Toon posts:

Android VPN head-cruncher

Pagina: 1
Acties:

Vraag

zondag 24 januari 2016 20:15

Acties:
  • 0 Henk 'm!
  • RJVG
  • Registratie: December 2001
  • Laatst online: 04-07 02:31

RJVG

Topicstarter
Hallo,

Ik gebruik een Zywall 1050 als VPN server. Via L2TP/IPSec tunnel ik zonder problemen met Windows X clients en met Apple devices maar Android devices weigeren pertinent.

Ik heb inmiddels alles geprobeerd wat ik kon bedenken, uren lang talloze website / handleidingen nagelezen. Het resultaat blijft hetzelfde. Ik hoop dat iemand hier mij verder kan helpen.

Wanneer ik verbinding maak met de (built-in) Android, geeft die binnen enkele seconden "mislukt" aan. Uit de logs van de Zywall blijkt dat dan zowel Phase 1 and Phase 2 succesvol zijn (code line 13 & 21), maar Android verbreekt(?) vervolgens de verbinding. De VPN server blijft zoeken [R_U_THERE] maar geeft uiteindelijk ook op. Zie onderaan het log.

Wat natuurlijk opvalt is de melding: SPI:0x0 SEQ:0x0 No rule found, Dropping packet

Ik heb hier ook mijn pijlen op gericht maar las het volgende hierover bij gebruik van een WIndows VPN client:
De GreenBow VPN Client ondersteunt standaard automatisch "NAT Traversal" maar dit is te forceren of juist expliciet te blokkeren in de geavanceerde instellingen voor Fase 1.
Wanneer zowel de ZyWALL als TheGreenBow VPN Client niet achter een NAT-router zitten en NAT Traversal wel aan staat aan beide zijden, kunt u de volgende foutmelding verwachten in
de logs van de ZyWALL: "error IPSec SPI:0x0 SEQ:0x0 No rule found". Deze melding heeft verder geen invloed op de correcte werking van de tunnell en kunt u dus negeren.
Ik krijg ook dezelfde melding wanneer ik de VPN verbreek met mijn Windows laptop.


