Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 1 subscriber
  • Views 12004 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

iPhone Cisco VPN /Couldn't validate Server certificate

keamas
Hi,
I configured the Cisco VPN option on my Sophos UTM Firewall.
When I connect with my Windows Cisco VPN Client from remote, everything works great.

But when I try it with my iPhone 5 Firmware 6.1.3 I get the message:
VPN Connection: Could not validate the server certificate.

Here are the settings:
Global:
Interface: External WAN
Server certificate: Local X509 Cert
Pool Network: VPN Pool (Cisco)
Local Networks: Any
User and Groups: Users

IOS Settings:
Connection name: VPN (IPsec)
Override hostname: vpn.test.dyndns.org


This thread was automatically locked due to age.
  • 0
    Can you see anything relateed to this issue in the Firewall or Intrusion Prevention log?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Can you see anything relateed to this issue in the Firewall or Intrusion Prevention log?

    Cheers - Bob


    I just turned off the Intrusion Prevention.

    Than I opened the "Firewall live log" and played with it.

    But it is so wired, I can only see VPN traffic and the admin session.
    But nothing else.

    I changed the user portal port to TCP 443 and tried to connect with my iPhone.
    I can see no traffic in the log and no Webpage on the iPhone

    I changed than the user portal port to tcp 4443 and connected with my iPhon successfully, and could see the page.
    But in the FW log nothing of the traffic, still only VPN and admin page traffic.

    Whats wrong here?
    please help !!!
  • 0
    The Intrusion Prevention log also records Anti-DoS Flooding activity, so you should look at it, too.

    From your iPhone, go to What Is My IP Address ® | Shows Your IP Address. to find its public IP and use that instead of a.b.c.d in the example below. If your External interface isn't eth1, then change that, too.  At the command line,
    tcpdump -n -i eth1 src a.b.c.d port 443

    Now, try to access the User Portal on port 443.  Are your port 443 packets getting to you?

    Cheers - Bob
    PS Someone please correct me if I left out an AND
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    When I have the user portal on port 4443 I can see the traffic to the userportal: 

    tcpdump -n -i eth1 port 4443

    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

    listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes

    20:28:06.419451 IP xx.yy.206.171.63231 > 10.0.0.200.4443: S 2898248613:2898248613(0) win 65535 

    20:28:06.419510 IP 10.0.0.200.4443 > xx.yy.206.171.63231: S 3922597615:3922597615(0) ack 2898248614 win 14480 

    The 10.0.0.200 is the external interface ip of the sophos utm.

    The user portal is still on port 4443 and I monitor the port 443  

    tcpdump -n -i eth1 port 443

    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

    listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes

    20:32:03.487116 IP 10.0.0.200.34016 > 79.125.21.244.443: S 891037055:891037055(0) win 14600 

    20:32:03.559127 IP 79.125.21.244.443 > 10.0.0.200.34016: S 4105256813:4105256813(0) ack 891037056 win 5792 

    20:32:03.559230 IP 10.0.0.200.34016 > 79.125.21.244.443: . ack 1 win 115 

    20:32:03.560072 IP 10.0.0.200.34016 > 79.125.21.244.443: P 1:210(209) ack 1 win 115 

    20:32:03.635714 IP 79.125.21.244.443 > 10.0.0.200.34016: . ack 210 win 54 

    20:32:03.855683 IP 79.125.21.244.443 > 10.0.0.200.34016: P 1:1001(1000) ack 210 win 54 

    20:32:03.857510 IP 10.0.0.200.34016 > 79.125.21.244.443: . ack 1001 win 130 

    20:32:03.857517 IP 10.0.0.200.34016 > 79.125.21.244.443: P 210:408(198) ack 1001 win 130 

    20:32:03.935637 IP 79.125.21.244.443 > 10.0.0.200.34016: . ack 408 win 62 

    20:32:04.407301 IP 79.125.21.244.443 > 10.0.0.200.34016: P 1001:1060(59) ack 408 win 62 

    20:32:04.438487 IP 10.0.0.200.34016 > 79.125.21.244.443: P 408:925(517) ack 1060 win 130 

    20:32:04.578424 IP 79.125.21.244.443 > 10.0.0.200.34016: . ack 925 win 71 

    20:32:08.565687 IP 79.125.21.244.443 > 10.0.0.200.34016: P 1060:1670(610) ack 925 win 71 

    20:32:08.565715 IP 79.125.21.244.443 > 10.0.0.200.34016: FP 1670:1707(37) ack 925 win 71 

    20:32:08.568792 IP 10.0.0.200.34016 > 79.125.21.244.443: R 925:925(0) ack 1708 win 146 


    I don't know the IP 79.125.21.244 and where it comes from. 

    whois 79.125.21.244

    

    #

    # ARIN WHOIS data and services are subject to the Terms of Use

    # available at: www.arin.net/whois_tou.html

    #

    

    

    #

    # Query terms are ambiguous.  The query is assumed to be:

    #     "n 79.125.21.244"

    #

    # Use "?" to get help.

    #

    

    #

    # The following results may also be obtained via:

    whois.arin.net/.../nets;q=79.125.21.244

    #

    

    NetRange:       79.0.0.0 - 79.255.255.255

    CIDR:           79.0.0.0/8

    OriginAS:

    NetName:        79-RIPE

    NetHandle:      NET-79-0-0-0-1

    Parent:

