Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 8115 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec for iPhone?

Light Peak
Here's my config before starting:
[Optical Network Terminal]----[Huawei VoIP Gateway]--LAN--[SGW]----[Switch]----[Cisco Wireless Router]


  • So HW VoIP Gateway acts as an router and has a public IP address.
  • Then, the Security Gateway was connected to the gateway with private IP address but has been demilitarized (DMZed), that makes all traffics goes to SGW. (I know you're gonna say why not put SGW after the ONT instead of the VoIP gateway, but ISP configured that ONT is to work with VoIP gateway only; even with mac addy clone)


and now i wanna setup IPSec for iPhoneand Android, not L2TP over IPSec.
so now i want to setup pure IPSec from iPhone by only going to Settings > General > Network > VPN > Add VPN Configuration > IPSec.
So i filled up description, server (hostname), account, password, and secret which is under 
Authentication type: Preshared key


then VPN > On
But all i've got is 
The VPN server did not respond.


my config for IPSec is:
Interface: External
Local Networks: Internal (Network)
Virtual IP pool: VPN Pool (IPSec)
Policy: AES-256 PFS
Authentication type: Preshared Key
Preshared Key: ****
Confirm: ***
Enable XAUTH: Ticked (Yes)


This thread was automatically locked due to age.
Parents
  • 0
    @Light Peak:  Given that between the various threads you are setting up multiple VPN types, and are purchasing both a domain and certificates, I would assume that you are a paid business license user.  Since you are experiencing multiple issues concurrently, have you tried contacting your reseller for direct support?  

    If not, the VOLUNTEERS here are more than happy to assist you, but please keep in mind that we have full time jobs and families to consider and can only help based on our various direct experiences.

    If you are using Verizon FIOS and have an ethernet handoff, they will allow you to use other routers, but you have to call them so they can add the MAC address to their allowed list for DHCP.  Other FTTP providers probably do something similar.  Then you could connect the WAN to the Astaro and put the Huawei in the Astaro Lan in bridged mode.  Double Natting is a nightmare because you often need to configure things twice, on two separate devices, like DNAT/port forwarding to the LAN.

    SGW requires .p12 in which i'm not sure of how to combine them into a single file and to .p12
    You would need to import in PKCS#12 format.  With windows this would export as .pfx, which includes both the public and private keys.
Reply
  • 0
    @Light Peak:  Given that between the various threads you are setting up multiple VPN types, and are purchasing both a domain and certificates, I would assume that you are a paid business license user.  Since you are experiencing multiple issues concurrently, have you tried contacting your reseller for direct support?  

    If not, the VOLUNTEERS here are more than happy to assist you, but please keep in mind that we have full time jobs and families to consider and can only help based on our various direct experiences.

    If you are using Verizon FIOS and have an ethernet handoff, they will allow you to use other routers, but you have to call them so they can add the MAC address to their allowed list for DHCP.  Other FTTP providers probably do something similar.  Then you could connect the WAN to the Astaro and put the Huawei in the Astaro Lan in bridged mode.  Double Natting is a nightmare because you often need to configure things twice, on two separate devices, like DNAT/port forwarding to the LAN.

    SGW requires .p12 in which i'm not sure of how to combine them into a single file and to .p12
    You would need to import in PKCS#12 format.  With windows this would export as .pfx, which includes both the public and private keys.
Children
  • 0 in reply to Scott_Klassen
    No one is paid to help here.  

    Occasionally, some Astaro employees will come here on their own time, but this is not a part of their work.  The only exception is during beta trials where the User BB is employed to enable communication between the beta testers and the Astaro developers.

    Since you have three old threads that deal with a similar topic, you will get a faster response if you let these three die and post a new thread with your current question - otherwise, it's too difficult to help you.

    Cheers - Bob


    @Light Peak:  Given that between the various threads you are setting up multiple VPN types, and are purchasing both a domain and certificates, I would assume that you are a paid business license user.  Since you are experiencing multiple issues concurrently, have you tried contacting your reseller for direct support?  

    If not, the VOLUNTEERS here are more than happy to assist you, but please keep in mind that we have full time jobs and families to consider and can only help based on our various direct experiences.

    If you are using Verizon FIOS and have an ethernet handoff, they will allow you to use other routers, but you have to call them so they can add the MAC address to their allowed list for DHCP.  Other FTTP providers probably do something similar.  Then you could connect the WAN to the Astaro and put the Huawei in the Astaro Lan in bridged mode.  Double Natting is a nightmare because you often need to configure things twice, on two separate devices, like DNAT/port forwarding to the LAN.

    You would need to import in PKCS#12 format.  With windows this would export as .pfx, which includes both the public and private keys.


    yeah, alright....

    As you were saying, I'm not using Verizon, which the ISP requires me to use the Huawei Residential Gateiway in order to have the VoIP service (Huawei RG has a RJ11 port for VoIP), unless i don't want VoIP service.

    I've tried contacting my ISP and they've mentioned to me that the Huawei RG is configured to work only with the Huawei GPON (Huawei HG863)
    therefore, MAC address clone, will also not work.

    as much as i hate being stuck on double NAT, is there any other ways?

    as for the Windows PKCS#12 format importing, i don't quite get it.
    But what i can say is that the cert is from apache (key file is in .key format and certificate is in .crt format, also CA bundle is in .ca-bundle format)

    Also to update my current status on the Remote Access:
    Cisco VPN Client worked from iPhone but as for Windows XP, and 7 also for Mac, I can't seem to work but that doesn't matter as I just need L2TP to get working because it's the only protocol that "send all traffic"(?)

    And as for L2TP, it still didn't work (due to double NATed again)?
    Windows XP, 7 and Mac didn't work as well.
    The L2TP-VPN server did not respond. Try reconnecting. If the problem continues, verify your settings and contact your Administrator.

    2011:09:17-00:31:40 corp pluto[6664]: "S_for user"[1] 27.104.[output omitted] #1: NAT-Traversal: Result using RFC 3947: i am NATed
    2011:09:17-00:31:40 corp pluto[6664]: "S_for user"[1] 27.104.[output omitted] #1: ignoring informational payload, type IPSEC_INITIAL_CONTACT
    2011:09:17-00:31:40 corp pluto[6664]: "S_for user"[1] 27.104.[output omitted] #1: Peer ID is ID_IPV4_ADDR: '27.104.[output omitted]'
    2011:09:17-00:31:40 corp pluto[6664]: "S_for user"[1] 27.104.[output omitted] #1: Dead Peer Detection (RFC 3706) enabled
    2011:09:17-00:31:40 corp pluto[6664]: | NAT-T: new mapping 27.104.[output omitted]:500/4500)
    2011:09:17-00:31:40 corp pluto[6664]: "S_for user"[1] 27.104.[output omitted]:4500 #1: sent MR3, ISAKMP SA established
    2011:09:17-00:31:41 corp pluto[6664]: "S_for user"[1] 27.104.[output omitted]:4500 #1: cannot respond to IPsec SA request because no connection is known for 175.156.[output omitted]/32===10.100.0.2:4500[10.100.0.2]:17/1701...27.104.[output omitted]:4500[27.104.[output omitted]]:17/%any
    2011:09:17-00:31:41 corp pluto[6664]: "S_for user"[1] 27.104.[output omitted]:4500 #1: sending encrypted notification INVALID_ID_INFORMATION to 27.104.[output omitted]:4500
    2011:09:17-00:31:44 corp pluto[6664]: "S_for user"[1] 27.104.[output omitted]:4500 #1: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x865291a7 (perhaps this is a duplicated packet)
    2011:09:17-00:31:44 corp pluto[6664]: "S_for user"[1] 27.104.[output omitted]:4500 #1: sending encrypted notification INVALID_MESSAGE_ID to 27.104.[output omitted]:4500
    2011:09:17-00:31:57 corp pluto[6664]: "S_for user"[1] 27.104.[output omitted]:4500 #1: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x865291a7 (perhaps this is a duplicated packet)
    2011:09:17-00:31:57 corp pluto[6664]: "S_for user"[1] 27.104.[output omitted]:4500 #1: sending encrypted notification INVALID_MESSAGE_ID to 27.104.[output omitted]:4500
    2011:09:17-00:31:59 corp pluto[6664]: "S_for user"[1] 27.104.[output omitted]:4500 #1: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x865291a7 (perhaps this is a duplicated packet)
    2011:09:17-00:31:59 corp pluto[6664]: "S_for user"[1] 27.104.[output omitted]:4500 #1: sending encrypted notification INVALID_MESSAGE_ID to 27.104.[output omitted]:4500
    2011:09:17-00:32:05 corp pluto[6664]: "S_for user"[1] 27.104.[output omitted]:4500 #1: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x865291a7 (perhaps this is a duplicated packet)
    2011:09:17-00:32:05 corp pluto[6664]: "S_for user"[1] 27.104.[output omitted]:4500 #1: sending encrypted notification INVALID_MESSAGE_ID to 27.104.[output omitted]:4500
    2011:09:17-00:32:20 corp pluto[6664]: ERROR: asynchronous network error report on eth0 for message to 27.104.[output omitted] port 4500, complainant 27.104.[output omitted]: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]