GlobalProtect 使用预共享的秘密认证和 Android 操作系统
Resolution
问题
GlobalProtect 网关配置为使用预先共享的秘密身份验证, 如android 设备上 IPSec 客户端的 GlobalProtect 配置8页所定义, 但是运行 android 版本4.1.2 和更早的设备无法连接.
GlobalProtect 网关配置中的组名为 FQDN 格式。
症状
运行苹果 iOS 的设备可以连接到 VPN。当与 Android 设备连接时, 它将挂起, 最终连接将不成功。
ikemgr 中的日志如下所示:
2013-01-22 18:49:02 [PROTO_ERR]: 无法找到 IKE phase-1 请求的配置为对等 IP 192.168.41.24 [500], ID fqdn:salvo.ssl.com。
2013-01-22 18:49:05 [PROTO_ERR]: 无法找到 IKE phase-1 请求的配置为对等 IP 192.168.41.24 [500], ID fqdn:salvo.ssl.com。
2013-01-22 18:49:08 [PROTO_ERR]: 无法找到 IKE phase-1 请求的配置为对等 IP 192.168.41.24 [500], ID fqdn:salvo.ssl.com。
根本原因
当组名 (这对应于 Android VPN 配置页中的 Ipsec 标识符字段) 配置为 FQDN (如格式) 时, Android OS 将将隧道端点 ID 类型设置为 ID_FQDN。
GP 网关预计隧道端点 ID 类型将被 ID_KEY_ID。IOS 将始终使用类型 ID_KEY_ID。
细节从 pcap 的失败连接使用 Android
详细信息从 PCAP 成功的连接使用 iOS。与上面相同的 GLobalProtect 网关配置:
使用 Android 成功连接的详细信息。组名称已更改为不像 FQDN。Android 将使用 GlobalProtect 网关所期望的类型 ID。
解决办法
将组名更改为非 FQDN 之类的内容。即 MYSSLVPN。
所有者: sberti