2017-05-07 09:29 PM
自宅のPPPoEルータの配下にC841Mを設置しており、外出先からAndroid OSのL2TP+IPSecを使いVPN接続したいと考えています
PPPoEルータにはESP、500/UDP、1701/UDP、4500/UDPのC841M向けへのポートマッピング設定済みです
iPhoneからはVPN確立ができたのですが、AndroidからはVPN確立できません
自宅PPPoEルータのグローバルアドレスはほぼ固定のため、接続元からは接続先アドレスを指定して設定しています
debugで確認しましたが、PH2の部分で「phase 2 SA policy not acceptable」となり接続に失敗しているように見えます
iOSでの接続がOKなので、Androidと何か違いがあると思うのですが、configの抜粋とdebugログから何が原因かわかるでしょうか
(グローバルアドレス等はマスクしてます)
接続元のAndoroidのバージョンは6.0、7.0ともにダメでした
2017-05-15 07:17 PM
debug.txt 233,234行めに
May 7 20:25:46.205 JST: IPSEC(ipsec_process_proposal): transform proposal not supported for identity:
{esp-3des esp-sha-hmac }
とあります。
これに対応するトランスフォームセットを作成すると改善しないでしょうか。
あとはトランスポートモードでなく、トンネルモードにしてみるとか
2017-05-15 10:59 PM
joseph444さん
コメントありがとうございます
esp-3des esp-sha-hmacでトランスフォームセット作成しましたがやはりだめでした
debug.txt の205~224行あたりで対向のAndoroidと合致するトランスフォームセットを作成していますがエラーになっているように見えます
(configのtransform-set L2TP-TS L2TP-TS2)
debug.txt の205~224行あたりでうまくproposalを受け入れられていないエラーの
invalid transform proposal flags -- 0x4
や
IPSec policy invalidated proposal with error 1024
のエラーコードの意味が分かれば原因がわかりそうなのですが
2017-05-16 12:00 AM
ダメでしたか…
月並みで恐縮ですがphase2のネゴで失敗しているようなので、
phase2の各パラメータを変えてってトライ&エラーで潰していくしかないような気がします。
お力になれずすみません。
2017-06-20 05:59 PM
Jopephさんの言うとおり、IPsecの Phase2のネゴシエーションの問題のように思いますので、ルーター側と Andorid側 双方で設定を確認してみるといいのかな、とおもいました。
Android側の設定 or 動作の問題のような気がします。。
2017-06-21 12:30 AM
コメントありがとうございます。
Andoroid側のIPSecの仕様がわからないので、debugを見ながらアルゴリズムやライフタイムなどいろいろとパラメータを変えながら設定してみてもどうもうまくいかないのです。
debugからどのパラメータが不一致ではじかれているのか分かればいいのですが。。あとはAndoroid側のIPSecの仕様が分かればいいのですが。
2017-08-13 10:14 PM
transform-setに"esp-aes 256 esp-sha256-hmac"を追加してもダメでしょうか?
自分の環境では、"esp-aes 256 esp-sha256-hmac"と"esp-aes esp-sha-hmac"の2つのtransform-setでAndroid7.0から正常にL2TP/IPSec接続できています。
またこれは質問の主題とは全く関係ないのですが、1701/UDPはポートフォワードしない方がよろしいのではないかと存じます。L2TP単体(without IPsec)で使われるおつもりがあるのであれば、話は異なりますが…。
2017-08-15 12:31 AM
コメントありがとうございます。
configにはないですが、debugログを見てAndroid側からのproposalと合う組み合わせでtransform-set作成しましたがやはりダメです。
その中で、"esp-aes 256 esp-sha256-hmac"の組み合わせも試しています。念のためもう一度やってみましたがやはりダメでした。
暗号化の組み合わせではなく、そのほかのタイマなどの条件が合っていないような気がします。
暗号化セットが合っている場合でもdebugを見ると"invalid transform proposal flags -- 0x4"ではじかれています。
"invalid transform proposal flags -- 0x4"の意味が分かれば原因がわかりそうな気がするのですが。。
また、1701/UDPのポートフォワードの件、ご指摘ありがとうございます。
確かに不要ですので、設定削除しました。
ありがとうございます。
2017-08-16 03:21 AM
効果ありませんでしたか。残念です。
あと気になるのはVPN-dynamic-map内のset security-association lifetimeなどでしょうか。
既にこのパラメータを消したパターンも試されているかもしれませんが…。
もしまだサポート期間が残っているようであれば、一度サポート(https://www.cisco.com/c/m/ja_jp/solutions/cisco-start/tech-support.html)に聞いてみるのも手かと思います。
また別の切り口として、Android端末側のログ(adb logcatで取れた気がします)を確認してみてはいかがでしょうか。
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします: