Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 1 subscriber
  • Views 12199 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Connecting OS X 10.6.x IPSec VPN client to ASG 7.506

Moose
Hi folks,

just a few days ago my wife bought a brand new MacBook Pro with Snow Leopard. After installing all updates current OS level is 10.6.4.

First of all I have to mention I'm not an Apple Guru (so far ...). But, as OS X is based on UNIX I'm confident because UNIX is one of my 'native' system knowledges [:)]

Well, as I read on the web Snow Leopard (i.e. OS X > 10.6.x) comes with a built-in CISCO (IPSec) VPN client.

But, so far I just found manuals/descriptions for connecting iPones/iPads with their built-in IPSec clients to an ASG. 

For my Linux and Windows machines I'm using the shrew vpn client, but there's no implementation for OS X.

So my question is if anybody has some experiences in connecting a Snow Leopard system with its built-in CISCO IPSec VPN client to an ASG Ver. 7.506 .

Any hints would be greatly appreciated. Thanks a lot in advance!

Greetinx

Guido


This thread was automatically locked due to age.
Parents
  • 0
    Hello again,

    first of all thanks to CraigD and BAlfson for their suggestions!

    Well, as mentioned above I'd like to use IPSec and the OS X 10.6.x built-in Cisco VPN IPSec client.

    As described in several (Astaro respectively Apple) guides I performed the following steps so far:

    [LIST=1]
    • Created a new user on ASG
    • Created a new X.509 certificate on my ASG with VPN ID type hostname (as I read this is important for OS X) and the hostname of my ASG (i.e. no fqdn)
    • Assigned this newly built cert to the user created in 1.
    • Created a new 'Cisco VPN Client' connection under 'Remote access' using the user 1. and the cert from 2. For first test automatic packet filter rules are disabled.
    • Connect user 1. over LAN from Mac to my ASG, logged in and downloaded the cert (2.) to Mac.
    • Imported this cert to the 'system' keyring on Mac
    • Created a new Cisco VPN Client interface/connection in the network settings of the mac and assigned the freshly imported cert (2.)
    • On the Mac: disabled LAN, Enabled WLAN (192.168.2.250) and tried to connect the VPN over WLAN to the WLAN-NIC (eth2) of my ASG.
    • Got the following output from live protocol on my ASG:
    [/LIST] 

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: received Vendor ID payload [RFC 3947]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: ignoring Vendor ID payload [4df37928e9fc4fd1b3262170d515c662]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: received Vendor ID payload [XAUTH]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: ignoring Vendor ID payload [Cisco-Unity]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: received Vendor ID payload [Dead Peer Detection]

    2010:07:24-17:47:30 gate pluto[18841]: "D_REF_vLOuTsLXHa"[1] 192.168.2.250 #7: responding to Main Mode from unknown peer 192.168.2.250

    2010:07:24-17:47:30 gate pluto[18841]: "D_REF_vLOuTsLXHa"[1] 192.168.2.250 #7: NAT-Traversal: Result using RFC 3947: no NAT detected

    2010:07:24-17:47:30 gate pluto[18841]: "D_REF_vLOuTsLXHa"[1] 192.168.2.250 #7: Peer ID is ID_DER_ASN1_DN: 'C=xx, L=yyy , O=ZZZ, CN=hostname, E=abc@def.xx'

    2010:07:24-17:47:30 gate pluto[18841]: "D_REF_vLOuTsLXHa"[1] 192.168.2.250 #7: crl not found

    2010:07:24-17:47:30 gate pluto[18841]: "D_REF_vLOuTsLXHa"[1] 192.168.2.250 #7: certificate status unknown

    2010:07:24-17:47:30 gate pluto[18841]: "D_REF_vLOuTsLXHa"[1] 192.168.2.250 #7: we have a cert and are sending it

    2010:07:24-17:47:30 gate pluto[18841]: "D_REF_vLOuTsLXHa"[1] 192.168.2.250 #7: sent MR3, ISAKMP SA established

    2010:07:24-17:47:30 gate pluto[18841]: "D_REF_vLOuTsLXHa"[1] 192.168.2.250 #7: sending XAUTH request

    2010:07:24-17:47:31 gate pluto[18841]: packet from 192.168.2.250:500: Informational Exchange is for an unknown (expired?) SA

    2010:07:24-17:47:40 gate pluto[18841]: ERROR: asynchronous network error report on eth2 for message to 192.168.2.250 port 500, complainant 192.168.2.250: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]


    Any ideas what's going wrong and how I can fix it?

