Certificate cannot be verified using Cisco Vpn client

i tried to test my working cisco vpn connection from my laptop and now but i am not able to connect to my UTM 9 box.

I tried to re-export my key , as it might be an certificate issue, but then i have the issue tha the vpn client doesnt connect with : error 32 unable to verify certificate "user certificate".

Does anybody have a glue where to look ?
  • What exactly you are trying to do ?
  • I have a laptop with Cisco IPSEC VPN client installed.
    I have been using it for many years successfully and when i tried it yesterday (multiple software upgrades of my astaro have been installed and not everytime tested the vpn connection), i discovered it was not working any longer. as i have upgraded the system from version 8.x to 9.x i could expect that the certificate which i was using wasnt valid anympre. I exported the certificate of the user and imported it into the cisco ipsec client.
    When i try to verify or try to setup a connection, i get the error message as mentioned.


  • Hi Madifor

    Could you please specify the exact version you have upgraded to? Also please post the log from the cisco vpn client and the astaro vpn log

    If you turning up logging in the VPN client you will be able to get more information. Sounds like chain trust issue 

     What's your operating system?

  • That is also what i am think of. But dont know how to create an unchainged certificate from a user account i use for the vpn connection.

    I will setup the logging as soon as possible and add it in an other reply.

    On my Cisco IPSEC VPN Client i get the following entries.
    isco Systems VPN Client Version
    Copyright (C) 1998-2009 Cisco Systems, Inc. All Rights Reserved.
    Client Type(s): Windows, WinNT
    Running on: 5.1.2600 Service Pack 3
    Config file directory: C:\Program Files\Cisco Systems\VPN Client\

    1      16:14:41.637  05/29/13  Sev=Info/6 CERT/0x63600026
    Attempting to find a Certificate using Serial Hash.

    2      16:14:41.637  05/29/13  Sev=Info/6 CERT/0x63600027
    Found a Certificate using Serial Hash.

    3      16:14:41.637  05/29/13  Sev=Info/6 CERT/0x63600026
    Attempting to find a Certificate using Serial Hash.

    4      16:14:41.637  05/29/13  Sev=Info/6 CERT/0x63600027
    Found a Certificate using Serial Hash.

    5      16:14:41.668  05/29/13  Sev=Info/6 CERT/0x63600026
    Attempting to find a Certificate using Serial Hash.

    6      16:14:41.668  05/29/13  Sev=Info/6 CERT/0x63600027
    Found a Certificate using Serial Hash.

    7      16:14:41.856  05/29/13  Sev=Warning/2 CERT/0xE360003E
    Cert chain missing or intermediate CA signature failed - Cert verification failed.

    I am using windows XP.

  • At this moment no logging is created on the Astaro side.
    I use:
    Model: ASG Software
    Firmware version: 9.100-16
  • Finally a step further. Loaded the signing certificate in the certification store , but it is at this moment not working.
    See cisco-vpn client log.

    I have hidden some private related information for security reasons.

    Cisco Systems VPN Client Version
    Copyright (C) 1998-2009 Cisco Systems, Inc. All Rights Reserved.
    Client Type(s): Windows, WinNT
    Running on: 5.1.2600 Service Pack 3

    544    18:56:19.384  05/29/13  Sev=Info/4 CERT/0x63600015
    Cert (************xxl) verification succeeded.

    545    18:56:19.384  05/29/13  Sev=Info/4 CM/0x63100002
    Begin connection process

    546    18:56:19.431  05/29/13  Sev=Info/4 CM/0x63100004
    Establish secure connection

    547    18:56:19.431  05/29/13  Sev=Info/4 CM/0x63100024
    Attempt connection with server "************xx"

    548    18:56:19.431  05/29/13  Sev=Info/6 IKE/0x6300003B
    Attempting to establish a connection with ***.***.***.***.

    549    18:56:19.509  05/29/13  Sev=Info/4 IKE/0x63000001
    Starting IKE Phase 1 Negotiation

    550    18:56:19.509  05/29/13  Sev=Info/4 IKE/0x63000013
    SENDING >>> ISAKMP OAK MM (SA, VID(Xauth), VID(dpd), VID(Frag), VID(Nat-T), VID(Unity)) to ***.***.***.***

    551    18:56:20.227  05/29/13  Sev=Info/4 IPSEC/0x63700008
    IPSec driver successfully started

    552    18:56:20.227  05/29/13  Sev=Info/4 IPSEC/0x63700014
    Deleted all keys

    553    18:56:20.493  05/29/13  Sev=Info/5 IKE/0x6300002F
    Received ISAKMP packet: peer = ***.***.***.***

    554    18:56:20.493  05/29/13  Sev=Info/4 IKE/0x63000014
    RECEIVING >> ISAKMP OAK MM (KE, NON, NAT-D, NAT-D, VID(?), VID(Unity)) to ***.***.***.***

    561    18:56:20.712  05/29/13  Sev=Info/5 IKE/0x6300002F
    Received ISAKMP packet: peer = ***.***.***.***

    562    18:56:20.712  05/29/13  Sev=Info/4 IKE/0x63000014

    564    18:56:26.228  05/29/13  Sev=Info/4 IKE/0x63000021
    Retransmitting last packet!

