Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 26 replies
  • Subscribers 1 subscriber
  • Views 8244 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

iPhone (IOS 5.01) and ASG 8.300 "VPN connection on demand"

wingman
Hi All

I am having problems configuring "VPN connection on demand" on my ASG 8.300

Configuration:

1)I have enabled  "VPN connection on demand" on my ASG and configured the relevant domains (either FQDN or internal addresses)

2)I have downloaded the certificate and imported the settings to my iphone. 
3)I would expect every time I connect to the relevant URL set on step 2, the vpn connection to be launched

If I use manual connection instead of  "VPN connection on demand" I can connect fine to my resources.

It also seems that other users are experiencing the same issue.  Is there a known issue with this feature or am I doing someting wrong?

Thanks


This thread was automatically locked due to age.
  • 0
    Thanks!

    Another thing that is perplexing me is this:  The iOS VPN On Demand feature looks like a client side (e.g., iPhone) feature when it comes to defining the web sites / domains that initiate the VPN connection.  This is because I see in the .mobileconfig file the ability to set the domains that require a VPN session.  Given that, I don't understand why the ASG would have it's own separate list.  It would seem to imply that the ASG is establishing a VPN session with the iPhone when certain domains are encountered.  That seems backwards to me.  Do you have any insight into this?
  • 0 in reply to JTo
    No that's not the case. The ondemand domains defined on the iOS configuration in ASG tells the iOS device for what domains it needs to initiate the connection. These settings are applied to the iOS device when you install the configuration from inside the user portal. That's why you need to re-install the iOS config from the user portal every time you add or remove a domain from the list in ASG.

    Franc.
  • 0
    Oh, I see.  

    I had been thinking that the way to get the iOS device to know about the domains / hosts which auto initiate a VPN connection was to do it via the iPhone Configuration Utility - and only this way.  

    What you're saying, if I follow correctly, is that the ASG offers another way to do this by going to the user portal and installing the .mobileconfig file generated by the ASG.  Is that right?  In that case, the ASG is acting like the iPhone Configuration Utility.

    Jason
  • 0
    Yes, you need to go to the user portal. Not only the on-demand settings will be configured, but also the certificates. User certificate and ASG host certificate. That's way more easy than to configure it manually with the iPhone configuration utility.

    Franc.
  • 0
    That's great.  I didn't know that our friends at Astaro / Sophos made this so easy.  :-)

    Thank you for helping me understand this better.

    Do you know whether there is a way to, with a single entry in that domain / hosts table, to have *all* traffic initiate a VPN connection?  The use case here is using a non-trusted Wi-Fi hotspot.
  • 0
    Glad to help.

    Not sure how. Never tried that. Maybe wildcards will work?

    Franc.