    Thanks in advance 

    Guido
Reply
  • 0
    Hello again,

    first of all thanks to CraigD and BAlfson for their suggestions!

    Well, as mentioned above I'd like to use IPSec and the OS X 10.6.x built-in Cisco VPN IPSec client.

    As described in several (Astaro respectively Apple) guides I performed the following steps so far:

    [LIST=1]
    • Created a new user on ASG
    • Created a new X.509 certificate on my ASG with VPN ID type hostname (as I read this is important for OS X) and the hostname of my ASG (i.e. no fqdn)
    • Assigned this newly built cert to the user created in 1.
    • Created a new 'Cisco VPN Client' connection under 'Remote access' using the user 1. and the cert from 2. For first test automatic packet filter rules are disabled.
    • Connect user 1. over LAN from Mac to my ASG, logged in and downloaded the cert (2.) to Mac.
    • Imported this cert to the 'system' keyring on Mac
    • Created a new Cisco VPN Client interface/connection in the network settings of the mac and assigned the freshly imported cert (2.)
    • On the Mac: disabled LAN, Enabled WLAN (192.168.2.250) and tried to connect the VPN over WLAN to the WLAN-NIC (eth2) of my ASG.
    • Got the following output from live protocol on my ASG:
    [/LIST] 

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: received Vendor ID payload [RFC 3947]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: ignoring Vendor ID payload [4df37928e9fc4fd1b3262170d515c662]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: received Vendor ID payload [XAUTH]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: ignoring Vendor ID payload [Cisco-Unity]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: received Vendor ID payload [Dead Peer Detection]

    2010:07:24-17:47:30 gate pluto[18841]: "D_REF_vLOuTsLXHa"[1] 192.168.2.250 #7: responding to Main Mode from unknown peer 192.168.2.250

    2010:07:24-17:47:30 gate pluto[18841]: "D_REF_vLOuTsLXHa"[1] 192.168.2.250 #7: NAT-Traversal: Result using RFC 3947: no NAT detected

    2010:07:24-17:47:30 gate pluto[18841]: "D_REF_vLOuTsLXHa"[1] 192.168.2.250 #7: Peer ID is ID_DER_ASN1_DN: 'C=xx, L=yyy , O=ZZZ, CN=hostname, E=abc@def.xx'

    2010:07:24-17:47:30 gate pluto[18841]: "D_REF_vLOuTsLXHa"[1] 192.168.2.250 #7: crl not found

    2010:07:24-17:47:30 gate pluto[18841]: "D_REF_vLOuTsLXHa"[1] 192.168.2.250 #7: certificate status unknown

    2010:07:24-17:47:30 gate pluto[18841]: "D_REF_vLOuTsLXHa"[1] 192.168.2.250 #7: we have a cert and are sending it

    2010:07:24-17:47:30 gate pluto[18841]: "D_REF_vLOuTsLXHa"[1] 192.168.2.250 #7: sent MR3, ISAKMP SA established

    2010:07:24-17:47:30 gate pluto[18841]: "D_REF_vLOuTsLXHa"[1] 192.168.2.250 #7: sending XAUTH request

    2010:07:24-17:47:31 gate pluto[18841]: packet from 192.168.2.250:500: Informational Exchange is for an unknown (expired?) SA

    2010:07:24-17:47:40 gate pluto[18841]: ERROR: asynchronous network error report on eth2 for message to 192.168.2.250 port 500, complainant 192.168.2.250: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]


    Any ideas what's going wrong and how I can fix it?

    Thanks in advance 

    Guido
Children
No Data