Ich versuche, meinen Cisco ASA 5510 mit der Softwareversion 8.2 so zu konfigurieren, dass mein Droid X eine Verbindung über L2TP / IPSec VPN herstellen kann. Ich habe die DefaultRAGroup folgendermaßen konfiguriert:
tunnel-group DefaultRAGroup general-attributes
address-pool vpn_pool
default-group-policy droid
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
authentication pap
no authentication chap
authentication ms-chap-v2
und die zugehörige Gruppenrichtlinie:
group-policy droid internal
group-policy droid attributes
wins-server value (ip omitted)
dns-server value (ip omitted)
vpn-tunnel-protocol IPSec l2tp-ipsec
split-tunnel-policy tunnelall
Wenn ich das Protokoll beobachte, während ich versuche, eine Verbindung von meinem Telefon aus herzustellen, erhalte ich "PHASE 2 COMPLETED", aber dann passiert nichts anderes, und nach einigen weiteren Sekunden meldet das Telefon, dass die Verbindung fehlgeschlagen ist. Mit vollständigen IPSec-, Isakmp- und l2tp-Debugs kann ich sehen, dass die IKE-Aushandlung erfolgreich abgeschlossen und die IPSec SA eingerichtet wurde. Dann gibt es folgende Meldungen:
IKEQM_Active() Add L2TP classification rules: ip <72.121.92.238> mask <0xFFFFFFFF> port <1701>
L2TP LOWERLAYER: l2tp_add_classification_rules()...ip <72.121.92.238> mask <255.255.255.255> port <1701>
L2TP LOWERLAYER: l2tp_add_fw_rule(): If 1, peer IP 72.121.92.238, peer port 1701
L2TP LOWERLAYER: np_classify_add_static(PERMIT) vpif_num<1> np_rule_id <0xd84fa348>
L2TP LOWERLAYER: l2tp_add_punt_rule(): If 1, peer IP 72.121.92.238, peer port 1701
L2TP LOWERLAYER: np_classify_add_static(PUNT) vpif_num<1> np_rule_id <0xd850ad08>
... und sonst passiert nichts. Es fließt kein L2TP-Verkehr und es gibt keine Fehlermeldungen. Die Überprüfung von "show vpn-sessiondb" zeigt an, dass der ASA der Ansicht ist, ISAKMP- und IPSec-Zuordnungen hergestellt zu haben, es gibt jedoch keine L2TP / IPSec-Sitzungen. Hat jemand das zum Laufen gebracht? oder, falls dies nicht der Fall ist, Ideen, wie dieses Problem weiter behoben werden kann?
Bearbeiten: Zusätzliche Tests haben gezeigt, dass es mit einem Nicht-Android-L2TP-Client funktioniert. Es funktioniert vom Droid X über WLAN, aber NICHT vom Droid X über das drahtlose Datennetzwerk von Verizon. Ich habe hier einen Fehler im Android-Tracker gemeldet: http://code.google.com/p/android/issues/detail?id=9950
Der Fehlerbericht, den ich beim AOSP eingereicht habe, wurde vor Jahren geschlossen, da "nicht behoben (veraltet)" wurde, und die Cisco TAC teilte anderen Benutzern mit, dass diese Konfiguration nicht unterstützt wird.
quelle
Ich möchte das auch tun. In den Cisco-Foren finden Sie eine Diskussion darüber, wie jemand anderes dies zum Laufen gebracht hat (ich denke, Sie haben das auch gesehen).
Das Bearbeiten der DefaultRAGroup scheint etwas unangenehm. Es gibt einige Diskussionen darüber, dass AnyConnect aufgrund eines Cisco Android-Projekts (Cius) in Zukunft funktionieren wird, aber die Lizenzkosten für AnyConnect sind im Vergleich zu IPSEC etwas hoch. Ich halte Ausschau nach einer IPSEC / L2TP- oder reinen IPSEC-Lösung.
quelle