Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 62 replies
  • Subscribers 1 subscriber
  • Views 44216 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Ipsec and iphone v3

wingman
Hi All 

I am trying to set up vpn from my iphone. I chose to use "Cisco VPN client and iphone". I have imported the vpn onto the iphone but when I am trying to connect via vpn I am getting the following error:

VPN server didn't respond. I am using dyndns.org which is up and resolves to my current wan address 

I have attached the relevant config. In order to try the connection I've set the any>any>any rule on the top with log and I can see that there is a IPsec packet 


22:33:01 Packetfilter rule #1 UDP 82.132.139.11 : 50624 

 → 172.16.1.2 : 500 

 len=672 ttl=38 tos=0x00 srcmac=00:1f[:D]0:0a:9a:89 dstmac=00:b0:c2:02:e3:c7 

 


The destination ip is the DMZ zone (I have a Masq rule for all incoming traffic to go to DMZ)

I can't find any relevant log on the IPsec VPN except the configuration applied and the following: 

2009:06:20-22:47:06 Astaro pluto[11273]: | next event EVENT_SHUNT_SCAN in 120 seconds 

2009:06:20-22:49:06 Astaro pluto[11273]: | 

2009:06:20-22:49:06 Astaro pluto[11273]: | *time to check crls and the ocsp cache 

2009:06:20-22:49:06 Astaro pluto[11273]: | next regular crl check in 600 seconds 

2009:06:20-22:49:06 Astaro pluto[11273]: | 

2009:06:20-22:49:06 Astaro pluto[11273]: | *time to handle event 

2009:06:20-22:49:06 Astaro pluto[11273]: | event after this is EVENT_REINIT_SECRET in 3000 seconds 

2009:06:20-22:49:06 Astaro pluto[11273]: | inserting event EVENT_SHUNT_SCAN, timeout in 120 seconds 

2009:06:20-22:49:06 Astaro pluto[11273]: | scanning for shunt eroutes 

2009:06:20-22:49:06 Astaro pluto[11273]: | next event EVENT_SHUNT_SCAN in 120 seconds 


PS I think that I need to specify something on the "override host name" filed on the iphone tab


If I remove the NAT rule, iphone cannot validate the server certificate

Ipsec Log: 

2009:06:20-23:15:12 Astaro pluto[11273]: | inserting event EVENT_RETRANSMIT, timeout in 40 seconds for #1 

2009:06:20-23:15:12 Astaro pluto[11273]: | next event EVENT_NAT_T_KEEPALIVE in 29 seconds 

2009:06:20-23:15:13 Astaro pluto[11273]: | rejected packet: 

2009:06:20-23:15:13 Astaro pluto[11273]: | 

2009:06:20-23:15:13 Astaro pluto[11273]: | control: 

2009:06:20-23:15:13 Astaro pluto[11273]: | 2c 00 00 00 00 00 00 00 0b 00 00 00 6f 00 00 00 

2009:06:20-23:15:13 Astaro pluto[11273]: | 02 03 03 00 00 00 00 00 00 00 00 00 02 00 00 00 

2009:06:20-23:15:13 Astaro pluto[11273]: | 52 84 8b 12 00 00 00 00 00 00 00 00 

2009:06:20-23:15:13 Astaro pluto[11273]: | name: 

2009:06:20-23:15:13 Astaro pluto[11273]: | 02 00 6b 3b 52 84 8b 12 00 00 00 00 00 00 00 00 

2009:06:20-23:15:13 Astaro pluto[11273]: ERROR: asynchronous network error report on eth2 for message to 82.132.139.18 port 27451, complainant 82.132.139.18: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)] 

2009:06:20-23:15:13 Astaro pluto[11273]: | next event EVENT_NAT_T_KEEPALIVE in 28 seconds 



Anyone knows how to overcome this issue?
Thanks


This thread was automatically locked due to age.
  • 0
    The destination ip is the DMZ zone (I have a Masq rule for all incoming traffic to go to DMZ)

    Could you explain?

