事前共有シークレット認証と Android OS を使用した GlobalProtect

事前共有シークレット認証と Android OS を使用した GlobalProtect

18086
Created On 09/26/18 13:49 PM - Last Modified 06/06/23 19:21 PM


Resolution


問題

GlobalProtect ゲートウェイは、android デバイス上の IPSec クライアントの GlobalProtect 構成の8ページで定義されているように、事前共有シークレット認証を使用するように構成されていますが、android バージョン4.1.2 以前を実行しているデバイスは、接続します。

GlobalProtect ゲートウェイ構成のグループ名は FQDN 形式です。

FQDN_FW_confJpg

兆候

アップルの iOS を実行しているデバイスは、VPN に接続することができます. Android デバイスで接続すると、それがハングアップし、最終的に接続が失敗します。

ikemgr のログは以下のもののように見えます:

2013-01-22 18:49:02 [PROTO_ERR]: ピア IP 192.168.41.24 [500]、ID fqdn:salvo の IKE フェーズ1要求の構成が見つかりませんでした。

2013-01-22 18:49:05 [PROTO_ERR]: ピア IP 192.168.41.24 [500]、ID fqdn:salvo の IKE フェーズ1要求の構成が見つかりませんでした。

2013-01-22 18:49:08 [PROTO_ERR]: ピア IP 192.168.41.24 [500]、ID fqdn:salvo の IKE フェーズ1要求の構成が見つかりませんでした。

根本原因

グループ名 (これは android VPN の構成ページの Ipsec 識別子フィールドに対応) が形式のような FQDN で構成されている場合、Android OS はトンネルエンドポイント ID タイプを ID_FQDN に設定します。

GP ゲートウェイは、トンネルエンドポイント ID 型を ID_KEY_ID することを想定しています。IOS は常にタイプ ID_KEY_ID を使用します。

アンドロイドを使用して失敗した接続の pcap からの詳細

FQDN_Android_KOJpg

iOS を使用して成功した接続の PCAP からの詳細。上記と同じ GLobalProtect ゲートウェイ構成:

FQDN_IOS_OKJpg

Android を使用して成功した接続からの詳細. グループ名は、FQDN のように変更されています。Android は GlobalProtect ゲートウェイが期待するタイプ ID を使用します。

FQDN_Android_OKJpg

解決方法

グループ名を FQDN のようなものに変更します。つまり MYSSLVPN

所有者: sberti
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClqZCAS&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language