designetwork

ネットワークを軸としたIT技術メモ

Chromebook Acer C720からASA5505にVPN(L2TP/IPsec PSK)接続 (失敗中)

OS OS-Chromebook

Chromebookを外出先でもシームレスに使用するためにVPN接続する。

自宅PCやVMにリモートデスクトップしての使用を検討しているため、自宅が一つのプライベートクラウドということになる。

環境

ざっくりとした自宅のネットワーク構成はこちらの記事を参照

designetwork.hatenablog.com

外出先でのインターネット接続は以下を想定する。

iPhone テザリング

Starbacks Wi-Fi

ホテルなどのWi-Fi

なお、普段iPhoneからは標準搭載されているCisco VPN ClientでIPsec接続をしている。

ちなみにAcer C720選定理由はこちら

<a href="http://designetwork.hatenablog.com/entry/2015/06/27/Chromebook_Acer_C720%E8%B3%BC%E5%85%A5">Chromebook Acer C720購入 - designetwork </a>designetwork.hatenablog.com

設定

GoogleのサポートページにASA5505の設定手順が書いてあるためそのまま設定してみた。

<a href="https://support.google.com/chromebook/answer/2382577?hl=ja">Cisco ASA デバイスで VPN を設定する - Chromebook ヘルプ</a>support.google.com

しかし、繋がらない…！

切り分け

何が原因なのか分からずとりあえずlogとキャプチャから原因特定に取りかかる。

IPリーチは確認できたから認証フェーズか…

とりあえずドキュメントをちゃんと読んでみたら以下の記載あり。

Cisco ASA シリーズ CLI コンフィギュレーションガイド ASA 5505、ASA 5510、ASA 5520、ASA 5540、ASA 5550、ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、ASA 5580、ASA5585-X、および ASA サービスモジュール用ソフトウェアバージョン 9.0 - L2TP over IPsec の設定 - Cisco Systems

（注）この機能は、ペイロード暗号化機能のないモデルでは使用できません。

Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI8.2 を使用） - 機能のライセンスの管理 - Cisco Systems

一般ライセンス

暗号化

基本（DES）

オプションライセンス：強化（3DES/AES）

3DESが使えてなかったのか…？これだ！

と思ったが、3DESがEnableになってたから問題なし…

デバッグでもしてみるか…

ということで以下を設定して解析

debug crypto ikev1 255

よく分からないからレベルは最大の255にする。

以下のログから、IKEv1のPhase1で失敗していることが判明。

Phase 1 failure: Mismatched attribute types for class Group Description: Rcv'd: Unknown Cfg'd: Group 2

ちなみに、切り分け開始にあたり、以下のページでIPsecの前提知識を押さえておいた。

<a href="http://itpro.nikkeibp.co.jp/article/COLUMN/20071012/284162/?s2p">攻略編：全体をつかんで逆から見る、日経NETWORK流で理解しよう</a>itpro.nikkeibp.co.jp

ChromebookのSA Proposal

debugログから、Chromebookでは次の2つの方式を投げていることが分かる。

3DES-CBC, SHA1, DH-Group2, Lifetime86400
AES-128, MD5, DH-Group'Unknown', Lifetime86400

Phase 1

Chromebookからの要求は問題なさそうなので、ASA側で設定を変えてみてログの変化を探る。

認証方式の追加・削除
3DES削除
3DES追加
AES削除
AES追加

AESを追加すると、

DH-Groupのミスマッチが検出される。

Phase 1 failure: Mismatched attribute types for class Group Description: Rcv'd: Unknown Cfg'd: Group 2

ログとASAの設定を踏まえると、AESでの認証はできないと考えられる。

とりあえずいずれも設定した状態で他の原因を探る。

オプション設定
PFSの無効化

認証方式について検索していた中でPFS(Perfect F Sは非対応という記載を見ていたため、無効にしてみたが、変化なし。

とりあえず有効に戻しておく。

X-AUTHの無効化

手当たり次第触っていく中で、X-AUTHをdisableにしてみた。

f:id:daichi703n:20150806004049j:plain

Phase 1 Completed!

Chromebook側で該当する設定が見当たらないので、とりあえずX-AUTHをdisableにして次に進む。

ちなみに、次はPhase 2で

IPsec SA Proposal Mismatch.

Phase 2

Phase 1のときと同様にChromebookのSA Proposalを確認。

よく分からないけど、PFSを無効にしてみた。

PHASE 2 COMPLETED!

繋がった。

しかし、またしても次のIPsec通信のところで

aaa-server-group missing

L2TP initiated

となって繋がらない…

L2TP

Cisco Support ComunnityやExpert Exchangeなどで探してみると、同件で悩んでいる人がちらほらいる。

VPN for Chromebook

Support for ChromeOS / Chromebook | VPN | Cisco Support Community | 6001 | 12379511

しかし、英語のニュアンスを理解しきれないこともあり、解決策やネクストステップが見つからない…

また、ChromebookはASAのL2TP/IPsecのサポートに含まれていないということが分かり、そもそも繋がらないのではないかと一気に不安になる…

BugSearchしてみたらAnyConnectについては記載あり。

CSCtu30260
AnyConnect support on Chromebook

AnyConnect client not supported on Chromebook platform.

少しでも心を落ち着けるために、まずはサポート対象のWin7で接続して理想状態を把握して差分を抽出していこうと切り替える。

Win7でL2TP/IPsec接続

Win7の場合はAnyConnectという選択肢もあるが、まずは標準搭載のL2TP/IPsec接続から潰すことにする。

ASAの設定はそのままにとりあえず繋いでみたら、Phase1でMismatch…

なんとなく当たりがついてX-AUTHを有効に戻したら、あっけなくPhase1,2を一気にCOMPLETE!

しかし！上記のChromebookのときと同様にL2TPが繋がらない！

厳密に言うと、繋がった後すぐに切れる。Durationで言うと1〜3秒は繋がっているように見える。

認証方式でMS-CHAPv2を有効にするなど試したが、ASA側のメッセージは変わらず。

Win7側のエラーは「ユーザー名とパスワードを検証中」で進まない。

今後の方針

ASA設定の再見直し

切り分けの中で色々変更してしまっていたため、一旦初心に帰って設定し直す。

VyOSなどでの接続試験

VPN諦めてChromeリモデ使用

情報提供依頼

ASA5505×ChromebookでL2TP/IPsec PSK接続に成功している方がいたら教えてください。