Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 6108 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

iOS 7 IPSec client not connecting to UTM 9.1

MarCow
Hi everyone,

I recently upgraded my iPhone 5 to iOS 7, which previously had a working VPN profile for the native Cisco IPSec client to my UTM 9.105-9 gateway (software appliance for home use running on a reprovisioned ASG-220 Rev 4).  Since the GM of iOS 7, it appears my iPhone can no longer establish a connection to my UTM.  Just in case the profile hadn't made its way over to iOS 7 completely intact, I deleted it and then reinstalled it via the UTM user site.  I saw the same behavior after that.

An excerpt from the VPN log follows.  Not sure if this is an incompatibility issue with iOS 7, or if Verizon FIOS has suddenly started interfering with inbound VPN traffic.  Any thoughts or suggestions?

Thanks,
Martin.

2013:09:20-09:08:52 gateway pluto[5595]: packet from 198.228.199.242:36983: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2013:09:20-09:08:52 gateway pluto[5595]: packet from 198.228.199.242:36983: received Vendor ID payload [XAUTH]
2013:09:20-09:08:52 gateway pluto[5595]: packet from 198.228.199.242:36983: ignoring Vendor ID payload [Cisco-Unity]
2013:09:20-09:08:52 gateway pluto[5595]: packet from 198.228.199.242:36983: ignoring Vendor ID payload [FRAGMENTATION 80000000]
2013:09:20-09:08:52 gateway pluto[5595]: packet from 198.228.199.242:36983: received Vendor ID payload [Dead Peer Detection]
2013:09:20-09:08:52 gateway pluto[5595]: "D_for bilbo to Internal (Network)"[7] 198.228.199.242:36983 #9: responding to Main Mode from unknown peer 198.228.199.242:36983
2013:09:20-09:08:52 gateway pluto[5595]: "D_for bilbo to Internal (Network)"[7] 198.228.199.242:36983 #9: NAT-Traversal: Result using RFC 3947: both are NATed
2013:09:20-09:08:53 gateway pluto[5595]: "D_for bilbo to Internal (Network)"[7] 198.228.199.242:36983 #8: max number of retransmissions (2) reached STATE_MAIN_R2
2013:09:20-09:10:03 gateway pluto[5595]: "D_for bilbo to Internal (Network)"[7] 198.228.199.242:36983 #9: max number of retransmissions (2) reached STATE_MAIN_R2
2013:09:20-09:10:03 gateway pluto[5595]: "D_for bilbo to Internal (Network)"[7] 198.228.199.242:36983: deleting connection "D_for bilbo to Internal (Network)"[7] instance with peer 198.228.199.242 {isakmp=#0/ipsec=#0


This thread was automatically locked due to age.
  • 0 in reply to BarryG
    Thanks - I'll look into that too - the main thing I fund puzzling is that I was using the iOS Cisco VPN client just fine until maybe a couple of weeks ago, so this seems more like an iOS 7 GM issue (which maybe they'll fix, maybe not) as opposed to FIOS, although I wouldn't be surprised if Verizon have done something toi mess things up and the timing is coincidental.  Something's certainly changed for me in the last few weeks which broke my VPN setup, and iOS 7 is the most obvious thing.

    OpenVPN was very quick to set up just now, and works correctly on iOS 7 as well as on Mac OS 10.8 via the Tunnelblick client.
  • 0 in reply to MarCow
    I've been using Cisco VPN client with my UTM9 and Iphone since ios6 and upgraded some days ago to ios7. I can confirm that it's still working fine. 
    Rigt after upgrading to ios7 I've deleted the old VPN profile on my iphone and reinstalled the certificate from the UTM user portal. I didn't come across any bugs/restrictions so far [:)] ...
  • 0
    Good to know - thanks.  I had deleted my previous VPN profile and then reinstalled via the user portal, but still no luck (and just tried doing so again with iOS 7.0.2, just in case!).  Is your UTM behind another router, or connected directly to your ISP?  One theory is that my UTM being behind my FIOS router is causing the issue, although it used to work just fine for me until very recently.
  • 0
    One theory is that my UTM being behind my FIOS router is causing the issue, although it used to work just fine for me until very recently. 

    There's no option in the iOS Cisco client to compensate for a server being behind a NATting router, so I don't know how that would have worked - are you sure you didn't change something in your setup at home?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Bob - your question prompted me to do some more digging, especially since the Cisco VPN client on iOS 7 was working fine in the early betas.  I took a more detailed look at my Verizon FIOS router.  Photo1 shows my initial failed connection attempt.  Photo2 then shows that, for some reason, my FIOS router was set up to forward UDP port 4500 to address 192.168.1.6 - no idea how this rule got set up, as I certainly never did it and I'm the only one with access to the router.  Photo3 shows that 192.168.1.6 is in fact my iPhone, which I had temporarily connected to wi-fi on the FIOS router to check download/upload speeds with the UTM box out of the mix.  I'd done this a few weeks ago, probably around the time of late iOS 7 betas or the GM release to developers.  I disabled that one UDP 4500 port forwarding rule (Photo4), and then was able to connect just fine via the native Cisco IPSec client on my iPhone (Photo5).

    So, it was all due to an oddity with my Verizon FIOS router, and I'm now able to connect to the UTM just fine despite it being behind the FIOS router.  The main puzzle is why that rule got set up in the first place, but at least if I lose the ability to connect again I'll know what to look for.

    If it would be useful/interesting for me to posting the live log when this connection is established just let me know.
  • 0
    If it would be useful/interesting for me to posting the live log when this connection is established just let me know. 

    Thanks for your efforts, Martin - I didn't know that that could work.  I did a test with an instance in Amazon EC2, and it worked!  I watched the Live Log and saw that it's apparent that the client is configured to ignore the mismatch with the private IP on the interface of the instance.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML