Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 8949 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

PKI-Error only in IPSEC-VPN (RAS)

jkontny
Hello again ;-))
Nearly everything is working on my UTM120:
The certbased-secured Site-Site-IPSec-Connection to the main-router (a UTM220), the Cisco-VPN-Connection with an iOS-device and the IPSec-VPN-Connection with a PSK.
So far so good.

Only when I try to establish an certbased-IPSEC-VPN-Connection I get an PKI-Error on the IPSEC-Client.
But I don't know why?
I've appended the log from the dial-in-attempt.

Do you have any hints for me?

Thanks in advance… Jochen


This thread was automatically locked due to age.
IPSec-Log.zip
Parents
  • 0
    Ok, the VPN-IPSEC-Dial-in doesn't create any logs on the astaro, because the PKI error apperas after typing the pin for the local Cert.
    Now I attached the Log of the astaro-ipsec-client.
    The actual errror is:
    "Client Error: Verify Server Certificate with error 2002 ! (unable to get issuer certificate)."
    Is it possible that the error is in relation with the fact, that the UTM120 has an dynamic WAN-IP?
    I was already wondering why the config-file from the User-Portal contains the acutal WAN-IP and not the DYN-DNS-Hostname of my UTM120?
    I change this entry (tunnel endpoint) to the DYNDNS-hostname (in the client-config).


    Kind regards Jochen
Reply
  • 0
    Ok, the VPN-IPSEC-Dial-in doesn't create any logs on the astaro, because the PKI error apperas after typing the pin for the local Cert.
    Now I attached the Log of the astaro-ipsec-client.
    The actual errror is:
    "Client Error: Verify Server Certificate with error 2002 ! (unable to get issuer certificate)."
    Is it possible that the error is in relation with the fact, that the UTM120 has an dynamic WAN-IP?
    I was already wondering why the config-file from the User-Portal contains the acutal WAN-IP and not the DYN-DNS-Hostname of my UTM120?
    I change this entry (tunnel endpoint) to the DYNDNS-hostname (in the client-config).


    Kind regards Jochen
Children
No Data