Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 1 subscriber
  • Views 12209 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Connecting OS X 10.6.x IPSec VPN client to ASG 7.506

Moose
Hi folks,

just a few days ago my wife bought a brand new MacBook Pro with Snow Leopard. After installing all updates current OS level is 10.6.4.

First of all I have to mention I'm not an Apple Guru (so far ...). But, as OS X is based on UNIX I'm confident because UNIX is one of my 'native' system knowledges [:)]

Well, as I read on the web Snow Leopard (i.e. OS X > 10.6.x) comes with a built-in CISCO (IPSec) VPN client.

But, so far I just found manuals/descriptions for connecting iPones/iPads with their built-in IPSec clients to an ASG. 

For my Linux and Windows machines I'm using the shrew vpn client, but there's no implementation for OS X.

So my question is if anybody has some experiences in connecting a Snow Leopard system with its built-in CISCO IPSec VPN client to an ASG Ver. 7.506 .

Any hints would be greatly appreciated. Thanks a lot in advance!

Greetinx

Guido


This thread was automatically locked due to age.
  • 0
    I have PPtP VPN working fine with 10.6.4. If you open up System Preferences, Network, then click the + sign, add a VPN connection, and choose the type of connection you need.
  • 0
    I think the ShrewSoft client is for the Astaro IPsec Remote Access server.  You would need to configure the Cisco option in the Astaro.

    Cheers - Bob
  • 0
    Hello again,

    first of all thanks to CraigD and BAlfson for their suggestions!

    Well, as mentioned above I'd like to use IPSec and the OS X 10.6.x built-in Cisco VPN IPSec client.

    As described in several (Astaro respectively Apple) guides I performed the following steps so far:

    [LIST=1]
    • Created a new user on ASG
    • Created a new X.509 certificate on my ASG with VPN ID type hostname (as I read this is important for OS X) and the hostname of my ASG (i.e. no fqdn)
    • Assigned this newly built cert to the user created in 1.
    • Created a new 'Cisco VPN Client' connection under 'Remote access' using the user 1. and the cert from 2. For first test automatic packet filter rules are disabled.
    • Connect user 1. over LAN from Mac to my ASG, logged in and downloaded the cert (2.) to Mac.
    • Imported this cert to the 'system' keyring on Mac
    • Created a new Cisco VPN Client interface/connection in the network settings of the mac and assigned the freshly imported cert (2.)
    • On the Mac: disabled LAN, Enabled WLAN (192.168.2.250) and tried to connect the VPN over WLAN to the WLAN-NIC (eth2) of my ASG.
    • Got the following output from live protocol on my ASG:
    [/LIST] 

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: received Vendor ID payload [RFC 3947]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: ignoring Vendor ID payload [4df37928e9fc4fd1b3262170d515c662]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: received Vendor ID payload [XAUTH]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: ignoring Vendor ID payload [Cisco-Unity]

    2010:07:24-17:47:30 gate pluto[18841]: packet from 192.168.2.250:500: received Vendor ID payload [Dead Peer Detection]

    2010:07:24-17:47:30 gate pluto[18841]: "D_REF_vLOuTsLXHa"[1] 192.168.2.250 #7: responding to Main Mode from unknown peer 192.168.2.250

    2010:07:24-17:47:30 gate pluto[18841]: "D_REF_vLOuTsLXHa"[1] 192.168.2.250 #7: NAT-Traversal: Result using RFC 3947: no NAT detected

    2010:07:24-17:47:30 gate pluto[18841]: "D_REF_vLOuTsLXHa"[1] 192.168.2.250 #7: Peer ID is ID_DER_ASN1_DN: 'C=xx, L=yyy , O=ZZZ, CN=hostname, E=abc@def.xx'

    2010:07:24-17:47:30 gate pluto[18841]: "D_REF_vLOuTsLXHa"[1] 192.168.2.250 #7: crl not found

    2010:07:24-17:47:30 gate pluto[18841]: "D_REF_vLOuTsLXHa"[1] 192.168.2.250 #7: certificate status unknown

    2010:07:24-17:47:30 gate pluto[18841]: "D_REF_vLOuTsLXHa"[1] 192.168.2.250 #7: we have a cert and are sending it

    2010:07:24-17:47:30 gate pluto[18841]: "D_REF_vLOuTsLXHa"[1] 192.168.2.250 #7: sent MR3, ISAKMP SA established

    2010:07:24-17:47:30 gate pluto[18841]: "D_REF_vLOuTsLXHa"[1] 192.168.2.250 #7: sending XAUTH request

    2010:07:24-17:47:31 gate pluto[18841]: packet from 192.168.2.250:500: Informational Exchange is for an unknown (expired?) SA

    2010:07:24-17:47:40 gate pluto[18841]: ERROR: asynchronous network error report on eth2 for message to 192.168.2.250 port 500, complainant 192.168.2.250: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]


    Any ideas what's going wrong and how I can fix it?

    Thanks in advance 

    Guido
  • 0
    Do you have the Cisco server defined on the Internal interface?  It seems like that would cause an IP conflict when trying to connect.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hello everybody,

    first of all thanks to Bob for hist last remark. The "Cisco VPN Client" server part on the ASG is defined on eth2 (i.e. WLAN respectively Extranet on my ASG). This is the right interface in my case of use.

