Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 3951 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Cisco VPN not working

kernel_wall
Hello All,

i'm running the ASG 8.201 with everything up to date.

i follow the astaro pdf call "Remote Acces via Cisco VPN Client"

i found it here https://support.astaro.com/support/index.php/Cisco_VPN_Client_How_To

but when i connect using my iphone i receive this error : can't validate server certificate"

if you need logs i can provide, or if you have a newer version of this documentation or a non outdated i will appreciate.

Flo


This thread was automatically locked due to age.
  • 0
    See posts 2 and 3:  https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/53822.  The server name in the certificate must match the ASG hostname.  Alternately you can use Override Hostname feature on the IOS Tab.
  • 0 in reply to Scott_Klassen
    Thank you Scott,

    i will try this tonight.
  • 0 in reply to kernel_wall
    Scott,

    OK i got it working [:)] next step and i don't know if this is a security risk but i would like to get my VPN device the possibility to access admin console + local LAN access.
  • 0
    In 'Management >> WebAdmin Settings', 'Access Control' tab, drag your Username into 'Allowed Administrators' and drag your "Username (User Network)" object into 'Allowed Networks'.  In 'Sytem Settings' 'Shell Access', add the same address object.

    When you login to the VPN, your "User Network" object will be given the IP assigned you out of the "VPN Pool (Cisco)".

    That's about as secure as you can get while still allowing access from the outside world.  It also allows you to set up other VPNs and access via them.

    Cheers - Bob
  • 0 in reply to kernel_wall
    Scott,

    OK i got it working [:)] next step and i don't know if this is a security risk but i would like to get my VPN device the possibility to access admin console + local LAN access.


    after the client connection, local area network is available instantly at no additional options

    P.S
    do not forget about Automatic packet filter rules
  • 0 in reply to creativity
    after the client connection, local area network is available instantly at no additional options

    P.S
    do not forget about Automatic packet filter rules



    Hey, i didn't select the automatic packet filter rules, i think i will do this manually in order to limit possible access, i only need to allow rdp to a specific computer (i already created the rule) and i need to be able to surf on internet from my iphone through the astaro proxy, but i have to digg this cause i'm only using transparent proxy mode.

    cause actually when i'm conencted on my iphone to my vpn and when i browse whatismyip it shows my 3G connection IP.
  • 0
    cause actually when i'm conencted on my iphone to my vpn and when i browse whatismyip it shows my 3G connection IP. 


    Add "Internet" to 'Local Networks' if you want to surf via your Astaro Proxy.  Also, you'll need to add "VPN Pool (Cisco)" to 'Allowed Networks' in the HTTP/S Proxy.  If the Proxy is in a "Standard" mode, you'll need to complete the Proxy section in your iPhone Cisco client.

    Cheers - Bob
  • 0 in reply to BAlfson
    Thx Bob i will try this tonight [:)]
  • 0 in reply to BAlfson
    Add "Internet" to 'Local Networks' if you want to surf via your Astaro Proxy.  Also, you'll need to add "VPN Pool (Cisco)" to 'Allowed Networks' in the HTTP/S Proxy.  If the Proxy is in a "Standard" mode, you'll need to complete the Proxy section in your iPhone Cisco client.

    Cheers - Bob


    Hey Bob 

    I did it and thx it is working perfectly.

    just 1 question: putting Internet to local network in cisco vpn -> global tab is it a security risk or it is common ? just asking i'm not a network guy.
  • 0
    Actually, it makes you more secure.  Otherwise, having a "split tunnel" as you had before you added "Internet" to the configuration, your iPhone can surf unprotected on the Internet, exposing your home network behind the Astaro.  The reason many people configure a "split tunnel" is that their home uplink speed is too slow.

    Cheers - Bob