This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

iPhone - Cisco VPN - Kommunikation mit VPN Server fehlgeschlagen

Hallo zusammen

Ich komme einem Problem nicht so richtig auf die Spur, vielleicht kann mir jemand helfen.

Wir haben hier eine ASG 320 mit der Fw 8.301
Hier sollen nun einige iPhone 4s per VPN drauf zugreifen.

Ich habe mir die etwas älter Anleitung von Astaro durchgelesen und den Punkt - Cisco VPN Client wie folgt konfiguriert:

Schnittstelle = externes LAN interface mit der statischen IP der Firewall
Serverzertifikat = hier habe ich ein eigenes Zertifikat (4096 Bit) mit dem FQDN der Firewall erstellt.
Pool - Netzwerk = ist wie voreingestellt.

Lokale Netzwerke = Netzwerkworauf zugegriffen werden soll.
Benutzer und Gruppen = IPhone Gruppe

Unter der Registerkarte "iOS-Geräte" habe ich noch den FQDN der Firewall mitgegeben.

Mein iPhone hat sich die Konfig vom Benutzerportal heruntergeladen und installiert.

Sobald ich die VPN aktivieren will bekomme ich entweder den Fehler:

"Ein unerwarteter Fehler ist aufgetreten" oder
"Kommunikation mit VPN Server fehlgeschlagen"

Im Log finde ich folgende Zeilen die ich nicht so richtig zuordnen kann:

2012:03:08-16:51:09 fw pluto[29624]: | authkey: 13:e7:9e:0f:42:01:2f:59:9b:6b:ef:56:59:0c:9b:5b:bc:7b:e4:1f

 

2012:03:08-16:51:09 fw pluto[29624]: | certificate is valid 



2012:03:08-16:51:09 fw pluto[29624]: | issuer cacert found 



2012:03:08-16:51:09 fw pluto[29624]: | certificate signature is valid 



2012:03:08-16:51:09 fw pluto[29624]: "D_for FirmenName to VLAN_38 (Network)"[16] 109.84.0.105:41994 #31: crl not found

 

2012:03:08-16:51:09 fw pluto[29624]: "D_for FirmenName to VLAN_38 (Network)"[16] 109.84.0.105:41994 #31: certificate status unknown

Wenn jemand eine Idee hat - her damit.

Viele Grüße
greenhornXXL

This thread was automatically locked due to age.

Parents

0 BAlfson over 13 years ago

Hallo, Greenhorn,

Vielleicht dein persönliches Zertifikat stimmt nicht?

Wenn alles richtig lauft bekommt man:

2012:03:08-13:00:45 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221 #66: ignoring informational payload, type IPSEC_INITIAL_CONTACT 

2012:03:08-13:00:45 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221 #66: Peer ID is ID_DER_ASN1_DN: 'C=us, L=Oklahoma City, O=MyCompany, Inc., CN=MyUser, E=MyEmailbalfson@MyCompany.com' 

2012:03:08-13:00:46 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221 #66: crl not found 

2012:03:08-13:00:46 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221 #66: certificate status unknown 

2012:03:08-13:00:46 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221 #66: deleting connection "D_for astaro to Internal (Network)"[7] instance with peer 72.***.yyy.221 {isakmp=#0/ipsec=#0} 

2012:03:08-13:00:46 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221 #66: we have a cert and are sending it 

2012:03:08-13:00:46 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221 #66: Dead Peer Detection (RFC 3706) enabled 

2012:03:08-13:00:46 astaro pluto[7054]: | NAT-T: new mapping 72.***.yyy.221:500/4500) 

2012:03:08-13:00:46 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221:4500 #66: sent MR3, ISAKMP SA established 

2012:03:08-13:00:46 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221:4500 #66: sending XAUTH request 

2012:03:08-13:01:44 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221:4500 #66: parsing XAUTH reply 

2012:03:08-13:01:45 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221:4500 #66: extended authentication was successful 

2012:03:08-13:01:45 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221:4500 #66: sending XAUTH status 

2012:03:08-13:01:45 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221:4500 #66: parsing XAUTH ack 

2012:03:08-13:01:45 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221:4500 #66: received XAUTH ack, established 

2012:03:08-13:01:45 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221:4500 #66: parsing ModeCfg request 

2012:03:08-13:01:45 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221:4500 #66: unknown attribute type (28683) 

2012:03:08-13:01:45 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221:4500 #66: peer requested virtual IP %any 

2012:03:08-13:01:45 astaro pluto[7054]: acquired existing lease for address 10.242.5.1 in pool 'VPN Pool (Cisco)' 

2012:03:08-13:01:45 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221:4500 #66: assigning virtual IP 10.242.5.1 to peer 

2012:03:08-13:01:45 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221:4500 #66: sending ModeCfg reply 

2012:03:08-13:01:45 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221:4500 #66: sent ModeCfg reply, established 

2012:03:08-13:01:45 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221:4500 #67: responding to Quick Mode 

2012:03:08-13:01:45 astaro pluto[7054]: id="2201" severity="info" sys="SecureNet" sub="vpn" event="Connection started" username="MyUser" variant="ipsec" srcip="72.***.yyy.221" virtual_ip="10.242.5.1" 

2012:03:08-13:01:47 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221:4500 #67: IPsec SA established {ESP=>0x074e98b8

MfG - Bob

Sophos UTM Community Moderator
Sophos Certified Architect - UTM
Sophos Certified Engineer - XG
Gold Solution Partner since 2005

MediaSoft, Inc. USA

0 greenhornXXL over 13 years ago in reply to BAlfson

Hallo BAlfson

Ich habe nun schon verschiedene Benutzer getestet und bekomme das gleiche verhalten ?!

Gibt es einige Log Einstellungen die mir mehr Info's geben können, die ich noch aktivieren kann ?!

Viele Grüße
greenhorn
Cancel
Vote Up 0 Vote Down

Cancel

Reply

0 greenhornXXL over 13 years ago in reply to BAlfson

Hallo BAlfson

Ich habe nun schon verschiedene Benutzer getestet und bekomme das gleiche verhalten ?!

Gibt es einige Log Einstellungen die mir mehr Info's geben können, die ich noch aktivieren kann ?!

Viele Grüße
greenhorn
Cancel
Vote Up 0 Vote Down

Cancel

Children

0 rprengel over 13 years ago in reply to greenhornXXL

Hallo BAlfson

Ich habe nun schon verschiedene Benutzer getestet und bekomme das gleiche verhalten ?!

Gibt es einige Log Einstellungen die mir mehr Info's geben können, die ich noch aktivieren kann ?!

Viele Grüße
greenhorn

Wie ist die Astaro ans Internet angebunden. Direkt oder hiner einem anderen Router. Feste IP und fester DNS-Eintrag oder dynamisch per dyndns.
Lange Rede kurzer Sinn:
Ich habe mir wochenlag einen Wolf gesucht bis ich meine Astaro selber hab einwählen lassen. 2 Minuten später lief alles out of the box.

Gruß
Cancel
Vote Up 0 Vote Down

Cancel