Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 23 replies
  • Subscribers 1 subscriber
  • Views 14367 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Droid L2TP over IPSec Connections Fail

Jhaislet
Any update on connecting to ASG with an android phone using L2TP over IPSec?  I saw a couple of posts in the 8.200 beta forum and it appeared as if this issue might be fixed.  However, I'm now running v8.201 and just tried it again with my Motorola Droid 2 and no dice.  Yet, according to the log, the connection appears to be established, yet the phone keeps stating "connection failed, retry."

Any ideas???

2011:08:27-22:23:25 firewall pluto[17656]: packet from 123.456.789.101:5044: received Vendor ID payload [RFC 3947]
2011:08:27-22:23:25 firewall pluto[17656]: packet from 123.456.789.101:5044: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
2011:08:27-22:23:25 firewall pluto[17656]: packet from 123.456.789.101:5044: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2011:08:27-22:23:25 firewall pluto[17656]: packet from 123.456.789.101:5044: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
2011:08:27-22:23:25 firewall pluto[17656]: packet from 123.456.789.101:5044: ignoring Vendor ID payload [FRAGMENTATION 80000000]
2011:08:27-22:23:25 firewall pluto[17656]: "S_for androidphone"[15] 123.456.789.101:5044 #46: responding to Main Mode from unknown peer 123.456.789.101:5044
2011:08:27-22:23:25 firewall pluto[17656]: "S_for androidphone"[15] 123.456.789.101:5044 #46: NAT-Traversal: Result using RFC 3947: peer is NATed
2011:08:27-22:23:26 firewall pluto[17656]: "S_for androidphone"[15] 123.456.789.101:5044 #46: Peer ID is ID_IPV4_ADDR: '101.202.101.2'
2011:08:27-22:23:26 firewall pluto[17656]: "S_for androidphone"[16] 123.456.789.101:5044 #46: deleting connection "S_for androidphone"[15] instance with peer 123.456.789.101 {isakmp=#0/ipsec=#0}
2011:08:27-22:23:26 firewall pluto[17656]: | NAT-T: new mapping 123.456.789.101:5044/5024)
2011:08:27-22:23:26 firewall pluto[17656]: "S_for androidphone"[16] 123.456.789.101:5024 #46: sent MR3, ISAKMP SA established
2011:08:27-22:23:26 firewall pluto[17656]: "S_for androidphone"[16] 123.456.789.101:5024 #46: ignoring informational payload, type IPSEC_INITIAL_CONTACT
2011:08:27-22:23:27 firewall pluto[17656]: "S_for androidphone"[1] 123.456.789.101:5024 #47: responding to Quick Mode
2011:08:27-22:23:27 firewall pluto[17656]: "S_for androidphone"[1] 123.456.789.101:5024 #47: IPsec SA established {ESP=>0x02738cbc 


This thread was automatically locked due to age.
  • 0 in reply to asg_user
    Ok, thanks for the infos. 

    8.285 is a Beta, right?! 
    Can you list the exact settings you have made in the Android VPN connection and in your ASG? 
    Would be very helpfull for testing. 
    Thanks in advance.
  • 0 in reply to burn.rom.burn
    Yes the 8.285 is the current beta version of ASG 8.300. The ASG is configured as usual (see screenshot). 
    At android (because it's german phone i'll write the correct german menu point in brackets): system settings (System Einstellungen) > wireless & networks (Drahtlos und Netzwerke) > VPN Settings (VPN-Einstellungen) > Basic VPN (Grundlegendes VPN) > add VPN (VPN hinzufügen):

    new L2TP/IPsec PSK-VPN:
    VPN Name: vpn
    VPN Server: resolveable external hostname of ASG
    preshared IPsec Key: PSK like in ASG
    L2TP-Key: deaktivated
    DNS Search domain: not configured

    That's it.

    Regards,
    Marco
  • 0
    Hello Marco, 

    thanks for that fast answer! 
    And good to hear that it is possible! 

    I have the same settings, but I get errors and can't get a connection.  


    2011:11:29-16:57:43 pluto[6896]: packet from 111.x.x.22:500: received Vendor ID payload [RFC 3947]

    2011:11:29-16:57:43 pluto[6896]: packet from 111.x.x.22:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]

    2011:11:29-16:57:43 pluto[6896]: packet from 111.x.x.22:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]

    2011:11:29-16:57:43 pluto[6896]: packet from 111.x.x.22:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]

    2011:11:29-16:57:43 pluto[6896]: packet from 111.x.x.22:500: ignoring Vendor ID payload [FRAGMENTATION 80000000]

    2011:11:29-16:57:43 pluto[6896]: "S_for ANDROID"[2] 111.x.x.22:4500 #5: responding to Main Mode from unknown peer 111.x.x.22:4500

    2011:11:29-16:57:43 pluto[6896]: | NAT-T: new mapping 111.x.x.22:4500/500)

    2011:11:29-16:57:43 pluto[6896]: "S_for ANDROID"[2] 111.x.x.22 #5: NAT-Traversal: Result using RFC 3947: i am NATed

    2011:11:29-16:57:43 pluto[6896]: "S_for ANDROID"[2] 111.x.x.22 #5: Peer ID is ID_IPV4_ADDR: '111.x.x.22'

    2011:11:29-16:57:43 pluto[6896]: | NAT-T: new mapping 111.x.x.22:500/4500)

    2011:11:29-16:57:43 pluto[6896]: "S_for ANDROID"[2] 111.x.x.22:4500 #5: sent MR3, ISAKMP SA established

    2011:11:29-16:57:43 pluto[6896]: "S_for ANDROID"[2] 111.x.x.22:4500 #5: ignoring informational payload, type IPSEC_INITIAL_CONTACT

    2011:11:29-16:57:45 pluto[6896]: "S_for ANDROID"[2] 111.x.x.22:4500 #5: cannot respond to IPsec SA request because no connection is known for 92.x.x.228/32===192.168.1.11:4500[192.168.1.11]:17/1701...111.x.x.22:4500[111.x.x.22]:17/%any

    2011:11:29-16:57:45 pluto[6896]: "S_for ANDROID"[2] 111.x.x.22:4500 #5: sending encrypted notification INVALID_ID_INFORMATION to 111.x.x.22:4500

    2011:11:29-16:57:55 pluto[6896]: "S_for ANDROID"[2] 111.x.x.22:4500 #5: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xe01471ef (perhaps this is a duplicated packet)

    2011:11:29-16:57:55 pluto[6896]: "S_for ANDROID"[2] 111.x.x.22:4500 #5: sending encrypted notification INVALID_MESSAGE_ID to 111.x.x.22:4500

    2011:11:29-16:58:04 pluto[6896]: "S_for ANDROID"[2] 111.x.x.22:4500 #5: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xe01471ef (perhaps this is a duplicated packet)

    2011:11:29-16:58:04 pluto[6896]: "S_for ANDROID"[2] 111.x.x.22:4500 #5: sending encrypted notification INVALID_MESSAGE_ID to 111.x.x.22:4500 




    2011:11:29-16:57:45 pluto[6896]: "S_for ANDROID"[2] 111.x.x.22:4500 #5: cannot respond to IPsec SA request because no connection is known for 92.x.x.228/32===192.168.1.11:4500[192.168.1.11]:17/1701...111.x.x.22:4500[111.x.x.22]:17/%any

    "92.x.x.228" is my current IP of the Astaro or rather the ISP router over DynDNS. Right now the Astaro is connected with an ISP with dynamic IPs. 
    So I use an DynDNS URL in the settings of my Android VPN. this should also work, right? 

    So what is my problem here? Is there anyone who can say or analyse this correctly? 
    I appreciate any help.
  • 0
    Hi guys,
    after reading some threads, some google-article and self testings, in summary the actual state is, it is not working correctly.
    Its easy to esablish a ipsec-connection, but with l2tp have problems (because chap).
    Right?

    Any short solutions, e.g. an new cisco-vpnclient, new cool astaro app in droid-store or anything other planed?

    Waiting for christmas present [;)]
  • 0 in reply to synopex
    I just checked the last entries of Droid phone PPTP VPN dying after a short while. and at least PPTP seems to be working since Gingerbread 2.3.7! 
    So I checked it with my workmate who has CM7 (based on 2.3.7) installed and YES, it works!!! 
    A little christmas gift for me. I just have to find time to change my Froyo to CM7! [:D]
    Additionally I will test the L2TP connection with our constant IP by connecting the second router to the ASG after christmas when nobody is working. 

    Wish you some free and healthy days!

    EDIT: You need Kernel-Version: 2.6.35.* and GB 2.3.7 (maybe higher) for a working PPTP connection!
  • 0 in reply to burn.rom.burn
    After the update from 8.203 to 8.300 i tried again setting up an IPSEC/L2TP VPN with rooted Android 2.3.6 (Samsung XWKK5) and failed liked before. I used the same config as Marco / asg_user. 

    Because i am a bit unsatisfied with the whole situation i did some debugging an encountered an interesting phenomenon. It looks like my Android device uses TWO different own IP-Adresses to establish the connection - which is pretty weird as the network interface only has one adress.

    and the solution (now it works) is:

    check if your mobile provider provides an APN with public ip-addresses. My mobile provider (t-mobile germany) offers three APNs. the first one is setup per default by the network configuration (internet.t-mobile). it's not public and uses proxying and different compression mechanisms. with that APN the IPSEC/L2TP connection fails because of using different IPs. The second APN (internet.t-d1.de) gives you a public IP - with that one VPN works !
    the third one (ca.t-mobile) is for business customers and needs to be enabled by customer support.
  • 0 in reply to asg_user
    Hello burn.rom.burn,
    I use Android version 2.2.2. 

    Hello asg_user, 

    I need a favor, could you check in you phone which kernel version you have, please? 
    It's in the system settings -> about the phone -> kernel version. 
    2.6.35.*** I guess...
  • 0
    Hello burn.rom.burn,

    i use kernel version 2.6.32.9
  • 0 in reply to asg_user
    Sorry for the delay, thanks a lot for that information!
  • 0 in reply to burn.rom.burn
    Just to Confirm

    Android works Fine with Astaro Ver. 8.203

    Android 2.3.3 (Before Update)
    Android 2.3.5 (After Update)
     
    This on HTC DHD

    Android 2.3.3 (Before Update)
    Android 2.3.6 (After Update)

    This on Galaxy Tab

    FYI