Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 24 replies
  • Subscribers 1 subscriber
  • Views 24924 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Android to Astaro VPN

blyss73usa
I have seen a couple of threads with people attempting and successfully getting a vpn connection between the Astaro Gateway and an Android phone. 

I have been trying to brute force my way through setting it up and I am coming up with nothing. Would someone be willing to share with me their L2TP Ipsec configuration so I can attempt to mimic it?

Upon achieving a successful connection I will immediately proclaim your brilliance to all of twitter. 

Thank you in advance for your assistance!


This thread was automatically locked due to age.
Parents
  • 0
    I have L2TP over IPSec with pre-shared key working very reliably with Android 2.2 HTC EVO 4G Sprint, ASG 8.1 home license. It worked with ASG 7.5 also and kept working after upgrade to 8.1. Please see the discussion here:

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/53976

    After setting up VPN, I found that sometimes I have to power off/on the phone to make it work.
  • 0 in reply to ArunGupta_01
    So I am getting somewhere, just not sure where yet. This is the configuration I am using. L2TP over IPSec on the WAN interface, Auth mode: X509 CA Check w/ Local X509 Cert selected. I am using IP Address pool with the pool network as the VPN Pool (L2TP). Under access control I have local authentication selected and added my local user. I have that user created in the users area and have a certificate called android that is set by IP address and I used the NAT'ed address that was showing up in the logs. 

    When I setup my Android to use L2TP over IPSec CRT/VPN specifying my user's cert and the VPN signing Cert in the connection. When I try to connect my phone sits for a while and then says it can't connect.  At that point if I look at my Remote Access tab it shows my vpn user as online. 

    TLDR - My phone says it can not connect, my Astaro v8.1 says it is connected. 

    to[6691]: packet from 174.253.6.147:31648: received Vendor ID payload [RFC 3947]
    2011:01:22-09:45:02 Hades pluto[6691]: packet from 174.253.6.147:31648: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
    2011:01:22-09:45:02 Hades pluto[6691]: packet from 174.253.6.147:31648: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
    2011:01:22-09:45:02 Hades pluto[6691]: packet from 174.253.6.147:31648: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
    2011:01:22-09:45:02 Hades pluto[6691]: packet from 174.253.6.147:31648: ignoring Vendor ID payload [FRAGMENTATION 80000000]
    2011:01:22-09:45:02 Hades pluto[6691]: "D_REF_jtFeYppclD"[10] 174.253.6.147:31648 #16: responding to Main Mode from unknown peer 174.253.6.147:31648
    2011:01:22-09:45:03 Hades pluto[6691]: "D_REF_jtFeYppclD"[10] 174.253.6.147:31648 #16: NAT-Traversal: Result using RFC 3947: peer is NATed
    2011:01:22-09:45:05 Hades pluto[6691]: "D_REF_jtFeYppclD"[10] 174.253.6.147:31648 #16: Peer ID is ID_IPV4_ADDR: '10.226.229.241'
    2011:01:22-09:45:05 Hades pluto[6691]: "D_REF_jtFeYppclD"[10] 174.253.6.147:31648 #16: crl not found
    2011:01:22-09:45:05 Hades pluto[6691]: "D_REF_jtFeYppclD"[10] 174.253.6.147:31648 #16: certificate status unknown
    2011:01:22-09:45:05 Hades pluto[6691]: "D_REF_jtFeYppclD"[11] 174.253.6.147:31648 #16: deleting connection "D_REF_jtFeYppclD" instance with peer 174.253.6.147 {isakmp=#0/ipsec=#0}
    2011:01:22-09:45:05 Hades pluto[6691]: "D_REF_jtFeYppclD"[11] 174.253.6.147:31648 #16: we have a cert and are sending it
    2011:01:22-09:45:05 Hades pluto[6691]: | NAT-T: new mapping 174.253.6.147:31648/31665)
    2011:01:22-09:45:05 Hades pluto[6691]: "D_REF_jtFeYppclD"[11] 174.253.6.147:31665 #16: sent MR3, ISAKMP SA established
    2011:01:22-09:45:06 Hades pluto[6691]: "D_REF_jtFeYppclD"[11] 174.253.6.147:31665 #16: ignoring informational payload, type IPSEC_INITIAL_CONTACT
    2011:01:22-09:45:07 Hades pluto[6691]: "D_REF_jtFeYppclD"[3] 174.253.6.147:31665 #17: responding to Quick Mode
    2011:01:22-09:45:07 Hades pluto[6691]: id="2201" severity="info" sys="SecureNet" sub="vpn" event="Connection started" username="10.226.229.241" variant="ipsec" srcip="174.253.6.147" virtual_ip="174.253.6.147"
    2011:01:22-09:45:08 Hades pluto[6691]: "D_REF_jtFeYppclD"[3] 174.253.6.147:31665 #17: IPsec SA established {ESP=>0x0558fd28 
Reply
  • 0 in reply to ArunGupta_01
    So I am getting somewhere, just not sure where yet. This is the configuration I am using. L2TP over IPSec on the WAN interface, Auth mode: X509 CA Check w/ Local X509 Cert selected. I am using IP Address pool with the pool network as the VPN Pool (L2TP). Under access control I have local authentication selected and added my local user. I have that user created in the users area and have a certificate called android that is set by IP address and I used the NAT'ed address that was showing up in the logs. 

