Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 1 subscriber
  • Views 17899 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Android 4 & UTM 9 LT2P over IPSEC Pre-shared Key Not Working

jkconnections
About 6 months ago, I was trying to get my VPN access working for both my Android cell phone and my laptop computer. At the time, someone suggested that I try UTM 9 beta, and sure enough that fixed my problems.

Well time has passed and I've since upgraded my Android phone to the Galaxy S3 (Verizon) which is Android 4 based. Also UTM 9 has exited from beta and gone live. It's been a while since I've needed VPN and hadn't tried it since getting the new phone. But sure enough, my Android 4 Galaxy S3 won't connect. 

Since it's been a while since using VPN, I'm uncertain whether this is a problem with my phone, or if one of the many automatic updates broke UTM 9. Before boring you with the log from my phone, I will mention that I am able to successfully put my phone into tether mode, connect my laptop, and use the L2TP/Ipsec PSK connection using Windows XP. So this problem is not an issue with Verizon blocking packets or an incorrect settings in UTM9 (as far as I know). Given that Samsung has already sold 30 million Galaxy S3 phones, I tend to think this is a bug with UTM 9, but I'm certainly willing to entertain the possibility that it's Samsung's fault too. 

Any help would be greatly appreciated as trying to understand these logs is a bit out of my league [:)]

Thanks in advance,

Jonathan


This thread was automatically locked due to age.
  • 0 in reply to utmfan
    Have you considered setting it up with the Cisco IPSec instead of encapsulation with L2TP?  I have it working on Android 4.1.2. See here:

    http://www.astaro.org/gateway-products/vpn-site-site-remote-access/44485-android-ipsec-cisco.html


    I had seen your post and had attempted to give that a try, but I haven't been able to get it to work. Here are the settings I used. Please let me know if I did something wrong as I'm not proficient and didn't have this correctly setup for iPhone.

    Remote Settings > Cisco:
    Interface: External (WAN)
    Server Certificate: Local X509 Cert
    Pool Network: VPN Pool (Cisco)
    Local Networks: Internal Network
    Users and Groups: VPN Users group
    Automatic Firewall Rules: Checked

    Android Settings:
    Type: IPSEC Xauth RSA
    Server Address: My Dynamic IP service
    IPSec user certificate:  (X509 User Cert) that I downloaded from Remote Access > Certificate Management
    IPSec CA certificate: Local X509 Cert
    IPSec server certificate: Received from Server

    When trying to connect, this also times out. Here is the log:


