[8.920][CLOSED] Unable to connect via ipsec (iphone)

I tried a VPN connection via WLAN/DSL but still no luck, i got a "Serverzertifikat konnte nicht überprüft werden" message on my iphone, here is the ipsec.log:

2012:04:04-08:35:04 firewall pluto[6777]: packet from 213.20.170.21:61908: received Vendor ID payload [RFC 3947]
2012:04:04-08:35:04 firewall pluto[6777]: packet from 213.20.170.21:61908: ignoring Vendor ID payload [4df37928e9fc4fd1b3262170d515c662]
2012:04:04-08:35:04 firewall pluto[6777]: packet from 213.20.170.21:61908: ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8]
2012:04:04-08:35:04 firewall pluto[6777]: packet from 213.20.170.21:61908: ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582]
2012:04:04-08:35:04 firewall pluto[6777]: packet from 213.20.170.21:61908: ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285]
2012:04:04-08:35:04 firewall pluto[6777]: packet from 213.20.170.21:61908: ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee]
2012:04:04-08:35:04 firewall pluto[6777]: packet from 213.20.170.21:61908: ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b]
2012:04:04-08:35:04 firewall pluto[6777]: packet from 213.20.170.21:61908: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
2012:04:04-08:35:04 firewall pluto[6777]: packet from 213.20.170.21:61908: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
2012:04:04-08:35:04 firewall pluto[6777]: packet from 213.20.170.21:61908: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2012:04:04-08:35:04 firewall pluto[6777]: packet from 213.20.170.21:61908: received Vendor ID payload [XAUTH]
2012:04:04-08:35:04 firewall pluto[6777]: packet from 213.20.170.21:61908: ignoring Vendor ID payload [Cisco-Unity]
2012:04:04-08:35:04 firewall pluto[6777]: packet from 213.20.170.21:61908: received Vendor ID payload [Dead Peer Detection]
2012:04:04-08:35:04 firewall pluto[6777]: "D_REF_IpsRoaForAlexTo01_9"[2] 213.20.170.21:61908 #5518: responding to Main Mode from unknown peer 213.20.170.21:61908
2012:04:04-08:35:05 firewall pluto[6777]: "D_REF_IpsRoaForAlexTo01_9"[2] 213.20.170.21:61908 #5518: NAT-Traversal: Result using RFC 3947: both are NATed
2012:04:04-08:35:06 firewall pluto[6777]: "D_REF_IpsRoaForAlexTo01_9"[2] 213.20.170.21:61908 #5518: ignoring informational payload, type IPSEC_INITIAL_CONTACT
2012:04:04-08:35:06 firewall pluto[6777]: "D_REF_IpsRoaForAlexTo01_9"[2] 213.20.170.21:61908 #5518: Peer ID is ID_DER_ASN1_DN: 'C=de, L=Gilching, O=Ducktales, CN=Robert Tausend, E=robert@rtausend.de'
2012:04:04-08:35:06 firewall pluto[6777]: "D_REF_IpsRoaForAlexTo01_9"[2] 213.20.170.21:61908 #5518: crl not found
2012:04:04-08:35:06 firewall pluto[6777]: "D_REF_IpsRoaForAlexTo01_9"[2] 213.20.170.21:61908 #5518: certificate status unknown
2012:04:04-08:35:06 firewall pluto[6777]: "D_REF_IpsRoaForAlexTo01_20"[2] 213.20.170.21:61908 #5518: deleting connection "D_REF_IpsRoaForAlexTo01_9"[2] instance with peer 213.20.170.21 {isakmp=#0/ipsec=#0}
2012:04:04-08:35:06 firewall pluto[6777]: "D_REF_IpsRoaForAlexTo01_20"[2] 213.20.170.21:61908 #5518: we have a cert and are sending it
2012:04:04-08:35:06 firewall pluto[6777]: "D_REF_IpsRoaForAlexTo01_20"[2] 213.20.170.21:61908 #5518: Dead Peer Detection (RFC 3706) enabled
2012:04:04-08:35:06 firewall pluto[6777]: | NAT-T: new mapping 213.20.170.21:61908/61909)
2012:04:04-08:35:06 firewall pluto[6777]: "D_REF_IpsRoaForAlexTo01_20"[2] 213.20.170.21:61909 #5518: sent MR3, ISAKMP SA established
2012:04:04-08:35:06 firewall pluto[6777]: "D_REF_IpsRoaForAlexTo01_20"[2] 213.20.170.21:61909 #5518: sending XAUTH request
2012:04:04-08:35:06 firewall pluto[6777]: packet from 213.20.170.21:61909: Informational Exchange is for an unknown (expired?) SA
2012:04:04-08:35:11 firewall pluto[6777]: ERROR: asynchronous network error report on eth6 for message to 213.20.170.21 port 61909, complainant 213.20.170.21: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]
2012:04:04-08:35:16 firewall pluto[6777]: ERROR: asynchronous network error report on eth6 for message to 213.20.170.21 port 61909, complainant 213.20.170.21: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]

Robert

Hi Robert,

Are you using a short hostname in the Cisco VPN certificate's vpn id, such as asg.domain.edu?  If you try increasing the hostname length to ciscovpntest.domain.edu, does vpn successfully connect?  Thanks.

i use firewall.ducktales.net as hostname, i hope this should be long enough?
Robert

@Robert, could you try regenerating your signing cert and test again?

jays do you want me to send you the debug from my connection? The negotiation fails as well for me

Wingman, could you grant my iPhone access so I can debug the connection properly? 
Anyone else brave enough to let me connect is of course welcome to do so as well. =)

I will send you the login details via pm so you can login and download the certificate etc

Thanks for providing access.

In your case the problem is most likely that the third main mode message from the phone is never seen by pluto. It comes into the UTM and can be seen as received by the kernel, though. I'm strongly biased to blame IPS for this, as we've had that in the past. IPS somehow misdetects the first port-shifted IKE packet to udp/4500 after NAT detection as if it has the evil bit set. =)

Please disable IPS and try to connect again. If it still doesn't work for you then you probably have another problem than I just had. Please verify that your iPhone is not NATed by looking up the NAT-T resolution in the ipsec log in this case. I'll try to get a SIM from somewhere then to reproduce the error with an unNATed connection.

you are right. Disabling the IPS did the trick!!!!

Just open a new thread about this. Can't hurt to have the IPS devs looking at this.