Guest User!

You are not Sophos Staff.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[solved]IOS IPSec VPN and UTM 9.01

Hi All

I am not able to connect to my vpn via iphone (5.1.1) and I am getting the following logs (attached). I have tried with IPS on/off and still not able to connect

Iphone reports "negotiation with the VPN server failed". I am not sure why port 46890 port is being used

Relevant ports have been forwarded to my external modem (UDP 500,4500 for nAT along with 46890 just to make sure)

Thanks


This thread was automatically locked due to age.
VPN_Debug.txt.zip
  • wingman,

    Saw no one took a crack at it.  Thought I would give it a shot.  Not sure if you're still having a problem but figured I'd throw it out there anyways.  Have a question for you first.  When you say you have 500, 4500, and 46890 port forwarded to your external modem, are you implying that your external modem retains the public IP address and you port forward those ports to your Sophos that has a private IP address?

    If that's the case, the error message below is likely your issue:

    2012:08:30-20:18:18 **** pluto[7290]: "D_for wingman to Data Zone 1 (Network)"[2] 82.132.235.121:46890 #2: NAT-Traversal: Result using RFC 3947: both are NATed

    Conventional IPSec connections require at least one host to have a Non-NATed IP address.  Please confirm that this is or isn't the way you're currently setup.

    Thanks!

    Chris
  • Also, please confirm that you have replaced your VPN Signing CA Certificate with one that uses SHA1 instead of MD5 - recall that Apple dropped support for MD5 beginning in iOS5.

    Cheers - Bob
  • Thank Guys

    It seems that the VPN signing CA is SHA1 and 2048. However, according to the vpn log we are not even getting to the "certificate checking" point.  

    Out of curiosity, do you use the "Local X509 certificate" as the "server certificate" for your VPN connections?

    Chris you are absolutely right. This is the set up I have

     external modem retains the public IP address and you port forward those ports to your Sophos that has a private IP address?


    I am trying different setup lately as since I've changed my ISP I can't get the PPPoA connection on UTM working.

    Conventional IPSec connections require at least one host to have a Non-NATed IP address. Please confirm that this is or isn't the way you're currently setup.


    The client is connecting via 3G network so it's NATed (local address is 10.68.x.x). Is there a workaround on this  i.e use some other kind of vpn connection for the VPN?
  • One other note regarding the certificate used for the IOS VPN; the name on the cert must match the external DNS hostname you are using for the CIsco VPN client to connect.
  • I think Chris has the answer if Bruce didn't hit on it.  I know how to take care of this in a site-to-site, but not in the iOS Cisco client.

    Wingman, if you post another log, please turn off debugging first.

    Cheers - Bob
  • Wingman,

    Though it doesn't carry the prestige of Cisco IPSec, you will likely need to resign yourself to using PPTP.  As this doesn't require endpoint identification (the reason why your conventional IPSec tunnel fails), it should pass through with the correct port forwards no problem.

    In the past, when I used RRAS for my iPhone/iPad VPN solution which was PPTP, I had to forward 3 port/protocols.  TCP 1723, TCP 1792, and Protocol 47 (GRE).  You need to check and see if your modem is even capable of forwarding it GRE first, but this will likely be the best solution.

    Why don't we take a look sometime at your PPPoA problem instead?  Astaro/Sophos is such a fantastic product, it deserves to have a fully-routable IP.  [:D]
  • wingman,

    Saw no one took a crack at it.  Thought I would give it a shot.  Not sure if you're still having a problem but figured I'd throw it out there anyways.  Have a question for you first.  When you say you have 500, 4500, and 46890 port forwarded to your external modem, are you implying that your external modem retains the public IP address and you port forward those ports to your Sophos that has a private IP address?

    If that's the case, the error message below is likely your issue:

    2012:08:30-20:18:18 **** pluto[7290]: "D_for wingman to Data Zone 1 (Network)"[2] 82.132.235.121:46890 #2: NAT-Traversal: Result using RFC 3947: both are NATed

    Conventional IPSec connections require at least one host to have a Non-NATed IP address.  Please confirm that this is or isn't the way you're currently setup.

    Thanks!

    Chris


    After bridging my modem I was able to successfully connect using IPsec (ios version 6.0.1) and UTM 9.0044-33

    Thanks