Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 23 replies
  • Subscribers 1 subscriber
  • Views 14368 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Droid L2TP over IPSec Connections Fail

Jhaislet
Any update on connecting to ASG with an android phone using L2TP over IPSec?  I saw a couple of posts in the 8.200 beta forum and it appeared as if this issue might be fixed.  However, I'm now running v8.201 and just tried it again with my Motorola Droid 2 and no dice.  Yet, according to the log, the connection appears to be established, yet the phone keeps stating "connection failed, retry."

Any ideas???

2011:08:27-22:23:25 firewall pluto[17656]: packet from 123.456.789.101:5044: received Vendor ID payload [RFC 3947]
2011:08:27-22:23:25 firewall pluto[17656]: packet from 123.456.789.101:5044: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
2011:08:27-22:23:25 firewall pluto[17656]: packet from 123.456.789.101:5044: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2011:08:27-22:23:25 firewall pluto[17656]: packet from 123.456.789.101:5044: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
2011:08:27-22:23:25 firewall pluto[17656]: packet from 123.456.789.101:5044: ignoring Vendor ID payload [FRAGMENTATION 80000000]
2011:08:27-22:23:25 firewall pluto[17656]: "S_for androidphone"[15] 123.456.789.101:5044 #46: responding to Main Mode from unknown peer 123.456.789.101:5044
2011:08:27-22:23:25 firewall pluto[17656]: "S_for androidphone"[15] 123.456.789.101:5044 #46: NAT-Traversal: Result using RFC 3947: peer is NATed
2011:08:27-22:23:26 firewall pluto[17656]: "S_for androidphone"[15] 123.456.789.101:5044 #46: Peer ID is ID_IPV4_ADDR: '101.202.101.2'
2011:08:27-22:23:26 firewall pluto[17656]: "S_for androidphone"[16] 123.456.789.101:5044 #46: deleting connection "S_for androidphone"[15] instance with peer 123.456.789.101 {isakmp=#0/ipsec=#0}
2011:08:27-22:23:26 firewall pluto[17656]: | NAT-T: new mapping 123.456.789.101:5044/5024)
2011:08:27-22:23:26 firewall pluto[17656]: "S_for androidphone"[16] 123.456.789.101:5024 #46: sent MR3, ISAKMP SA established
2011:08:27-22:23:26 firewall pluto[17656]: "S_for androidphone"[16] 123.456.789.101:5024 #46: ignoring informational payload, type IPSEC_INITIAL_CONTACT
2011:08:27-22:23:27 firewall pluto[17656]: "S_for androidphone"[1] 123.456.789.101:5024 #47: responding to Quick Mode
2011:08:27-22:23:27 firewall pluto[17656]: "S_for androidphone"[1] 123.456.789.101:5024 #47: IPsec SA established {ESP=>0x02738cbc 


This thread was automatically locked due to age.
Parents
  • 0
    Hi, 

    with L2TP over Ipsec, the phone first creates a ipsec connection and than establishes a L2TP connection through this ipsec tunnel. 
    This means, even if the ipsec connection is up, the L2TP connection could still fail, which i assume is the case here. 

    Check the Astaro Log for l2tp messages as it might give you a hint why it is not working.

    thx GErt
  • 0 in reply to Gert Hansen
    You are having the same issue as most people with android and astaro. So far nobody has been able to fix this issue as far as I know..

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/110/t/71137
  • 0 in reply to x-cimo
    Hi all, 

    I have this "error" too and I can't detect the issue. 
    I have a Motorola Milestone 2 (the european version of the Droid 2). 

    On Android (2.2.2) I tried the L2PT/IPSec PSK VPN, I set the "Set IPSec pre-shared key" with the same as I set up in the Astaro (v8.201) Remote Access -> L2PT over IPSEC -> Preshared Key. 

    I didn't enabled "Enable L2PT secret" on Android like it is mentioned here, because I can't leave the "Set L2PT secret" blank, like AngeloC is suggesting. 

    Because all you guys, especially x-cimo has the same logs I'm waiting for a little more help here from the Astaro/Sophos Support! So what's up Astaro? 
    "VPN: Standard CHAP Support for L2TP (Android) | This feature has been implemented in ASG 8.200."

    Yes, the "require-mschap-v2" line is now permanently in /var/chroot-ipsec/etc/ppp/options, but there must be more.... 

