Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 22 replies
  • Subscribers 1 subscriber
  • Views 8590 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

iPhone VPN and Web

yozh
Hello,

I have a successful tunnel (Cisco)back to astaro  7.507 with iPhone 4 iOS 4.0.1 and access to local network is fine, but I can browse the internet, I do not wish to do a split tunnel, I would like to tunnel thru my home network. Can this be done and what exactly should I be doing ? Because right now its telling me that Im not connected to the internet on the phone.


This thread was automatically locked due to age.
Parents
  • 0
    Could you check if there's any incoming packets from the iPhone? Run `tcpdump -ni any esp` in a root shell on the ASG and look for IPsec ESP packets from the IP address of your iPhone. Are there any?
  • 0 in reply to d12fk
    Could you check if there's any incoming packets from the iPhone? Run `tcpdump -ni any esp` in a root shell on the ASG and look for IPsec ESP packets from the IP address of your iPhone. Are there any?



    Interesting I dont see any packets even with internal as allowed. I checked just in case and NATing is allowed, packet rules also allow. Not sure why even internal network doesnt work with ANY. 


    Ok, so TCP dump:


    21:09:18.914755 IP 166.137.137.201.53621 > 69.123.13.21.4500: NONESP-encap: isakmp: phase 2/others I oakley-quick[E]
    21:09:30.754790 IP 69.123.13.21.4500 > 166.137.137.201.53621: NONESP-encap: isakmp: phase 1 R ident
    21:09:57.946492 IP 69.123.13.21.4500 > 166.137.137.201.53621: UDP-encap: ESP(spi=0x07cfbdcc,seq=0x1), length 84
    21:10:01.950700 IP 69.123.13.21.4500 > 166.137.137.201.53621: NONESP-encap: isakmp: phase 2/others R inf[E]
    21:10:02.116753 IP 166.137.137.201.53621 > 69.123.13.21.4500: NONESP-encap: isakmp: phase 2/others I inf[E]



    and for the log some more" 


    2010:09:26-21:09:20 vpn pluto[7109]: loading secrets from "/etc/ipsec.secrets"

    2010:09:26-21:09:20 vpn pluto[7109]: loaded PSK secret for ***.***.***.*** %any

    2010:09:26-21:09:20 vpn pluto[7109]: loaded private key from '***.y***.xx.pem'

    2010:09:26-21:09:20 vpn pluto[7109]: loading ca certificates from '/etc/ipsec.d/cacerts'

    2010:09:26-21:09:20 vpn pluto[7109]: loaded ca certificate from '/etc/ipsec.d/cacerts/Bundle_StartCA.pem'

    2010:09:26-21:09:20 vpn pluto[7109]: loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem'

    2010:09:26-21:09:20 vpn pluto[7109]: loading aa certificates from '/etc/ipsec.d/aacerts'

    2010:09:26-21:09:20 vpn pluto[7109]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'

    2010:09:26-21:09:20 vpn pluto[7109]: loading attribute certificates from '/etc/ipsec.d/acerts'

    2010:09:26-21:09:20 vpn pluto[7109]: Changing to directory '/etc/ipsec.d/crls'

    2010:09:26-21:10:10 vpn pluto[7109]: "D_REF_nHFNoRPxsa"[8] 166.137.137.201:53621 #37: max number of retransmissions (2) reached STATE_MAIN_R1

    2010:09:26-21:10:37 vpn pluto[7109]: "D_REF_nHFNoRPxsa"[8] 166.137.137.201:53621 #36: received Delete SA(0x07cfbdcc) payload: deleting IPSEC State #38

    2010:09:26-21:10:37 vpn pluto[7109]: id="2202" severity="info" sys="SecureNet" sub="vpn" event="Connection terminated" username="root" variant="ipsec" srcip="166.137.137.201" virtual_ip="10.242.5.1"

    2010:09:26-21:10:38 vpn pluto[7109]: ERROR: asynchronous network error report on eth1 for message to 166.137.137.201 port 53621, complainant 166.137.137.201: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]

    2010:09:26-21:10:38 vpn pluto[7109]: "D_REF_nHFNoRPxsa"[8] 166.137.137.201:53621 #36: received Delete SA payload: deleting ISAKMP State #36

    2010:09:26-21:10:38 vpn pluto[7109]: "D_REF_nHFNoRPxsa"[8] 166.137.137.201:53621: deleting connection "D_REF_nHFNoRPxsa" instance with peer 166.137.137.201 {isakmp=#0/ipsec=#0}

    2010:09:26-21:10:38 vpn pluto[7109]: ERROR: asynchronous network error report on eth1 for message to 166.137.137.201 port 53621, complainant 166.137.137.201: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]

    2010:09:26-21:10:39 vpn pluto[7109]: listening for IKE messages

    2010:09:26-21:10:39 vpn pluto[7109]: forgetting secrets

    2010:09:26-21:10:39 vpn pluto[7109]: loading secrets from "/etc/ipsec.secrets"

    2010:09:26-21:10:39 vpn pluto[7109]: loaded PSK secret for ***.***.***.xx %any

    2010:09:26-21:10:39 vpn pluto[7109]: loaded private key from 'vpn.yozh.us.pem'

    2010:09:26-21:10:39 vpn pluto[7109]: forgetting secrets

    2010:09:26-21:10:39 vpn pluto[7109]: loading secrets from "/etc/ipsec.secrets"

    2010:09:26-21:10:39 vpn pluto[7109]: loaded PSK secret for 69.xx.xx.xx %any

    2010:09:26-21:10:39 vpn pluto[7109]: loaded private key from 'vpn.yozh.us.pem'

    2010:09:26-21:10:39 vpn pluto[7109]: loading ca certificates from '/etc/ipsec.d/cacerts'

    2010:09:26-21:10:39 vpn pluto[7109]: loaded ca certificate from '/etc/ipsec.d/cacerts/Bundle_StartCA.pem'

    2010:09:26-21:10:39 vpn pluto[7109]: loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem'

    2010:09:26-21:10:39 vpn pluto[7109]: loading aa certificates from '/etc/ipsec.d/aacerts'

    2010:09:26-21:10:39 vpn pluto[7109]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'

    2010:09:26-21:10:39 vpn pluto[7109]: loading attribute certificates from '/etc/ipsec.d/acerts'

    2010:09:26-21:10:39 vpn pluto[7109]: Changing to directory '/etc/ipsec.d/crls'



    I dont know what I`m doing work but L2TP over IPces is working fine..... Hate that
Reply
  • 0 in reply to d12fk
    Could you check if there's any incoming packets from the iPhone? Run `tcpdump -ni any esp` in a root shell on the ASG and look for IPsec ESP packets from the IP address of your iPhone. Are there any?



    Interesting I dont see any packets even with internal as allowed. I checked just in case and NATing is allowed, packet rules also allow. Not sure why even internal network doesnt work with ANY. 


    Ok, so TCP dump:


    21:09:18.914755 IP 166.137.137.201.53621 > 69.123.13.21.4500: NONESP-encap: isakmp: phase 2/others I oakley-quick[E]
    21:09:30.754790 IP 69.123.13.21.4500 > 166.137.137.201.53621: NONESP-encap: isakmp: phase 1 R ident
    21:09:57.946492 IP 69.123.13.21.4500 > 166.137.137.201.53621: UDP-encap: ESP(spi=0x07cfbdcc,seq=0x1), length 84
    21:10:01.950700 IP 69.123.13.21.4500 > 166.137.137.201.53621: NONESP-encap: isakmp: phase 2/others R inf[E]
    21:10:02.116753 IP 166.137.137.201.53621 > 69.123.13.21.4500: NONESP-encap: isakmp: phase 2/others I inf[E]



    and for the log some more" 


    2010:09:26-21:09:20 vpn pluto[7109]: loading secrets from "/etc/ipsec.secrets"

    2010:09:26-21:09:20 vpn pluto[7109]: loaded PSK secret for ***.***.***.*** %any

    2010:09:26-21:09:20 vpn pluto[7109]: loaded private key from '***.y***.xx.pem'

    2010:09:26-21:09:20 vpn pluto[7109]: loading ca certificates from '/etc/ipsec.d/cacerts'

    2010:09:26-21:09:20 vpn pluto[7109]: loaded ca certificate from '/etc/ipsec.d/cacerts/Bundle_StartCA.pem'

    2010:09:26-21:09:20 vpn pluto[7109]: loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem'

    2010:09:26-21:09:20 vpn pluto[7109]: loading aa certificates from '/etc/ipsec.d/aacerts'

    2010:09:26-21:09:20 vpn pluto[7109]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'

    2010:09:26-21:09:20 vpn pluto[7109]: loading attribute certificates from '/etc/ipsec.d/acerts'

    2010:09:26-21:09:20 vpn pluto[7109]: Changing to directory '/etc/ipsec.d/crls'

    2010:09:26-21:10:10 vpn pluto[7109]: "D_REF_nHFNoRPxsa"[8] 166.137.137.201:53621 #37: max number of retransmissions (2) reached STATE_MAIN_R1

    2010:09:26-21:10:37 vpn pluto[7109]: "D_REF_nHFNoRPxsa"[8] 166.137.137.201:53621 #36: received Delete SA(0x07cfbdcc) payload: deleting IPSEC State #38

    2010:09:26-21:10:37 vpn pluto[7109]: id="2202" severity="info" sys="SecureNet" sub="vpn" event="Connection terminated" username="root" variant="ipsec" srcip="166.137.137.201" virtual_ip="10.242.5.1"

    2010:09:26-21:10:38 vpn pluto[7109]: ERROR: asynchronous network error report on eth1 for message to 166.137.137.201 port 53621, complainant 166.137.137.201: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]

    2010:09:26-21:10:38 vpn pluto[7109]: "D_REF_nHFNoRPxsa"[8] 166.137.137.201:53621 #36: received Delete SA payload: deleting ISAKMP State #36

    2010:09:26-21:10:38 vpn pluto[7109]: "D_REF_nHFNoRPxsa"[8] 166.137.137.201:53621: deleting connection "D_REF_nHFNoRPxsa" instance with peer 166.137.137.201 {isakmp=#0/ipsec=#0}

    2010:09:26-21:10:38 vpn pluto[7109]: ERROR: asynchronous network error report on eth1 for message to 166.137.137.201 port 53621, complainant 166.137.137.201: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]

    2010:09:26-21:10:39 vpn pluto[7109]: listening for IKE messages

    2010:09:26-21:10:39 vpn pluto[7109]: forgetting secrets

    2010:09:26-21:10:39 vpn pluto[7109]: loading secrets from "/etc/ipsec.secrets"

    2010:09:26-21:10:39 vpn pluto[7109]: loaded PSK secret for ***.***.***.xx %any

    2010:09:26-21:10:39 vpn pluto[7109]: loaded private key from 'vpn.yozh.us.pem'

    2010:09:26-21:10:39 vpn pluto[7109]: forgetting secrets

    2010:09:26-21:10:39 vpn pluto[7109]: loading secrets from "/etc/ipsec.secrets"

    2010:09:26-21:10:39 vpn pluto[7109]: loaded PSK secret for 69.xx.xx.xx %any

    2010:09:26-21:10:39 vpn pluto[7109]: loaded private key from 'vpn.yozh.us.pem'

    2010:09:26-21:10:39 vpn pluto[7109]: loading ca certificates from '/etc/ipsec.d/cacerts'

    2010:09:26-21:10:39 vpn pluto[7109]: loaded ca certificate from '/etc/ipsec.d/cacerts/Bundle_StartCA.pem'

    2010:09:26-21:10:39 vpn pluto[7109]: loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem'

    2010:09:26-21:10:39 vpn pluto[7109]: loading aa certificates from '/etc/ipsec.d/aacerts'

    2010:09:26-21:10:39 vpn pluto[7109]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'

    2010:09:26-21:10:39 vpn pluto[7109]: loading attribute certificates from '/etc/ipsec.d/acerts'

    2010:09:26-21:10:39 vpn pluto[7109]: Changing to directory '/etc/ipsec.d/crls'



    I dont know what I`m doing work but L2TP over IPces is working fine..... Hate that
Children
No Data