Подключиться к Cisco ASA 8.2 VPN с Android 2.1 L2TP /IPsec?

Я пытаюсь настроить версию программного обеспечения Cisco ASA 5510 версии 8.2, чтобы позволить моему Droid X подключаться через L2TP /IPSec VPN. Я сконфигурировал DefaultRAGroup следующим образом:

tunnel-group DefaultRAGroup general-attributes
 address-pool vpn_pool
 default-group-policy droid
tunnel-group DefaultRAGroup ipsec-attributes
 pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
 authentication pap
 no authentication chap
 authentication ms-chap-v2

и связанной групповой политики:

group-policy droid internal
group-policy droid attributes
 wins-server value (ip omitted)
 dns-server value (ip omitted)
 vpn-tunnel-protocol IPSec l2tp-ipsec 
 split-tunnel-policy tunnelall

Наблюдая за журналом, когда я пытаюсь подключиться с моего телефона, я перехожу к «PHASE 2 COMPLETED», но потом ничего больше не происходит, и через несколько секунд телефон говорит, что соединение не удалось. С полным отлаживанием ipsec, isakmp и l2tp я могу проверить, что согласование IKE завершено успешно и установлено IPSec SA, тогда есть следующие сообщения:

IKEQM_Active() Add L2TP classification rules: ip <72.121.92.238> mask <0xFFFFFFFF> port <1701> 
L2TP LOWERLAYER: l2tp_add_classification_rules()...ip <72.121.92.238> mask <255.255.255.255> port <1701>
L2TP LOWERLAYER: l2tp_add_fw_rule(): If 1, peer IP 72.121.92.238, peer port 1701
L2TP LOWERLAYER: np_classify_add_static(PERMIT) vpif_num<1>  np_rule_id <0xd84fa348>
L2TP LOWERLAYER: l2tp_add_punt_rule(): If 1, peer IP 72.121.92.238, peer port 1701
L2TP LOWERLAYER: np_classify_add_static(PUNT) vpif_num<1>  np_rule_id <0xd850ad08>

... и ничего больше не происходит. Нет потоков трафика L2TP, и сообщений об ошибках нет. Проверка «show vpn-sessiondb» указывает, что ASA полагает, что она установила ассоциации ISAKMP и IPSec, но сеансов L2TP /IPSec нет. Кто-нибудь получил эту работу; или, в противном случае, какие-либо идеи по дальнейшему устранению этой проблемы?

Изменить: Дополнительное тестирование показало, что оно работает с клиентом L2TP, отличным от android, он работает от Droid X через Wi-Fi, но он НЕ работает с Droid X через беспроводную сеть передачи данных Verizon , Я зарегистрировал ошибку в отслеживании android здесь: http: //код .google.com /р /Android /вопросы /детали? ID = 9950

7 голосов | спросил Will Rogers 21 J000000Wednesday10 2010, 18:28:50

2 ответа


1

Проблема заключается в разделении туннелирования. Я на самом деле удивлен, что вы его работали в первую очередь с клиентом акций vpn. Это дерьмо.

В любом случае, основные операторы обычно назначают частным 10.0.0.0/8 ip своим устройствам, поэтому, когда вы пытаетесь разбить туннель, он терпит неудачу, поскольку он не может определить, что туннелируется, а что нет. Наслаждаться.

ответил 27 J000000Tuesday10 2010, 00:59:39
0

Я тоже хочу это сделать. См. Форумы Cisco для обсуждения того, как кто-то еще получил эту работу (думаю, вы видели это тоже).

Редактирование DefaultRAGroup кажется немного неприятным. Существует некоторая дискуссия о том, что AnyConnect будет работать в будущем из-за проекта Cisco Android (Cius), но стоимость лицензирования AnyConnect немного выше по сравнению с IPSEC. Я держусь за решение IPSEC /L2TP или чистое решение IPSEC.

ответил dunxd 4 42010vEurope/Moscow11bEurope/MoscowThu, 04 Nov 2010 13:03:25 +0300 2010, 13:03:25

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132