Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 6917 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

iPhone VPN | Cisco VPN

Alvin
Hi

- I managed to get my iPHONE Connected via VPN but simply nothing works upon connection.
- As there is no ping etc on iPhone, I do not know how to go about troubleshooting.

- I have a Group named Trusted and this group contains LAN and SSL VPN Network.
- Trusted Group is used for the following
- Masquerading to WAN for Internet Connection.
- ANY Trusted -> Internet = Allow on Packet Filter.
- Trusted ALLOWED on DNS, HTTP, FTP, SMTP, POP Proxy.

- This is Tested and Proven to work perfectly both from LAN and SSL VPN.

- I added VPN Pool (Cisco) to Trusted Group.

Now I move on to Cisco VPN configuration for iPHONE.
- Remote Access - Cisco VPN - Enabled
- Interface WAN
- Server Certificate = Local X509 Cert
- Pool Network = VPN Pool (Cisco)
- Local Network = ANY ( I want ALL Traffic on my iPhone to VPN back to my Astaro follow by going to Internet)
- Users and Groups = the same user I created for my SSL VPN.
- Automatic Firewall Rules = Checked.

- Remote Access - Cisco VPN - iOS Devices = Enabled.

- I logged into the User Portal - Exported the Cisco VPN Profile and Installed onto iPhone.

- VPN Button Appears.

- I ensure I connect via the WAN to my Astaro 

- Simply Nothing works.

Please advice me - I seriously checked throughly.


This thread was automatically locked due to age.
  • 0
    Alvin, I use Ping Lite and FreePing on my iPhone.

    My preferred VPN with the iPhone is L2TP over IPsec.  The only downside is that it uses a PSK instead of a certificate.

    If you search here, you'll see that there are DNS issues reaching internal resources from the iPhone when using the Cisco VPN.

    In any case, you will want to go to the IPsec configuration and make sure that NAT-T is enabled.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Balfson

    - Thank You for reply
    - I just checked under IPsec (I never touch here at all)
    Use NAT traversal = Checked with 60 seconds.

    - I do suspect it is a DNS Issue (yet to do that ping test but will do soon)

    - It is a Must to use the DNS Proxy in Astaro which would in turn forward to the ISP DNS.
  • 0 in reply to Alvin
    Balfson

    - Thank You for telling me this Ping Lite.
    - I have to admit that I do not know what I am thinking, never came to my mind there can be a App to ping.

    - Well as suspected, when my VPN is Connected.

    -Ping CNN.com International - Breaking, World, Business, Sports, Entertainment and Video News would get Unable to DNS lookup host address.

    - I checked again, my VPN Pool (Cisco) is on the Allowed under DNS.

    - I did Not just added to my Trusted Group - I specifically have it seperately so that I know it is there in case of some software bugs with the groups.

    - Now I feel so much better knowing at least DNS we know somehow is not talking / resolving.

    - I did ensure I connect to VPN via Telco 3G and another Wi-Fi network.
  • 0 in reply to Alvin
    Anyone get iPHONE Cisco VPN working to their Astaro?

    If YES = My Fault, something is wrong, check again (even though i am 99.999% sure I did it right).

    If NO = This is a Astaro Software Bug and simply does not work?
  • 0
    Alvin, I just tested it, and it now works 100% even without the old workarounds for DNS.

    Your description of your configuration sounds correct and complete.  I guess it's time to open the Firewall, DNS, Web Security and IPsec Live Logs to see what happens during a connection attempt.  Before that, check the Intrusion Prevention log to see if there's anything unusual there.

    Cheers - Bob
  • 0 in reply to BAlfson
    Balfson - Thanks for confirmation it worked for you.

    I Disabled Everything on Astaro

    ONLY use it for NAT LAN, SSL VPN, Cisco VPN -> WAN
    Packet Filter LAN SSL VPN, Cisco VPN -> Internet = ANY ALLOW.
    DNS Allowed for LAN, SSL VPN, Cisco VPN


    LAN Internet = OK
    SSL VPN to Internet = OK.
    Cisco VPN over iPhone = Nothing.
  • 0
    Did you see anything unusual in the logs?  I bet the IPsec log will tell the story.

    Cheers - Bob
  • 0 in reply to BAlfson
    Bob

    For the IPsec Logs - There is few boxes to select.

    Maybe you can help tell me which catagory of logs to reduce the amount?

    I tried to look at it myself - it is not simple english, looks cryptic.

    I upgraded to Latest ASG 8.303 and iOS 5.1.1 and still no DNS after connected.
  • 0
    To start, don't select any of the debug check boxes for the IPsec log.

    Have you seen the posts about Apple dropping support for MD5 in iOS5?  That's the first thing to check.  You may need to replace your existing certs with ones created with SHA1 or SHA2.  Here's a quick summary.

    Cheers - Bob
    PS Since I'm still using an iPhone 3G, it's still on iOS 4.2.1, so I haven't had these issues personally.
  • 0
    Thanks to BAlfson / Bon for telling me about the Ping Lite ( I have no explanation as to why it did not occur to me to find a app to troubleshoot) which helped to confirm problem with DNS as simply cannot resolved.

    I am glad to shared that the problem is, I need to Specify DNS under
    Remote Access -> Advanced -> Client Options -> Specify DNS.

    1) I did NOT think of setting DNS Settings here in the past as my SSL VPN and RED works fine.
    2) I did have DNS Proxy Enabled (Forwarded to OpenDNS for added security provided by OpenDNS)
    3) Thus since my SSL VPN and RED worked, I assumed this Cisco VPN concept is the same thus I kept checking that DNS Proxy Allowed Network included Cisco VPN Pool hoping it is the same concept.

    4) Somehow to day looking at it again, I decided to put in something to give it a try.
    4.1) I am Confused what to put since the description seems to mean the following DNS Settings would Apply to All Remotely Connected Devices.
    4.2) Ideally the concept should be ALL Remote Network talk to this DNS Proxy on Astaro.
    4.2) If I put 10.242.2.1 which is the SSL VPN network then it may break the Cisco VPN which is on the 10.242.5.1.
    4.3) Therefore, I decided to put the OpenDNS Server settings with the concept that Astaro DNS Proxy would "intercept" and resolve on the Astaro ( Let me know if what I wrote is true or I am talking nonsense ).
    OpenDNS 208.67.222.222
    OpenDNS 208.67.220.220

    5) Seems to be working - The seriously frustraing part is the VPN connection don't seems to be able to "sustain" and the constant retyping of password is seriously tedious.