読者です 読者をやめる 読者になる 読者になる

designetwork

ネットワークを軸としたIT技術メモ

Chromebook Acer C720からASA5505にVPN(L2TP/IPsec PSK)接続 (失敗中)

OS OS-Chromebook

Chromebookを外出先でもシームレスに使用するためにVPN接続する。

自宅PCやVMリモートデスクトップしての使用を検討しているため、自宅が一つのプライベートクラウドということになる。

環境

ざっくりとした自宅のネットワーク構成はこちらの記事を参照
 
外出先でのインターネット接続は以下を想定する。
  • ホテルなどのWi-Fi
 
なお、普段iPhoneからは標準搭載されているCisco VPN ClientでIPsec接続をしている。
 
ちなみにAcer C720選定理由はこちら

designetwork.hatenablog.com

 

設定

GoogleのサポートページにASA5505の設定手順が書いてあるためそのまま設定してみた。

 

support.google.com

 
しかし、繋がらない…!
 

切り分け

何が原因なのか分からずとりあえずlogとキャプチャから原因特定に取りかかる。
 
IPリーチは確認できたから認証フェーズか…
とりあえずドキュメントをちゃんと読んでみたら以下の記載あり。
 

Cisco ASA シリーズ CLI コンフィギュレーション ガイド ASA 5505、ASA 5510、ASA 5520、ASA 5540、ASA 5550、ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、ASA 5580、ASA5585-X、および ASA サービス モジュール用ソフトウェア バージョン 9.0 - L2TP over IPsec の設定 - Cisco Systems

(注) この機能は、ペイロード暗号化機能のないモデルでは使用できません。

 

Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI8.2 を使用) - 機能のライセンスの管理 - Cisco Systems

一般ライセンス
暗号化
基本(DES)
オプション ライセンス:強化(3DES/AES)
 
3DESが使えてなかったのか…?これだ!
と思ったが、3DESがEnableになってたから問題なし…
 
デバッグでもしてみるか…
ということで以下を設定して解析
debug crypto ikev1 255
よく分からないからレベルは最大の255にする。
以下のログから、IKEv1のPhase1で失敗していることが判明。
Phase 1 failure:  Mismatched attribute types for class Group Description:  Rcv'd: Unknown  Cfg'd: Group 2
 
ちなみに、切り分け開始にあたり、以下のページでIPsecの前提知識を押さえておいた。

itpro.nikkeibp.co.jp

ChromebookのSA Proposal

debugログから、Chromebookでは次の2つの方式を投げていることが分かる。
  • 3DES-CBC, SHA1, DH-Group2, Lifetime86400
  • AES-128, MD5, DH-Group'Unknown', Lifetime86400

 

Phase 1

Chromebookからの要求は問題なさそうなので、ASA側で設定を変えてみてログの変化を探る。
  • 認証方式の追加・削除
  • 3DES削除
  • 3DES追加
  • AES削除
  • AES追加
 
AESを追加すると、
DH-Groupのミスマッチが検出される。
 
Phase 1 failure:  Mismatched attribute types for class Group Description:  Rcv'd: Unknown  Cfg'd: Group 2
 
ログとASAの設定を踏まえると、AESでの認証はできないと考えられる。
とりあえずいずれも設定した状態で他の原因を探る。
 
  • オプション設定
  • PFSの無効化
認証方式について検索していた中でPFS(Perfect F Sは非対応という記載を見ていたため、無効にしてみたが、変化なし。
とりあえず有効に戻しておく。
 

X-AUTHの無効化

手当たり次第触っていく中で、X-AUTHをdisableにしてみた。

f:id:daichi703n:20150806004049j:plain

Phase 1 Completed!
Chromebook側で該当する設定が見当たらないので、とりあえずX-AUTHをdisableにして次に進む。
ちなみに、次はPhase 2で
IPsec SA Proposal Mismatch.
 

Phase 2

Phase 1のときと同様にChromebookのSA Proposalを確認。
 
よく分からないけど、PFSを無効にしてみた。
PHASE 2 COMPLETED!
繋がった。
 
しかし、またしても次のIPsec通信のところで
aaa-server-group missing
L2TP initiated
となって繋がらない…
 

L2TP

Cisco Support ComunnityやExpert Exchangeなどで探してみると、同件で悩んでいる人がちらほらいる。

VPN for Chromebook

Support for ChromeOS / Chromebook | VPN | Cisco Support Community | 6001 | 12379511

 

しかし、英語のニュアンスを理解しきれないこともあり、解決策やネクストステップが見つからない…
また、ChromebookはASAのL2TP/IPsecのサポートに含まれていないということが分かり、そもそも繋がらないのではないかと一気に不安になる…
BugSearchしてみたらAnyConnectについては記載あり。
 
CSCtu30260
AnyConnect support on Chromebook
AnyConnect client not supported on Chromebook platform.

 

少しでも心を落ち着けるために、まずはサポート対象のWin7で接続して理想状態を把握して差分を抽出していこうと切り替える。
 

Win7L2TP/IPsec接続

Win7の場合はAnyConnectという選択肢もあるが、まずは標準搭載のL2TP/IPsec接続から潰すことにする。
ASAの設定はそのままにとりあえず繋いでみたら、Phase1でMismatch…
なんとなく当たりがついてX-AUTHを有効に戻したら、あっけなくPhase1,2を一気にCOMPLETE!
しかし!上記のChromebookのときと同様にL2TPが繋がらない!
厳密に言うと、繋がった後すぐに切れる。Durationで言うと1〜3秒は繋がっているように見える。
認証方式でMS-CHAPv2を有効にするなど試したが、ASA側のメッセージは変わらず。
Win7側のエラーは「ユーザー名とパスワードを検証中」で進まない。
 

今後の方針

  • ASA設定の再見直し
切り分けの中で色々変更してしまっていたため、一旦初心に帰って設定し直す。
 
  • VyOSなどでの接続試験

 

情報提供依頼

ASA5505×ChromebookL2TP/IPsec PSK接続に成功している方がいたら教えてください。