事前共有シークレット認証と Android OS を使用した GlobalProtect
Resolution
問題
GlobalProtect ゲートウェイは、android デバイス上の IPSec クライアントの GlobalProtect 構成の8ページで定義されているように、事前共有シークレット認証を使用するように構成されていますが、android バージョン4.1.2 以前を実行しているデバイスは、接続します。
GlobalProtect ゲートウェイ構成のグループ名は FQDN 形式です。
兆候
アップルの iOS を実行しているデバイスは、VPN に接続することができます. Android デバイスで接続すると、それがハングアップし、最終的に接続が失敗します。
ikemgr のログは以下のもののように見えます:
2013-01-22 18:49:02 [PROTO_ERR]: ピア IP 192.168.41.24 [500]、ID fqdn:salvo の IKE フェーズ1要求の構成が見つかりませんでした。
2013-01-22 18:49:05 [PROTO_ERR]: ピア IP 192.168.41.24 [500]、ID fqdn:salvo の IKE フェーズ1要求の構成が見つかりませんでした。
2013-01-22 18:49:08 [PROTO_ERR]: ピア IP 192.168.41.24 [500]、ID fqdn:salvo の IKE フェーズ1要求の構成が見つかりませんでした。
根本原因
グループ名 (これは android VPN の構成ページの Ipsec 識別子フィールドに対応) が形式のような FQDN で構成されている場合、Android OS はトンネルエンドポイント ID タイプを ID_FQDN に設定します。
GP ゲートウェイは、トンネルエンドポイント ID 型を ID_KEY_ID することを想定しています。IOS は常にタイプ ID_KEY_ID を使用します。
アンドロイドを使用して失敗した接続の pcap からの詳細
iOS を使用して成功した接続の PCAP からの詳細。上記と同じ GLobalProtect ゲートウェイ構成:
Android を使用して成功した接続からの詳細. グループ名は、FQDN のように変更されています。Android は GlobalProtect ゲートウェイが期待するタイプ ID を使用します。
解決方法
グループ名を FQDN のようなものに変更します。つまり MYSSLVPN
所有者: sberti