    NetType:        Allocated to RIPE NCC

    Comment:        These addresses have been further assigned to users in

    Comment:        the RIPE NCC region. Contact information can be found in

    Comment:        the RIPE database at http://www.ripe.net/whois

    RegDate:        2006-08-29

    Updated:        2009-05-18

    Ref:            whois.arin.net/.../NET-79-0-0-0-1

    

    OrgName:        RIPE Network Coordination Centre

    OrgId:          RIPE

    Address:        P.O. Box 10096

    City:           Amsterdam

    StateProv:

    PostalCode:     1001EB

    Country:        NL

    RegDate:

    Updated:        2011-09-24

    Ref:            whois.arin.net/.../RIPE

    

    ReferralServer: whois://whois.ripe.net:43

    

    OrgAbuseHandle: RNO29-ARIN

    OrgAbuseName:   RIPE NCC Operations

    OrgAbusePhone:  +31 20 535 4444

    OrgAbuseEmail:  hostmaster@ripe.net

    OrgAbuseRef:    whois.arin.net/.../RNO29-ARIN

    

    OrgTechHandle: RNO29-ARIN

    OrgTechName:   RIPE NCC Operations

    OrgTechPhone:  +31 20 535 4444

    OrgTechEmail:  hostmaster@ripe.net

    OrgTechRef:    whois.arin.net/.../RNO29-ARIN

    

    

    #

    # ARIN WHOIS data and services are subject to the Terms of Use

    # available at: www.arin.net/whois_tou.html

    #

    

    % This is the RIPE Database query service.

    % The objects are in RPSL format.

    %

    % The RIPE Database is subject to Terms and Conditions.

    % See www.ripe.net/.../db-terms-conditions.pdf

    

    % Note: this output has been filtered.

    %       To receive output for a database update, use the "-B" flag.

    

    % Information related to '79.125.0.0 - 79.125.63.255'

    

    % Abuse contact for '79.125.0.0 - 79.125.63.255' is 'ec2-abuse@Amazon.com'

    

    inetnum:        79.125.0.0 - 79.125.63.255

    netname:        AMAZON-EU-AWS

    descr:          Amazon Web Services, Elastic Compute Cloud, EC2, EU

    remarks:        The activity you have detected originates from a

                    dynamic hosting environment.

                    For fastest response, please submit abuse reports at

                    aws-portal.amazon.com/.../AWSAbuse

                    For more information regarding EC2 see:

                    http://ec2.amazonaws.com/

                    All reports MUST include:

                    * src IP

                    * dest IP (your IP)

                    * dest port

                    * Accurate date/timestamp and timezone of activity

                    * Intensity/frequency (short log extracts)

                    * Your contact details (phone and email)

                    Without these we will be unable to identify

                    the correct owner of the IP address at that

                    point in time.

    country:        IE

    tech-c:         AEA61-RIPE

    tech-c:         AENO1-RIPE

    admin-c:        ADSI2-RIPE

    status:         ASSIGNED PA

    mnt-by:         MNT-ADSI

    mnt-domains:    MNT-ADSI

    source:         RIPE # Filtered

    

    role:           Amazon Data Services Ireland Technical Role Account

    address:        Amazon Data Services Ireland

    address:        Digital Depot

    address:        Thomas Street

    address:        Dublin 8

    address:        Ireland

    mnt-by:         MNT-ADSI

    admin-c:        MA11338-RIPE

    tech-c:         AJ176-RIPE

    nic-hdl:        ADSI2-RIPE

    source:         RIPE # Filtered

    

    role:           Amazon EC2 Abuse

    address:        1200 12th Avenue South

                    Seattle

                    WA

                    US

    mnt-by:         MNT-ADSI

    admin-c:        TW510-RIPE

    tech-c:         ADSI2-RIPE

    nic-hdl:        AEA61-RIPE

    source:         RIPE # Filtered

    

    role:           Amazon EC2 Network Operations

    address:        1200 12th Avenue South

                    Seattle

                    WA

                    US

    mnt-by:         MNT-ADSI

    admin-c:        TW510-RIPE

    tech-c:         ADSI2-RIPE

    nic-hdl:        AENO1-RIPE

    source:         RIPE # Filtered

    

    % Information related to '79.125.0.0/18AS39111'

    

    route:          79.125.0.0/18

    descr:          Amazon EU AWS Dublin

    origin:         AS39111

    mnt-by:         MNT-ADSI

    source:         RIPE # Filtered

    

    % This query was served by the RIPE Database Query Service version 1.60.2 (WHOIS4)


    If I switch the user portal to port 443 I see no traffic; 

    tcpdump -n -i eth1 port 443

    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

    listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes


    Why can't I see useful taffic in the firwall live log?
    Is there any wrong configuration of my firewall?
    Or is the log viewer just a bad tool?
    Is there something how I can better see the traffic and filter it with multiple filters and so on.
  • 0
    79.125.21.244 is an Astaro V8 Up2Date server - probably a coincidence that it happened while you were watching 443.

    So, it looks like port 443 traffic is allowed out, but not in...

    If I switch the user portal to port 443 I see no traffic;

    tcpdump -n -i eth1 port 443
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes

    We must conclude that the traffic is being filtered out before it reaches the UTM.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    so maybe it is because of the telecom router before the Sophos UTM.

    I put the sophos UTM IP as a DMZ IP into the telecom router.
    Maybe it is possible to forward the port 443 to the sophos utm on the telecom router or what do you suggest ?
  • 0
    Well, I'd probably put the telecom router into bridge mode and let the UTM have a public IP, but you may have to go with port forwarding.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?