Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 7 replies
  • Answers 1 answer
  • Subscribers 40 subscribers
  • Views 2572 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Probleme mit Sophos XGS IPsec-VPN (iPadOS) und Deutsche Telekom

Dome96

Sehr geehrte Community,

ich habe ein Problem mit iPadOS und der IPsec-VPN-Verbindung in Zusammenhang mit der Telekom.

Beim Versuch, einen VPN-Tunnel von meinem iPad aufzubauen, gelingt dies nur unregelmäßig. Lediglich (geschätzt) 2 von 10 Verbindungsversuchen sind erfolgreich. Das iPad zeigt dabei immer die Fehlermeldung: "Kommunikation mit VPN-Server fehlgeschlagen".

Interessanterweise funktioniert die Verbindung von Windows-Clients und iPhones (iOS) reibungslos. Sobald das iPad mit einem WLAN verbunden ist oder ich einen Hotspot über das iPhone (ebenfalls Telekom LTE) nutze, stellt es die Verbindung ebenfalls zuverlässig her.

Ein weiterer Außendienst Mitarbeiter ist aktuell in Italien und nutzt Telekom IT. Dieser hat keinerlei Probleme mit der Verbindung.

Hier meine Konfiguration:



This thread was automatically locked due to age.
Parents
  • 0

    EDIT: Wir haben die ganze Konfiguration bei einem anderen Kunden mit gleicher Hardware getestet. Dort haben wir das gleiche Szenario.

    IPsec-Verbindung über iPadOS und SIM der Telekom DE = funktioniert nicht oder nur kurzzeitig - nicht reproduzierbar

    IPsec-Verbindung über iPadOS und WLAN = funktioniert

    IPsec-Verbindung über iPadOS und Hotspot von iPhone (Telekom DE) = funktioniert

  • 0 in reply to Dome96

    Hi   - Could you help us to get the /log/charon.log from the device and also the logs from the Ipad in the failure case. Also the tcpdump for port 500 and 4500 on the SFOS will help.

  • 0 in reply to Giridhar Katti

    Hi,

    ich hab grade auch ähnliche Probleme, Sophos Support ist der Ansicht, die Telekom hat Routing Probleme.
    Zumindest bei mir werden VPN Tunnel nicht korrekt geroutet.

    Hatte gestern auch mit der Telekom telefoniert (Support für Company Connect IP Strecken).
    Von den Zweigstellen und im Head Office gibt es da Probleme.

    Von einem VDSL Zugang der Telekom läufts wiederum.

Reply
  • 0 in reply to Giridhar Katti

    Hi,

    ich hab grade auch ähnliche Probleme, Sophos Support ist der Ansicht, die Telekom hat Routing Probleme.
    Zumindest bei mir werden VPN Tunnel nicht korrekt geroutet.

    Hatte gestern auch mit der Telekom telefoniert (Support für Company Connect IP Strecken).
    Von den Zweigstellen und im Head Office gibt es da Probleme.

    Von einem VDSL Zugang der Telekom läufts wiederum.

Children
  • 0 in reply to juergenb52

    Hi   - Hast du noch immer die Probleme? Komischerweise besteht das Problem nur bei iPads, die über LTE der Telekom DE versuchen den IPsec-VPN aufzubauen. iPhone und Windows funktionieren einwandfrei .. 

    VielenDank 

  • 0 in reply to Dome96

    Hi,

    nein,

    meine Problem sind nach einem Reboot des XGS2100 HA Clusters und eines CISCO Switches (vor der Firewall) verschwunden.
    Der Reboot der Telekom Router hatte keinen Einfluss.

    Aber es gibt einen VPN/IKeV2 Bug im SFOS.

    Reduzier mal die Anzahl der DH Gruppen auf < 4, die SFOS läuft da in einen Bug (finde den KB Artikel grade nicht).

  • 0 in reply to juergenb52

      

    The log you posted - is it in the successful tunnel establishment case or failure case? the log is incomplete, it only says IKEv1 session is up, no logs to indicate if RA client (iPad) gets virtual ip or not and there is no log related to Child SA establishment.

    And your point related to "Reduce the number of DH groups to < 4, the SFOS runs into a bug (can't find the KB article right now)." - did you try this (reducing the no. of DH groups in your IPsec profile by cloning the DefaultRemoteaccess) while connecting your iPad with SFOS using IPsec RA and you ran into some issue? what is the issue you are running into?

    This KB note mentions about reducing the number of DH group - https://support.sophos.com/support/s/article/KBA-000009744?language=en_US; this is a workaround for now, it will be fixed in v21.5 release and this is applicable to IKEv2; IPsec RA uses IKEv1. 

Unfiltered HTML