iOS 7 IPSec client not connecting to UTM 9.1

It's hard to say - are those all of the lines between 9:08:53 and 9:10:03?

My favorite now is the OpenVPN app.  Download it from the App Store and then activate the SSL VPN in the UTM and, from the User Portal, download the app install into the OpenVPN bucket.  Very slick!

Cheers - Bob

Thanks Bob.  I just ran another failed attempt and grabbed the logs - I may have missed something when I pasted the original.  If nobody else is seeing an issue then I'd probably suspect FIOS blocking something it didn't used to, although I've not found any reports of that yet.  At the moment I'm not able to connect to my UTM from the built-in Cisco IPSec clients in either Mac OS 10.8.5 or iOS 7.  The Mac OS client stopped working several months ago, but the iOS client was working until recently (and I think it was working fine on the pre-GM betas of iOS 7).

Thanks for the tip on OpenVPN - I'll give that a try!

2013:09:20-16:12:39 gateway pluto[5595]: packet from 74.92.54.206:500: received Vendor ID payload [RFC 3947]
2013:09:20-16:12:39 gateway pluto[5595]: packet from 74.92.54.206:500: ignoring Vendor ID payload [4df37928e9fc4fd1b3262170d515c662]
2013:09:20-16:12:39 gateway pluto[5595]: packet from 74.92.54.206:500: ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8]
2013:09:20-16:12:39 gateway pluto[5595]: packet from 74.92.54.206:500: ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582]
2013:09:20-16:12:39 gateway pluto[5595]: packet from 74.92.54.206:500: ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285]
2013:09:20-16:12:39 gateway pluto[5595]: packet from 74.92.54.206:500: ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee]
2013:09:20-16:12:39 gateway pluto[5595]: packet from 74.92.54.206:500: ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b]
2013:09:20-16:12:39 gateway pluto[5595]: packet from 74.92.54.206:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
2013:09:20-16:12:39 gateway pluto[5595]: packet from 74.92.54.206:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
2013:09:20-16:12:39 gateway pluto[5595]: packet from 74.92.54.206:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2013:09:20-16:12:39 gateway pluto[5595]: packet from 74.92.54.206:500: received Vendor ID payload [XAUTH]
2013:09:20-16:12:39 gateway pluto[5595]: packet from 74.92.54.206:500: ignoring Vendor ID payload [Cisco-Unity]
2013:09:20-16:12:39 gateway pluto[5595]: packet from 74.92.54.206:500: ignoring Vendor ID payload [FRAGMENTATION 80000000]
2013:09:20-16:12:39 gateway pluto[5595]: packet from 74.92.54.206:500: received Vendor ID payload [Dead Peer Detection]
2013:09:20-16:12:39 gateway pluto[5595]: "D_for bilbo to Internal (Network)"[8] 74.92.54.206 #11: responding to Main Mode from unknown peer 74.92.54.206
2013:09:20-16:12:40 gateway pluto[5595]: "D_for bilbo to Internal (Network)"[8] 74.92.54.206 #11: NAT-Traversal: Result using RFC 3947: both are NATed
2013:09:20-16:12:43 gateway pluto[5595]: "D_for bilbo to Internal (Network)"[8] 74.92.54.206 #10: max number of retransmissions (2) reached STATE_MAIN_R2
2013:09:20-16:13:50 gateway pluto[5595]: "D_for bilbo to Internal (Network)"[8] 74.92.54.206 #11: max number of retransmissions (2) reached STATE_MAIN_R2
2013:09:20-16:13:50 gateway pluto[5595]: "D_for bilbo to Internal (Network)"[8] 74.92.54.206: deleting connection "D_for bilbo to Internal (Network)"[8] instance with peer 74.92.54.206 {isakmp=#0/ipsec=#0}

I would not be surprised if this is broken again; Apple broke IPSEC on their mobile devices when they introduced 6.x ... and Sophos had to rig up a workaround for that in a new up2date release.  I'd take Bob's advice and try the SSL VPN client.

It is also possible that your ISP is blocking inbound IPSEC traffic... no real easy way to tell that for sure.  I've notice some ISPs, for home internet accounts, starting to block all manner of things, used to just be inbound SMTP and HTTP (home mail and web servers)... starting to expand.

Ah OK - didn't realize there was some history here.  So much for the convenience of built-in VPN clients!  Sounds like SSL is the way to go.

Result using RFC 3947: both are NATed

I didn't think the Cisco iOS client knew what to do with a UTM behind a NAT.  This would be another reason to use OpenVPN with iPhone and Mac.

Cheers - Bob

Weird thing is that it's been working just fine for me for the last several years; I've always just set up the UTM box as the DMZ host for my FIOS router, and it's worked perfectly with the iOS Cisco client until now.  The iOS 7 Cisco client still works fine for my work VPN (via a Cisco ASA), but I'm not sure if that's also behind a NAT or not.  One difference is that it uses a shared secret, rather than the certificate-based authentication on the UTM.

One difference is that it uses a shared secret, rather than the certificate-based authentication on the UTM.

You might be able to get around this by making a new "Local X509 Cert" for use on the 'Advanced' tab of IPsec using 'VPN ID type: IP Address' and the numeric IP of "External (Address)."  Any luck with that?

Then again, if the FiOS modem is anything like the 2-wire Uverse device I fought with recently, no such trick should be necessary, and the External interface of the UTM should already have the public IP.  Have you checked that it doesn't need to be rebooted?

Cheers - Bob

Thanks Bob - gave this ago but still the same result unfortunately.  For now I'm reverting to PPTP, which still works fine via iOS 7.  I'll try out OpenSSL too.  Shame Apple doesn't included SSL VPN support as part of iOS - maybe in iOS 8!

You definitely should get the OpenVPN app for iOS as I described in #2 above.

Cheers - Bob

I've always just set up the UTM box as the DMZ host for my FIOS router...

Hi, there are alternatives, especially if you have CAT5/ethernet coming out of the ONT to the router; see my post at 
https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/20490

for more info.

Barry