Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 28 replies
  • Subscribers 1 subscriber
  • Views 16722 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Cisco VPN not working with Apple iOS 6

Nemo
Hi there!

Since installing the new iOS update for the iPhone (version 6) the Cisco VPN client is not working anymore. I get the following logs in the UTM (Release 9.002-12):

2012:09:21-11:45:45 utm-1 pluto[26458]: packet from 89.204.137.123:42730: received Vendor ID payload [RFC 3947]
2012:09:21-11:45:45 utm-1 pluto[26458]: packet from 89.204.137.123:42730: ignoring Vendor ID payload [4df37928e9fc4fd1b3262170d515c662]
2012:09:21-11:45:45 utm-1 pluto[26458]: packet from 89.204.137.123:42730: ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8]
2012:09:21-11:45:45 utm-1 pluto[26458]: packet from 89.204.137.123:42730: ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582]
2012:09:21-11:45:45 utm-1 pluto[26458]: packet from 89.204.137.123:42730: ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285]
2012:09:21-11:45:45 utm-1 pluto[26458]: packet from 89.204.137.123:42730: ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee]
2012:09:21-11:45:45 utm-1 pluto[26458]: packet from 89.204.137.123:42730: ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b]
2012:09:21-11:45:45 utm-1 pluto[26458]: packet from 89.204.137.123:42730: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
2012:09:21-11:45:45 utm-1 pluto[26458]: packet from 89.204.137.123:42730: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
2012:09:21-11:45:45 utm-1 pluto[26458]: packet from 89.204.137.123:42730: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2012:09:21-11:45:45 utm-1 pluto[26458]: packet from 89.204.137.123:42730: received Vendor ID payload [XAUTH]
2012:09:21-11:45:45 utm-1 pluto[26458]: packet from 89.204.137.123:42730: ignoring Vendor ID payload [Cisco-Unity]
2012:09:21-11:45:45 utm-1 pluto[26458]: packet from 89.204.137.123:42730: ignoring Vendor ID payload [FRAGMENTATION 80000000]
2012:09:21-11:45:45 utm-1 pluto[26458]: packet from 89.204.137.123:42730: received Vendor ID payload [Dead Peer Detection]
2012:09:21-11:45:45 utm-1 pluto[26458]: "D_for Anselment to Internal (Network)"[4] 89.204.137.123:42730 #9: responding to Main Mode from unknown peer 89.204.137.123:42730
2012:09:21-11:45:46 utm-1 pluto[26458]: "D_for Anselment to Internal (Network)"[4] 89.204.137.123:42730 #9: NAT-Traversal: Result using RFC 3947: peer is NATed
2012:09:21-11:45:47 utm-1 pluto[26458]: packet from 89.204.137.123:52568: next payload type of ISAKMP Message has an unknown value: 132
2012:09:21-11:45:47 utm-1 pluto[26458]: packet from 89.204.137.123:52568: sending notification PAYLOAD_MALFORMED to 89.204.137.123:52568
2012:09:21-11:45:47 utm-1 pluto[26458]: packet from 89.204.137.123:52568: next payload type of ISAKMP Message has an unknown value: 132
2012:09:21-11:45:47 utm-1 pluto[26458]: packet from 89.204.137.123:52568: sending notification PAYLOAD_MALFORMED to 89.204.137.123:52568
2012:09:21-11:45:50 utm-1 pluto[26458]: packet from 89.204.137.123:52568: next payload type of ISAKMP Message has an unknown value: 132
2012:09:21-11:45:50 utm-1 pluto[26458]: packet from 89.204.137.123:52568: sending notification PAYLOAD_MALFORMED to 89.204.137.123:52568
2012:09:21-11:45:50 utm-1 pluto[26458]: packet from 89.204.137.123:52568: next payload type of ISAKMP Message has an unknown value: 132
2012:09:21-11:45:50 utm-1 pluto[26458]: packet from 89.204.137.123:52568: sending notification PAYLOAD_MALFORMED to 89.204.137.123:52568
2012:09:21-11:45:53 utm-1 pluto[26458]: packet from 89.204.137.123:52568: next payload type of ISAKMP Message has an unknown value: 132
2012:09:21-11:45:53 utm-1 pluto[26458]: packet from 89.204.137.123:52568: sending notification PAYLOAD_MALFORMED to 89.204.137.123:52568
2012:09:21-11:45:53 utm-1 pluto[26458]: packet from 89.204.137.123:52568: next payload type of ISAKMP Message has an unknown value: 132
2012:09:21-11:45:53 utm-1 pluto[26458]: packet from 89.204.137.123:52568: sending notification PAYLOAD_MALFORMED to 89.204.137.123:52568
2012:09:21-11:45:56 utm-1 pluto[26458]: packet from 89.204.137.123:52568: next payload type of ISAKMP Message has an unknown value: 132
2012:09:21-11:45:56 utm-1 pluto[26458]: packet from 89.204.137.123:52568: sending notification PAYLOAD_MALFORMED to 89.204.137.123:52568
2012:09:21-11:45:56 utm-1 pluto[26458]: packet from 89.204.137.123:52568: next payload type of ISAKMP Message has an unknown value: 132
2012:09:21-11:45:56 utm-1 pluto[26458]: packet from 89.204.137.123:52568: sending notification PAYLOAD_MALFORMED to 89.204.137.123:52568
2012:09:21-11:45:57 utm-1 pluto[26458]: packet from 89.204.137.123:52568: next payload type of ISAKMP Message has an unknown value: 132
2012:09:21-11:45:57 utm-1 pluto[26458]: packet from 89.204.137.123:52568: sending notification PAYLOAD_MALFORMED to 89.204.137.123:52568
2012:09:21-11:45:57 utm-1 pluto[26458]: "D_for Anselment to Internal (Network)"[4] 89.204.137.123:42730 #8: max number of retransmissions (2) reached STATE_MAIN_R2
2012:09:21-11:45:57 utm-1 pluto[26458]: packet from 89.204.137.123:52568: next payload type of ISAKMP Message has an unknown value: 132
2012:09:21-11:45:57 utm-1 pluto[26458]: packet from 89.204.137.123:52568: sending notification PAYLOAD_MALFORMED to 89.204.137.123:52568 


I think only a new update will resolve this.


This thread was automatically locked due to age.
  • 0 in reply to d12fk
    For V8 I targeted it for 8.307.


    Do you know when 8.307 will be about?
  • 0 in reply to SveN_01
    Do you know when 8.307 will be about?


    8.307 was soft-released yesterday and can be downloaded from ftp.astaro.com

    Stefan
  • 0 in reply to StefanIngendahl
    Having the problem with iOS6 as well, updated to 8.307 yesterday without change. So I tried to apply the workaround, but that still didn't change a thing. Left most fields in the certificate empty, result is always:


    2012:11:22-09:01:26 firewall pluto[7693]: "D_REF_IpsRoaForRoadWarri_99"[1] xx.xx.xx.xx #3: responding to Main Mode from unknown peer xx.xx.xx.xx
    2012:11:22-09:01:27 firewall pluto[7693]: "D_REF_IpsRoaForRoadWarri_99"[1] xx.xx.xx.xx #3: NAT-Traversal: Result using RFC 3947: peer is NATed
    2012:11:22-09:01:27 firewall pluto[7693]: packet from xx.xx.xx.xx:4500: next payload type of ISAKMP Message has an unknown value: 132
    2012:11:22-09:01:27 firewall pluto[7693]: packet from xx.xx.xx.xx:4500: sending notification PAYLOAD_MALFORMED to xx.xx.xx.xx:4500
    2012:11:22-09:01:27 firewall pluto[7693]: packet from xx.xx.xx.xx:4500: next payload type of ISAKMP Message has an unknown value: 132


    What could I be missing?
  • 0 in reply to d12fk
    The patch for this was merged into 9.004 recently. For V8 I targeted it for 8.307. I suppose it's important enough to get into this release.

    A little background for those of you interested in what was causing this:
    The IPsec client in iOS 6 sends IKE packets split up into IKE fragment payloads in some situations. This is a bit hacky workaround to get around some broken NAT gateways that don't handle IP fragments properly. iOS 6 sends the IKE fragment payloads regardless of whether its IKE peer announced support for this unpublished IKE extension or not. A clear case of iOS being a bit of a bully here. =)


    Looking at the release notes for 8.307 (http://www.astaro.com/node/20867), it looks like the iOS6 VPN fix did not make it into this release. Can you please let us know when the fix will be available??
  • 0 in reply to BazRat24
    Looks like the fix has only made it into 8.308!!! Does anyone know when this will be made available???

    http://www.astaro.com/lists/Known_Issues-ASG-V8.txt
  • 0
    No,
    unfortunately, there are very little information about release dates.

    Look right here -Astaro Security Gateway - up2date Pakete
  • 0 in reply to BazRat24
    Looks like the fix has only made it into 8.308!!! Does anyone know when this will be made available???

    http://www.astaro.com/lists/Known_Issues-ASG-V8.txt


    Now changed to 8.309. Still no word on when this is going to made available?
  • 0
    This is a little disappointing. Any ideas or suggestions about the manual workaround with the small X509 certificate? Didn't work for me.