Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 62 replies
  • Subscribers 1 subscriber
  • Views 44215 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Ipsec and iphone v3

wingman
Hi All 

I am trying to set up vpn from my iphone. I chose to use "Cisco VPN client and iphone". I have imported the vpn onto the iphone but when I am trying to connect via vpn I am getting the following error:

VPN server didn't respond. I am using dyndns.org which is up and resolves to my current wan address 

I have attached the relevant config. In order to try the connection I've set the any>any>any rule on the top with log and I can see that there is a IPsec packet 


22:33:01 Packetfilter rule #1 UDP 82.132.139.11 : 50624 

 → 172.16.1.2 : 500 

 len=672 ttl=38 tos=0x00 srcmac=00:1f[:D]0:0a:9a:89 dstmac=00:b0:c2:02:e3:c7 

 


The destination ip is the DMZ zone (I have a Masq rule for all incoming traffic to go to DMZ)

I can't find any relevant log on the IPsec VPN except the configuration applied and the following: 

2009:06:20-22:47:06 Astaro pluto[11273]: | next event EVENT_SHUNT_SCAN in 120 seconds 

2009:06:20-22:49:06 Astaro pluto[11273]: | 

2009:06:20-22:49:06 Astaro pluto[11273]: | *time to check crls and the ocsp cache 

2009:06:20-22:49:06 Astaro pluto[11273]: | next regular crl check in 600 seconds 

2009:06:20-22:49:06 Astaro pluto[11273]: | 

2009:06:20-22:49:06 Astaro pluto[11273]: | *time to handle event 

2009:06:20-22:49:06 Astaro pluto[11273]: | event after this is EVENT_REINIT_SECRET in 3000 seconds 

2009:06:20-22:49:06 Astaro pluto[11273]: | inserting event EVENT_SHUNT_SCAN, timeout in 120 seconds 

2009:06:20-22:49:06 Astaro pluto[11273]: | scanning for shunt eroutes 

2009:06:20-22:49:06 Astaro pluto[11273]: | next event EVENT_SHUNT_SCAN in 120 seconds 


PS I think that I need to specify something on the "override host name" filed on the iphone tab


If I remove the NAT rule, iphone cannot validate the server certificate

Ipsec Log: 

2009:06:20-23:15:12 Astaro pluto[11273]: | inserting event EVENT_RETRANSMIT, timeout in 40 seconds for #1 

2009:06:20-23:15:12 Astaro pluto[11273]: | next event EVENT_NAT_T_KEEPALIVE in 29 seconds 

2009:06:20-23:15:13 Astaro pluto[11273]: | rejected packet: 

2009:06:20-23:15:13 Astaro pluto[11273]: | 

2009:06:20-23:15:13 Astaro pluto[11273]: | control: 

2009:06:20-23:15:13 Astaro pluto[11273]: | 2c 00 00 00 00 00 00 00 0b 00 00 00 6f 00 00 00 

2009:06:20-23:15:13 Astaro pluto[11273]: | 02 03 03 00 00 00 00 00 00 00 00 00 02 00 00 00 

2009:06:20-23:15:13 Astaro pluto[11273]: | 52 84 8b 12 00 00 00 00 00 00 00 00 

2009:06:20-23:15:13 Astaro pluto[11273]: | name: 

2009:06:20-23:15:13 Astaro pluto[11273]: | 02 00 6b 3b 52 84 8b 12 00 00 00 00 00 00 00 00 

2009:06:20-23:15:13 Astaro pluto[11273]: ERROR: asynchronous network error report on eth2 for message to 82.132.139.18 port 27451, complainant 82.132.139.18: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)] 

2009:06:20-23:15:13 Astaro pluto[11273]: | next event EVENT_NAT_T_KEEPALIVE in 28 seconds 



Anyone knows how to overcome this issue?
Thanks


This thread was automatically locked due to age.
Parents
  • 0
    The destination ip is the DMZ zone (I have a Masq rule for all incoming traffic to go to DMZ)

    Could you explain?

    FWIW, I use L2TP over IPsec, and the automated setup with the End User Portal via Safari works flawlessly.
  • 0 in reply to BAlfson
    I have a rule under (Network Security » NAT) where all the incoming traffic goes to the DMZ zone

    Traffic selector: Any → Any → WAN (Address)
    Destination translation: PC_DMZ_client
    Automatic packet filter rule: NO

    Thus protecting all inside zone. What I mean on my comment above is that if that rule is on then the vpn server is not responding. I have to define one for the VPN traffic to go to zone 1. However, I am still facing the issue where the iphone cannot validate the server certificate
  • 0 in reply to wingman
    A pic of your Cisco 'Global' tab? (The pic you showed was not one related to IPsec, VPN or Cisco.)

    Cheers - Bob
  • 0 in reply to BAlfson
    Bob I am referring to my first post and not the one which displays the NAT rule [:)]
  • 0 in reply to wingman
    OK, I'm lost.  I just connected from my iPhone via the Cisco (IPsec) connection to my 7.460 beta box.  I connected via L2TP over IPsec to my production 7.403 box.  I connected to the End User Portal on our production 7.403 without using VPN.  No certs were requested to be ignored.

    Cheers - Bob
  • 0 in reply to BAlfson
    @Wingman, this appears to be a new issue with the 3.0 software on the iPhone/iPod Touch.  We have an open case on the issue and QA is working on it.  Apple has apparently changed the behavior of the Cisco IPSec client in 3.0 and is not accepting the certificates as they were in prior versions.

    The best temporary workaround is to use L2TP over IPSec until we can sort out what Apple did to certificate handling int he "Cisco" VPNs.


    Jack
  • 0 in reply to Jack Daniel
    @Wingman, this appears to be a new issue with the 3.0 software on the iPhone/iPod Touch.  We have an open case on the issue and QA is working on it.  Apple has apparently changed the behavior of the Cisco IPSec client in 3.0 and is not accepting the certificates as they were in prior versions.

    The best temporary workaround is to use L2TP over IPSec until we can sort out what Apple did to certificate handling int he "Cisco" VPNs.


    Jack


    thanks Jack
  • 0 in reply to wingman
    Wingman-

    Can you check your X.509 cert and make sure that the listed hostname both matches the ASG's hostname and is in a FQDN (host.domain.ext) format?

    Also, please check under Site-to-site VPN > IPSec > Advanced tab, and make sure Strict Policy is not selected in the CRL Box.

    Thanks
    Jack
  • 0 in reply to Jack Daniel
    I haven't configured Site-to-site at all. I only configured remote access>>ipsec and remote access>>cisco vpn client

    however, I dont have the strict policy enabled in neither site-to-site nor remote access
  • 0 in reply to wingman
    OK, thanks- that setting actually carries over to Remote access.  Did you get a chance to chack and compare the hostname on the ASG to the X.509 cert?  

    Jack
  • 0 in reply to Jack Daniel
    Jack, do you mean that the selection of 'Strict policy' in S-t-S IPsec or Remote Access IPsec affects that for both AND for the Cisco VPN?  If that's the case, then I think that you should submit it as a bug in the 7.5 beta contest... you need to get on the scoreboard! [;)]

    Seriously, since this is some kind of global setting, at least the documentation should be reworked.  The good news is that selecting it in S-t-S results in it being selected in Remote Access, too.

    Cheers - Bob
    PS Does it also affect L2TP over IPsec if using a cert instead of a PSK?
  • 0 in reply to Jack Daniel
    OK, thanks- that setting actually carries over to Remote access.  Did you get a chance to chack and compare the hostname on the ASG to the X.509 cert?  

    Jack


    Yes Jack,the hostnames are then same. There is a relevant thread I've opened where my connection is being dropped when trying to connect my iphone. I would  appreciate if you could have a look
Reply
  • 0 in reply to Jack Daniel
    OK, thanks- that setting actually carries over to Remote access.  Did you get a chance to chack and compare the hostname on the ASG to the X.509 cert?  

    Jack


    Yes Jack,the hostnames are then same. There is a relevant thread I've opened where my connection is being dropped when trying to connect my iphone. I would  appreciate if you could have a look
Children
No Data