Estou tentando configurar o software de execução Cisco ASA 5510 versão 8.2 para permitir que meu Droid X se conecte via VPN L2TP / IPSec. Eu configurei o DefaultRAGroup da seguinte forma:
tunnel-group DefaultRAGroup general-attributes
address-pool vpn_pool
default-group-policy droid
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
authentication pap
no authentication chap
authentication ms-chap-v2
e a política de grupo associada:
group-policy droid internal
group-policy droid attributes
wins-server value (ip omitted)
dns-server value (ip omitted)
vpn-tunnel-protocol IPSec l2tp-ipsec
split-tunnel-policy tunnelall
Observando o registro enquanto tento me conectar do meu telefone, chego à "FASE 2 COMPLETADA", mas depois nada mais acontece e, após alguns segundos, o telefone diz que a conexão falhou. Com o ipsec completo, o isakmp e o l2tp debugs, posso ver a negociação IKE concluída com sucesso e o IPSec SA estabelecido, depois há estas mensagens:
IKEQM_Active() Add L2TP classification rules: ip <72.121.92.238> mask <0xFFFFFFFF> port <1701>
L2TP LOWERLAYER: l2tp_add_classification_rules()...ip <72.121.92.238> mask <255.255.255.255> port <1701>
L2TP LOWERLAYER: l2tp_add_fw_rule(): If 1, peer IP 72.121.92.238, peer port 1701
L2TP LOWERLAYER: np_classify_add_static(PERMIT) vpif_num<1> np_rule_id <0xd84fa348>
L2TP LOWERLAYER: l2tp_add_punt_rule(): If 1, peer IP 72.121.92.238, peer port 1701
L2TP LOWERLAYER: np_classify_add_static(PUNT) vpif_num<1> np_rule_id <0xd850ad08>
... e nada mais acontece. Nenhum fluxo de tráfego L2TP e não há mensagens de erro. Inspecionar "show vpn-sessiondb" indica que o ASA acredita ter estabelecido associações ISAKMP e IPSec, mas não há sessões L2TP / IPSec. Alguém já conseguiu este trabalho; ou, na falta disso, alguma idéia de como resolver ainda mais esse problema?
Editar: testes adicionais mostraram que funciona com um cliente L2TP não-android, ele funciona a partir do X Droid sobre WiFi, mas ele não funciona a partir do Droid X através da rede de dados sem fio da Verizon . Arquivei um bug no rastreador android aqui: link
O problema é o tunelamento dividido. Eu estou realmente surpreso que você tenha conseguido trabalhar em primeiro lugar com o cliente vpn. É uma porcaria.
De qualquer forma, as principais operadoras geralmente atribuem um ip 10.0.0.0/8 privado aos seus dispositivos, então quando você tenta dividir o túnel ele falha, pois ele não pode determinar o que está encapsulado e o que não está. Apreciar.
Estou procurando fazer isso também. Veja os Fóruns da Cisco para uma discussão sobre como alguém conseguiu esse trabalho (acho que você também viu isso). p>
Editar o DefaultRAGroup parece um pouco desagradável. Há alguma discussão de que o AnyConnect funcionará no futuro por causa de um projeto Cisco Android (Cius), mas os custos de licenciamento do AnyConnect são um pouco altos se comparados ao IPSEC. Estou esperando por uma solução IPSEC / L2TP ou IPSEC pura.