    2012:11:12-20:47:52  pluto[12062]: packet from :29217: received Vendor ID payload [RFC 3947]
    2012:11:12-20:47:52  pluto[12062]: packet from :29217: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
    2012:11:12-20:47:52  pluto[12062]: packet from :29217: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
    2012:11:12-20:47:52  pluto[12062]: packet from :29217: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
    2012:11:12-20:47:52  pluto[12062]: packet from :29217: received Vendor ID payload [XAUTH]
    2012:11:12-20:47:52  pluto[12062]: packet from :29217: ignoring Vendor ID payload [Cisco-Unity]
    2012:11:12-20:47:52  pluto[12062]: packet from :29217: ignoring Vendor ID payload [FRAGMENTATION 80000000]
    2012:11:12-20:47:52  pluto[12062]: packet from :29217: received Vendor ID payload [Dead Peer Detection]
    2012:11:12-20:47:52  pluto[12062]: "D_for VPN Users to Internal (Network)"[1] :29217 #12: responding to Main Mode from unknown peer :29217
    2012:11:12-20:47:52  pluto[12062]: "D_for VPN Users to Internal (Network)"[1] :29217 #12: NAT-Traversal: Result using RFC 3947: peer is NATed
    2012:11:12-20:47:52  pluto[12062]: "D_for VPN Users to Internal (Network)"[1] :29217 #12: Peer ID is ID_DER_ASN1_DN: 'C=us, L=Greenville, SC, O=Jonathan, CN=Jonathan, E='
    2012:11:12-20:47:52  pluto[12062]: "D_for VPN Users to Internal (Network)"[1] :29217 #12: crl not found
    2012:11:12-20:47:52  pluto[12062]: "D_for VPN Users to Internal (Network)"[1] :29217 #12: certificate status unknown
    2012:11:12-20:47:52  pluto[12062]: "D_for VPN Users to Internal (Network)"[1] :29217 #12: deleting connection "D_for VPN Users to Internal (Network)"[1] instance with peer  {isakmp=#0/ipsec=#0}
    2012:11:12-20:47:52  pluto[12062]: "D_for VPN Users to Internal (Network)"[1] :29217 #12: we have a cert and are sending it
    2012:11:12-20:47:52  pluto[12062]: "D_for VPN Users to Internal (Network)"[1] :29217 #12: Dead Peer Detection (RFC 3706) enabled
    2012:11:12-20:47:52  pluto[12062]: | NAT-T: new mapping :29217/29244)
    2012:11:12-20:47:52  pluto[12062]: "D_for VPN Users to Internal (Network)"[1] :29244 #12: sent MR3, ISAKMP SA established
    2012:11:12-20:47:52  pluto[12062]: "D_for VPN Users to Internal (Network)"[1] :29244 #12: sending XAUTH request
    2012:11:12-20:47:52  pluto[12062]: packet from :29244: Informational Exchange is for an unknown (expired?) SA
    2012:11:12-20:49:02  pluto[12062]: "D_for VPN Users to Internal (Network)"[1] :29244 #12: max number of retransmissions (2) reached STATE_XAUTH_R1
    2012:11:12-20:49:02  pluto[12062]: "D_for VPN Users to Internal (Network)"[1] :29244: deleting connection "D_for VPN Users to Internal (Network)"[1] instance with peer  {isakmp=#0/ipsec=#0} 
  • 0
    Your IPSec CA cert should be the same as your user cert downloaded from the User Portal (at least it is on mine). Otherwise it looks OK. I also have iOS enabled on Cisco VPN config - maybe you could try ticking that on too?
  • 0 in reply to utmfan
    Your IPSec CA cert should be the same as your user cert downloaded from the User Portal (at least it is on mine)?


    Where should the IPSEC CA cert be the same as the user cert? In the Android Settings? If so, then shouldn't the Server Certificate: Local X509 Cert be changed to the user certificate as well?
  • 0
    I think it might be making more sense to me now. Is the Local X509 cert I selected in the Cisco settings the setting in Android that says "IPSEC server certificate: Received from server?"

    Anyway, I tried setting both the user cert and CA cert in Android to the user x509 cert and it still times out. [:(]

    Oh and by the way iOS devices is enabled by default . . .
  • 0


    Where should the IPSEC CA cert be the same as the user cert? In the Android Settings? If so, then shouldn't the Server Certificate: Local X509 Cert be changed to the user certificate as well?


    Hmmm, your p12 file should actually contain two certs (although both with the same name). One is the user cert and the other the UTM CA. Maybe try removing and reloading the certs from the portal again?
  • 0
    For some reason my user portal isn't working (SSL received a record that exceeded the maximum permissible length.), but I deleted the user and recreated it, so that recreated the cert.

    When importing that user cert into my Android phone, it asked for the password and then imported the user cert. (Only 1 cert).

    Anyway, I tried connecting and still got the timeout error.
  • 0
    Doing some Googling, there seem to be quite a lot of people with the same problem using Verizon, and there's a suggestion that Verizon breaks VPNs on certain APNs. 

    Can you connect using a wifi network on your S3?
  • 0 in reply to utmfan
    Doing some Googling, there seem to be quite a lot of people with the same problem using Verizon, and there's a suggestion that Verizon breaks VPNs on certain APNs. 

    Can you connect using a wifi network on your S3?


    I tried connecting via my home wifi using the Cisco connection and that indeed worked. So apparently Verizon is blocking something. However, the L2TP/IPSEC PSK connection still did not work on wifi. 

    Do you know if there is a way I can get Verizon to unblock the Cisco VPN?
  • 0
    Sorry - no idea! I didn't come across any successful workarounds while searching, but maybe I just didn't look for long enough. You could try calling them?
  • 0
    I found this thread while researching support for IKEv2.  As of V9.1 and earlier, only IKEv1 is supported, so your device won't be able to connect with IKEv2.

    Upgrade to modern version of StrongSWAN which uses charon instead of pluto

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML