Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 2500 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Setting up iPhone for VPN access

Spartan117
Can anyone help me with the steps for setting up the Astaro to allow iPhones remote access? I have a few guides from Astaro that I found online, but we're still not able to connect. Specifically, the error is - 2011:09:30-10:28:08 Astaro pluto[8643]: ERROR: asynchronous network error report on eth1 for message to 192.168.1.98 port 500, complainant 192.168.1.98: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]

We have created the test user for local authentication, we have enabled L2TP over IPSEC using the external interface and a preshared key. Do we need to create a IPSEC remote access rule or enable Cisco VPN client as well?

I hope that's enough info to get started with, if not I'll send whatever else you need. 

Thanks

Kevin


This thread was automatically locked due to age.
Parents
  • 0
    OK, so perhaps the issue was with my user. I created a local account for a user who is also in Active Directory, and maybe the Astaro couldn't tell which one to use. So I tested it with a local account that only exists in the Astaro and was connected, albeit briefly. The connections on the iPhone seem to drop frequently. Again, this may be because of signal strength based on my location, I will keep testing and see.

    My L2TP/IPsec iPhone connection is always to a local user on the Astaro with an identical username+password on the server.  Yours indeed may be a signal-strength issue.

    So, another question - during my research to set this up, I kept coming across having to set up the Cisco VPN option and then connecting to user portal to download the config to the iPhone. Is this necessary if I'm using L2TP, or an alternate configuration?

    Since the top tech guy that was a cofounder of Astaro has an iPhone and an iPad, there's a very cool way to set up Remote Access on the iPhone.  When you download the Astaro profile via the Enduser Portal, it automatically sets up any of L2TP, PPTP and Cisco that you've configured in the Astaro.  You don't need to configure them all.

    Last question for now, the settings for L2TP specify an IP address from the VPN pool. The main reason for this vpn setup is to make sure the iPhones are filtered using Astaro web security. Do I need to create a NAT rule for the VPN pool? I also came across an Astaro document that mentioned this setup to allow the vpn clients internet access.

    First, comments on the different access methods.

    With the PPTP and L2TP access methods, the choice of using a "split tunnel" is done in the client.

    In the Cisco method, the decision is made for all clients by the setting in the Astaro.  If you have only "Internal (Network)" in 'Local networks', the tunnel is split and the client accesses the internet directly.  If you also have "Internet" in 'Local Networks', then the tunnel is "full" and all client traffic passes through the VPN tunnel to the Astaro.

    The PPTP method is the oldest technology and is the least secure.  In PCs, L2TP and IPsec are equally secure when L2TP is configured with a certificate instead of a Preshared key (PSK).  In the iPhone, Cisco is more-secure because the only option for L2TP is a PSK.

    If the client traffic needs to pass through the Astaro to the internet, then you will need a masq rule 'VPN Pool (?????) -> External'.  For any Packet Filter rule you have for your internal clients to access the internet, you will need the same for the VPN Pool.

    You might not need those if you're using the HTTP/S Proxy, it is in a standard mode and the users configure the iPhone client to use the Proxy.  Use the IP of "Internal (Address)" and port 8080.  Note that you can create a separate Proxy Profile for the VPN Pool and use that in a Standard mode if you want to leave the default HTTP/S in a transparent mode.  In a Transparent mode, only HTTP traffic is proxied.  In a Standard mode, all of the 'Allowed target services' on the 'Advanced' tab of 'HTTP/S' are proxied.

    Cheers - Bob
Reply
  • 0
    OK, so perhaps the issue was with my user. I created a local account for a user who is also in Active Directory, and maybe the Astaro couldn't tell which one to use. So I tested it with a local account that only exists in the Astaro and was connected, albeit briefly. The connections on the iPhone seem to drop frequently. Again, this may be because of signal strength based on my location, I will keep testing and see.

    My L2TP/IPsec iPhone connection is always to a local user on the Astaro with an identical username+password on the server.  Yours indeed may be a signal-strength issue.

    So, another question - during my research to set this up, I kept coming across having to set up the Cisco VPN option and then connecting to user portal to download the config to the iPhone. Is this necessary if I'm using L2TP, or an alternate configuration?

    Since the top tech guy that was a cofounder of Astaro has an iPhone and an iPad, there's a very cool way to set up Remote Access on the iPhone.  When you download the Astaro profile via the Enduser Portal, it automatically sets up any of L2TP, PPTP and Cisco that you've configured in the Astaro.  You don't need to configure them all.

    Last question for now, the settings for L2TP specify an IP address from the VPN pool. The main reason for this vpn setup is to make sure the iPhones are filtered using Astaro web security. Do I need to create a NAT rule for the VPN pool? I also came across an Astaro document that mentioned this setup to allow the vpn clients internet access.

    First, comments on the different access methods.

    With the PPTP and L2TP access methods, the choice of using a "split tunnel" is done in the client.

    In the Cisco method, the decision is made for all clients by the setting in the Astaro.  If you have only "Internal (Network)" in 'Local networks', the tunnel is split and the client accesses the internet directly.  If you also have "Internet" in 'Local Networks', then the tunnel is "full" and all client traffic passes through the VPN tunnel to the Astaro.

    The PPTP method is the oldest technology and is the least secure.  In PCs, L2TP and IPsec are equally secure when L2TP is configured with a certificate instead of a Preshared key (PSK).  In the iPhone, Cisco is more-secure because the only option for L2TP is a PSK.

    If the client traffic needs to pass through the Astaro to the internet, then you will need a masq rule 'VPN Pool (?????) -> External'.  For any Packet Filter rule you have for your internal clients to access the internet, you will need the same for the VPN Pool.

    You might not need those if you're using the HTTP/S Proxy, it is in a standard mode and the users configure the iPhone client to use the Proxy.  Use the IP of "Internal (Address)" and port 8080.  Note that you can create a separate Proxy Profile for the VPN Pool and use that in a Standard mode if you want to leave the default HTTP/S in a transparent mode.  In a Transparent mode, only HTTP traffic is proxied.  In a Standard mode, all of the 'Allowed target services' on the 'Advanced' tab of 'HTTP/S' are proxied.

    Cheers - Bob
Children
No Data