IPSec L2VPN и Android

Есть задача, построить VPN в сеть для мобильных устройств в том числе. ПК на Windows подключаются отлично, а вот с телефоном незадача:

1. в телефоне выбираю L2TP/IPSec PSK
2. ввожу общий ключ IPSec
3. жму подключить

Далее телефон пишет, что подключается, а в логе жизнь останавливается на

IPsec-SA established: ESP/Transport 192.168.10.206[500]->192.168.10.188[500] spi=0x6acea0
pfkey update sent.

После этого, телефон рапортует о том, что произошел сбой.
Подтолкните, пожалуйста, в какую сторону копать.

 

Добрый день.

Подключаетесь как одновременно или поочерёдно?

 

Пока оно на столе, я просто для теста решил попробовать подключиться со своего телефона. Так что "клиент" у vpn сервера один.

 

Попробуйте ради эксперимента второго клиента добавить и профиле поставить Only One = No

 

Если с одним логином подключиться с разных windows машин (only one=no), то всё хорошо, с телефона при этом - всё тоже самое.

 

Тогда попробуйте с алгоритмом шифрования поиграться. Возможно телефон и роутер не могут прийти к согласию. У меня шифрование aes-128 и 3des, а хэш считается через sha1, DH Group = modp 1024. У меня так работает.

 

И так пробовал, и эдак... Не выходит каменный цветок...

 

IPsec-SA established
Во вкладке «Установленные SA» текущие ассоциации безопасности установлены?

 

ip ipsec installed-sa print
Flags: H - hw-aead, A - AH, E - ESP
0 E spi=0x805CC3A src-address=192.168.10.242 dst-address=192.168.10.188
state=mature auth-algorithm=sha1 enc-algorithm=aes-cbc enc-key-size=128
auth-key="be87e5765c801622bf73a1f3d770c76f456a15e6"
enc-key="335381ef79b53dfb8dc1dfcf2ef5859f" addtime=mar/27/2018 14:30:50
expires-in=58m7s add-lifetime=48m/1h current-bytes=18507
current-packets=161 replay=128

1 E spi=0xE23D94C2 src-address=192.168.10.188 dst-address=192.168.10.242
state=mature auth-algorithm=sha1 enc-algorithm=aes-cbc enc-key-size=128
auth-key="253fbf8a51d2626fc5c05c50dc024c9e838f6700"
enc-key="212ad2735190e905c401545af9b91771" addtime=mar/27/2018 14:30:50
expires-in=58m7s add-lifetime=48m/1h current-bytes=2258
current-packets=33 replay=128

2 E spi=0x3CFEEE8 src-address=192.168.10.206 dst-address=192.168.10.188
state=mature auth-algorithm=sha1 enc-algorithm=aes-cbc enc-key-size=128
auth-key="195b7741c4ed67c5f9ef0e8a7a8fbe2d423be74e"
enc-key="b20dee0c9de85cc86986140e453e72d4" addtime=mar/27/2018 14:31:19
expires-in=7h58m36s add-lifetime=6h24m/8h current-bytes=2277
current-packets=30 replay=128

3 E spi=0x4AB775D src-address=192.168.10.188 dst-address=192.168.10.206
state=mature auth-algorithm=sha1 enc-algorithm=aes-cbc enc-key-size=128
auth-key="fa467687afd5364a38b82a1a772deb1baf8f58e2"
enc-key="013aff11c9e58086585fc54998f7bc94" add-lifetime=6h24m/8h
replay=128


242й - это windows, 206 - телефон

 

От сервера .188 до телефона .206 Current Bytes - ноль

 

пробовали из вне подключаться ?

 

Нет, не пробовал. У настраиваемого роутера, WAN порт смотрит в локалку конторы, WiFi на телефоне - тоже локалка конторы. Стоит попробовать из вне?

 

... или с другого телефона попробовать

 

с ойфона ситуация один в один

 

Выяснил следующее: если отключить L2TP Server в маршрутизаторе, то при попытке подключения с windows, эффект точно такой-же, как при включенном, но с телефона. Получается, что с телефона, устанавливается IPSec, но не поднимается L2TP? Что я упускаю?

 

Если вы отключаете L2Tp server каким-образом у вас windows машина подсоединяется к роутеру ?

 

Не, не правильно выразился. Не подключается как раз, с теми же симптомами, судя по логу МТ.

 

13:49:32 ipsec IPsec-SA established: ESP/Transport 192.168.10.188[500]->192.168.10.155[500] spi=0xf5482a9
13:49:32 ipsec,debug pfkey add sent.

На этом жизнь притормаживается, а потом

13:49:56 l2tp,ppp,debug,packet <192.168.10.242>: sent LCP EchoReq id=0xd
13:49:56 l2tp,ppp,debug,packet <magic 0x67b96534>
13:49:56 l2tp,ppp,debug,packet <192.168.10.242>: rcvd LCP EchoRep id=0xd
13:49:56 l2tp,ppp,debug,packet <magic 0x42b872b>
13:50:25 l2tp,debug,packet sent control message to 192.168.10.242:1701 from 192.168.10.188:1701
13:50:25 l2tp,debug,packet tunnel-id=33, session-id=0, ns=10, nr=6
13:50:25 l2tp,debug,packet (M) Message-Type=HELLO
13:50:25 l2tp,debug,packet rcvd control message (ack) from 192.168.10.242:1701 to 192.168.10.188:1701
13:50:25 l2tp,debug,packet tunnel-id=2, session-id=0, ns=6, nr=11
13:50:26 l2tp,ppp,debug,packet <192.168.10.242>: sent LCP EchoReq id=0xe
13:50:26 l2tp,ppp,debug,packet <magic 0x67b96534>
13:50:26 l2tp,ppp,debug,packet <192.168.10.242>: rcvd LCP EchoRep id=0xe
13:50:26 l2tp,ppp,debug,packet <magic 0x42b872b>
13:50:56 l2tp,ppp,debug,packet <192.168.10.242>: sent LCP EchoReq id=0xf
13:50:56 l2tp,ppp,debug,packet <magic 0x67b96534>
13:50:56 l2tp,ppp,debug,packet <192.168.10.242>: rcvd LCP EchoRep id=0xf
13:50:56 l2tp,ppp,debug,packet <magic 0x42b872b>

 

И ноль очень смущает

 

add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
Вот оно как... Делаю disabled=yes - статус почти мгновенно, поменялся на "подключено"

Но винды как-то подключались при этом... Дичь...