code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42

No.  Date/Time             Source                       Destination                 Priority    Category   Note         Message
3    2016-01-24 19:09:36   android.client.wan-ip:500    zywall.server.ip:500        info        ike        IKE_LOG      The cookie pair is : 0xbeb49a07ce6bbad8 / 0x0000000000000000
4    2016-01-24 19:09:36   android.client.wan-ip:500    zywall.server.ip:500        info        ike        IKE_LOG      Recv Main Mode request from [android.client.wan-ip]
5    2016-01-24 19:09:36   android.client.wan-ip:500    zywall.server.ip:500        info        ike        IKE_LOG      The cookie pair is : 0xbeb49a07ce6bbad8 / 0x618bd1dfb052b7d4 [count=7]
6    2016-01-24 19:09:36   android.client.wan-ip:500    zywall.server.ip:500        info        ike        IKE_LOG      Recv:[SA][VID][VID][VID][VID][VID][VID]
7    2016-01-24 19:09:36   android.client.wan-ip:500    zywall.server.ip:500        info        ike        IKE_LOG      Tunnel [L2PT_VPN_GW:L2PT_Connection] Recving IKE request
8    2016-01-24 19:09:36   zywall.server.ip:500         android.client.wan-ip:500   info        ike        IKE_LOG      The cookie pair is : 0xbeb49a07ce6bbad8 / 0x618bd1dfb052b7d4 [count=4]
9    2016-01-24 19:09:36   zywall.server.ip:500         android.client.wan-ip:500   info        ike        IKE_LOG      Send:[SA][VID][VID][VID][VID][VID][VID][VID][VID][VID]
10   2016-01-24 19:09:36   android.client.wan-ip:500    zywall.server.ip:500        info        ike        IKE_LOG      Recv:[KE][NONCE]
11   2016-01-24 19:09:36   zywall.server.ip:500         android.client.wan-ip:500   info        ike        IKE_LOG      Send:[KE][NONCE]
12   2016-01-24 19:09:36   android.client.wan-ip:500    zywall.server.ip:500        info        ike        IKE_LOG      Recv:[ID][HASH]
13   2016-01-24 19:09:36   zywall.server.ip:4500        android.client.wan-ip:4500  info        ike        IKE_LOG      The cookie pair is : 0xbeb49a07ce6bbad8 / 0x618bd1dfb052b7d4 [count=2]
14   2016-01-24 19:09:36   zywall.server.ip:4500        android.client.wan-ip:4500  info        ike        IKE_LOG      Phase 1 IKE SA process done
15   2016-01-24 19:09:36   zywall.server.ip:500         android.client.wan-ip:500   info        ike        IKE_LOG      Send:[ID][HASH][NOTFY:INITIAL_CONTACT]
16   2016-01-24 19:09:36   android.client.wan-ip:500    zywall.server.ip:500        info        ike        IKE_LOG      Recv:[HASH][NOTFY:INITIAL_CONTACT]
17   2016-01-24 19:09:36   android.client.wan-ip:500    zywall.server.ip:500        info        ike        IKE_LOG      Recv:[HASH][SA][NONCE][ID][ID]
18   2016-01-24 19:09:36   zywall.server.ip:500         android.client.wan-ip:500   info        ike        IKE_LOG      Send:[HASH][SA][NONCE][ID][ID][NOTFY:RESPONDER_LIFETIME]
19   2016-01-24 19:09:36   android.client.wan-ip:500    zywall.server.ip:500        info        ike        IKE_LOG      Recv:[HASH]
20   2016-01-24 19:09:36   android.client.wan-ip:4500   zywall.server.ip:4500       info        ike        IKE_LOG      [SA]: [Responder:zywall.server.ip][Initiator:android.client.wan-ip][Policy:zywall.server.ip-android.client.lan-ip][ESP aes-cbc-hmac-sha1-96][Lifet
21   2016-01-24 19:09:36   android.client.wan-ip:4500   zywall.server.ip:4500       info        ike        IKE_LOG      The cookie pair is : 0xbeb49a07ce6bbad8 / 0x618bd1dfb052b7d4
22   2016-01-24 19:09:36   android.client.wan-ip:4500   zywall.server.ip:4500       info        ike        IKE_LOG      Dynamic Tunnel [L2PT_VPN_GW:L2PT_Connection:0x1564dba] built successfully
23   2016-01-24 19:09:38   zywall.server.ip:1701        android.client.wan-ip:56264 error       ipsec      ipsec        SPI:0x0 SEQ:0x0 No rule found, Dropping packet
28   2016-01-24 19:10:24   zywall.server.ip:500         android.client.wan-ip:500   info        ike        IKE_LOG      The cookie pair is : 0xbeb49a07ce6bbad8 / 0x618bd1dfb052b7d4 [count=4]
29   2016-01-24 19:10:24   zywall.server.ip:500         android.client.wan-ip:500   info        ike        IKE_LOG      Send:[HASH][NOTFY:R_U_THERE] [count=4]
31   2016-01-24 19:10:35   zywall.server.ip:500         android.client.wan-ip:500   info        ike        IKE_LOG      The cookie pair is : 0xbeb49a07ce6bbad8 / 0x618bd1dfb052b7d4 [count=2]
32   2016-01-24 19:10:35   zywall.server.ip:500         android.client.wan-ip:500   info        ike        IKE_LOG      Send:[HASH][NOTFY:R_U_THERE]
33   2016-01-24 19:10:43   zywall.server.ip:4500        android.client.wan-ip:4500  info        ike        IKE_LOG      The cookie pair is : 0xbeb49a07ce6bbad8 / 0x618bd1dfb052b7d4 [count=2]
34   2016-01-24 19:10:43   zywall.server.ip:4500        android.client.wan-ip:4500  notice      ike        IKE_LOG      [DPD] No response from peer using existing Phase-1 SA in 19 seconds. Trying with Phase-1 rekey.
35   2016-01-24 19:10:43   zywall.server.ip:500         android.client.wan-ip:500   info        ike        IKE_LOG      Send:[HASH][DEL]
36   2016-01-24 19:10:43   zywall.server.ip:4500        android.client.wan-ip:4500  info        ike        IKE_LOG      ISAKMP SA [L2PT_VPN_GW] is disconnected
37   2016-01-24 19:10:43   zywall.server.ip:500         android.client.wan-ip:500   info        ike        IKE_LOG      The cookie pair is : 0x331d8d2dd78191dc / 0x0000000000000000 [count=6]
38   2016-01-24 19:10:43   zywall.server.ip:500         android.client.wan-ip:500   info        ike        IKE_LOG      Tunnel [L2PT_Connection] Sending IKE request
39   2016-01-24 19:10:43   zywall.server.ip:500         android.client.wan-ip:500   info        ike        IKE_LOG      Send Main Mode request to [android.client.wan-ip]
40   2016-01-24 19:10:43   zywall.server.ip:500         android.client.wan-ip:500   info        ike        IKE_LOG      Send:[SA][VID][VID][VID][VID][VID][VID][VID][VID][VID]
41   2016-01-24 19:10:43   zywall.server.ip:500         android.client.wan-ip:500   info        ike        IKE_LOG      IKE Packet Retransmit [count=4]
43   2016-01-24 19:10:58   zywall.server.ip:500         android.client.wan-ip:500   info        ike        IKE_LOG      The cookie pair is : 0x331d8d2dd78191dc / 0x0000000000000000
44   2016-01-24 19:10:58   zywall.server.ip:500         android.client.wan-ip:500   info        ike        IKE_LOG      IKE Packet Retransmit
46   2016-01-24 19:11:14   zywall.server.ip:500         android.client.wan-ip:500   info        ike        IKE_LOG      The cookie pair is : 0x331d8d2dd78191dc / 0x0000000000000000
47   2016-01-24 19:11:14   zywall.server.ip:500         android.client.wan-ip:500   info        ike        IKE_LOG      IKE Packet Retransmit
48   2016-01-24 19:11:43   zywall.server.ip:500         android.client.wan-ip:500   info        ike        IKE_LOG      The cookie pair is : 0x331d8d2dd78191dc / 0x0000000000000000
49   2016-01-24 19:11:43   zywall.server.ip:500         android.client.wan-ip:500   info        ike        IKE_LOG      ISAKMP SA [L2PT_VPN_GW] is disconnected
50   2016-01-24 19:11:44   zywall.server.ip:4500        android.client.wan-ip:4500  info        ike        IKE_LOG      Tunnel [L2PT_Connection:0x1564dba] is disconnected End of Logs


