我试图configuration我的思科ASA 5510运行软件版本8.2,以允许我的Droid X通过L2TP / IPSec VPN连接。 我已经configurationDefaultRAGroup像这样:
tunnel-group DefaultRAGroup general-attributes address-pool vpn_pool default-group-policy droid tunnel-group DefaultRAGroup ipsec-attributes pre-shared-key * tunnel-group DefaultRAGroup ppp-attributes authentication pap no authentication chap authentication ms-chap-v2 和相关的组策略:
group-policy droid internal group-policy droid attributes wins-server value (ip omitted) dns-server value (ip omitted) vpn-tunnel-protocol IPSec l2tp-ipsec split-tunnel-policy tunnelall
当我尝试从手机连接时看到日志,我进入“第二阶段完成”,但没有其他事情发生,几秒钟后,手机说连接失败。 通过完整的ipsec,isakmp和l2tpdebugging,我可以看到IKE协商成功完成并build立了IPSec SA,然后有这些消息:
IKEQM_Active() Add L2TP classification rules: ip <72.121.92.238> mask <0xFFFFFFFF> port <1701> L2TP LOWERLAYER: l2tp_add_classification_rules()...ip <72.121.92.238> mask <255.255.255.255> port <1701> L2TP LOWERLAYER: l2tp_add_fw_rule(): If 1, peer IP 72.121.92.238, peer port 1701 L2TP LOWERLAYER: np_classify_add_static(PERMIT) vpif_num<1> np_rule_id <0xd84fa348> L2TP LOWERLAYER: l2tp_add_punt_rule(): If 1, peer IP 72.121.92.238, peer port 1701 L2TP LOWERLAYER: np_classify_add_static(PUNT) vpif_num<1> np_rule_id <0xd850ad08>
…没有其他事情发生。 没有L2TPstream量,并且没有错误消息。 检查“show vpn-sessiondb”表示ASA认为它已经build立了ISAKMP和IPSec关联,但没有L2TP / IPSec会话。 有没有人得到这个工作; 或者,如果没有,如何进一步解决这个问题的任何想法?
编辑:额外的testing表明,它适用于非Android的L2TP客户端,它从Droid X通过WiFi工作,但它不能从Droid X通过Verizon的无线数据networking工作。 我在这里提出了一个Android跟踪器的bug: http : //code.google.com/p/android/issues/detail?id=9950
问题是分裂隧道。 我真的很惊讶,你有它的股票vpn客户端的第一个工作。 这是废话。
无论如何,主要的运营商通常会给他们的设备分配一个私有的10.0.0.0/8 ip,所以当你尝试拆分隧道时,它会失败,因为它不能确定什么是隧道,什么不是隧道。 请享用。
我也希望这样做。 请参阅思科论坛,了解其他人是如何得到这个工作的讨论 (我猜你也看到了这个)。
编辑DefaultRAGroup似乎有点讨厌。 由于思科Android项目(Cius),AnyConnect将来会有一些讨论,但与IPSEC相比,AnyConnect的许可成本有点高。 我支持IPSEC / L2TP或纯IPSEC解决scheme。