Verbindung zu Cisco ASA 8.2 VPN mit Android 2.1 L2TP / IPsec herstellen?

7

Ich versuche, meinen Cisco ASA 5510 mit der Softwareversion 8.2 so zu konfigurieren, dass mein Droid X eine Verbindung über L2TP / IPSec VPN herstellen kann. Ich habe die DefaultRAGroup folgendermaßen konfiguriert:

tunnel-group DefaultRAGroup general-attributes
 address-pool vpn_pool
 default-group-policy droid
tunnel-group DefaultRAGroup ipsec-attributes
 pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
 authentication pap
 no authentication chap
 authentication ms-chap-v2

und die zugehörige Gruppenrichtlinie:

group-policy droid internal
group-policy droid attributes
 wins-server value (ip omitted)
 dns-server value (ip omitted)
 vpn-tunnel-protocol IPSec l2tp-ipsec 
 split-tunnel-policy tunnelall

Wenn ich das Protokoll beobachte, während ich versuche, eine Verbindung von meinem Telefon aus herzustellen, erhalte ich "PHASE 2 COMPLETED", aber dann passiert nichts anderes, und nach einigen weiteren Sekunden meldet das Telefon, dass die Verbindung fehlgeschlagen ist. Mit vollständigen IPSec-, Isakmp- und l2tp-Debugs kann ich sehen, dass die IKE-Aushandlung erfolgreich abgeschlossen und die IPSec SA eingerichtet wurde. Dann gibt es folgende Meldungen:

IKEQM_Active() Add L2TP classification rules: ip <72.121.92.238> mask <0xFFFFFFFF> port <1701> 
L2TP LOWERLAYER: l2tp_add_classification_rules()...ip <72.121.92.238> mask <255.255.255.255> port <1701>
L2TP LOWERLAYER: l2tp_add_fw_rule(): If 1, peer IP 72.121.92.238, peer port 1701
L2TP LOWERLAYER: np_classify_add_static(PERMIT) vpif_num<1>  np_rule_id <0xd84fa348>
L2TP LOWERLAYER: l2tp_add_punt_rule(): If 1, peer IP 72.121.92.238, peer port 1701
L2TP LOWERLAYER: np_classify_add_static(PUNT) vpif_num<1>  np_rule_id <0xd850ad08>

... und sonst passiert nichts. Es fließt kein L2TP-Verkehr und es gibt keine Fehlermeldungen. Die Überprüfung von "show vpn-sessiondb" zeigt an, dass der ASA der Ansicht ist, ISAKMP- und IPSec-Zuordnungen hergestellt zu haben, es gibt jedoch keine L2TP / IPSec-Sitzungen. Hat jemand das zum Laufen gebracht? oder, falls dies nicht der Fall ist, Ideen, wie dieses Problem weiter behoben werden kann?

Bearbeiten: Zusätzliche Tests haben gezeigt, dass es mit einem Nicht-Android-L2TP-Client funktioniert. Es funktioniert vom Droid X über WLAN, aber NICHT vom Droid X über das drahtlose Datennetzwerk von Verizon. Ich habe hier einen Fehler im Android-Tracker gemeldet: http://code.google.com/p/android/issues/detail?id=9950

Will Rogers
quelle

Antworten:

1

Das Problem ist das Split-Tunneling. Ich bin tatsächlich überrascht, dass Sie es mit dem Stock-VPN-Client überhaupt zum Laufen gebracht haben. Es ist Mist.

Wie auch immer, die großen Netzbetreiber weisen ihren Geräten normalerweise eine private 10.0.0.0/8 IP zu. Wenn Sie also versuchen, den Tunnel zu teilen, schlägt dies fehl, da nicht festgestellt werden kann, was getunnelt wird und was nicht. Genießen.


quelle
Danke für die Idee, Michichael, aber es funktioniert immer noch nicht. Ich habe Split-Tunneling deaktiviert, das gleiche Ergebnis. Dann habe ich versucht, den Adresspool in eine Adresse im Subnetz 192.168.1.0/8 zu ändern, aber keine Würfel.
Will Rogers
1

Der Fehlerbericht, den ich beim AOSP eingereicht habe, wurde vor Jahren geschlossen, da "nicht behoben (veraltet)" wurde, und die Cisco TAC teilte anderen Benutzern mit, dass diese Konfiguration nicht unterstützt wird.

Will Rogers
quelle
0

Ich möchte das auch tun. In den Cisco-Foren finden Sie eine Diskussion darüber, wie jemand anderes dies zum Laufen gebracht hat (ich denke, Sie haben das auch gesehen).

Das Bearbeiten der DefaultRAGroup scheint etwas unangenehm. Es gibt einige Diskussionen darüber, dass AnyConnect aufgrund eines Cisco Android-Projekts (Cius) in Zukunft funktionieren wird, aber die Lizenzkosten für AnyConnect sind im Vergleich zu IPSEC etwas hoch. Ich halte Ausschau nach einer IPSEC / L2TP- oder reinen IPSEC-Lösung.

dunxd
quelle