joseph444さん

コメントありがとうございます

esp-3des esp-sha-hmacでトランスフォームセット作成しましたがやはりだめでした

debug.txt の205～224行あたりで対向のAndoroidと合致するトランスフォームセットを作成していますがエラーになっているように見えます

(configのtransform-set　L2TP-TS L2TP-TS2)

debug.txt の205～224行あたりでうまくproposalを受け入れられていないエラーの

　invalid transform proposal flags -- 0x4

や

　IPSec policy invalidated proposal with error 1024

のエラーコードの意味が分かれば原因がわかりそうなのですが

ダメでしたか…

月並みで恐縮ですがphase2のネゴで失敗しているようなので、

phase2の各パラメータを変えてってトライ＆エラーで潰していくしかないような気がします。

お力になれずすみません。

Jopephさんの言うとおり、IPsecの Phase2のネゴシエーションの問題のように思いますので、ルーター側と Andorid側 双方で設定を確認してみるといいのかな、とおもいました。

Android側の設定 or 動作の問題のような気がします。。

Akira Muranaka　さん

コメントありがとうございます。

Andoroid側のIPSecの仕様がわからないので、debugを見ながらアルゴリズムやライフタイムなどいろいろとパラメータを変えながら設定してみてもどうもうまくいかないのです。

debugからどのパラメータが不一致ではじかれているのか分かればいいのですが。。あとはAndoroid側のIPSecの仕様が分かればいいのですが。

akg000000　さん

コメントありがとうございます。

configにはないですが、debugログを見てAndroid側からのproposalと合う組み合わせでtransform-set作成しましたがやはりダメです。

その中で、"esp-aes 256 esp-sha256-hmac"の組み合わせも試しています。念のためもう一度やってみましたがやはりダメでした。

暗号化の組み合わせではなく、そのほかのタイマなどの条件が合っていないような気がします。

暗号化セットが合っている場合でもdebugを見ると"invalid transform proposal flags -- 0x4"ではじかれています。

"invalid transform proposal flags -- 0x4"の意味が分かれば原因がわかりそうな気がするのですが。。

また、1701/UDPのポートフォワードの件、ご指摘ありがとうございます。

確かに不要ですので、設定削除しました。

ありがとうございます。

効果ありませんでしたか。残念です。

あと気になるのはVPN-dynamic-map内のset security-association lifetimeなどでしょうか。

既にこのパラメータを消したパターンも試されているかもしれませんが…。

もしまだサポート期間が残っているようであれば、一度サポート（https://www.cisco.com/c/m/ja_jp/solutions/cisco-start/tech-support.html）に聞いてみるのも手かと思います。

また別の切り口として、Android端末側のログ(adb logcatで取れた気がします)を確認してみてはいかがでしょうか。