Chromebookを外出先でもシームレスに使用するためにVPN接続する。
環境
ざっくりとした自宅のネットワーク構成はこちらの記事を参照
外出先でのインターネット接続は以下を想定する。
- Starbacks Wi-Fi
- ホテルなどのWi-Fi
ちなみにAcer C720選定理由はこちら
設定
GoogleのサポートページにASA5505の設定手順が書いてあるためそのまま設定してみた。
しかし、繋がらない…!
切り分け
何が原因なのか分からずとりあえずlogとキャプチャから原因特定に取りかかる。
IPリーチは確認できたから認証フェーズか…
とりあえずドキュメントをちゃんと読んでみたら以下の記載あり。
(注) この機能は、ペイロード暗号化機能のないモデルでは使用できません。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI8.2 を使用) - 機能のライセンスの管理 - Cisco Systems
一般ライセンス暗号化基本(DES)オプション ライセンス:強化(3DES/AES)
3DESが使えてなかったのか…?これだ!
と思ったが、3DESがEnableになってたから問題なし…
デバッグでもしてみるか…
ということで以下を設定して解析
debug crypto ikev1 255
よく分からないからレベルは最大の255にする。
以下のログから、IKEv1のPhase1で失敗していることが判明。
Phase 1 failure: Mismatched attribute types for class Group Description: Rcv'd: Unknown Cfg'd: Group 2
ちなみに、切り分け開始にあたり、以下のページでIPsecの前提知識を押さえておいた。
ChromebookのSA Proposal
debugログから、Chromebookでは次の2つの方式を投げていることが分かる。
Phase 1
Chromebookからの要求は問題なさそうなので、ASA側で設定を変えてみてログの変化を探る。
- 認証方式の追加・削除
- 3DES削除
- 3DES追加
- AES削除
- AES追加
AESを追加すると、
DH-Groupのミスマッチが検出される。
Phase 1 failure: Mismatched attribute types for class Group Description: Rcv'd: Unknown Cfg'd: Group 2
ログとASAの設定を踏まえると、AESでの認証はできないと考えられる。
とりあえずいずれも設定した状態で他の原因を探る。
- オプション設定
- PFSの無効化
認証方式について検索していた中でPFS(Perfect F Sは非対応という記載を見ていたため、無効にしてみたが、変化なし。
とりあえず有効に戻しておく。
X-AUTHの無効化
手当たり次第触っていく中で、X-AUTHをdisableにしてみた。
Phase 1 Completed!
Chromebook側で該当する設定が見当たらないので、とりあえずX-AUTHをdisableにして次に進む。
ちなみに、次はPhase 2で
IPsec SA Proposal Mismatch.
Phase 2
Phase 1のときと同様にChromebookのSA Proposalを確認。
よく分からないけど、PFSを無効にしてみた。
PHASE 2 COMPLETED!
繋がった。
しかし、またしても次のIPsec通信のところで
aaa-server-group missingL2TP initiated
となって繋がらない…
L2TP
Cisco Support ComunnityやExpert Exchangeなどで探してみると、同件で悩んでいる人がちらほらいる。
Support for ChromeOS / Chromebook | VPN | Cisco Support Community | 6001 | 12379511
しかし、英語のニュアンスを理解しきれないこともあり、解決策やネクストステップが見つからない…
BugSearchしてみたらAnyConnectについては記載あり。
少しでも心を落ち着けるために、まずはサポート対象のWin7で接続して理想状態を把握して差分を抽出していこうと切り替える。
Win7でL2TP/IPsec接続
ASAの設定はそのままにとりあえず繋いでみたら、Phase1でMismatch…
なんとなく当たりがついてX-AUTHを有効に戻したら、あっけなくPhase1,2を一気にCOMPLETE!
しかし!上記のChromebookのときと同様にL2TPが繋がらない!
厳密に言うと、繋がった後すぐに切れる。Durationで言うと1〜3秒は繋がっているように見える。
認証方式でMS-CHAPv2を有効にするなど試したが、ASA側のメッセージは変わらず。
Win7側のエラーは「ユーザー名とパスワードを検証中」で進まない。
今後の方針
- ASA設定の再見直し
切り分けの中で色々変更してしまっていたため、一旦初心に帰って設定し直す。
- VyOSなどでの接続試験
情報提供依頼
ASA5505×ChromebookでL2TP/IPsec PSK接続に成功している方がいたら教えてください。