Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 26 replies
  • Subscribers 0 subscribers
  • Views 15724 views
  • Users 0 members are here
Options
Suggested

Help Us Test L2TP PSK For Android!

AngeloC
Hi everyone,

With the amount of Android devices out there, we are looking to accommodate the L2TP over IPSec VPN capabilities of these users. TLDR: Android asks for Plain Chap authentication and Astaro at the moment says "nope'.

Rather than develop support in ASG for plain chap, another solution which brings the feature available much sooner is to have ASG just respond with "no, but give me ChapV2" which most Android devices can actually do just fine. Also we don't want to have anyone need to root their phone or do complex operations.  However rather than just say you MUST have android 2.3 and on a "new"  phone, we'd like to know the results others have on various hardware and  android-version combinations.

The solution is quite easy to "test".
On ASG
1) enable and configure L2TP in Webadmin the way you want it
2) login to ASG as root and go to /var/chroot-ipsec/etc/ppp
3) edit (joe or pico) "options" (if you havent enabled l2tp in webadmin yet this file wont exist, just a defaults file, see step 1).
4) at the bottom of the file, add the line "require-mschap-v2" (no quotes, no caps).
5) save the file
6) *OPTIONAL* restart IPSec service (warning will disconnect site-site tunnels and connected roadwarriors!) /var/mdw/scripts/ipsec-starter restart) optional because PPP options get applied during L2TP client reconnect, but if you notice weird log entry spam or oddities it might help.

On your Android Phone:
1) make an L2TP over IPSec with PSK connection to your ASG. (eg. Settings-->Wireless and network-->VPN Settings--"Add VPN")
*note that enable L2TP secret should be left blank!

Now connect. You should get a tunnel. Let us know how you did, and if this affects anything else like other L2TP tunnels which were working fine, or any abnormalities. If a tunnel wont connect, please give us a snippet of the ipsec.log (preferably with debug options from the advanced tab in ASG enabled). 

**Remember** if you cause ASG to rewrite the options file (by say making a change to L2TP in WebAdmin) you need to re-add that line to the options file again. Please double check that your addition is still there to the options file before claiming it doesn't work. A few testers have made this mistake already. You can also add the line to options-default. This way it stays if mdw rewrites the options file, but then is more permanent, which you might not want to "test" with.

Anything we can do to help? Let us know! We will look to add this for 8.200 if it looks promising without any big downfalls perhaps.
Parents
  • 0
    ok, I am hoping someone here can shed some light on the issues I am having with this config, I am so close I can taste it!

    With the growing popularity of Droids in my office, I decided to give this config a try (not to mention my CEO got himself a Droid and wants VPN access...). I myself am running a Doid X, rooted and have configured OpenVPN. Works nice but a pain to setup and you have to root.

    We are running an ASG 220 V7.510, 512MB ram and we are stuck at this version until we buy new hardware (not going to happen this year!!).

    Anyway, I set up the L2TP and added the "require-mschap-v2" to /var/chroot-ipsec/etc/ppp/options. Moved over and setup my Droid X running 2.2.1. Hit connect and boom connected first try! Browsed to network shares, the intranet, I was super stoked! I then disconnected the Droid and tried to reconnect to the webadmin panel and that is when things got weired, I could not access it?? I could not even ping my external IP either?? Finally, using a logmein account, I logged into the webadmin from the internal LAN and turned off L2TP. After turning this off, everything was back to normal. I then turned L2TP back on but could not longer connect using the phone. I had to ssh back in and re-add the "require-mschap-v2", it was gone? was the file overwritten?? After re-adding, I could then connect the phone however, it did the same thing again. What gives? What am I missing here? I can connect once but then I have to toggle the L2TP remote access on and off again and re-add the line to the options file.

    Any help would be greatly appreciated!
Reply
  • 0
    ok, I am hoping someone here can shed some light on the issues I am having with this config, I am so close I can taste it!

    With the growing popularity of Droids in my office, I decided to give this config a try (not to mention my CEO got himself a Droid and wants VPN access...). I myself am running a Doid X, rooted and have configured OpenVPN. Works nice but a pain to setup and you have to root.

    We are running an ASG 220 V7.510, 512MB ram and we are stuck at this version until we buy new hardware (not going to happen this year!!).

    Anyway, I set up the L2TP and added the "require-mschap-v2" to /var/chroot-ipsec/etc/ppp/options. Moved over and setup my Droid X running 2.2.1. Hit connect and boom connected first try! Browsed to network shares, the intranet, I was super stoked! I then disconnected the Droid and tried to reconnect to the webadmin panel and that is when things got weired, I could not access it?? I could not even ping my external IP either?? Finally, using a logmein account, I logged into the webadmin from the internal LAN and turned off L2TP. After turning this off, everything was back to normal. I then turned L2TP back on but could not longer connect using the phone. I had to ssh back in and re-add the "require-mschap-v2", it was gone? was the file overwritten?? After re-adding, I could then connect the phone however, it did the same thing again. What gives? What am I missing here? I can connect once but then I have to toggle the L2TP remote access on and off again and re-add the line to the options file.

    Any help would be greatly appreciated!
Children
No Data
Unfiltered HTML