    Weird thing: 
    In May 2011 I entered the "require-mschap-v2" line in the option file on v7.5x and could connect my Milestone 2 over PPTP-VPN since I had to resetup the Astaro in the End of July by a mistake by myself. (Damn me!:mad[:)] After that it stopped working. The connection is still possible but after a minute you got the typical error lines like: 
    ASTARO pppd-pptp[16898]: rcvd [LCP ProtRej id=0x27 f3 66 82 50 b9 5d b2 fd 92 83 9b 7a 12 66 2c 7c b1 e6 b2 3a 99 52 e1 69 a9 cd ad af fc 92 35 2b ...] 
    ASTARO pppd-pptp[16898]: Protocol-Reject for unsupported protocol 0xf036 
    ASTARO pppd-pptp[16898]: GRE: accepting #179 from queue 

    First I thought an update of the v7.5 was responsible for this. Then I figured out that the "require-mschap-v2" line was missing in the options file. 
    After that I was frustrated because the options file has been reset to the standard file ("require-mschap-v2" line was killed) immediately after I connected over PPTP. I tried everything to hold it. 

    So I was happy to see "This feature has been implemented in ASG 8.200". 
    But it doesn't work in v8.2 also?! Neither PPTP nor L2PT. 

    So what is left? OpenVPN is the only option now, isn't it?! Any other suggestions? 
    Maybe some L2PT/IPSec guru who can resolve our issues with the broken connection?
Reply
  • 0 in reply to x-cimo
    Hi all, 

    I have this "error" too and I can't detect the issue. 
    I have a Motorola Milestone 2 (the european version of the Droid 2). 

    On Android (2.2.2) I tried the L2PT/IPSec PSK VPN, I set the "Set IPSec pre-shared key" with the same as I set up in the Astaro (v8.201) Remote Access -> L2PT over IPSEC -> Preshared Key. 

    I didn't enabled "Enable L2PT secret" on Android like it is mentioned here, because I can't leave the "Set L2PT secret" blank, like AngeloC is suggesting. 

    Because all you guys, especially x-cimo has the same logs I'm waiting for a little more help here from the Astaro/Sophos Support! So what's up Astaro? 
    "VPN: Standard CHAP Support for L2TP (Android) | This feature has been implemented in ASG 8.200."

    Yes, the "require-mschap-v2" line is now permanently in /var/chroot-ipsec/etc/ppp/options, but there must be more.... 

    Weird thing: 
    In May 2011 I entered the "require-mschap-v2" line in the option file on v7.5x and could connect my Milestone 2 over PPTP-VPN since I had to resetup the Astaro in the End of July by a mistake by myself. (Damn me!:mad[:)] After that it stopped working. The connection is still possible but after a minute you got the typical error lines like: 
    ASTARO pppd-pptp[16898]: rcvd [LCP ProtRej id=0x27 f3 66 82 50 b9 5d b2 fd 92 83 9b 7a 12 66 2c 7c b1 e6 b2 3a 99 52 e1 69 a9 cd ad af fc 92 35 2b ...] 
    ASTARO pppd-pptp[16898]: Protocol-Reject for unsupported protocol 0xf036 
    ASTARO pppd-pptp[16898]: GRE: accepting #179 from queue 

    First I thought an update of the v7.5 was responsible for this. Then I figured out that the "require-mschap-v2" line was missing in the options file. 
    After that I was frustrated because the options file has been reset to the standard file ("require-mschap-v2" line was killed) immediately after I connected over PPTP. I tried everything to hold it. 

    So I was happy to see "This feature has been implemented in ASG 8.200". 
    But it doesn't work in v8.2 also?! Neither PPTP nor L2PT. 

    So what is left? OpenVPN is the only option now, isn't it?! Any other suggestions? 
    Maybe some L2PT/IPSec guru who can resolve our issues with the broken connection?
Children
  • 0 in reply to burn.rom.burn
    Hi,

    it's the same problem on my ASG 8.201!! If astaro said it works on 8.200 - why it doesn't work. I have no time to hack and try. [:@]

    Android has 40% of the os-market on smartphones!

    Dear Astaro, did you have a solution for this?

    Update: The problem with l2tp over ipsec from android 2.3.3 (galaxy s2) still exists.

    I did  not see the  l2tp-section in the ipsec log. It ends with ...IPsec SA established .....

    One question: There should be al line "require-mschap-v2" in /var/chroot-ipsec/etc/ppp/options (which is in my options file), but why mschap-v2 if android makes plain chap?

    Andreas