我正在尝试配置运行软件版本 8.2 的 Cisco ASA 5510,以允许我的 Droid X 通过 L2TP/IPSec VPN 连接。我已按如下方式配置了 DefaultRAGroup:
tunnel-group DefaultRAGroup general-attributes
address-pool vpn_pool
default-group-policy droid
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
authentication pap
no authentication chap
authentication ms-chap-v2
以及相关的组策略:
group-policy droid internal
group-policy droid attributes
wins-server value (ip omitted)
dns-server value (ip omitted)
vpn-tunnel-protocol IPSec l2tp-ipsec
split-tunnel-policy tunnelall
当我尝试通过手机连接时,查看日志,我进入“第 2 阶段已完成”但之后没有其他反应,几秒钟后,手机显示连接失败。通过完整的 ipsec、isakmp 和 l2tp 调试,我可以看到 IKE 协商已成功完成并且已建立 IPSec SA,然后出现以下消息:
IKEQM_Active() Add L2TP classification rules: ip <72.121.92.238> mask <0xFFFFFFFF> port <1701>
L2TP LOWERLAYER: l2tp_add_classification_rules()...ip <72.121.92.238> mask <255.255.255.255> port <1701>
L2TP LOWERLAYER: l2tp_add_fw_rule(): If 1, peer IP 72.121.92.238, peer port 1701
L2TP LOWERLAYER: np_classify_add_static(PERMIT) vpif_num<1> np_rule_id <0xd84fa348>
L2TP LOWERLAYER: l2tp_add_punt_rule(): If 1, peer IP 72.121.92.238, peer port 1701
L2TP LOWERLAYER: np_classify_add_static(PUNT) vpif_num<1> np_rule_id <0xd850ad08>
...其他什么都没发生。没有 L2TP 流量,也没有错误消息。检查“show vpn-sessiondb”表明 ASA 认为它已经建立了 ISAKMP 和 IPSec 关联,但没有 L2TP/IPSec 会话。有没有人成功过这个;或者,如果失败了,有什么想法可以进一步解决此问题?
编辑:额外的测试表明,它可以与非 Android L2TP 客户端配合使用,它可以通过 WiFi 在 Droid X 上运行,但无法通过 Verizon 的无线数据网络在 Droid X 上运行。我已在此处的 Android 跟踪器中提交了一个错误:http://code.google.com/p/android/issues/detail?id=9950
答案1
问题在于分割隧道。我其实很惊讶你一开始就用普通的 VPN 客户端让它工作了。这太糟糕了。
无论如何,主要运营商通常会为其设备分配一个私有的 10.0.0.0/8 IP,因此当您尝试拆分隧道时,它会失败,因为它无法确定哪些是隧道,哪些不是。尽情享受吧。
答案2
我提交给 AOSP 的错误报告几年前就被关闭了,理由是“无法修复(已过时)”,而且思科 TAC 告诉其他用户不支持此配置。
答案3
我也想这么做。 请参阅思科论坛,了解其他人如何实现此功能(我猜你也看到了这个)。
编辑 DefaultRAGroup 似乎有点麻烦。有人讨论说,由于 Cisco Android 项目 (Cius),AnyConnect 将来会发挥作用,但与 IPSEC 相比,AnyConnect 的许可成本有点高。我坚持使用 IPSEC/L2TP 或纯 IPSEC 解决方案。