明它可以與非安卓 L2TP 客戶端一起使用，它可以在 Droid X 上通過 WiFi 工作，但它不能在 Droid X 上通過 Verizon 的無線數據網路工作。我在這裡的 android 跟踪器中送出了一個錯誤：http ://code.google.com/p/android/issues/detail?id=9950

我送出給 AOSP 的錯誤報告在幾年前被關閉為“不會修復（過時）”，並且 Cisco TAC 告訴其他使用者不支持此配置。

問題是拆分隧道。我真的很驚訝你首先使用股票 vpn 客戶端來工作。真是廢話。

無論如何，主要運營商通常會為其設備分配一個私有 10.0.0.0/8 ip，因此當您嘗試拆分隧道時，它會失敗，因為它無法確定什麼是隧道，什麼不是。享受。

引用自：https://serverfault.com/questions/162651