Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 25 replies
  • Subscribers 1 subscriber
  • Views 8824 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

iPhone 5 und CiscoVPN - erneuter Versuch

ChristophKlahn
Hallo,

ich scheitere immer noch an der Einrichtung einer funktionierenden VPN-Verbindung von meinem iPhone 5 (Cisco-Client) zur Astaro mit aktueller UTM 9.

Ich habe "iPhone5" als Benutzer angelegt und zusätzlich eine Gruppe "iOS-Devices". "iPhone5" dann in die Gruppe "iOS-Devices" gelegt.

Es wird dabei ein X509-Zertifikat für den Benutzer "iPhone5" erzeugt.

Dann gehe ich im WLAN mit meinem iPhone auf das Benutzerportal, wähle "Fremdzugriff" und wähle den Download für Cisco-Clients.

Mein iPhone lädt das Zertifikat und ich muß es bestätigen, damit es installiert wird.

Auf der Astaro habe ich unter "Remote Access/CISCO VPN-Client" als Local Network mein lokales Netzwerk angegeben und unter "Users &Groups" "iOS-Devices".

Unter dem Reiter "iOS Devices" habe ich unter "Override Hostname" meine DynDNS-Adresse eingetragen.

Wenn ich jetzt mit dem iPhone die VPN-Verbindung aufbauen will, kommt immer die Fehlermeldung "Serverzertifikat konnte nicht überprüft werden.".

Was mache ich falsch?

Gruß
Christoph


This thread was automatically locked due to age.
  • 0
    Hast du bei CISCO VPN die WAN als VPN Access NIC angegeben? 
    Was steht im LOG der UTM?
    Versuche es mal mit einem Client PC.

    Was passiert da?
  • 0 in reply to moddix
    Hallo,

    die WAN-NIC ist ausgewählt.

    Das Log sieht gut aus und am Ende kommt folgende Meldung:

    2013:01:28-22:01:18 utm-1 pluto[17497]: ERROR: asynchronous network error report on ppp0 for message to 80.187.106.237 port 28935, complainant 80.187.106.237: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]
    2013:01:28-22:01:18 utm-1 pluto[17497]: | next event EVENT_RETRANSMIT in 19 seconds for #3

    Mit einem anderen PC kann ich das erst in den nächsten Tagen testen.

    Sagt Dir der obere Fehler irgendwas?

    Gruß
    Christoph
  • 0 in reply to ChristophKlahn
    Hi,

    erstell mal ein Zertifikat für Deine Dyndns Adresse und binde es dann auf die VPN Verbindung. Danach nochmal neu auf dem iPhone einrichten und jetzt sollte die Verbindung funktionieren. 

    Gruss
  • 0 in reply to capsuel
    Hallo,

    obwohl ich "Override Hostname" gewählt habe und dort meine Dyndns-Adresse eingetragen habe? Wäre zumindest eine Idee. Werde ich heute abend mal ausprobieren.

    D.h. unter Zertifikatsverwaltung eine neues Zertifikat erstellen mit folgenden Parametern:

    Keysize: 1024 oder 2048 Bit? Ich meinte mal gelesen zu haben, daß iPhone nur mit 1024 Bit umgehen kann?

    Hostname: ***.dyndns.org

    Das sollte doch alles sein, oder?

    Gruß
    Christoph
  • 0 in reply to ChristophKlahn
    Hi,

    ich hatte auch große Probleme mit meiner VPN zum iPhone. Habs erst gelöst bekommen, nachdem ich es über L2TP gemacht habe und meine (damals noch) Astaro direkt als Router ans Netz hinter ein Modem gehangen habe.

    Danach hat es direkt geklappt bei mir.

    Viel Erfolg.
  • 0 in reply to Chicky
    Hallo Chicky,

    die Astaro hängt direkt hinter dem Modem. Aber ich will unbedingt den Cisco-Client. Ist mittlerweile auch eine Frage der Ehre :-)
  • 0
    Also ich meine ios in neueren Versionen verlangt hohe keysizes. Ich hab ein neues Zertifikat für die asg gemacht mit keysize 4096. Dabei hab ich jedes Feld ausgefüllt, aber mit sehr kurzen Werten und ohne Umlaute. Dazu gibt es auch hier eines anderen Thread zu - musst mal suchen.

    Gruß
    Manfred
  • 0
    Kann nur bestätigen das IPsec von Cisco ist sehr zuverlässig läuft auf jedem Gerät sauber und schnell.
  • 0 in reply to moddix
    Hallo capsuel,

    Bingo, das war es. Ich habe ein neues Zertifikat für die dyndns-Adresse mit 2048 Bit Tiefe erzeugt, dann das iPhone neu eingerichtet und siehe da: alles Bestens.

    Danke für den Tip.

    Gruß
    Christoph
  • 0 in reply to ChristophKlahn
    Hi ich habe genau das selbe Problem ich habe es dann per PPTP gemacht.
    Meine erste Wahl wäre aber auch IPSec evtl kann ir jemand helfen?

    iPhone 5 (Cisco-Client) zur Astaro mit aktueller UTM 9.
     
    Ich verwende den User "admin" als Benutzer 
    Als X509-Zertifikat habe ich folgendes angelegt per E-Mail zugesendet und installiert auf iphone. Mit folgenden Parametern:

    Name: ***.dyndns.org
    Keysize: 2048 Bit
    VPN-ID Typ = Hostname ist das richtig?
    Hostname: ***.dyndns.org
    Land Germany
    Staat Berlin
    Stadt Berlin
    Orgasnisation vName
    Allgemeiner Name: Certifikat
    E-Mail: Meine EMail


    Ich lade das Cert per E-Mail auf iPhone das macht ja nichts oder?
    Mein iPhone lädt das Zertifikat und ich muß es bestätigen, damit es installiert wird.
     
    Astaro Einstellung unter  "Remote Access/CISCO VPN-Client" 
    Schnittstelle: External WAN
    Serverzertifikat: ***.dyndns.org
    Pool Netzwerk VPN Pool (Cisco)

    Lokales Netzwerk "Internal Network"
    Benutzer: Admin
    Automatische FW regel anlegen
     
    Im Reiter My OS Divice habe ich nichts veränder?!
    Muss ich hier was eingeben wenn ja was?

    Im iPhone habe ich folgendes angegeben
    Beschreibung: VPN
    Server: Dyndns Adresse
    Account: admin
    Kennwort: Kennwort von User Admin
    Zertifikat: ein
    Dann das gerade eben hoch geladene Zertifikat ausgewählt!


    Im Live log steht 


    TM pluto[8225]: "D_for admin to Internal (Network)"[2] 108.14.0.52:51920 #12: certificate status unknown
    2013:01:30-17:33:38 SophosUTM pluto[8225]: "D_for admin to Internal (Network)"[2] 108.14.0.52:51920  #12: no suitable connection for peer 'C=de, ST=Berlin, L=Berlin, O=vName, CN=Certifikat, E=email@gmx.de'
    2013:01:30-17:33:38 SophosUTM pluto[8225]: "D_for admin to Internal (Network)"[2] 108.14.0.52:51920 #12: sending encrypted notification INVALID_ID_INFORMATION to 108.14.0.52:51920 
    2013:01:30-17:34:24 SophosUTM pluto[8225]: "D_for admin to Internal (Network)"[2] 108.14.0.52:51920 #12: max number of retransmissions (2) reached STATE_MAIN_R2
    2013:01:30-17:34:24 SophosUTM pluto[8225]: "D_for admin to Internal (Network)"[2] 109.84.0.92:51920: deleting connection "D_for admin to Internal (Network)"[2] instance with peer 108.14.0.52 {isakmp=#0/ipsec



     LG


    EDIT was ist der Unteschied zwischen 
    "Remote Access/CISCO VPN-Client"  und
    "Remote Access/iPSec" 

    Cisco VPN geht doch über IPSec, muss ich also auch bei dem Punkt IPSec etwas konfigurieren?
Cookie Information Banner