    When I setup my Android to use L2TP over IPSec CRT/VPN specifying my user's cert and the VPN signing Cert in the connection. When I try to connect my phone sits for a while and then says it can't connect.  At that point if I look at my Remote Access tab it shows my vpn user as online. 

    TLDR - My phone says it can not connect, my Astaro v8.1 says it is connected. 

    to[6691]: packet from 174.253.6.147:31648: received Vendor ID payload [RFC 3947]
    2011:01:22-09:45:02 Hades pluto[6691]: packet from 174.253.6.147:31648: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
    2011:01:22-09:45:02 Hades pluto[6691]: packet from 174.253.6.147:31648: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
    2011:01:22-09:45:02 Hades pluto[6691]: packet from 174.253.6.147:31648: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
    2011:01:22-09:45:02 Hades pluto[6691]: packet from 174.253.6.147:31648: ignoring Vendor ID payload [FRAGMENTATION 80000000]
    2011:01:22-09:45:02 Hades pluto[6691]: "D_REF_jtFeYppclD"[10] 174.253.6.147:31648 #16: responding to Main Mode from unknown peer 174.253.6.147:31648
    2011:01:22-09:45:03 Hades pluto[6691]: "D_REF_jtFeYppclD"[10] 174.253.6.147:31648 #16: NAT-Traversal: Result using RFC 3947: peer is NATed
    2011:01:22-09:45:05 Hades pluto[6691]: "D_REF_jtFeYppclD"[10] 174.253.6.147:31648 #16: Peer ID is ID_IPV4_ADDR: '10.226.229.241'
    2011:01:22-09:45:05 Hades pluto[6691]: "D_REF_jtFeYppclD"[10] 174.253.6.147:31648 #16: crl not found
    2011:01:22-09:45:05 Hades pluto[6691]: "D_REF_jtFeYppclD"[10] 174.253.6.147:31648 #16: certificate status unknown
    2011:01:22-09:45:05 Hades pluto[6691]: "D_REF_jtFeYppclD"[11] 174.253.6.147:31648 #16: deleting connection "D_REF_jtFeYppclD" instance with peer 174.253.6.147 {isakmp=#0/ipsec=#0}
    2011:01:22-09:45:05 Hades pluto[6691]: "D_REF_jtFeYppclD"[11] 174.253.6.147:31648 #16: we have a cert and are sending it
    2011:01:22-09:45:05 Hades pluto[6691]: | NAT-T: new mapping 174.253.6.147:31648/31665)
    2011:01:22-09:45:05 Hades pluto[6691]: "D_REF_jtFeYppclD"[11] 174.253.6.147:31665 #16: sent MR3, ISAKMP SA established
    2011:01:22-09:45:06 Hades pluto[6691]: "D_REF_jtFeYppclD"[11] 174.253.6.147:31665 #16: ignoring informational payload, type IPSEC_INITIAL_CONTACT
    2011:01:22-09:45:07 Hades pluto[6691]: "D_REF_jtFeYppclD"[3] 174.253.6.147:31665 #17: responding to Quick Mode
    2011:01:22-09:45:07 Hades pluto[6691]: id="2201" severity="info" sys="SecureNet" sub="vpn" event="Connection started" username="10.226.229.241" variant="ipsec" srcip="174.253.6.147" virtual_ip="174.253.6.147"
    2011:01:22-09:45:08 Hades pluto[6691]: "D_REF_jtFeYppclD"[3] 174.253.6.147:31665 #17: IPsec SA established {ESP=>0x0558fd28 
Children
No Data