用Android2.1L2TP/IPsec连接到Cisco ASA 8.2VPN？

Question

我试图配置我的Cisco ASA 5510运行的软件版本8.2，以允许我的Droid X通过L2TP/IPSec VPN连接。我已经将DefaultRAGroup配置如下：

tunnel-group DefaultRAGroup general-attributes
 address-pool vpn_pool
 default-group-policy droid
tunnel-group DefaultRAGroup ipsec-attributes
 pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
 authentication pap
 no authentication chap
 authentication ms-chap-v2

以及相关的组织政策：

group-policy droid internal
group-policy droid attributes
 wins-server value (ip omitted)
 dns-server value (ip omitted)
 vpn-tunnel-protocol IPSec l2tp-ipsec 
 split-tunnel-policy tunnelall

当我试图从手机连接时，看着日志，我进入了“第二阶段完成”，但没有发生任何其他事情，几秒钟后，电话说连接失败了。使用完整的ipsec、isakmp和l2tp调试，我可以看到IKE协商成功完成并建立了IPSec SA，然后有以下消息：

IKEQM_Active() Add L2TP classification rules: ip <72.121.92.238> mask <0xFFFFFFFF> port <1701> 
L2TP LOWERLAYER: l2tp_add_classification_rules()...ip <72.121.92.238> mask <255.255.255.255> port <1701>
L2TP LOWERLAYER: l2tp_add_fw_rule(): If 1, peer IP 72.121.92.238, peer port 1701
L2TP LOWERLAYER: np_classify_add_static(PERMIT) vpif_num<1>  np_rule_id <0xd84fa348>
L2TP LOWERLAYER: l2tp_add_punt_rule(): If 1, peer IP 72.121.92.238, peer port 1701
L2TP LOWERLAYER: np_classify_add_static(PUNT) vpif_num<1>  np_rule_id <0xd850ad08>

...and其他事情都没有发生。没有L2TP流量，也没有错误消息。检查"show vpn-sessiondb“表明ASA认为它已经建立了ISAKMP和IPSec关联，但是没有L2TP/IPSec会话。是否有人做到了这一点；或者，如果做不到这一点，有什么办法可以进一步解决这个问题？

编辑:额外的测试表明，它工作在一个非安卓的L2TP客户端，它工作在WiFi上的Droid，但它不工作在Verizon的无线数据网络上的Droid。我在android跟踪器中输入了一个bug：http://code.google.com/p/android/issues/detail?id=9950

Answer 1

我提交给AOSP的bug报告几年前就被关闭了，因为它“不会修复(过时)”，Cisco TAC告诉其他用户，这种配置是不受支持的。

Answer 2

问题是劈开隧道。事实上，我很惊讶你在一开始就把它应用于股票vpn客户端。这都是废话。

无论如何，主要运营商通常会为他们的设备分配一个私有的10.0.0.0/8 ip，所以当您尝试拆分隧道时，它会失败，因为它无法确定什么是隧道，哪些不是。好好享受吧。

Answer 3

我也想这么做。请参阅思科论坛，了解其他人是如何做到这一点的。 (我猜你也看到了这个)。

编辑DefaultRAGroup看上去有点恶心。有一些讨论认为，AnyConnect将在未来工作，因为Cisco项目(Cius)，但与IPSEC相比，AnyConnect的许可成本有点高。我坚持要IPSEC/L2TP或纯IPSEC解决方案。