Решил внести свои 5 копеек в траблшутинг. Столкнулся с идентичной проблемой - уже месяц как в неравном бою с ASR 1001 (настроить надо любой ценой, ибо деньги фирмы потрачены).
В итоге - настроили l2tp/ipsec server на ASR1001. Клиент Windows подключается (правда частный адрес шлюза не получает, но не суть). Android (4.4), iphone, mac os x не в какую не хотят. Также исходя из логов складывается впечатление что затык или в l2tp или DPD или в NAT-T. Клиенты подключаются из-за nat, а сам маршрутизатор нет, т.е. имеет белый ип. Также по наблюдениям клиент (Android) прекращает соединение раньше чем циска, примерно после этих строк:
Mar 16 14:36:46.260: ISAKMP: (1034):Old State = IKE_QM_R_QM2 New State = IKE_QM_PHASE2_COMPLETE
Mar 16 14:36:46.260: IPSEC(key_engine): got a queue event with 1 KMI message(s)
Mar 16 14:36:46.260: IPSEC(key_engine_enable_outbound): rec'd enable notify from ISAKMP
Mar 16 14:36:46.260: crypto engine: updating MTU size of IPSec SA HW:54 to 1500 (overhead=58)
Mar 16 14:36:46.260: crypto_engine: Set IPSec MTU
Иными словами потом циска отрабатывает DPD, а клиент (Android) уже не отвечает, т.к. прекратил соединение (меняет статус с "Подключение" на "Отключено") и после этого циска начинает удаление sa по таймауту.
При этом в случае с виндой после тех же строк начинает литься лог L2TP, как и должно быть.
Подскажите куда копать хотя бы? Уже всю голову сломал, что только не пробовал, знаю что многие строки в конфиге могут быть сто раз лишними, но в попытке починить пробовали самые разные варианты, с тем чтобы потом почистить. Поддержки у железки нет, так что одна надежда на матерых форумчан.
Начали посещать мысли что проблема в ASR, может бага может еще что - причем ни у кого не смог найти конфига l2tp/ipsec именно на asr 1000 серии. Может кто поделится?
Конфиг и логи "от и до" прилагаю (причем debug включены и isakmp и ipsec и l2tp all и aaa)