    FWIW, I use L2TP over IPsec, and the automated setup with the End User Portal via Safari works flawlessly.
  • 0 in reply to BAlfson
    I have a rule under (Network Security » NAT) where all the incoming traffic goes to the DMZ zone

    Traffic selector: Any → Any → WAN (Address)
    Destination translation: PC_DMZ_client
    Automatic packet filter rule: NO

    Thus protecting all inside zone. What I mean on my comment above is that if that rule is on then the vpn server is not responding. I have to define one for the VPN traffic to go to zone 1. However, I am still facing the issue where the iphone cannot validate the server certificate
  • 0 in reply to wingman
    I don't have that problem when I follow the above steps to download everything through Safari.  If it validates the cert with your NAT in place, then you don't need to change the override hostname.

    Your problem would seem to be routing, and I'm a little confused about what you gain from NATting everything to the DMZ.  Frankly, I don't understand all this well enough to know what's happening with that NAT, so maybe you could turn it off until the VPN problem is solved.

    I also think you can get rid of the Any->Any->WAN packet filter rules and just check 'Automatic packet filter rules'.  I'm not sure, but I think the IPsec communication happens before anything gets to the defined rules.  You can set rules on the 'VPN Pool (IPsec)' subnet, but that's on traffic after it's passed through the VPN and has been stripped out of the IPsec packets.

    The Astaro is a stateful firewall.  That means that, in general, NONE of the inbound ports need to be opened.  If there are outbound ports opened for traffic coming from the internal network, Astaro will accept the response traffic and route it to the requesting device.  So, for example, unsolicited port 80 packets will be dropped even as you actively surf the Web.

    Typically, if a webserver or FTP server is to be accessed by the outside world, that's what goes into the DMZ.  Even then, the only access to them is strictly limited with DNATs and a minimum of opened inbound ports.

    Cheers  -Bob
  • 0 in reply to BAlfson
    I removed the Natting and then reinstall the vpn certificate on my iphone. Still no luck .I got the same error (cannot validate certificate).

    I get the same error when connecting to user portal via iphone's safari

    I've attached the global settings on my previous post. Any thoughts?
  • 0 in reply to wingman
    A pic of your Cisco 'Global' tab?

    I'm confused though that you said the cert was recognized when you had a NAT in place.  Can you also show a picture of that NAT?

    Have you changed the hostname of your Astaro since you installed it?

    Cheers - Bob
    PS Off to a party, so see y'all tomorrow!
  • 0 in reply to BAlfson
    I thought the only option to set up iphone is only if you choose remote access and then depends on the type of the connection (IPSEC etc).Am I right?


    I am always getting an certifcate issue when trying to access the user portal via iphone (with or without NAT in place). I can install the profile on the iphone (still says can't be validated etc but can be installed)

    I haven't changed the name at all

    Have a good time
  • 0 in reply to BAlfson
    I thought the only option to set up iphone is only if you choose remote access and then depends on the type of the connection (IPSEC etc).Am I right?


    I am always getting an certifcate issue when trying to access the user portal via iphone (with or without NAT in place). I can install the profile on the iphone (still says can't be validated etc but can be installed)

    I haven't changed the name at all

    Have a good time
  • 0 in reply to BAlfson
    I thought the only option to set up iphone is only if you choose remote access and then depends on the type of the connection (IPSEC etc).Am I right?


    I am always getting an certifcate issue when trying to access the user portal via iphone (with or without NAT in place). I can install the profile on the iphone (still says can't be validated etc but can be installed)

    I haven't changed the name at all

    Have a good time
  • 0 in reply to BAlfson
    I thought the only option to set up iphone is only if you choose remote access and then depends on the type of the connection (IPSEC etc).Am I right?


    I am always getting an certifcate issue when trying to access the user portal via iphone (with or without NAT in place). I can install the profile on the iphone (still says can't be validated etc but can be installed)

    I haven't changed the name at all

    Have a good time
  • 0 in reply to BAlfson
    I thought the only option to set up iphone is only if you choose remote access and then depends on the type of the connection (IPSEC etc).Am I right?


    I am always getting an certifcate issue when trying to access the user portal via iphone (with or without NAT in place). I can install the profile on the iphone (still says can't be validated etc but can be installed)

    I haven't changed the name at all

    Have a good time