Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 62 replies
  • Subscribers 1 subscriber
  • Views 44237 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Ipsec and iphone v3

wingman
Hi All 

I am trying to set up vpn from my iphone. I chose to use "Cisco VPN client and iphone". I have imported the vpn onto the iphone but when I am trying to connect via vpn I am getting the following error:

VPN server didn't respond. I am using dyndns.org which is up and resolves to my current wan address 

I have attached the relevant config. In order to try the connection I've set the any>any>any rule on the top with log and I can see that there is a IPsec packet 


22:33:01 Packetfilter rule #1 UDP 82.132.139.11 : 50624 

 → 172.16.1.2 : 500 

 len=672 ttl=38 tos=0x00 srcmac=00:1f[:D]0:0a:9a:89 dstmac=00:b0:c2:02:e3:c7 

 


The destination ip is the DMZ zone (I have a Masq rule for all incoming traffic to go to DMZ)

I can't find any relevant log on the IPsec VPN except the configuration applied and the following: 

2009:06:20-22:47:06 Astaro pluto[11273]: | next event EVENT_SHUNT_SCAN in 120 seconds 

2009:06:20-22:49:06 Astaro pluto[11273]: | 

2009:06:20-22:49:06 Astaro pluto[11273]: | *time to check crls and the ocsp cache 

2009:06:20-22:49:06 Astaro pluto[11273]: | next regular crl check in 600 seconds 

2009:06:20-22:49:06 Astaro pluto[11273]: | 

2009:06:20-22:49:06 Astaro pluto[11273]: | *time to handle event 

2009:06:20-22:49:06 Astaro pluto[11273]: | event after this is EVENT_REINIT_SECRET in 3000 seconds 

2009:06:20-22:49:06 Astaro pluto[11273]: | inserting event EVENT_SHUNT_SCAN, timeout in 120 seconds 

2009:06:20-22:49:06 Astaro pluto[11273]: | scanning for shunt eroutes 

2009:06:20-22:49:06 Astaro pluto[11273]: | next event EVENT_SHUNT_SCAN in 120 seconds 


PS I think that I need to specify something on the "override host name" filed on the iphone tab


If I remove the NAT rule, iphone cannot validate the server certificate

Ipsec Log: 

2009:06:20-23:15:12 Astaro pluto[11273]: | inserting event EVENT_RETRANSMIT, timeout in 40 seconds for #1 

2009:06:20-23:15:12 Astaro pluto[11273]: | next event EVENT_NAT_T_KEEPALIVE in 29 seconds 

2009:06:20-23:15:13 Astaro pluto[11273]: | rejected packet: 

2009:06:20-23:15:13 Astaro pluto[11273]: | 

2009:06:20-23:15:13 Astaro pluto[11273]: | control: 

2009:06:20-23:15:13 Astaro pluto[11273]: | 2c 00 00 00 00 00 00 00 0b 00 00 00 6f 00 00 00 

2009:06:20-23:15:13 Astaro pluto[11273]: | 02 03 03 00 00 00 00 00 00 00 00 00 02 00 00 00 

2009:06:20-23:15:13 Astaro pluto[11273]: | 52 84 8b 12 00 00 00 00 00 00 00 00 

2009:06:20-23:15:13 Astaro pluto[11273]: | name: 

2009:06:20-23:15:13 Astaro pluto[11273]: | 02 00 6b 3b 52 84 8b 12 00 00 00 00 00 00 00 00 

2009:06:20-23:15:13 Astaro pluto[11273]: ERROR: asynchronous network error report on eth2 for message to 82.132.139.18 port 27451, complainant 82.132.139.18: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)] 

2009:06:20-23:15:13 Astaro pluto[11273]: | next event EVENT_NAT_T_KEEPALIVE in 28 seconds 



Anyone knows how to overcome this issue?
Thanks


This thread was automatically locked due to age.
  • 0 in reply to BAlfson
    I thought the only option to set up iphone is only if you choose remote access and then depends on the type of the connection (IPSEC etc).Am I right?


    I am always getting an certifcate issue when trying to access the user portal via iphone (with or without NAT in place). I can install the profile on the iphone (still says can't be validated etc but can be installed)

    I haven't changed the name at all

    Have a good time
  • 0 in reply to BAlfson
    I thought the only option to set up iphone is only if you choose remote access and then depends on the type of the connection (IPSEC etc).Am I right?


    I am always getting an certifcate issue when trying to access the user portal via iphone (with or without NAT in place). I can install the profile on the iphone (still says can't be validated etc but can be installed)

    I haven't changed the name at all

    Have a good time
  • 0 in reply to BAlfson
    I thought the only option to set up iphone is only if you choose remote access and then depends on the type of the connection (IPSEC etc).Am I right?


    I am always getting an certifcate issue when trying to access the user portal via iphone (with or without NAT in place). I can install the profile on the iphone (still says can't be validated etc but can be installed)

    I haven't changed the name at all

    Have a good time
  • 0 in reply to BAlfson
    I thought the only option to set up iphone is only if you choose remote access and then depends on the type of the connection (IPSEC etc).Am I right?


    I am always getting an certifcate issue when trying to access the user portal via iphone (with or without NAT in place). I can install the profile on the iphone (still says can't be validated etc but can be installed)

    I haven't changed the name at all

    Have a good time
  • 0 in reply to BAlfson
    I thought the only option to set up iphone is only if you choose remote access and then depends on the type of the connection (IPSEC etc).Am I right?


    I am always getting an certifcate issue when trying to access the user portal via iphone (with or without NAT in place). I can install the profile on the iphone (still says can't be validated etc but can be installed)

    I haven't changed the name at all

    Have a good time
  • 0 in reply to BAlfson
    I thought the only option to set up iphone is only if you choose remote access and then depends on the type of the connection (IPSEC etc).Am I right?


    I am always getting an certifcate issue when trying to access the user portal via iphone (with or without NAT in place). I can install the profile on the iphone (still says can't be validated etc but can be installed)

    I haven't changed the name at all

    Have a good time
  • 0 in reply to BAlfson
    I thought the only option to set up iphone is only if you choose remote access and then depends on the type of the connection (IPSEC etc).Am I right?


    I am always getting an certifcate issue when trying to access the user portal via iphone (with or without NAT in place). I can install the profile on the iphone (still says can't be validated etc but can be installed)

    I haven't changed the name at all

    Have a good time
  • 0 in reply to BAlfson
    I thought the only option to set up iphone is only if you choose remote access and then depends on the type of the connection (IPSEC etc).Am I right?


    I am always getting an certifcate issue when trying to access the user portal via iphone (with or without NAT in place). I can install the profile on the iphone (still says can't be validated etc but can be installed)

    I haven't changed the name at all

    Have a good time
  • 0 in reply to BAlfson
    I thought the only option to set up iphone is only if you choose remote access and then depends on the type of the connection (IPSEC etc).Am I right?


    I am always getting an certifcate issue when trying to access the user portal via iphone (with or without NAT in place). I can install the profile on the iphone (still says can't be validated etc but can be installed)

    I haven't changed the name at all

    Have a good time
  • 0 in reply to BAlfson
    I thought the only option to set up iphone is only if you choose remote access and then depends on the type of the connection (IPSEC etc).Am I right?


    I am always getting an certifcate issue when trying to access the user portal via iphone (with or without NAT in place). I can install the profile on the iphone (still says can't be validated etc but can be installed)

    I haven't changed the name at all

    Have a good time