スマホとVPNサーバーの接続

[Yasuhiro Hosoda]

細田と申します。お世話になります。

【スマホとVPNサーバーでL2TP/IPSec CRT VPNネットワークが確立できない】

現在、Ubuntu（version12.4）上にopenswan(Version2.6.37)とxl2tpd(1.3.1)を
インストールし、VPNサーバーを構築しています。一方、クライアントはスマホ(GalaxyS)
を使い、無線LAN経由でVPNネットワークを確立しようとしていますが、確立され
ずに接続が切れてしまいます。証明書を使ったL2TP/IPSec CRT VPNです。

また、Windows7がデフォルトで提供しているVPNクライアントを使い、同じVPNサ
ーバにVPN接続すると、ネットワークはうまく確立できます。サーバーの設定は
全く同じで変えていません。

GalaxySではうまく接続されず、Windows7の提供するVPNクライアントではうまく
接続できる状況です。

どなたかこのような現象に心当たりがある方がいらっしゃれば、ご教授よろしく
お願いいたします。

[mamoru info]

まもるです。

自分の場合、PSKですが、
Ubuntu(10.04)に、xl2tpd(1.2.5)+openswan(2.6.23)で、Android(2.3.4)で、L2TP/IPSec
"PSK"では、Natトラバーサルでも動作しています。

このバージョンやツールによって、証明書の作り方もありますし、どこで通信できていないのか？切り分けが必要と思います。そういう意味では、ログを調べられると良いと思います。IPSec、L2TPでもdebugオプションが用意されていますので、基本的な設定に問題がなければ、debugオプションを利用されると良いかと思います。
以前、strongswanでのリビルドでトライしましたが、バグがあった模様で、CSRは最終的に断念しました。
自分の環境ではあまり関係ないように思えましたが、LANでは通信できて、WANでできなかった時に、最終的にMTU,MRUもルータに合わせて、サーバ側も設定し直したことがあります。
また、ご存知あるかもしれませんが、Android 4.0以降(ICS)では、デバイスに実装されているNative
Clientのipsec-tools(0.8.0)に、バグがあるらしくPSKも繋がりません、というのが世界的に有名になっています。（CSRができないかどうかは、そこまで追っていませんが、たぶん、繋がらないと思います。）

答えになっていなく、すみません。参考程度です。

2012/06/04 Yasuhiro Hosoda <hosoda....@gmail.com>:

> --
> このメールは Google グループのグループ「日本Androidの会」の登録者に送られています。
> このグループに投稿するには、android-g...@googlegroups.com にメールを送信してください。
> このグループから退会するには、android-group-j...@googlegroups.com
> にメールを送信してください。
> 詳細については、http://groups.google.com/group/android-group-japan?hl=ja
> からこのグループにアクセスしてください。
>
>

[Ichiro Sugiyama]

杉山と申します。

　証明書を使用した IPsec　VPN　には、少々コツがあるように思います。

　チェックポイントは、3つくらいあります。

１．設定に問題がある

　OpenSwan側で、受け入れ可能なVPN Clientの条件を設定されている

可能性はないでしょうか。具体的にはIPアドレスや証明書名（DN）で接続

相手を指定している等です。

　ただし、同じ設定でWindowsのVPN Clientと接続できているのであれば

問題なさそうです。

　OpenSwanかGALAXYが不審なLOGを出力していないかどうか、という

ことも手がかりになりそうです。

２．証明書まわりに問題がある

　これも3つくらいの要因にわけられます。

　(1)認証パスが構築できない（ルートCAの情報が無い等）

　(2)証明書の特定フィールドに期待した値が入っていない

　　(subjectAltNameに必要な値が入っていない)

　(3)どちらかの機器の時計の設定に問題があり、証明書が

　　無効化されている

　ただし、同じ証明書をWindows7で使用できているのであれば

これの可能性も低そうです。

　念のため、LOGの出力を要確認です。

３．AndroidのVPN Clientがバグっている

　と、ある会社のセミナーに参加したときに、GALAXY Tabなのですが

この機種の証明書認証に問題があるという主旨の資料が配られていた

のを目にしたことがあります。

　この場合、他の機種で接続すると、つながることになります。

　国産系メーカー（Sony、SHARP等）の機種で確認してみると、つなが

ってしまうかもしれません。

杉山

2012年6月4日月曜日 22時07分22秒 UTC+9 Yasuhiro Hosoda:

2012年6月4日月曜日 22時07分22秒 UTC+9 Yasuhiro Hosoda:

[Yasuhiro Hosoda]

杉山さま

細田でございます。

回答をいただき、ありがとうございました。

もし何かわかりましたら共有させていただきます。

2012年6月9日 8:51 Yasuhiro Hosoda <hosoda....@gmail.com>:

---------- 転送メッセージ ----------
From: Ichiro Sugiyama <ciphe...@gmail.com>
日付: 2012年6月7日 23:29
件名: [android-group-japan: 18652] Re: スマホとVPNサーバーの接続
To: android-g...@googlegroups.com

--

このメールは Google グループのグループ「日本Androidの会」の登録者に送られています。

このディスカッションをウェブ上で閲覧するには、https://groups.google.com/d/msg/android-group-japan/-/VNzdSu2--ZwJ にアクセスしてください。

[Yasuhiro Hosoda]

まもるさま

細田でございます。

回答をいただき、ありがとうございました。

お礼が遅くなりました。

もし何かわかりましたら共有させていただきます。

2012年6月5日 15:01 mamoru info <info....@gmail.com>:

[mamoru info]

まもるです。

VPNされてる方なら誤字、ご理解頂いていると思いますが、CSRは×、CRTで○です。失効の意味ではないので(-_-;)
タップ選択が上手くいかなかったみたいです。
なお、CRTに限りませんが、AndroidのVPNには、かなり癖がありそうです。同じ設定のPPTPでも、機種によって、暗号が上手く解釈できるものもあるし、ないものもあります。
文献上では、PPTPの暗号が読めない方が正しいらしいのですが、どっちが正しいのか？良く分かりません。

2012/06/09 9:15 "Yasuhiro Hosoda" <hosoda....@gmail.com>: