★★★ Step 10 L2TP は諦める ★★★
13:11:41.633586 IP 192.168.1.156.56747 > 192.168.1.32.1701: l2tp:[TLS](0/0)Ns=0,Nr=0 *MSGTYPE(SCCRQ) *PROTO_VER(1.0) *HOST_NAME(anonymous) *FRAMING_CAP(AS) *ASSND_TUN_ID(31946) *RECV_WIN_SIZE(1) 13:11:41.633688 IP 192.168.1.32 > 192.168.1.156: ICMP 192.168.1.32 udp port 1701 unreachable, length 105 13:11:41.634490 IP 192.168.1.156.56747 > 192.168.1.32.1701: l2tp:[TLS](0/0)Ns=1,Nr=0 *MSGTYPE(StopCCN) *ASSND_TUN_ID(31946) *RESULT_CODE(6) 13:11:41.634542 IP 192.168.1.32 > 192.168.1.156: ICMP 192.168.1.32 udp port 1701 unreachable, length 72
どんなに設定を見直しても OpenWRT 側 Firewall で1701のポートが閉じているなどという事は無いように思う。port unreachable で見直すのはたぶんfirewall だけではないのではないか?もしfirewall を適切に設定していたとしても、port unreachable が発生するパスがあるような気がするのだけど、全く確証もない。なんにせよ、Android から要求があった時点でポート1701の準備ができてないのは間違いないようで、それ以上何もヒントがなくなってしまった。
Android の期待するシーケンスと、strongswan の期待するシーケンスが違うのではないかって気がするのだが、確証はない。
設定によって避けれるのかどうかもよくわからなかった。strongswan と違ってandroid の方は特にエラーメッセージも吐かないし。
L2TP/IPSec はもうちょっとデファクトスタンダードな、これを選べば間違いないものが決まってきたらいいんだろうけど、そういうのが無い。IKE のバージョンやら plute charon やら NAT Traversalやら認証方式も暗号化や、使えるソフトも多すぎてよくわからない。
みんなが使うであろう一番簡単なオプションを選択しているつもりでもわずかに違うものを選択するだけで動かなくなる可能性がある。バージョンアップなどで動かなくなるリスクもかなり高い。メールサーバ以上に設定が疲れる。
とりあえずL2TPを使う事はいったん忘れることにする。
いつかまたやるかも。
0 件のコメント:
コメントを投稿