iphone 4.2 and vpn ipsec

i used the instructions here https://support.astaro.com/support/index.php/iPhone_IPSec_VPN_connection_to_Astaro

but i think i have the same problem here..

2011:02:12-12:46:42 bird-eu pluto[30551]: packet from 2.105.216.115:500: received Vendor ID payload [RFC 3947]
2011:02:12-12:46:42 bird-eu pluto[30551]: packet from 2.105.216.115:500: ignoring Vendor ID payload [4df37928e9fc4fd1b3262170d515c662]
2011:02:12-12:46:42 bird-eu pluto[30551]: packet from 2.105.216.115:500: ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8]
2011:02:12-12:46:42 bird-eu pluto[30551]: packet from 2.105.216.115:500: ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582]
2011:02:12-12:46:42 bird-eu pluto[30551]: packet from 2.105.216.115:500: ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285]
2011:02:12-12:46:42 bird-eu pluto[30551]: packet from 2.105.216.115:500: ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee]
2011:02:12-12:46:42 bird-eu pluto[30551]: packet from 2.105.216.115:500: ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b]
2011:02:12-12:46:42 bird-eu pluto[30551]: packet from 2.105.216.115:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
2011:02:12-12:46:42 bird-eu pluto[30551]: packet from 2.105.216.115:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
2011:02:12-12:46:42 bird-eu pluto[30551]: packet from 2.105.216.115:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2011:02:12-12:46:42 bird-eu pluto[30551]: packet from 2.105.216.115:500: received Vendor ID payload [XAUTH]
2011:02:12-12:46:42 bird-eu pluto[30551]: packet from 2.105.216.115:500: ignoring Vendor ID payload [Cisco-Unity]
2011:02:12-12:46:42 bird-eu pluto[30551]: packet from 2.105.216.115:500: received Vendor ID payload [Dead Peer Detection]
2011:02:12-12:46:42 bird-eu pluto[30551]: "D_REF_jHTXqeaMSO"[4] 2.105.216.115 #19: responding to Main Mode from unknown peer 2.105.216.115
2011:02:12-12:46:43 bird-eu pluto[30551]: "D_REF_jHTXqeaMSO"[4] 2.105.216.115 #19: NAT-Traversal: Result using RFC 3947: no NAT detected
2011:02:12-12:46:43 bird-eu pluto[30551]: "D_REF_jHTXqeaMSO"[4] 2.105.216.115 #19: ignoring informational payload, type IPSEC_INITIAL_CONTACT
2011:02:12-12:46:43 bird-eu pluto[30551]: "D_REF_jHTXqeaMSO"[4] 2.105.216.115 #19: Peer ID is ID_DER_ASN1_DN: 'C=dk, L=copenhagen, O=gilnet, CN=Gilbert, E=tg@floss.dk'
2011:02:12-12:46:43 bird-eu pluto[30551]: "D_REF_jHTXqeaMSO"[4] 2.105.216.115 #19: crl not found
2011:02:12-12:46:43 bird-eu pluto[30551]: "D_REF_jHTXqeaMSO"[4] 2.105.216.115 #19: certificate status unknown
2011:02:12-12:46:43 bird-eu pluto[30551]: "D_REF_jHTXqeaMSO"[4] 2.105.216.115 #19: we have a cert and are sending it
2011:02:12-12:46:43 bird-eu pluto[30551]: "D_REF_jHTXqeaMSO"[4] 2.105.216.115 #19: sent MR3, ISAKMP SA established
2011:02:12-12:46:43 bird-eu pluto[30551]: "D_REF_jHTXqeaMSO"[4] 2.105.216.115 #19: sending XAUTH request
2011:02:12-12:46:44 bird-eu pluto[30551]: packet from 2.105.216.115:500: Informational Exchange is for an unknown (expired?) SA
2011:02:12-12:46:53 bird-eu pluto[30551]: ERROR: asynchronous network error report on eth0 for message to 2.105.216.115 port 500, complainant 2.105.216.115: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]
2011:02:12-12:47:01 bird-eu pluto[30551]: ERROR: asynchronous network error report on eth0 for message to 2.105.216.115 port 500, complainant 2.105.216.115: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]

Hi guys,

You might try this, I've had the exact same error as the one Gilbert posted (the log file). It took me some time to figure it out but, We've managed to get it working now.

What you have to make sure is that the hostname of your Astaro device and the override common name in your Cisco VPN Client settings are exactly the same.

So please; check under Management --> System Settings --> Hostname, [Hostname:] name.domain.com

and

Remote Access --> Cisco VPN Client -->iPhone, [Override hostname:] name.domain.com

These two settings have to be identical for the certificate to work.

Also, if they differ from each other, you have to replace one of the names (make sure this name is externally resolvable). (be aware that when you change you Hostname, you also have to regenerate the signing certificate under Remote Access menu --> Certificate Management. (second point to take in consideration before regenerating the signing certificate is that when you have existing (SSL) certificates, you will have to replace the old ones with the new ones after regenerating the signing certificate.)

Greetz,

Roelof

Please let me know (here or PM) if you have any further questions.

I have the same log messages when I´m trying to start the VPN config in IPAD.

I tried the change of names, nothing....

Hi there Samuel,

What version of iOS are you running on your iPad?

Would it be possible for you to post the logfiles? Or, copy the error messages, on both iPad and the ones generated in your Astaro device.

Greetz

Roelof

iOS version is 5.1.1

The error messages in astaro´s log live are the same as Gilbert, the only difference would be IPAD IP.

The message in IPAD would be "could not validate the server certificate", it appears when we try to initiate the VPN connection...

I checked this:
    - Management - > System Settings -> Hostname -> astaro.domain.com
    - Remote Access -> Cisco VPN -> Global -> interface  = External (WAN)
                                                              Serv Cert = astaro.domain.com
                                                               Pool = VPN cisco pool
                                                               Local Net = Internal network
                                                               Users = vpnuser
                                                               Automatic pcket checked
    - Remote Access->Cisco VPN -> iOS dev ->connection name = Company (IPSEC)
                                                      overr hostname= astaro.domain.com

I also tried overr hostname = astaro´s public IP (I read it from a german forum), but nothing...

ASG320 is using V8.304

Did you check the key lenght of your ASG Cert? Somewhere else here in the bb is mentioned, that newer IOS Versions need a key size of 2048.

Regards
Manfred

The server certificate under Remote Access -> Cisco VPN -> Global has the following configuration:
 - Name: servernamecertificate
 - Methode: Generate
 - Keysize: 2048 bit
 - VPN ID TYPE: hostname 
 - VPN ID: astaro.domain.com
 - country Panama
 - City Panama
 - Organization company´s name
 - email: contact@domain.com
 
I also tried changing VPN ID TYPE to IP ADDRESS, setting IP and reinstalling the certificate in IPAD...

Samuel, please try again with the following instructions.  You will want to make a backup before doing this test, as generating a new VPN Signing CA will "break" all other VPNs that depend on certificates.  If this works, you'll want to do step -3- with each certificate-based VPN.  If you have any SSL VPNs, you'll also need to change the 'Override hostname' on the 'Advanced' tab to the new FQDN.

- 1 - Determine an FQDN that resolves to the public IP of the ASG in public DNS.
- 2 - On the 'Advanced' tab of 'Certificate Management', generate a new signing CA (this will create one with SHA1 instead of MD5 which is no longer supported in iOS5).
- 3 - Generate a new certificate using the FQDN (from step -1-) as the 'VPN ID' and enter a value in every field of the certificate - leave none empty.

Cheers - Bob

I just want to confirm that the procedure works, specifically generate a new certificate I think it was the problem at the begining.

Thanks all of you guys