PKI-Error only in IPSEC-VPN (RAS)

Jochen,

Please post the log lines from a single connection attempt without debugging enabled.  That file is too long to read quickly.  Your log file will be small enough that zipping won't be needed.

Cheers - Bob

Ok, the VPN-IPSEC-Dial-in doesn't create any logs on the astaro, because the PKI error apperas after typing the pin for the local Cert.
Now I attached the Log of the astaro-ipsec-client.
The actual errror is:
"Client Error: Verify Server Certificate with error 2002 ! (unable to get issuer certificate)."
Is it possible that the error is in relation with the fact, that the UTM120 has an dynamic WAN-IP?
I was already wondering why the config-file from the User-Portal contains the acutal WAN-IP and not the DYN-DNS-Hostname of my UTM120?
I change this entry (tunnel endpoint) to the DYNDNS-hostname (in the client-config).


Kind regards Jochen

Please [Go Advanced] below and attach a picture of the "Local X509 Certificate" for your ASG.  Also, are you certain that there was no activity in the IPsec log file for the same time as the client log above?

Cheers - Bob

Thanks for your support!
Here are the requested pics comming.
I appended the selection of the default ipsec-cert(AstaroBonn instead of LocalX509), because I changed it according to the faq-document that describes the ipsec-connection between two ASG using certificates.
I wonder, why none of the certificates seems to be used in "Fernzugriff IPSEC"..

Kind regards Jochen

"Fernzugriff IPSEC" uses the same server certificate as the IPsec site-to-site, so I'm confused that that works.  Can one of the "jochen" or "jochen2" users connect, but not the other?

Cheers - Bob

No, no user can use remoteaccess with certificates,
The iOS-Device for the user "jochen" is able to connect.
I just created an new user with a new certificate containing a mailadress name@dyndnsdomain-of the-UTM.info that works with iOS-device(Cisco-Client, but not with the IPSEC-Client.
I tested two different windows-machines. Both are able to connect to the other UTM220 (over a third network with different IP-range), but not to the UTM120.
Any ideas? ;-))
Thanks... Jochen

Yeah!! I've got it!
I had to download the "Astaro Verification CA1.pem" from the CA-Managment-Site of my UTM120.
Then I copied it to the CaCert-folder of the IPSec-Client of the windows-machines:
And now both are running.
Can this behavior be in relation with my StandardCA for IPSEC?
It is the one I created on the UTM220...

Is it a securitiy-issue to have the*.pem-File on a notebook?
Thanks.. Jochen
@Bob: Without your hint, that they use the same cert and this is not mentioned in the "used-by list" I would never have searched on the client side -  Thank You!!!

I suspected that you had renamed the UTM and that the newer user might work, but, yes, the CA was where I was going.  This should have come through in the PKCS#12 file with your user cert.  If you loaded the user cert via a PEM file, then you do need to load the Signing CA via PEM file, too.

Cheers - Bob