This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

iPhone 5 und CiscoVPN - erneuter Versuch

Hallo,

ich scheitere immer noch an der Einrichtung einer funktionierenden VPN-Verbindung von meinem iPhone 5 (Cisco-Client) zur Astaro mit aktueller UTM 9.

Ich habe "iPhone5" als Benutzer angelegt und zusätzlich eine Gruppe "iOS-Devices". "iPhone5" dann in die Gruppe "iOS-Devices" gelegt.

Es wird dabei ein X509-Zertifikat für den Benutzer "iPhone5" erzeugt.

Dann gehe ich im WLAN mit meinem iPhone auf das Benutzerportal, wähle "Fremdzugriff" und wähle den Download für Cisco-Clients.

Mein iPhone lädt das Zertifikat und ich muß es bestätigen, damit es installiert wird.

Auf der Astaro habe ich unter "Remote Access/CISCO VPN-Client" als Local Network mein lokales Netzwerk angegeben und unter "Users &Groups" "iOS-Devices".

Unter dem Reiter "iOS Devices" habe ich unter "Override Hostname" meine DynDNS-Adresse eingetragen.

Wenn ich jetzt mit dem iPhone die VPN-Verbindung aufbauen will, kommt immer die Fehlermeldung "Serverzertifikat konnte nicht überprüft werden.".

Was mache ich falsch?

Gruß
Christoph

This thread was automatically locked due to age.

Parents

0 moddix over 12 years ago

Kann nur bestätigen das IPsec von Cisco ist sehr zuverlässig läuft auf jedem Gerät sauber und schnell.
Cancel
Vote Up 0 Vote Down

Cancel
0 ChristophKlahn over 12 years ago in reply to moddix

Hallo capsuel,

Bingo, das war es. Ich habe ein neues Zertifikat für die dyndns-Adresse mit 2048 Bit Tiefe erzeugt, dann das iPhone neu eingerichtet und siehe da: alles Bestens.

Danke für den Tip.

Gruß
Christoph
Cancel
Vote Up 0 Vote Down

Cancel
0 MrSonei6 over 12 years ago in reply to ChristophKlahn

Hi ich habe genau das selbe Problem ich habe es dann per PPTP gemacht.
Meine erste Wahl wäre aber auch IPSec evtl kann ir jemand helfen?

iPhone 5 (Cisco-Client) zur Astaro mit aktueller UTM 9.

Ich verwende den User "admin" als Benutzer
Als X509-Zertifikat habe ich folgendes angelegt per E-Mail zugesendet und installiert auf iphone. Mit folgenden Parametern:

Name: ***.dyndns.org
Keysize: 2048 Bit
VPN-ID Typ = Hostname ist das richtig?
Hostname: ***.dyndns.org
Land Germany
Staat Berlin
Stadt Berlin
Orgasnisation vName
Allgemeiner Name: Certifikat
E-Mail: Meine EMail

Ich lade das Cert per E-Mail auf iPhone das macht ja nichts oder?
Mein iPhone lädt das Zertifikat und ich muß es bestätigen, damit es installiert wird.

Astaro Einstellung unter  "Remote Access/CISCO VPN-Client"
Schnittstelle: External WAN
Serverzertifikat: ***.dyndns.org
Pool Netzwerk VPN Pool (Cisco)

Lokales Netzwerk "Internal Network"
Benutzer: Admin
Automatische FW regel anlegen

Im Reiter My OS Divice habe ich nichts veränder?!
Muss ich hier was eingeben wenn ja was?

Im iPhone habe ich folgendes angegeben
Beschreibung: VPN
Server: Dyndns Adresse
Account: admin
Kennwort: Kennwort von User Admin
Zertifikat: ein
Dann das gerade eben hoch geladene Zertifikat ausgewählt!

Im Live log steht

TM pluto[8225]: "D_for admin to Internal (Network)"[2] 108.14.0.52:51920 #12: certificate status unknown
2013:01:30-17:33:38 SophosUTM pluto[8225]: "D_for admin to Internal (Network)"[2] 108.14.0.52:51920  #12: no suitable connection for peer 'C=de, ST=Berlin, L=Berlin, O=vName, CN=Certifikat, E=email@gmx.de'
2013:01:30-17:33:38 SophosUTM pluto[8225]: "D_for admin to Internal (Network)"[2] 108.14.0.52:51920 #12: sending encrypted notification INVALID_ID_INFORMATION to 108.14.0.52:51920
2013:01:30-17:34:24 SophosUTM pluto[8225]: "D_for admin to Internal (Network)"[2] 108.14.0.52:51920 #12: max number of retransmissions (2) reached STATE_MAIN_R2
2013:01:30-17:34:24 SophosUTM pluto[8225]: "D_for admin to Internal (Network)"[2] 109.84.0.92:51920: deleting connection "D_for admin to Internal (Network)"[2] instance with peer 108.14.0.52 {isakmp=#0/ipsec

LG

EDIT was ist der Unteschied zwischen
"Remote Access/CISCO VPN-Client"  und
"Remote Access/iPSec"

Cisco VPN geht doch über IPSec, muss ich also auch bei dem Punkt IPSec etwas konfigurieren?
Cancel
Vote Up 0 Vote Down

Cancel
0 ChristophKlahn over 12 years ago in reply to MrSonei6

Trage in der UTM 9 unter Cisco-VPN, zweite Lasche unter "Override Hostname" Deine dyndns-Adresse ein.

Alles andere klingt ersteinmal vernünftig.

Gruß
Christoph
Cancel
Vote Up 0 Vote Down

Cancel
0 MrSonei6 over 12 years ago in reply to MrSonei6

Komisch ist das es mit dem Dyndns Zertifikat auch vom PC über einen CISCO VPN Client nicht geht.

Wenn ich am PC über CISCO VPN das Admin Zertifikat verwende gehts
Egal was ich in der Sophos UTM angebe

Was mir auffällt ist das ich in Sophos UTM "Fernzugriff/CISCO VPN Client"
unter Serverzertifikat dasAdmin oder das Dyndns Zertifikat angeben kann ich bekomm immer eine VPN Verbindung vom PC mit dem Admin zertifikat zustande! Das dürfte ja auch nciht sein oder?

In der Sophos UTM Konsole
Reiter iOs

hat der Verbindungsname auch eine Funktion oder ist der frei wählbar?
Ich habe jetzt Hostname übergehen meine dyndns Adresse eingetragen
Und im ersten reiter wieder als Serverzertifikat das von der DYNDNS angegeben!
geht immer noch nicht!
Cancel
Vote Up 0 Vote Down

Cancel

Reply

0 MrSonei6 over 12 years ago in reply to MrSonei6

Komisch ist das es mit dem Dyndns Zertifikat auch vom PC über einen CISCO VPN Client nicht geht.

Wenn ich am PC über CISCO VPN das Admin Zertifikat verwende gehts
Egal was ich in der Sophos UTM angebe

Was mir auffällt ist das ich in Sophos UTM "Fernzugriff/CISCO VPN Client"
unter Serverzertifikat dasAdmin oder das Dyndns Zertifikat angeben kann ich bekomm immer eine VPN Verbindung vom PC mit dem Admin zertifikat zustande! Das dürfte ja auch nciht sein oder?

In der Sophos UTM Konsole
Reiter iOs

hat der Verbindungsname auch eine Funktion oder ist der frei wählbar?
Ich habe jetzt Hostname übergehen meine dyndns Adresse eingetragen
Und im ersten reiter wieder als Serverzertifikat das von der DYNDNS angegeben!
geht immer noch nicht!
Cancel
Vote Up 0 Vote Down

Cancel

Children

No Data