    565    18:56:26.228  05/29/13  Sev=Info/4 IKE/0x63000013
    SENDING >>> ISAKMP OAK MM *(Retransmission) to ***.***.***.***

    566    18:56:30.728  05/29/13  Sev=Info/5 IKE/0x6300002F
    Received ISAKMP packet: peer = ***.***.***.***

    567    18:56:30.728  05/29/13  Sev=Info/4 IKE/0x63000014
    RECEIVING >> ISAKMP OAK MM *(Retransmission) to ***.***.***.***

    570    18:56:35.728  05/29/13  Sev=Info/4 IKE/0x63000021
    Retransmitting last packet!

    571    18:56:35.728  05/29/13  Sev=Info/4 IKE/0x63000013
    SENDING >>> ISAKMP OAK MM *(Retransmission) to ***.***.***.***

    572    18:56:40.729  05/29/13  Sev=Info/4 IKE/0x63000017
    Marking IKE SA for deletion  (I_Cookie=8B67BC3A89CFD379 R_Cookie=2D9BB5918A5538A9) reason = DEL_REASON_PEER_NOT_RESPONDING

    573    18:56:40.729  05/29/13  Sev=Info/4 IKE/0x63000013
    SENDING >>> ISAKMP OAK INFO *(HASH, DEL) to ***.***.***.***

    574    18:56:41.229  05/29/13  Sev=Info/4 IKE/0x6300004B
    Discarding IKE SA negotiation (I_Cookie=8B67BC3A89CFD379 R_Cookie=2D9BB5918A5538A9) reason = DEL_REASON_PEER_NOT_RESPONDING

    575    18:56:41.229  05/29/13  Sev=Info/4 CM/0x63100014
    Unable to establish Phase 1 SA with server "www.demuldriaan.nl" because of "DEL_REASON_PEER_NOT_RESPONDING"

    576    18:56:41.338  05/29/13  Sev=Info/4 IKE/0x63000001
    IKE received signal to terminate VPN connection

    577    18:56:41.729  05/29/13  Sev=Info/4 IPSEC/0x63700014
    Deleted all keys

    578    18:56:41.729  05/29/13  Sev=Info/4 IPSEC/0x63700014
    Deleted all keys

    579    18:56:41.729  05/29/13  Sev=Info/4 IPSEC/0x63700014
    Deleted all keys

    580    18:56:41.729  05/29/13  Sev=Info/4 IPSEC/0x6370000A
    IPSec driver successfully stopped
  • Madifor, I agree with Wingman that this looks like an issue related to the certificate.  Please activate logging on the UTM long enough to record one connection attempt and then show us the relevant lines from the IPsec log.

    Cheers - Bob
  • I attached both log files , the ipsec log from the Astaro/ sophos and the cisco ipsec client log

  • I just noticed that you have "Essential" in your signature line.  If that's what you're trying to connect with, I don't think the Cisco server is included with the Essential license.

    If not, then please show an IPsec log without debug enabled - I think the issue is after what you showed us.  What Cisco client are you using?

    Cheers - Bob
  • In reply to BAlfson:

    I just noticed that you have "Essential" in your signature line.  If that's what you're trying to connect with, I don't think the Cisco server is included with the Essential license.

    If not, then please show an IPsec log without debug enabled - I think the issue is after what you showed us.  What Cisco client are you using?

    Cheers - Bob

    True , i have one essential firewall installed for my test lab setup in my company test lab. The utm9 I try to connect to is at home.
    Today I tried to connect to it from my ipad as I am abroad, and now I also get here an certificate issue.

    So I am getting confused where to concentrate on to fix my problem.
  • I fellowed THE instructions as I have done in the past but can't get the remote access VPN access to operate.

    I am lot now.
  • please show an IPsec log without debug enabled - I think the issue is after what you showed us.

    Cheers - Bob
  • In reply to BAlfson:

    Here is the requested ipsec log.

    I see it is sending the xauthentiction, but i never see a popup appear for my user credentials.
    Also it is strange to see that it reports an issue with the certificate.

    hope it helps to find the root cause.
  • That looks good thusfar.  Please show the next 20 lines from the log file for that connection attempt.

    A successful attempt from my iPhone is attached for comparison.

    Cheers - Bob