Connecting OS X 10.6.x IPSec VPN client to ASG 7.506

Hi,


ASG is installed into a fanless device 1gb ram 3 nics 160gb 7200rpm


1st nic directly connected to a LMDS device to internet 4x4 mbps
2nd lan 192.168.157.x
3rd lan 192.168.158.x

2nd and 3rd go to internet  using 1st interface.

If I use ssl win client works fine. With mac, I could not configure mac files and because of this,I use ipsec client.

This software connects perfectly but I can not ping or telnet  to  192.168.157.x machines. Ok if I use ssl client.


Both  ip ranges ssl client and ipsec are allowed and not error show at logs.

What´s wrong?

Best regards

Hi,

any news about this topic?

Hi equintana,

thanks for sharing your config!

I assume you'd like to connect your Mac from the Internet to your ASG. You mentioned a LMDS device connecting your ASG to the Internet. Is this device configurable,  does it simply pass through all packages or does it filter something?

As mentioned in one of my former postings I'd suggest to open a terminal session on your mac and have a look for the assigned IP address for the ipsec connection. 

Open life protocol on ASG.

Is this address pingable form inside the mac (terminal?)
Is it pingable form a machine in your second lan2?

Perform taceroutes in both directions. What are the results? Look at life protocol. Are there packages dropped? If so, establish (just for test) a new rule which allows traffic from your assigned VPN ip address on the mac to a test machine in lan 2 and check again.

Additionally you can perform a traceroute on both terminals. Anyway, as long as the traffic is tunneled you'll see only the asterixes in the traceroute output. But, what do you see before and after them?

Let us know your results!

Greetinx

Guido

Hi,


I need to connect with my mac when I use wireless or usb modem when out of office.

LMDS is not configurable by me, but has not any firewall or something like. Astaro device is connected directly to this LMDS device using a public ip and using astaro WAN internface.

Lan2 can not ping lan1
Lan1 can not ping lan2

I configured this.

If I use ssl client with windows I can ping lan1. Is normal because I configured this.

If I try a ping or tracert nothing is shown... I can not ping ip or fqdn.

I´m using cisco client but, is there any other option? 

which software?

I'm totally sorry but I can't help you as long as I don't get more detailed informations. I made a lot of suggestions but your feedback is very low. Sorry.

Hi equintana,

I'm totally sorry but I can't help you as long as I don't get more detailed informations. I made a lot of suggestions (see my post from 07-30-2010 and 05-08-2010) but your feedback is very low. If you'd share more details the chances I can help you will increase [;)]

Guido

Hi,


I changed from cisco to viscosity... ssl not ipsec and runs...

Thanks  a lot

[Resurrecting this thread]

I'm on a new MacBook running OS X 10.7 Lion, and attempting to connect to an ASG 220 (running the software appliance for home use) via the native Mac Cisco VPN client.  I get the same errors as previously mentioned.  One thing in the log that looked interesting was the mentions of "Guest (Network)".  I have two internal networks; one "Internal" with full inbound/outbound access to other networks including the Internet, and a second "Guest" network with outbound Internet access only; no inbound access or access to my Internal network or various VPN networks.  I'm not sure if this is relevant in any way, but I am wondering why the references to my Guest network in the log.

Since the original post last year, has anyone been able to connect to an ASG using the Mac Cisco client or does it simply not work?  I can connect with the native PPTP client (albeit with some DNS and routing problems which I have yet to resolve, so it's not exactly a working configuration yet), and L2TP is never able to contact the ASG at all (it's possible that Verizon FIOS is blocking the relevant ports, although this would seem strange given they're fine with inbound port 80 and port 25 traffic, which would be the first ones I'd expect them to block).

Thanks for any tips,
Martin. 

2011:07:28-09:14:04 gateway pluto[7768]: packet from 173.9.85.211:500: received Vendor ID payload [RFC 3947]
2011:07:28-09:14:04 gateway pluto[7768]: packet from 173.9.85.211:500: ignoring Vendor ID payload [4df37928e9fc4fd1b3262170d515c662]
2011:07:28-09:14:04 gateway pluto[7768]: packet from 173.9.85.211:500: ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8]
2011:07:28-09:14:04 gateway pluto[7768]: packet from 173.9.85.211:500: ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582]
2011:07:28-09:14:04 gateway pluto[7768]: packet from 173.9.85.211:500: ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285]
2011:07:28-09:14:04 gateway pluto[7768]: packet from 173.9.85.211:500: ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee]
2011:07:28-09:14:04 gateway pluto[7768]: packet from 173.9.85.211:500: ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b]
2011:07:28-09:14:04 gateway pluto[7768]: packet from 173.9.85.211:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
2011:07:28-09:14:04 gateway pluto[7768]: packet from 173.9.85.211:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
2011:07:28-09:14:04 gateway pluto[7768]: packet from 173.9.85.211:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2011:07:28-09:14:04 gateway pluto[7768]: packet from 173.9.85.211:500: received Vendor ID payload [XAUTH]
2011:07:28-09:14:04 gateway pluto[7768]: packet from 173.9.85.211:500: ignoring Vendor ID payload [Cisco-Unity]
2011:07:28-09:14:04 gateway pluto[7768]: packet from 173.9.85.211:500: received Vendor ID payload [Dead Peer Detection]
2011:07:28-09:14:04 gateway pluto[7768]: "D_for martin to Guest (Network)"[13] 173.9.85.211 #29: responding to Main Mode from unknown peer 173.9.85.211
2011:07:28-09:14:04 gateway pluto[7768]: "D_for martin to Guest (Network)"[13] 173.9.85.211 #29: NAT-Traversal: Result using RFC 3947: both are NATed
2011:07:28-09:14:04 gateway pluto[7768]: "D_for martin to Guest (Network)"[13] 173.9.85.211 #29: ignoring informational payload, type IPSEC_INITIAL_CONTACT
2011:07:28-09:14:04 gateway pluto[7768]: "D_for martin to Guest (Network)"[13] 173.9.85.211 #29: Peer ID is ID_DER_ASN1_DN: 'C=us, L=Charlestown, O=Cowley.us, CN=gateway.cowley.us, E=admin@cowley.us'
2011:07:28-09:14:04 gateway pluto[7768]: "D_for martin to Guest (Network)"[13] 173.9.85.211 #29: crl not found
2011:07:28-09:14:04 gateway pluto[7768]: "D_for martin to Guest (Network)"[13] 173.9.85.211 #29: certificate status unknown
2011:07:28-09:14:04 gateway pluto[7768]: "D_for martin to Guest (Network)"[13] 173.9.85.211 #29: no suitable connection for peer 'C=us, L=Charlestown, O=Cowley.us, CN=gateway.cowley.us, E=admin@cowley.us'
2011:07:28-09:14:04 gateway pluto[7768]: "D_for martin to Guest (Network)"[13] 173.9.85.211 #29: sending encrypted notification INVALID_ID_INFORMATION to 173.9.85.211:500

Martin, please show a pic of the 'Cisco VPN Client' setup on your Astaro as well as one of the Mac client setup.  Also, please confirm that the certificate in use on the 'Advanced' tab of 'IPsec' is consistent with the FQDN/hostname of your Astaro.

Cheers - Bob

Hi Bob,

Thanks for the suggestions.  I checked the FQDN and hostname - they were consistent.  I grabbed a bunch of screenshots but when I got to taking the Mac screenshots I noticed I had a few spurious ASG certificates in both my local and System keychains.  To make the screenshots more easily readable I deleted all the certs from these keychains, re-downloaded the IPSec certs from the user website, reimported them, and then retried.  After doing that everything worked.  I think what I did first time around was download the individual certificates from the WebAdmin site as opposed to downloading both the user and the CA certs together via the user site, so somehow that seemed to make the difference.

So, this appears to be purely user error re. cert install - sorry for the false alarm!

Regards,
Martin.