Я пытаюсь настроить Cisco ASA 5510 с программным обеспечением версии 8.2, чтобы мой Droid X мог подключаться через L2TP / IPSec VPN. Я настроил DefaultRAGroup так:
tunnel-group DefaultRAGroup general-attributes
address-pool vpn_pool
default-group-policy droid
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
authentication pap
no authentication chap
authentication ms-chap-v2
и соответствующая групповая политика:
group-policy droid internal
group-policy droid attributes
wins-server value (ip omitted)
dns-server value (ip omitted)
vpn-tunnel-protocol IPSec l2tp-ipsec
split-tunnel-policy tunnelall
Просматривая журнал, пока я пытаюсь подключиться со своего телефона, я получаю сообщение «ФАЗА 2 ЗАВЕРШЕНА», но больше ничего не происходит, и еще через несколько секунд телефон сообщает, что соединение не удалось. При полной отладке ipsec, isakmp и l2tp я вижу, что согласование IKE завершено успешно и установлена IPSec SA, затем появляются следующие сообщения:
IKEQM_Active() Add L2TP classification rules: ip <72.121.92.238> mask <0xFFFFFFFF> port <1701>
L2TP LOWERLAYER: l2tp_add_classification_rules()...ip <72.121.92.238> mask <255.255.255.255> port <1701>
L2TP LOWERLAYER: l2tp_add_fw_rule(): If 1, peer IP 72.121.92.238, peer port 1701
L2TP LOWERLAYER: np_classify_add_static(PERMIT) vpif_num<1> np_rule_id <0xd84fa348>
L2TP LOWERLAYER: l2tp_add_punt_rule(): If 1, peer IP 72.121.92.238, peer port 1701
L2TP LOWERLAYER: np_classify_add_static(PUNT) vpif_num<1> np_rule_id <0xd850ad08>
... и больше ничего не происходит. Нет потоков трафика L2TP и сообщений об ошибках. Проверка «show vpn-sessiondb» указывает на то, что ASA полагает, что оно установило ассоциации ISAKMP и IPSec, но сеансы L2TP / IPSec отсутствуют. Кто-нибудь получил эту работу; или, если это не удается, какие-либо идеи о том, как решить эту проблему?
Редактировать: Дополнительное тестирование показало, что он работает с L2TP-клиентом, отличным от Android, он работает с Droid X по WiFi, но НЕ работает с Droid X по беспроводной сети передачи данных Verizon. Я зарегистрировал ошибку в трекере Android здесь: http://code.google.com/p/android/issues/detail?id=9950
Отчет об ошибке, который я отправил в AOSP, был закрыт много лет назад как «не будет исправлен (устарел)», и Центр технической поддержки Cisco сообщил другим пользователям, что эта конфигурация не поддерживается.
Проблема в раздельном туннелировании. Я на самом деле удивлен, что вы смогли заставить его работать со стандартным клиентом vpn. Это дерьмо.
В любом случае, основные операторы связи обычно назначают своим устройствам частный IP-адрес 10.0.0.0/8, поэтому при попытке разделить туннель происходит сбой, поскольку он не может определить, что туннелируется, а что нет. Наслаждаться.
Я тоже хочу это сделать. Посетите форумы Cisco, чтобы узнать, как это работает. (Думаю, вы тоже это видели).
Редактирование DefaultRAGroup кажется немного неприятным. Некоторые обсуждают, что AnyConnect будет работать в будущем из-за проекта Cisco Android (Cius), но стоимость лицензирования AnyConnect немного выше по сравнению с IPSEC. Я требую решения IPSEC / L2TP или чистого IPSEC.