Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 26 replies
  • Subscribers 1 subscriber
  • Views 8233 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

iPhone (IOS 5.01) and ASG 8.300 "VPN connection on demand"

wingman
Hi All

I am having problems configuring "VPN connection on demand" on my ASG 8.300

Configuration:

1)I have enabled  "VPN connection on demand" on my ASG and configured the relevant domains (either FQDN or internal addresses)

2)I have downloaded the certificate and imported the settings to my iphone. 
3)I would expect every time I connect to the relevant URL set on step 2, the vpn connection to be launched

If I use manual connection instead of  "VPN connection on demand" I can connect fine to my resources.

It also seems that other users are experiencing the same issue.  Is there a known issue with this feature or am I doing someting wrong?

Thanks


This thread was automatically locked due to age.
  • 0
    Thanks, Franc!  In fact, I think iOS always has worked like that - local is reserved for Bonjour.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi,

    @Bob: it appears it does. See here:

    iOS 4: Unable to resolve unicast DNS names that end in .local

    @Wingmang:

    yes, that should work.

    Franc.
  • 0
    Thanks Franc, The configuration worked fine

    Is there a way to initiate the VPN for FQDN that can be reached via 3G as well (for example can I access google.com via vpn) ?
  • 0 in reply to wingman
    No need to. If you configure the 'local networks' correctly, it only uses the VPN to access those networks. Al other requests bypass the VPN connection.

    Franc.
  • 0
    I wasn't clear as to what I am trying to achieve. I would like for clients to be able to check their emails via iphone (therefore using gmail etc) but when they initiate the request, they should vpn hone(using vpn on demand) instead of using the existing 3G

    for example

    I want to check my gmail and when I click on the email folder on my iphone , I want the vpn on demand to be initiated

    not sure this is possible but I thought I would ask [:)]
  • 0 in reply to wingman
    As far as I know, the VPN on demand is only initiated when the client tries to access domain that's not resolvable by external DNS servers. Since gmail.com is resolvable it won't initiate the VPN on demand.

    Franc.
  • 0 in reply to FrancWest
    Franc,

    Would you mind taking a moment to document how you configured the ASG in order to support the iPhone VPN On Demand feature?  I believe that I know how to configure it appropriately on the iPhone using the iPhone Configuration Utility, but the ASG configuration is where I am having issues.

    I have successfully got L2TP over IPSec working using PSK.  I am not sure if that is meaningful or not to this.

    Thanks!
    Jason
  • 0 in reply to JTo
    Hi Jason,

    see screenshots. You have to use a domain name which is not resolvable by external DNS servers, but wil be resolvable by your internal DNS server (or by creating a static DNS entry on the DNS service of the Astaro). In my case I used .lan, when using .local it doesn't work (see earlier in this thread). Also as a start you could enable 'automatic firewall rules' and when you have it up and running you can fine-tune them.

    After configuring this. Use your iOS device to go to the user portal of your ASG -> remote access -> 'iOS™ device VPN Configuration' and install the configuration.

    After that it should work.

    Franc.
  • 0
    Franc,

    Thank you very much!

    What "Server certificate" do you use?  I see four options in my drop down box:  (a) admin X509 user cert, jxtorrey X509 user cert, Local X509 cert, and Webadmin cert.

    Also, do you have any of the other remote access methods enabled in order to get this to work (e.g., SSL, PPTP, L2TP over IPSec)?

    Jason
  • 0
    I used the webadmin certificate. I do have other VPN methods enabled, but that shouldn't matter. The iOS VPN is just one of them.

    Franc.