Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 1 subscriber
  • Views 7008 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

iPhone - Cisco VPN - Kommunikation mit VPN Server fehlgeschlagen

greenhornXXL
Hallo zusammen

Ich komme einem Problem nicht so richtig auf die Spur, vielleicht kann mir jemand helfen.

Wir haben hier eine ASG 320 mit der Fw 8.301
Hier sollen nun einige iPhone 4s per VPN drauf zugreifen.

Ich habe mir die etwas älter Anleitung von Astaro durchgelesen und den Punkt - Cisco VPN Client wie folgt konfiguriert:

Schnittstelle = externes LAN interface mit der statischen IP der Firewall
Serverzertifikat = hier habe ich ein eigenes Zertifikat (4096 Bit) mit dem FQDN der Firewall erstellt. 
Pool - Netzwerk = ist wie voreingestellt.

Lokale Netzwerke = Netzwerkworauf zugegriffen werden soll.
Benutzer und Gruppen = IPhone Gruppe

Unter der Registerkarte "iOS-Geräte" habe ich noch den FQDN der Firewall mitgegeben.

Mein iPhone hat sich die Konfig vom Benutzerportal heruntergeladen und installiert.

Sobald ich die VPN aktivieren will bekomme ich entweder den Fehler:

"Ein unerwarteter Fehler ist aufgetreten"  oder
"Kommunikation mit VPN Server fehlgeschlagen"

Im Log finde ich folgende Zeilen die ich nicht so richtig zuordnen kann: 

2012:03:08-16:51:09 fw pluto[29624]: | authkey: 13:e7:9e:0f:42:01:2f:59:9b:6b:ef:56:59:0c:9b:5b:bc:7b:e4:1f

 

2012:03:08-16:51:09 fw pluto[29624]: | certificate is valid 



2012:03:08-16:51:09 fw pluto[29624]: | issuer cacert found 



2012:03:08-16:51:09 fw pluto[29624]: | certificate signature is valid 



2012:03:08-16:51:09 fw pluto[29624]: "D_for FirmenName to VLAN_38 (Network)"[16] 109.84.0.105:41994 #31: crl not found

 

2012:03:08-16:51:09 fw pluto[29624]: "D_for FirmenName to VLAN_38 (Network)"[16] 109.84.0.105:41994 #31: certificate status unknown 



Wenn jemand eine Idee hat - her damit.

Viele Grüße
greenhornXXL


This thread was automatically locked due to age.
  • 0
    Hallo, Greenhorn,

    Vielleicht dein persönliches Zertifikat stimmt nicht?

    Wenn alles richtig lauft bekommt man: 
    2012:03:08-13:00:45 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221 #66: ignoring informational payload, type IPSEC_INITIAL_CONTACT 

    2012:03:08-13:00:45 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221 #66: Peer ID is ID_DER_ASN1_DN: 'C=us, L=Oklahoma City, O=MyCompany, Inc., CN=MyUser, E=MyEmailbalfson@MyCompany.com' 

    2012:03:08-13:00:46 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221 #66: crl not found 

    2012:03:08-13:00:46 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221 #66: certificate status unknown 

    2012:03:08-13:00:46 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221 #66: deleting connection "D_for astaro to Internal (Network)"[7] instance with peer 72.***.yyy.221 {isakmp=#0/ipsec=#0} 

    2012:03:08-13:00:46 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221 #66: we have a cert and are sending it 

    2012:03:08-13:00:46 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221 #66: Dead Peer Detection (RFC 3706) enabled 

    2012:03:08-13:00:46 astaro pluto[7054]: | NAT-T: new mapping 72.***.yyy.221:500/4500) 

    2012:03:08-13:00:46 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221:4500 #66: sent MR3, ISAKMP SA established 

    2012:03:08-13:00:46 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221:4500 #66: sending XAUTH request 

    2012:03:08-13:01:44 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221:4500 #66: parsing XAUTH reply 

    2012:03:08-13:01:45 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221:4500 #66: extended authentication was successful 

    2012:03:08-13:01:45 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221:4500 #66: sending XAUTH status 

    2012:03:08-13:01:45 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221:4500 #66: parsing XAUTH ack 

    2012:03:08-13:01:45 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221:4500 #66: received XAUTH ack, established 

    2012:03:08-13:01:45 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221:4500 #66: parsing ModeCfg request 

    2012:03:08-13:01:45 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221:4500 #66: unknown attribute type (28683) 

    2012:03:08-13:01:45 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221:4500 #66: peer requested virtual IP %any 

    2012:03:08-13:01:45 astaro pluto[7054]: acquired existing lease for address 10.242.5.1 in pool 'VPN Pool (Cisco)' 

    2012:03:08-13:01:45 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221:4500 #66: assigning virtual IP 10.242.5.1 to peer 

    2012:03:08-13:01:45 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221:4500 #66: sending ModeCfg reply 

    2012:03:08-13:01:45 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221:4500 #66: sent ModeCfg reply, established 

    2012:03:08-13:01:45 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221:4500 #67: responding to Quick Mode 

    2012:03:08-13:01:45 astaro pluto[7054]: id="2201" severity="info" sys="SecureNet" sub="vpn" event="Connection started" username="MyUser" variant="ipsec" srcip="72.***.yyy.221" virtual_ip="10.242.5.1" 

    2012:03:08-13:01:47 astaro pluto[7054]: "D_for astaro to Internal (Network)"[7] 72.***.yyy.221:4500 #67: IPsec SA established {ESP=>0x074e98b8 


    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hallo BAlfson

    Ich habe nun schon verschiedene Benutzer getestet und bekomme das gleiche verhalten ?!

    Gibt es einige Log Einstellungen die mir mehr Info's geben können, die ich noch aktivieren kann ?!

    Viele Grüße
    greenhorn
  • 0
    (Sorry, my German-speaking brain won't engage.[:(])

    You could select the first three options on the 'Debug' tab of 'Cisco VPN Client', but, first, can we look at the IPsec log lines that followed those in your first post above?

    MfG - Bob (Bitte auf Deutsch weiterhin!)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hallo BAlfson

    Entschuldige das ich nun erst dazu komme zu antworten.
    Ich habe noch einiges ausprobiert, komme allerdings immer zu gleichen Ergebnis.
    Trotz Update der iOS Software und Neueinrichtung der IPsec Verbindung will es nicht.

    Ich habe hier mal eine einzelne Verbindung mitgeloggt und hoffe das dies zur Aufklärung führt. (Ich mußte es leider zippen da es sonst zu groß ist)



    Viele Grüße und besten Dank für die Unterstützung
    greenhorn
    IPsec_iPhone.zip
  • 0
    Ich würde es mit L2TP over IPsec testen. Früher gab es definitiv Probleme mit "Cisco VPN Client "
  • 0 in reply to greenhornXXL
    Hallo BAlfson

    Ich habe nun schon verschiedene Benutzer getestet und bekomme das gleiche verhalten ?!

    Gibt es einige Log Einstellungen die mir mehr Info's geben können, die ich noch aktivieren kann ?!

    Viele Grüße
    greenhorn


    Wie ist die Astaro ans Internet angebunden. Direkt oder hiner einem anderen Router. Feste IP und fester DNS-Eintrag oder dynamisch per dyndns.
    Lange Rede kurzer Sinn:
    Ich habe mir wochenlag einen Wolf gesucht bis ich meine Astaro selber hab einwählen lassen. 2 Minuten später lief alles out of the box.

    Gruß
  • 0
    It could be several problems; the log is too long for me to look closely because I don't know IPsec and Cisco well enough to know what's normal.

    It says that the certificate was verified, so it seems that you already have changed your certificates from MD5 to SHA to account for Apple's change in iOS5.

    The Hostname should be an FQDN that is resolvable in public DNS.  The 'Server certificate' must have VPN ID with the same FQDN; if the FQDN in the certificate is different, the one in the certificate must be used in 'Override hostname'.

    You might try deleting the profile in the iPhone and reloading it via the User Portal.

    MfG - Bob (Bitte auf Deutsch weiterhin!)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hallo zusammen

    @ rprengel
    Die Astaro ist direkt per Standltg. ans Internet angebunden.
    Hostname der Astaro ist FQDN und kann von überall angepingt werden.
    SSL-VPN fkt. z.B. tadellos.

    @ Forscher
    Dies kann ich gerne mal probieren ... allerdings finde ich die Cisco Lsg. eleganter so dass die User per Webportal sich einfach ein Packet ziehen können und es auf ihren iPhone selbst installieren.

    @ BAlfson
    Der Hostname ist FQDN.
    Zusätzlich habe ich den Eintrag in "Hostname übergeben" gesetzt.
    Der Ping auf den Name löst auch die richtige IP auf. Das Zertifikat habe ich für die iPhone neu erstellt und als VPN ID [FQDN - Hostname] eingetragen.
    Profile auf den iPhones habe ich gelöscht und neu gemacht - bisher ohne Erfolg.

    Die Iphone finden auch die Astaro den das Log erkennt das sich ein iPhone anmelden möchte - aber die Kommunikation bricht dann aus irgenwelchen gründen zusammen.


    Besten Dank für die Infos
    ich bleibe dran ...
  • 0 in reply to greenhornXXL
    @ Forscher

    Ich hab nun das L2TP über IPsec ausprobiert und dies funktioniert auf anhieb mit der Auth.-Methode: Verteilter Schlüssel.

    Wenn ich die X509 Methode austesten will finde ich im iPhone nicht die Einstellung umd die VPN Verbindung mit dem Zertifikat zu verheiraten.
    Das Zertifikat habe ich aus dem Benutzerportal auf das iPhone heruntergeladen und installiert, aber wie füge ich das der L2TP VPN Verbindung hinzu?!

    Kannst du mir hier noch einen Tipp geben ?!
    Vielleicht bin ich auch blind ;-)

    Viele Grüße
    greenhornXXL
  • 0
    welche Verschlüsselungsgröße hat das cisco VPN Cert? 

    Haben die Geräte iOS5?

    Da gab es doch einige nette Probleme seit iOS5.

    Cisco VPN Cert auf 2048Bit setzen und Signing CA neuerstellen hat abhilfe geschafft.

    vg

    edit: LT2P geht übers iPhone glaube ich nur mit PSK. Daher auch unbeliebt [:)]
Cookie Information Banner