Descripción del problema
El cliente comenta que intentó conectar una tablet 3G al USG6600 a través del túnel L2TP/IPSec pero no se pudo conectar, y el cliente ya tiene 40 tablets Samsung conectadas anteriorment pero cuando intenta configurar la tablet Huawei, ésta no funciona. La versión USG6600 es la V100R001C30SPC600.
Información de alarma
Ninguna
Proceso de manejo
Debido a que las otras tablets se conectan normalmente, creemos que es un problema de parámetros con ipsec o l2tp, por lo que depuramos y cambiamos el parámetro ipsec a test. Luego encontramos que son problemas de compatibilidad de terminal, algunos dispositivos android no funcionan con el algoritmo sha2.
Causa raíz
Algunos dispositivos android no funcionan con el algoritmo sha2.
Solución
Cambie el algoritmo ipsec.
Antes del cambio: |
Después del cambio: |
|
ike proposal 1 |
ike proposal 1 |
|
authentication-algorithm sha2-256 |
encryption-algorithm aes-256 aes-192 aes-128 3des des |
|
integrity-algorithm aes-xcbc-96 hmac-sha2-256 |
dh group2 group1 |
|
# |
authentication-algorithm sha1 md5 |
|
ike peer /qa |
integrity-algorithm aes-xcbc-96 hmac-sha1-96 hmac-md5-96 |
|
# |
# |
|
ike peer /qa |
ike peer /qa |
|
exchange-mode aggressive |
# |
|
# |
ike peer /qa |
|
ike peer ike16322812552 |
exchange-mode aggressive |
|
exchange-mode auto |
# |
|
pre-shared key %$%$c6M3B;U6{=_hf(I/yvT+[I@7%$%$ |
ike peer ike16322812552 |
|
ike negotiate compatible |
exchange-mode auto |
|
ike-proposal 1 |
pre-shared-key %$%$c6M3B;U6{=_hf(I/yvT+[I@7%$%$ |
|
remote-id-type none |
ike-proposal 1 |
|
# |
remote-id-type none |
|
ipsec proposal prop16322812552 |
# |
|
encapsulation-mode auto |
ipsec proposal prop16322812552 |
|
esp authentication-algorithm sha2-256 |
encapsulation-mode auto |
|
esp authentication-algorithm sha1 md5 |
||
esp encryption-algorithm aes-256 aes-192 aes-128 3des des |
Sugerencias
Algunos dispositivos android no son compatibles con el algoritmo sha2 cuando la configuración ipsec sugiere usar el sha1.