[electronic44]

На cisco cisco ISR4431/K9  Cisco IOS XE Software, Version 16.09.03 поднят l2tp\ipsec server. На этот сервер не могут зацепиться клиенты с android. Клиенты на Windows и IOS работают без проблем.

 

Spoiler

interface Virtual-Template1
 description **** l2tp_FOR_CLIENTS
 ip unnumbered GigabitEthernet0/0/0
 ip nat inside
 peer default ip address pool pptppool_for_clients
 keepalive 5
 ppp mtu adaptive
 ppp authentication pap chap ms-chap ms-chap-v2
 ppp ipcp dns 192.168.26.1
 ppp ipcp address required
 ppp ipcp address unique
end

Помогите победить проблему.

[kapydan]

настройки ipsec выложи

[kapydan]

Несколько лет назад сталкивался с подобной проблемой, андроид не мог подключаться к впн серверу на циске - там толи isr g2 2921 был или asr1001x, сейчас уже не вспомню. 

[fractal]

Debug? Прошивка более, менее проверенная 16.9.4 там точно пашет vpn на андроид 

[VolanD666]

Там надо дебажить, скорее всего не могут согласовать IPSec. У меня было такое на винде, когда винда не поддерживала какую-то технологию и они не могли согласоваться на первой фазе.

[kapydan]

2 часа назад, VolanD666 сказал:

У меня было такое на винде, когда винда не поддерживала какую-то технологию и они не могли согласоваться на первой фазе.

да, что-то подобное и у меня было, только проблема именно с телефонами на андроиде была. кажется, это был asr1001x с ios-xe.

 

 

[semop]

!
ip dhcp pool LOCAL_POOL
   network x.x.x.0 255.255.255.0
   default-router x.x.x.1 
   dns-server y.y.y.y 
!
vpdn enable
vpdn multihop
vpdn search-order domain  
!
vpdn-group 4
 description VPN
 accept-dialin
  protocol l2tp
  virtual-template 4
 source-ip Z.Z.Z.Z
 no l2tp tunnel authentication
!
!
crypto isakmp policy 10
 encr aes 256
 authentication pre-share
 group 5
 lifetime 3600
!
crypto isakmp policy 20
 encr 3des
 authentication pre-share
 group 2
 lifetime 3600
crypto isakmp key ******** address 0.0.0.0 0.0.0.0 no-xauth
!
!
crypto ipsec transform-set ESP_AES256_SHA_TRANSFORM_VPN_USER esp-3des esp-md5-hmac 
 mode transport
!
crypto dynamic-map IPSEC_PROFILE_1 10
 set nat demux
 set transform-set ESP_AES256_SHA_TRANSFORM_VPN_USER 
!
crypto map IPSEC_PROFILE_1 local-address FastEthernet0/0.3891
crypto map IPSEC_PROFILE_1 10 ipsec-isakmp dynamic IPSEC_PROFILE_1 
!
!
interface FastEthernet0/0.3891
 description Inet
 mtu 1600
 encapsulation dot1Q 3891
 ip address Z.Z.Z.Z 255.255.255.252
 ip nat outside
 ip virtual-reassembly
 no cdp enable
 crypto map IPSEC_PROFILE_1
!
!
interface Virtual-Template4
 ip unnumbered FastEthernet0/0.3891
 ip nat inside
 no ip virtual-reassembly
 peer default ip address dhcp-pool LOCAL_POOL
 no keepalive
!
!
ip nat inside source list 2 pool NAT overload
ip nat pool NAT y.y.y.y y.y.y.y netmask 255.255.255.252
!
access-list 2 remark NAT_to_inet
access-list 2 permit x.x.x.x 0.0.0.255
access-list 2 deny   any

андроид, айос, вЁнды