    After searching a for a while on the web I found a lot of postings which deal with smaller or bigger problems using Apple's built-in CISCO IPSec VPN client, especially when used in conjunction with certificate based authentication. For example have a look here.

    I thinks the Apple guys have to do some homework before this client will run against an ASG box.

    But as far as I know this is the only way to use this client against an ASG. Well, I found some descriptions that the client works with PSK authentication against a Cisco VPN concentrator - but PSK isn't supported by the ASG's "CISCO VPN client" mode (so far).

    So what to do if I want to use a IPSec VPN connection from Snow Leopard to my ASG? 

    Well, there are two ways which work:

    [LIST=1]
    •  Use the IPSecuritas yet free IPSec client for Mac OS X
    •  Use original CISCO IPSec VPN client Ver. 4.9.01.0100 for Mac OS X. 
    [/LIST]

    If you choose 1. you have to configure your VPN settings manually like with shrew VPN client on Windows / Linux.
    A description for setting up this client for use with the ASG can be found here. It's in German, but the text on the images is in English [[:)]]

    Because I'm a little bit lazy I tried option 2. also. I only imported the user related cert from ASG, made three settings mentioned in this document, clicked "connect", typed my user password and it worked!
    All done - ready!

    Well, the original Cisco IPSec VPN client isn't as comfortable as the build in Apple one. But, it has one big advantage: it works with certificates build in/from/by the ASG [[:)]]

    I think, I'll try to connect the MacBook with it's build-in CISCO VPN IPSec client later - when new updates/upgrades are available from Apple!

    So far I'll use the original CISCO one which actually shouldn't be necessary now. Sadly, again there's some little difference between theory and reality!

    Good luck and fast connection your MacBook with OS X 10.6.x to the ASG [;)]

    Greetinx

    Guido
  • 0 in reply to BAlfson
    Hello everybody,

    first of all thanks to Bob for hist last remark. The "Cisco VPN Client" server part on the ASG is defined on eth2 (i.e. WLAN respectively Extranet on my ASG). This is the right interface in my case of use.

    After searching a for a while on the web I found a lot of postings which deal with smaller or bigger problems using Apple's built-in CISCO IPSec VPN client, especially when used in conjunction with certificate based authentication. For example have a look here. I thinks the Apple guys have to do some homework before this client will run against an ASG box [:(]

    But as far as I know this is the only way to use this client against an ASG. Well, I found some descriptions that the client works with PSK authentication against a Cisco VPN concentrator - but PSK isn't supported by the ASG's "CISCO VPN client" mode (so far).

    So what to do if I want to use an IPSec VPN connection from Snow Leopard to my ASG? 

    Well, there are two ways which work:

    [LIST=1]
    •  Use the IPSecuritas yet free IPSec client for Mac OS X
    •  Use original CISCO IPSec VPN client Ver. 4.9.01.0100 for Mac OS X
    [/LIST]

    If you choose 1. you have to configure your VPN settings manually like in the shrew soft VPN client on Windows / Linux. A description for setting up this client for use with the ASG can be found here. It's in German, but the text on the images is in English [[:)]]

    Because I'm a little bit lazy I tried option 2. also. I only imported the user related cert from ASG, made three settings mentioned in this document, clicked "connect", typed my user password and it worked. I'm done, really!

    Well, the original Cisco IPSec VPN client isn't as comfortable as the build in Apple one. But, it has one big advantage: it works with certificates build in/from/by the ASG [[:)]]

    I think, I'll try to connect the MacBook with it's build-in CISCO VPN IPSec client later - when new updates/upgrades are available from Apple!

    So far I'll use the original CISCO one which actually shouldn't be necessary now. Sadly, again there's some little difference between theory and reality!

    Good luck and a fast IPSec connecting your MacBook with OS X 10.6.x to the ASG [;)]

    Greetinx

    Guido
  • 0
    Hi,


    I´m using cisco vpn client with cert.... software connects but I can not ping remote machines, even astaro device.

    No info shown at logs.

    What ´s wrong with my config?

    best regards
  • 0
    Do you have the necessary boxes checked on the 'ICMP' tab of 'Packet Filter'?
    Can you reach devices via numeric IP but not via FQDN?

    Cheers - Bob
  • 0
    Yes... icmp checked.

    Can  not ping ip or fqdn.
  • 0 in reply to equintana
    Hi equintana,

    first of all it would be helpfull to have a short overview of your ASG configuration (NICs, assinged IP adresses, connected nets, over which net you established the vpn tunnel, which destinations you want to reach through the tunnel, etc.).

    second: find out which ip address is assigned to your tunnel endpoint (Mac). Is it one from the CISCO IPsec pool of the ASG or did you choose a user specific one? 

    Is the address pingable from within mac's console? Is this address pingable form the ASG itself? And from a machine in one of your other internal networks? 

    Are your package filter rules set accordingly? Manually or "automatic" by CISCO VPN part of the ASG? What does the Live Protocol at Network Security / package filter on ASG say? Are there dropped packages?

    Open Live protocol on remote access part in the ASG. Which messages do you see before and during VPN connection establishing?

    Last not least open a terminal sessions on ASG and Mac itself. Perform traceroutes in both directions and see how far your packages are going. Open a second terminal windows and tcpdump the packages on the related NIC.

    What do you see? ESP packages only or what else?

    Just a few hints. Perform them on your needs an let us know the results. 

    Greetinx 

    Guido