GlobalProtect 使用预共享的秘密认证和 Android 操作系统

GlobalProtect 使用预共享的秘密认证和 Android 操作系统

18080
Created On 09/26/18 13:49 PM - Last Modified 06/06/23 19:21 PM


Resolution


问题

GlobalProtect 网关配置为使用预先共享的秘密身份验证, 如android 设备上 IPSec 客户端的 GlobalProtect 配置8页所定义, 但是运行 android 版本4.1.2 和更早的设备无法连接.

GlobalProtect 网关配置中的组名为 FQDN 格式。

FQDN_FW_conf。Jpg

症状

运行苹果 iOS 的设备可以连接到 VPN。当与 Android 设备连接时, 它将挂起, 最终连接将不成功。

ikemgr 中的日志如下所示:

2013-01-22 18:49:02 [PROTO_ERR]: 无法找到 IKE phase-1 请求的配置为对等 IP 192.168.41.24 [500], ID fqdn:salvo.ssl.com。

2013-01-22 18:49:05 [PROTO_ERR]: 无法找到 IKE phase-1 请求的配置为对等 IP 192.168.41.24 [500], ID fqdn:salvo.ssl.com。

2013-01-22 18:49:08 [PROTO_ERR]: 无法找到 IKE phase-1 请求的配置为对等 IP 192.168.41.24 [500], ID fqdn:salvo.ssl.com。

根本原因

当组名 (这对应于 Android VPN 配置页中的 Ipsec 标识符字段) 配置为 FQDN (如格式) 时, Android OS 将将隧道端点 ID 类型设置为 ID_FQDN。

GP 网关预计隧道端点 ID 类型将被 ID_KEY_ID。IOS 将始终使用类型 ID_KEY_ID。

细节从 pcap 的失败连接使用 Android

FQDN_Android_KO。Jpg

详细信息从 PCAP 成功的连接使用 iOS。与上面相同的 GLobalProtect 网关配置:

FQDN_IOS_OK。Jpg

使用 Android 成功连接的详细信息。组名称已更改为不像 FQDN。Android 将使用 GlobalProtect 网关所期望的类型 ID。

FQDN_Android_OK。Jpg

解决办法

将组名更改为非 FQDN 之类的内容。即 MYSSLVPN。

所有者: sberti
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClqZCAS&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language