Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 8103 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec for iPhone?

Light Peak
Here's my config before starting:
[Optical Network Terminal]----[Huawei VoIP Gateway]--LAN--[SGW]----[Switch]----[Cisco Wireless Router]


  • So HW VoIP Gateway acts as an router and has a public IP address.
  • Then, the Security Gateway was connected to the gateway with private IP address but has been demilitarized (DMZed), that makes all traffics goes to SGW. (I know you're gonna say why not put SGW after the ONT instead of the VoIP gateway, but ISP configured that ONT is to work with VoIP gateway only; even with mac addy clone)


and now i wanna setup IPSec for iPhoneand Android, not L2TP over IPSec.
so now i want to setup pure IPSec from iPhone by only going to Settings > General > Network > VPN > Add VPN Configuration > IPSec.
So i filled up description, server (hostname), account, password, and secret which is under 
Authentication type: Preshared key


then VPN > On
But all i've got is 
The VPN server did not respond.


my config for IPSec is:
Interface: External
Local Networks: Internal (Network)
Virtual IP pool: VPN Pool (IPSec)
Policy: AES-256 PFS
Authentication type: Preshared Key
Preshared Key: ****
Confirm: ***
Enable XAUTH: Ticked (Yes)


This thread was automatically locked due to age.
Parents
  • 0
    Is the hostname in 'Management >> System Settings' an FQDN that resolves to the public IP of your External interface?  If this is a home installation without a fixed public IP, I'd recommend you get a free DynDNS.com account and set up an FQDN.  Then, do a 'Factory Reset' so that you can redo your setup with your FQDN as the hostname.  In 'Network Services >> DNS', setup the Astaro to update the IP automatically.

    There are other reasons to redo the setup to have a "valid" hostname, but, if you just want the Astaro's Cisco to work temporarily, you need to use a different certificate.  In 'Certificate Management', setup a new certificate of 'VPN ID type:' "IP address" and indicate your current public IP; You must fill in all of the fields even if the information is invented.  Select this new cert in the 'Cisco VPN Client' configuration and change back to the External interface.

    Cheers - Bob
Reply
  • 0
    Is the hostname in 'Management >> System Settings' an FQDN that resolves to the public IP of your External interface?  If this is a home installation without a fixed public IP, I'd recommend you get a free DynDNS.com account and set up an FQDN.  Then, do a 'Factory Reset' so that you can redo your setup with your FQDN as the hostname.  In 'Network Services >> DNS', setup the Astaro to update the IP automatically.

    There are other reasons to redo the setup to have a "valid" hostname, but, if you just want the Astaro's Cisco to work temporarily, you need to use a different certificate.  In 'Certificate Management', setup a new certificate of 'VPN ID type:' "IP address" and indicate your current public IP; You must fill in all of the fields even if the information is invented.  Select this new cert in the 'Cisco VPN Client' configuration and change back to the External interface.

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    Is the hostname in 'Management >> System Settings' an FQDN that resolves to the public IP of your External interface?  If this is a home installation without a fixed public IP, I'd recommend you get a free DynDNS.com account and set up an FQDN.  Then, do a 'Factory Reset' so that you can redo your setup with your FQDN as the hostname.  In 'Network Services >> DNS', setup the Astaro to update the IP automatically.

    I've a domain purchased and also certs signed by CA with a match to the SGW's FQDN which in this case, was set up at
    Management > System Settings > Hostname

    There are other reasons to redo the setup to have a "valid" hostname, but, if you just want the Astaro's Cisco to work temporarily, you need to use a different certificate.  In 'Certificate Management', setup a new certificate of 'VPN ID type:' "IP address" and indicate your current public IP; You must fill in all of the fields even if the information is invented.  Select this new cert in the 'Cisco VPN Client' configuration and change back to the External interface.

    Cheers - Bob


    i've imported the signed certificated (crt) at
    Remote Access >Certificate Management > New Certificate...
    then method > upload > file type: PEM (cert only)

    and because the cert has been install on another linux server (apache), the key and certificate are in .key and .crt (2 different files) format respectively but SGW requires .p12 in which i'm not sure of how to combine them into a single file and to .p12 (or whichever format SGW accepts)

    i also imported CA via
    Remote Access >Certificate Management > Certificate Authority > Import CA...