キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
告知
シスコ サポート コミュニティへようこそ!あなたの ご意見 をお聞かせください。
New Member

PPPoEルータ配下のC841MへのAndoroidからのL2TP+IPSec接続について

自宅のPPPoEルータの配下にC841Mを設置しており、外出先からAndroid OSのL2TP+IPSecを使いVPN接続したいと考えています

PPPoEルータにはESP、500/UDP、1701/UDP、4500/UDPのC841M向けへのポートマッピング設定済みです

iPhoneからはVPN確立ができたのですが、AndroidからはVPN確立できません

自宅PPPoEルータのグローバルアドレスはほぼ固定のため、接続元からは接続先アドレスを指定して設定しています


debugで確認しましたが、PH2の部分で「phase 2 SA policy not acceptable」となり接続に失敗しているように見えます

iOSでの接続がOKなので、Androidと何か違いがあると思うのですが、configの抜粋とdebugログから何が原因かわかるでしょうか

(グローバルアドレス等はマスクしてます)


接続元のAndoroidのバージョンは6.0、7.0ともにダメでした

8 件の返信
New Member

debug.txt 233,234行めに

debug.txt 233,234行めに

May 7 20:25:46.205 JST: IPSEC(ipsec_process_proposal): transform proposal not supported for identity:
{esp-3des esp-sha-hmac }

とあります。

これに対応するトランスフォームセットを作成すると改善しないでしょうか。

あとはトランスポートモードでなく、トンネルモードにしてみるとか

New Member

joseph444さん

joseph444さん

コメントありがとうございます

esp-3des esp-sha-hmacでトランスフォームセット作成しましたがやはりだめでした

debug.txt の205~224行あたりで対向のAndoroidと合致するトランスフォームセットを作成していますがエラーになっているように見えます

(configのtransform-set L2TP-TS L2TP-TS2)

debug.txt の205~224行あたりでうまくproposalを受け入れられていないエラーの

 invalid transform proposal flags -- 0x4

 IPSec policy invalidated proposal with error 1024

のエラーコードの意味が分かれば原因がわかりそうなのですが

New Member

ダメでしたか…

ダメでしたか…

月並みで恐縮ですがphase2のネゴで失敗しているようなので、

phase2の各パラメータを変えてってトライ&エラーで潰していくしかないような気がします。

お力になれずすみません。

Jopephさんの言うとおり、IPsecの

Jopephさんの言うとおり、IPsecの Phase2のネゴシエーションの問題のように思いますので、ルーター側と Andorid側 双方で設定を確認してみるといいのかな、とおもいました。

Android側の設定 or 動作の問題のような気がします。。

New Member

Akira Muranaka さん

Akira Muranaka さん

コメントありがとうございます。

Andoroid側のIPSecの仕様がわからないので、debugを見ながらアルゴリズムやライフタイムなどいろいろとパラメータを変えながら設定してみてもどうもうまくいかないのです。

debugからどのパラメータが不一致ではじかれているのか分かればいいのですが。。あとはAndoroid側のIPSecの仕様が分かればいいのですが。

New Member

transform-setに"esp-aes 256

transform-setに"esp-aes 256 esp-sha256-hmac"を追加してもダメでしょうか?

自分の環境では、"esp-aes 256 esp-sha256-hmac"と"esp-aes esp-sha-hmac"の2つのtransform-setでAndroid7.0から正常にL2TP/IPSec接続できています。

またこれは質問の主題とは全く関係ないのですが、1701/UDPはポートフォワードしない方がよろしいのではないかと存じます。L2TP単体(without IPsec)で使われるおつもりがあるのであれば、話は異なりますが…。

New Member

akg000000 さん

akg000000 さん

コメントありがとうございます。

configにはないですが、debugログを見てAndroid側からのproposalと合う組み合わせでtransform-set作成しましたがやはりダメです。

その中で、"esp-aes 256 esp-sha256-hmac"の組み合わせも試しています。念のためもう一度やってみましたがやはりダメでした。

暗号化の組み合わせではなく、そのほかのタイマなどの条件が合っていないような気がします。

暗号化セットが合っている場合でもdebugを見ると"invalid transform proposal flags -- 0x4"ではじかれています。

"invalid transform proposal flags -- 0x4"の意味が分かれば原因がわかりそうな気がするのですが。。

また、1701/UDPのポートフォワードの件、ご指摘ありがとうございます。

確かに不要ですので、設定削除しました。

ありがとうございます。

New Member

効果ありませんでしたか。残念です。

効果ありませんでしたか。残念です。

あと気になるのはVPN-dynamic-map内のset security-association lifetimeなどでしょうか。

既にこのパラメータを消したパターンも試されているかもしれませんが…。

もしまだサポート期間が残っているようであれば、一度サポート(https://www.cisco.com/c/m/ja_jp/solutions/cisco-start/tech-support.html)に聞いてみるのも手かと思います。

また別の切り口として、Android端末側のログ(adb logcatで取れた気がします)を確認してみてはいかがでしょうか。

97
閲覧回数
0
いいね!
8
返信