Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 8100 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec for iPhone?

Light Peak
Here's my config before starting:
[Optical Network Terminal]----[Huawei VoIP Gateway]--LAN--[SGW]----[Switch]----[Cisco Wireless Router]


  • So HW VoIP Gateway acts as an router and has a public IP address.
  • Then, the Security Gateway was connected to the gateway with private IP address but has been demilitarized (DMZed), that makes all traffics goes to SGW. (I know you're gonna say why not put SGW after the ONT instead of the VoIP gateway, but ISP configured that ONT is to work with VoIP gateway only; even with mac addy clone)


and now i wanna setup IPSec for iPhoneand Android, not L2TP over IPSec.
so now i want to setup pure IPSec from iPhone by only going to Settings > General > Network > VPN > Add VPN Configuration > IPSec.
So i filled up description, server (hostname), account, password, and secret which is under 
Authentication type: Preshared key


then VPN > On
But all i've got is 
The VPN server did not respond.


my config for IPSec is:
Interface: External
Local Networks: Internal (Network)
Virtual IP pool: VPN Pool (IPSec)
Policy: AES-256 PFS
Authentication type: Preshared Key
Preshared Key: ****
Confirm: ***
Enable XAUTH: Ticked (Yes)


This thread was automatically locked due to age.
  • 0
    Hi, Light_Peak, and welcome to the User BB!

    The IPsec client on the iPhone works with Astaro's 'Cisco VPN Client' Remote Access.  Configure that, then use the End User Portal to download the profile with Safari on your iPhone.

    The 'L2TP over IPsec' method is the best with the iPhone if you want to use a PSK.  The only reason to use the Cisco IPsec client on the iPhone would be because the iPhone L2TP client doesn't support the use of certificates.

    Cheers - Bob
  • 0
    hmm, yeah. what i meant was, using iPhone's internal built-in IPSec config with the need of using an app (for such like you've mentioned, astaro's cisco vpn client, though i'm not sure how can i attain that app, even for android [app store/market perhaps?])

    and there's only 
    Click here to download the client software for Windows 2000/XP/Vista/7.

    and
    Click here to download the necessary configuration file.


    (see screenshot)
  • 0
    The iPhone has Cisco VPN built-in.  You need to do your setup for the Cisco VPN Remote Access type in Astaro.  You'll also want to enable the iPhone/ios Tab settings (the name will depend on the version of Astaro that you're using).  Once you do this, the applicable section will appear in the User Portal.  See the attached screenshots.
  • 0 in reply to Scott_Klassen
    The iPhone has Cisco VPN built-in.  You need to do your setup for the Cisco VPN Remote Access type in Astaro.  You'll also want to enable the iPhone/ios Tab settings (the name will depend on the version of Astaro that you're using).  Once you do this, the applicable section will appear in the User Portal.  See the attached screenshots.


    hi, i've tried your method but still to no avail.
    here's what i did:

    [LIST=1]
    • Enable Cisco VPN Client
    • Configure "iPhone" tab as shown on your 1st screenshot, then save.
      Interface: External (WAN)
      Server Certificate: Local X509 Cert
      Pool Network: VPN Pool (Cisco)
      Local Networks: Internal (Network)
      Automatic packet filter rules: Yes (Ticked)

    • Then, download from UserPortal, installed.
    • Turn off WiFi (and i'm on data connection)
    • Turn VPN on
      The error i get is:
      The VPN Server did not respond.

    • So i tried connecting to WiFi, under "Interface", i change it from "External (WAN) to "Internal"
    • Edit settings for server to the IP Address of SGW.
    • Try connecting, and the error i get is:
      Could not validate the server certificate.

      • [/LIST]
  • 0
    Is the hostname in 'Management >> System Settings' an FQDN that resolves to the public IP of your External interface?  If this is a home installation without a fixed public IP, I'd recommend you get a free DynDNS.com account and set up an FQDN.  Then, do a 'Factory Reset' so that you can redo your setup with your FQDN as the hostname.  In 'Network Services >> DNS', setup the Astaro to update the IP automatically.

    There are other reasons to redo the setup to have a "valid" hostname, but, if you just want the Astaro's Cisco to work temporarily, you need to use a different certificate.  In 'Certificate Management', setup a new certificate of 'VPN ID type:' "IP address" and indicate your current public IP; You must fill in all of the fields even if the information is invented.  Select this new cert in the 'Cisco VPN Client' configuration and change back to the External interface.

    Cheers - Bob
  • 0 in reply to BAlfson
    Is the hostname in 'Management >> System Settings' an FQDN that resolves to the public IP of your External interface?  If this is a home installation without a fixed public IP, I'd recommend you get a free DynDNS.com account and set up an FQDN.  Then, do a 'Factory Reset' so that you can redo your setup with your FQDN as the hostname.  In 'Network Services >> DNS', setup the Astaro to update the IP automatically.

    I've a domain purchased and also certs signed by CA with a match to the SGW's FQDN which in this case, was set up at
    Management > System Settings > Hostname

    There are other reasons to redo the setup to have a "valid" hostname, but, if you just want the Astaro's Cisco to work temporarily, you need to use a different certificate.  In 'Certificate Management', setup a new certificate of 'VPN ID type:' "IP address" and indicate your current public IP; You must fill in all of the fields even if the information is invented.  Select this new cert in the 'Cisco VPN Client' configuration and change back to the External interface.

    Cheers - Bob


    i've imported the signed certificated (crt) at
    Remote Access >Certificate Management > New Certificate...
    then method > upload > file type: PEM (cert only)

    and because the cert has been install on another linux server (apache), the key and certificate are in .key and .crt (2 different files) format respectively but SGW requires .p12 in which i'm not sure of how to combine them into a single file and to .p12 (or whichever format SGW accepts)

    i also imported CA via
    Remote Access >Certificate Management > Certificate Authority > Import CA...
  • 0
    Okay, so now IPSec doesn't work behind the huawei gateway. (HG256) but it works when connected using HSPA+ except the fact that L2TP over IPSec didnt work even when connected to HSPA+ dongle.
    (Note: I did enable DMZ on huawei gateway but IPSec and l2tp just doesn't work)

    Sent from my mobile device.
  • 0
    bump~ not such a bad forum support does astaro have, does it?
  • 0
    No one is paid to help here.  

    Occasionally, some Astaro employees will come here on their own time, but this is not a part of their work.  The only exception is during beta trials where the User BB is employed to enable communication between the beta testers and the Astaro developers.

    Since you have three old threads that deal with a similar topic, you will get a faster response if you let these three die and post a new thread with your current question - otherwise, it's too difficult to help you.

    Cheers - Bob