Nogmaals, wanneer ik op dezelfde plek, zelfde Wifi verbinding maar een Windows(10) of Ipad Air gebruik, heb ik met 3 seconden een VPN tunnel opgebouwd die 100% werkt.

Mijn grote vraag is, wat is er anders aan de VPN client van Android. Ik heb hierzelf weinig over kunnen vinden.

Hier een paar screenshots van de instellingen:
Afbeeldingslocatie: http://i68.tinypic.com/sffjmr.jpg
Afbeeldingslocatie: http://i64.tinypic.com/rcsrr8.jpg
Afbeeldingslocatie: http://i63.tinypic.com/adg851.jpg

Alvast bedankt,
RJ

Alle reacties

maandag 25 januari 2016 08:27

Acties:
  • 0 Henk 'm!
  • Pakjebakmeel
  • Registratie: September 2003
  • Laatst online: 09-07 12:27

Pakjebakmeel

Het lijkt wel of de Android cliënt niet reageert op dpd en de router de cliënt beschouwd als dood.

Probeer het eens zonder dpd? Heb je wel connectiviteit als de cliënt verbonden is?

maandag 25 januari 2016 19:09

Acties:
  • 0 Henk 'm!
  • RJVG
  • Registratie: December 2001
  • Laatst online: 04-07 02:31

RJVG

Topicstarter
Ik had dit al eens eerder geprobeerd maar geen resultaat geboekt. Hoe ik dpd begrijp is dat er enkel iets aan de server kant gebeurd. Krijgt de server geen bevestiging, gata hij vragen naar een. Dit mechanisme heet dpd.

Maar, ik heb het toch nog een keer geprobeerd. Ik heb de laatste 2 dagen zoveel geprobeerd dat ik het niet meer precies wist. Nu (met een iets helder moment) zie ik dat Android na enkele seconden weliswaar "mislukt" aangeeft, maar dat er wel een phase 1 verbinding tot stand komt. Aangezien de server niet gaat zeuren, blijft die verbinding.

Ik kon nu daardoor bij IPSec verbindingen kijken en wat blijkt; de verbinding is tussen mijn (externe) server IP en de locale IP op mijn Android. Hierdoor is geen data transport meer mogelijk (114/142 bytes inbound/outbound) en stopt de onderhandeling voor phase 2 (lijkt mij).

Ik kan het verschil nagaan door een succesvolle verbinding te maken met mijn laptop. Daar geeft hij bij IPSec wel een verbinding tussen extern-extern en vervolgens een verbinding op L2PT.

Er gaat hier iets mis bij de NAT denk ik.

maandag 25 januari 2016 19:12

Acties:
  • 0 Henk 'm!
  • DavidZH
  • Registratie: Oktober 2008
  • Laatst online: 13:06

DavidZH

Ik heb exact hetzelfde. L2TP VPN via mijn Synology. Mijn MacBook Pro connect zonder problemen. Maar ik krijg mijn telefoon er niet op. Eerst op 4.4 niet, nu op 5.0 ook niet.

Ik had het eigenlijk al opgegeven, maar ga dit zeker in de gaten houden.

zaterdag 6 februari 2016 23:08

Acties:
  • 0 Henk 'm!
  • RJVG
  • Registratie: December 2001
  • Laatst online: 04-07 02:31

RJVG

Topicstarter
Ik heb me suf gezocht op het internet in de hoop iets te vinden wat mijn probleem zou oplossen. Niks gevonden en ik begin te de hoop op te geven. Misschien ligt het aan de interne VPN client. Ik heb gezocht naar een 3rd party VPN client voor Android maar alle clients (op 1 na) zijn allemaal voor specifieke VPN service providers.
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq