Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 6215 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Cisco VPN Client: Android connects but no internet, iPhone - error?

Light Peak
I've setup L2TP over IPSec (using instructions from here)and Cisco VPN Client (IPSec), but what's the issue is:

Android - Cisco VPN Client:


  • I tried using Android Phone to connect via
    Settings > Wireless & Network settings > VPN Settings > Add VPN > Add L2TP/IPSec PSK VPN
    Filled in VPN name, server (FQDN resolvable to public IP address), pre-shared key, left Enable L2TP secret unchecked then Save.
  • I tapped the VPN connection that i've setup, enter user name and password, then connect.
  • Issue is: it gets connected to VPN server, but i was unable to surf the internet, even intranet (local IP)
  • FYI, i've enabled and setup both L2TP over IPSec and Cisco VPN Client, all others disabled.
  • What i've did:
    [LIST=1]
  • Network security > Firewall > Rules > New rule
    Source: Any
    Service: IPSec (It's a group)
    Designation: External (WAN)
    Action: Allow
    then, "Save"
    and Enable it

    Another Firewall rule:
    Source: Any
    Service: L2TP
    Designation: External (WAN)
    Action: Allow
    then, "Save"
    and Enable it
  • Network security > NAT > DNAT/SNAT > New NAT rule
    Traffic Source: Any
    Traffic Service: IPSec (Group)
    Traffic Designation: External (WAN address)
    NAT mode: DNAT
    Destination: WAN address
    Automatic Firewall rule: Checked
    Save, and Enable it

    Another NAT Rule:
    Traffic Source:     Any
    Traffic Service: L2TP
    Traffic Designation: External (WAN address)
    NAT mode: DNAT
    Destination: WAN address
    Automatic Firewall rule: Checked
    Save, and Enable it
  • Network security > Masquerading > New Masq Rule
    Network Pool:     VPN Pool (Cisco)
    Interface: External (WAN)

    Another Masq:
    Network Pool: VPN Pool (L2TP)
    Interface: External (WAN)

    Another Masq:
    Network Pool: johndoe (User Network)
    Interface: External (WAN)

 
  • Gets connected but no internet/intranet access
  • Log has been attached to this thread
[/LIST]
iPhone - Cisco IPSec client:


  • I downloaded config from user portal saved, install profile.
  • Turn VPN on
    Status: Starting....
  • Then, "The VPN server did not respond."
  • Check IPSec log, nothing comes out.
  • Check Firewall log, nothing related to VPN connection are dropped.


This thread was automatically locked due to age.
Parents
  • 0
    Those are some good guesses, but, as you already know, "close, but no cigar!" [;)]

    1. Neither firewall rule is necessary, nor does either have any effect.

    2. Neither NAT rule is necessary.  In fact, each one could cause problems and must be deleted.

    3. Your first two masq rules are good.  The third is redundant.



    I don't know what your other Packet Filter (Firewall) rules are, but you might want to add rules for the VPN Pools like 'VPN Pool (L2TP) -> Web Surfing -> Any : Allow'.

    If you want the VPN clients to be able to use the HTTP/S Proxy, you must add them to 'Allowed networks' or create a separate HTTP/S Profile for each if you want different rules for them.

    If you use the HTTP/S Proxy in a transparent mode, you will need to be sure the VPN Pools can get DNS.  This probably will require you to add them to 'Allowed Networks' in Astaro DNS.

    Try to fix those issues, and then post your results back here.

    Cheers - Bob
    PS Also, check that you have completed the 'Advanced' section of 'Remote Access'.
Reply
  • 0
    Those are some good guesses, but, as you already know, "close, but no cigar!" [;)]

    1. Neither firewall rule is necessary, nor does either have any effect.

    2. Neither NAT rule is necessary.  In fact, each one could cause problems and must be deleted.

    3. Your first two masq rules are good.  The third is redundant.



    I don't know what your other Packet Filter (Firewall) rules are, but you might want to add rules for the VPN Pools like 'VPN Pool (L2TP) -> Web Surfing -> Any : Allow'.

    If you want the VPN clients to be able to use the HTTP/S Proxy, you must add them to 'Allowed networks' or create a separate HTTP/S Profile for each if you want different rules for them.

    If you use the HTTP/S Proxy in a transparent mode, you will need to be sure the VPN Pools can get DNS.  This probably will require you to add them to 'Allowed Networks' in Astaro DNS.

    Try to fix those issues, and then post your results back here.

    Cheers - Bob
    PS Also, check that you have completed the 'Advanced' section of 'Remote Access'.
Children
  • 0 in reply to BAlfson
    I don't know what your other Packet Filter (Firewall) rules are, but you might want to add rules for the VPN Pools like 'VPN Pool (L2TP) -> Web Surfing -> Any : Allow'.

    I've tried for Cisco: VPN Pool (Cisco) -> Any -> Any: Allow
    also VPN Pool (L2TP) -> Any -> Any:Allow

    If you want the VPN clients to be able to use the HTTP/S Proxy, you must add them to 'Allowed networks' or create a separate HTTP/S Profile for each if you want different rules for them.

    If you use the HTTP/S Proxy in a transparent mode, you will need to be sure the VPN Pools can get DNS.  This probably will require you to add them to 'Allowed Networks' in Astaro DNS.
    PS Also, check that you have completed the 'Advanced' section of 'Remote Access'.


    I've put VPN Pool (Cisco) & VPN Pool (L2TP) as allowed networks

    Scan HTTPS traffic has been unchecked.
    It's in Standard Mode
    Authentication Mode: None

    so as i've said, as of now, Android is unable to connect to VPN server.

    and as of now for iPhone/iOS, Cisco VPN Client is working fine after those adjustments you mentioned and as per Scott said, such as removing some masq, DNAT rules.
    just that L2TP over IPSec doesn't work.
    The L2TP-VPN server did not respond. Try reconnecting. If the problem continues, verify your settings and contact your Administrator.


    2011:08:29-20:37:27 corp pluto[7116]: packet from 124.155.195.7:15274: received Vendor ID payload [RFC 3947]
    2011:08:29-20:37:27 corp pluto[7116]: packet from 124.155.195.7:15274: ignoring Vendor ID payload [4df37928e9fc4fd1b3262170d515c662]
    2011:08:29-20:37:27 corp pluto[7116]: packet from 124.155.195.7:15274: ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8]
    2011:08:29-20:37:27 corp pluto[7116]: packet from 124.155.195.7:15274: ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582]
    2011:08:29-20:37:27 corp pluto[7116]: packet from 124.155.195.7:15274: ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285]
    2011:08:29-20:37:27 corp pluto[7116]: packet from 124.155.195.7:15274: ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee]
    2011:08:29-20:37:27 corp pluto[7116]: packet from 124.155.195.7:15274: ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b]
    2011:08:29-20:37:27 corp pluto[7116]: packet from 124.155.195.7:15274: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
    2011:08:29-20:37:27 corp pluto[7116]: packet from 124.155.195.7:15274: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
    2011:08:29-20:37:27 corp pluto[7116]: packet from 124.155.195.7:15274: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
    2011:08:29-20:37:27 corp pluto[7116]: packet from 124.155.195.7:15274: received Vendor ID payload [Dead Peer Detection]
    2011:08:29-20:37:27 corp pluto[7116]: "S_for user"[23] 124.155.195.7:15274 #103: responding to Main Mode from unknown peer 124.155.195.7:15274
    2011:08:29-20:37:27 corp pluto[7116]: "S_for user"[23] 124.155.195.7:15274 #103: NAT-Traversal: Result using RFC 3947: both are NATed
    2011:08:29-20:37:28 corp pluto[7116]: "S_for user"[23] 124.155.195.7:15274 #103: ignoring informational payload, type IPSEC_INITIAL_CONTACT
    2011:08:29-20:37:28 corp pluto[7116]: "S_for user"[23] 124.155.195.7:15274 #103: Peer ID is ID_IPV4_ADDR: '10.51.217.114'
    2011:08:29-20:37:28 corp pluto[7116]: "S_for user"[24] 124.155.195.7:15274 #103: deleting connection "S_for user"[23] instance with peer 124.155.195.7 {isakmp=#0/ipsec=#0}
    2011:08:29-20:37:28 corp pluto[7116]: "S_for user"[24] 124.155.195.7:15274 #103: Dead Peer Detection (RFC 3706) enabled
    2011:08:29-20:37:28 corp pluto[7116]: | NAT-T: new mapping 124.155.195.7:15274/15394)
    2011:08:29-20:37:28 corp pluto[7116]: "S_for user"[24] 124.155.195.7:15394 #103: sent MR3, ISAKMP SA established
    2011:08:29-20:37:29 corp pluto[7116]: "S_for user"[24] 124.155.195.7:15394 #103: cannot respond to IPsec SA request because no connection is known for 175.156.207.126/32===10.100.0.2:4500[10.100.0.2]:17/1701...124.155.195.7:15394[10.51.217.114]:17/%any==={10.51.217.114/32}
    2011:08:29-20:37:29 corp pluto[7116]: "S_for user"[24] 124.155.195.7:15394 #103: sending encrypted notification INVALID_ID_INFORMATION to 124.155.195.7:15394
    2011:08:29-20:37:32 corp pluto[7116]: "S_for user"[24] 124.155.195.7:15394 #103: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x91b5879d (perhaps this is a duplicated packet)
    2011:08:29-20:37:32 corp pluto[7116]: "S_for user"[24] 124.155.195.7:15394 #103: sending encrypted notification INVALID_MESSAGE_ID to 124.155.195.7:15394
    2011:08:29-20:37:35 corp pluto[7116]: "S_for user"[24] 124.155.195.7:15394 #103: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x91b5879d (perhaps this is a duplicated packet)
    2011:08:29-20:37:35 corp pluto[7116]: "S_for user"[24] 124.155.195.7:15394 #103: sending encrypted notification INVALID_MESSAGE_ID to 124.155.195.7:15394
    2011:08:29-20:37:38 corp pluto[7116]: "S_for user"[24] 124.155.195.7:15394 #103: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x91b5879d (perhaps this is a duplicated packet)
    2011:08:29-20:37:38 corp pluto[7116]: "S_for user"[24] 124.155.195.7:15394 #103: sending encrypted notification INVALID_MESSAGE_ID to 124.155.195.7:15394
    2011:08:29-20:37:41 corp pluto[7116]: "S_for user"[24] 124.155.195.7:15394 #103: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x91b5879d (perhaps this is a duplicated packet)
    2011:08:29-20:37:41 corp pluto[7116]: "S_for user"[24] 124.155.195.7:15394 #103: sending encrypted notification INVALID_MESSAGE_ID to 124.155.195.7:15394
    2011:08:29-20:37:44 corp pluto[7116]: "S_for user"[24] 124.155.195.7:15394 #103: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x91b5879d (perhaps this is a duplicated packet)
    2011:08:29-20:37:44 corp pluto[7116]: "S_for user"[24] 124.155.195.7:15394 #103: sending encrypted notification INVALID_MESSAGE_ID to 124.155.195.7:15394
    2011:08:29-20:37:47 corp pluto[7116]: "S_for user"[24] 124.155.195.7:15394 #103: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x91b5879d (perhaps this is a duplicated packet)
    2011:08:29-20:37:47 corp pluto[7116]: "S_for user"[24] 124.155.195.7:15394 #103: sending encrypted notification INVALID_MESSAGE_ID to 124.155.195.7:15394
    2011:08:29-20:37:50 corp pluto[7116]: "S_for user"[24] 124.155.195.7:15394 #103: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x91b5879d (perhaps this is a duplicated packet)
    2011:08:29-20:37:50 corp pluto[7116]: "S_for user"[24] 124.155.195.7:15394 #103: sending encrypted notification INVALID_MESSAGE_ID to 124.155.195.7:15394
    2011:08:29-20:37:53 corp pluto[7116]: "S_for user"[24] 124.155.195.7:15394 #103: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x91b5879d (perhaps this is a duplicated packet)
    2011:08:29-20:37:53 corp pluto[7116]: "S_for user"[24] 124.155.195.7:15394 #103: sending encrypted notification INVALID_MESSAGE_ID to 124.155.195.7:15394
    2011:08:29-20:37:56 corp pluto[7116]: "S_for user"[24] 124.155.195.7:15394 #103: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x91b5879d (perhaps this is a duplicated packet)
    2011:08:29-20:37:56 corp pluto[7116]: "S_for user"[24] 124.155.195.7:15394 #103: sending encrypted notification INVALID_MESSAGE_ID to 124.155.195.7:15394
    2011:08:29-20:37:59 corp pluto[7116]: "S_for user"[24] 124.155.195.7:15394 #103: received Delete SA payload: deleting ISAKMP State #103
    2011:08:29-20:37:59 corp pluto[7116]: "S_for user"[24] 124.155.195.7:15394: deleting connection "S_for user"[24] instance with peer 124.155.195.7 {isakmp=#0/ipsec=#0}
    2011:08:29-20:37:59 corp pluto[7116]: ERROR: asynchronous network error report on eth0 for message to 124.155.195.7 port 15394, complainant 124.155.195.7: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]