Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[7.400] iPhone und neues Cisco VPN

Hallo zusammen,

ich habe dieses Wochenende nach der Anleitung von Gert unser 320er HA System auf Version 7.4 aktualisiert. Das hat super geklappt. Bis auf ein paar Unklarheiten bei der Konfiguration vom neuen Load-Balancing, läuft das jetzt auch super. Darauf habe ich schon lange gewartet.

Nun aber mein eigentliches Problem. Ich habe auch die neue IPsec Funktion auf meinem iPhone getestet und leider klappt die nur zu 90 %. Die Verbindung wird aufgebaut und es gibt soweit keine Problem. Paketfilter sind gesetzt, Masquerading steht, Freigaben in den Proxies sind gesetzt. Leider kann ich nicht surfen oder auf andere Dinge im Netz zugreifen.

Nahc längerem suchen mit Netzwerktools auf dem iPhone habe ich herausgefunden, dass keine DNS-Server mitübertragen werden. Ping auf interne IPs klappt wunderbar, auf Hostnamen nicht. Mit dem Programm jNetUtil aus dem AppStore habe ich auch sehen können, dass keine DNS-Server eingetragen sind. Ich habe die DNS-Server allerdings im WebAdmin global eingestellt und bei SSL-VPN funktionieren sie auch.

Hat jemand das gleiche Problem schon feststellen können? Gibt es eine einfache Lösung, bzw. habe ich etwas übersehen, oder ist es ein Bug?

Grüße aus dem Bergischen
Jens


This thread was automatically locked due to age.
Parents
  • die problematik habe ich auch. astaro mss hier noch nachbessern.
    läuft das ipsec bei die per wifi oder umts/edge?

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • Sowohl als auch. Habe den ersten 3G complete Tarif.
  • Meiner Meinung nach ist der L2TP over IPSec VPN am besten integriert im Astaro für den iPhone.  Automatische Installation über das User Portal arbeitet perfekt. Es ist sicherer als PPTP und, ungleicher der Cisco IPSec, erlaubt man ‚Für alle Daten‘ ab zu stellen, also nur Kommunikation mit dem entfernten Netz den Tunnel hinabgeht.

    MfG - Bob
    PS Entschuldige daß mein Deutsch ein Bißchen geröstet ist.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Ich werde mich heute mal an den Support wenden. Vielleicht wissen die ja noch gar nicht bescheid.
  • Das Problem mit DNS bei Cisco Clients (auch für Windows) ist, dass sie keine statische Konfiguration von DNS Servern erlauben und der IKE Daemon im Moment noch keine Übertragung der DNS/WINS Server per MODECFG erlaubt. Wir werden das nachziehen, ist aber eine größere Sache, von dem her kann ich nicht Sagen wann wir das machen werden.

    Im Moment würde ich auch empfehlen L2TP zu verwenden.
  • Hallo Leute,

    leider komme ich noch nicht einmal in den Genuss, mein iPhone mit dem Astaro Gateway zu verbinden. Nach erfolgreicher installation des Profils auf meinem iPhone kommt immer die Meldung "Serverzertifikat konnte nicht überprüft werden." 
    Wäre nett, wenn mir jemand ein paar Tips geben könnte, was ich noch einstellen muss...

    thx
  • @BAlfson 

    wie wird den bei l2tp der autoconfigurations modus aktiviert? Mit Zertifikaten.

    how to setup autoconfigmodus for lt2p?

    Sven

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • Also ich habe gerade vom Support die gleich Auskunft bekommen, dass es nicht möglich ist und auch nicht vorgesehen wird. Möglich muss es zwar sein, da ich Jahrelang mit einem Cisco Client zu meiner Uni verbunden war und da habe ich auch DNS Server mitbekommen.

    Davon abgesehen frage ich mich ja wirklich was das denn für ein Feature ist? Ich möchte eine Person kennen, die alle IP-Adresse auswendig kennt (in einem halbwegs großen Netzwerk, wenn ich nur 10 Server habe, kenn ich die IPs auch gerade noch).
    Auch möchte ich nicht jedes mal um etwas im Internet nachzusehen die VPN-Verbindung beenden.
    Meinen Webserver kann ich gar nicht erreichen, da er auf die richtige Homepage anhand des FQDN weiterleitet.

    Kommt mir schon alles sehr komisch vor.
  • Alphano1 und maygyver, Ich erinnere mich daran nicht, wie ich die Astaro Zertificat in meinem iPhone installiert habe. Ich weiß aber, dass man die Warnung ignorieren kann, und den Tunnel einrichten.

    Von Safari im iPhone, melde Dich zum Astaro Benutzer Portal an und ‚Fernzugriff‘ wählen. In ‚iPhone VPN Configuration‘ auf „Install“ klicken.

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi BAlfson!
    Vielen Dank für deine Antwort. Allerdings habe ich keinerlei Probleme beim einrichten. Die Fehlermeldung kommt, sobald ich die VPN Verbindung starten will. Der Rest hat funktioniert...
    Ich habe mit Hilfe eines Astaro how to folgendes eingestellt:
    - einen User angelegt
    - den User im End - User Portal freigegeben
    - den Cisco VPN Client aktiviert und den User hinzugefügt
    - mit dem iPhone aufs Portal und über die iPhone option die Config eingerichtet

    beim Versuch die VPN Verbindung aufzubauen kommt die Meldung "Serverzertifikat konnte nicht überprüft werden." Die Frage ist was habe ich vergessen einzurichten bzw woran kann es liegen?... Vielleicht hat einer von euch ja noch eine Idee...

    thx
  • Hallo alphano1,

    dein Problem liegt wahrscheinlich am "Override Hostname" Eintrag auf dem iPhone Register des Cisco VPN Clients. Dieser Hostname muss mit dem Hostname aus dem verwendeten Zertifikat übereinstimmen. Entweder musst du dir ein neues Zertifikat generieren das mit dem "Override Hostname" Eintrag übereinstimmt oder du nimmst diesen raus. Dafür muss dann aber der Hostname DNS technisch auflösbar sein.

    Hoffe das hilft.
Reply
  • Hallo alphano1,

    dein Problem liegt wahrscheinlich am "Override Hostname" Eintrag auf dem iPhone Register des Cisco VPN Clients. Dieser Hostname muss mit dem Hostname aus dem verwendeten Zertifikat übereinstimmen. Entweder musst du dir ein neues Zertifikat generieren das mit dem "Override Hostname" Eintrag übereinstimmt oder du nimmst diesen raus. Dafür muss dann aber der Hostname DNS technisch auflösbar sein.

    Hoffe das hilft.
Children
No Data