Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 38 subscribers
  • Views 4829 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[7.405] IPhone + Cisco VPN = Serverzertifikat nicht prüfbar

markusf
Hallo zusammen,

ich habe bereits einige Threads zu dem Thema im Forum gefunden, konnte mein Problem aber leider noch nicht lösen:

Zielsetzung: Ich möchte mit einem IPhone [3.1] eine VPN Verbindung zur Astaro [7.405] aufbauen und darüber E-Mails abrufen.

Vorgehen bisher: 
Remote Access -> Cisco VPN Client -> Global
-> Server Settings ausgefüllt
-> User berechtigt
-> Automatic Packet Filter Rules [x] -> any

Remote Access -> Cisco VPN Client -> Iphone
-> Connection Name: Default
-> Override Hostname: 

Den Hostname Override habe ich eingetragen, da der interne Name der Astaro von extern nicht auflösbar ist. Daher habe ich auch unter Remote Access -> Certificate Management -> New Certificate ein Zertifikat für die IP-Adresse  angelegt. Zudem habe ich dieses neu angelegte Zertifikat unter Remote Access -> Cisco VPN Client -> Global -> Server Settings eingetragen.

Problem: Auf dem Iphone wird, nachdem ich über den User-Access der Anleitung http://www.astaro.de/content/download/5712/52206/file/iPhone_ASG_IPSEC_Setup_Guide.pdf folgend die Einstellungen installiert habe folgender Fehler gebracht: "VPN-Verbindung Serverzertifikat konnte nicht überprüft werden".

Was habe ich falsch gemacht?

Für eine Hilfe wäre ich sehr dankbar [:)]

Viele Grüße,
Markus


This thread was automatically locked due to age.
  • 0
    Stehe genau vor dem gleichen Problem.

    Bei mir geht das VPN auf die Interne Firewall. Diese ist über ein DNAT der externen Firewall erreichbar.

    Kann es vielleicht an dem NAT liegen?

    Ich hoffe wir finden eine Lösung.

    Güße,
    Hupp
  • 0 in reply to hupp
    Hallo Hupp,

    hast du auch ein SNAT eingerichtet?
    Oder habt ihr nur eine IP Adresse vom Provider?

    Welche Ports hast du denn genattet?

    Gruß
    Christian
  • 0 in reply to piccolo696
    Hallo Christian,

    SNAT habe ich keines, sollte ich?
    Alle IPSec Standartports werden genattet.

    Gruß
    Hupp
  • 0
    Habt ihr mehrere öffentliche IP Adressen? Wenn ja brauchst du auch ein SNAT.
    Da es sein kann das der Server sonst nicht mit der gleichen IP antwortet.

    Für einen kleinen Test solltest du mal alle Services freigeben um zu testen ob es damit funktioniert oder mal im Log schauen ob hier noch Packete gedropped werden.

    Gruß
    Christian
  • 0
    Das mit SNAT war eine Falschaussage von mir. Für die Interne FW existiert eine SNAT Einstellung mit der gleichen öffentlichen IP. Ich habe mir den Live Log der externen FW angeschaut, dort wird nichts geblockt.
    Wir haben übrigens ein ganzes Class-C Netz öffentlicher Adressen.

    Ich habe mal den Live Log von der IPSec Seite während ich eine Verbindung aufbaue (etwas anonymisiert):

    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.129:38931: received Vendor ID payload [RFC 3947] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.129:38931: ignoring Vendor ID payload [4df37928e9fc4fd1b3262170d515c662] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.***:38931: ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.***:38931: ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.***:38931: ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.***:38931: ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.***:38931: ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.***:38931: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.***:38931: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.***:38931: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.***:38931: received Vendor ID payload [XAUTH] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.***:38931: ignoring Vendor ID payload [Cisco-Unity] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.***:38931: received Vendor ID payload [Dead Peer Detection] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: "D_Unknown Object"[13] 80.187.109.***:38931 #14: responding to Main Mode from unknown peer 80.187.109.***:38931 
    2009:10:22-15:31:37 fwint-2 pluto[20248]: "D_Unknown Object"[13] 80.187.109.***:38931 #14: NAT-Traversal: Result using RFC 3947: both are NATed 
    2009:10:22-15:31:39 fwint-2 pluto[20248]: "D_Unknown Object"[13] 80.187.109.***:38931 #14: Peer ID is ID_DER_ASN1_DN: 'C=de, L=Augsburg, O=meineFirma, CN=ichselber' 
    2009:10:22-15:31:39 fwint-2 pluto[20248]: "D_Unknown Object"[13] 80.187.109.***:38931 #14: crl not found 
    2009:10:22-15:31:39 fwint-2 pluto[20248]: "D_Unknown Object"[13] 80.187.109.***:38931 #14: certificate status unknown 
    2009:10:22-15:31:39 fwint-2 pluto[20248]: "D_Unknown Object"[13] 80.187.109.***:38931 #14: we have a cert and are sending it 
    2009:10:22-15:31:39 fwint-2 pluto[20248]: | NAT-T: new mapping 80.187.109.***:38931/36266) 
    2009:10:22-15:31:39 fwint-2 pluto[20248]: "D_Unknown Object"[13] 80.187.109.***:36266 #14: sent MR3, ISAKMP SA established 
    2009:10:22-15:31:39 fwint-2 pluto[20248]: "D_Unknown Object"[13] 80.187.109.***:36266 #14: sending XAUTH request 
    2009:10:22-15:31:40 fwint-2 pluto[20248]: packet from 80.187.109.***:36266: Informational Exchange is for an unknown (expired?) SA 
    2009:10:22-15:32:49 fwint-2 pluto[20248]: "D_Unknown Object"[13] 80.187.109.***:36266 #14: max number of retransmissions (2) reached STATE_XAUTH_R1 
    2009:10:22-15:32:49 fwint-2 pluto[20248]: "D_Unknown Object"[13] 80.187.109.***:36266: deleting connection "D_Unknown Object" instance with peer 80.187.109.*** {isakmp=#0/ipsec=#0} 
    2009:10:22-15:32:49 fwint-1 pluto[2870]: "D_Unknown Object"[13] 80.187.109.***:36266: deleting connection "D_Unknown Object" instance with peer 80.187.109.*** {isakmp=#0/ipsec=#0}


    Ich hoffe das hilft weiter.
  • 0 in reply to hupp
    Ich habe mal die entsprechenden Logs durchsucht, vielleicht helfen die...


    Live Log: IPSec VPN 
    2009:10:22-15:01:22 fw[16732]: "D_Unknown Object"[10] [IP]:37181 #13: Peer ID is ID_DER_ASN1_DN: 'C=de, L=[Stadt], O=[ou], CN=[name], E=[e-Mail]'
    2009:10:22-15:01:22 fw[16732]: "D_Unknown Object"[10] [IP]:37181 #13: crl not found
    2009:10:22-15:01:22 fw[16732]: "D_Unknown Object"[10] [IP]:37181 #13: certificate status unknown
    2009:10:22-15:01:22 fw[16732]: "D_Unknown Object"[10] [IP]:37181 #13: deleting connection "D_Unknown Object" instance with peer [IP] {isakmp=#0/ipsec=#0}
    2009:10:22-15:01:22 fw[16732]: "D_Unknown Object"[10] [IP]:37181 #13: we have a cert and are sending it
    2009:10:22-15:01:22 fw[16732]: | NAT-T: new mapping [IP]:37181/10259)
    2009:10:22-15:01:22 fw[16732]: "D_Unknown Object"[10] [IP]:10259 #13: sent MR3, ISAKMP SA established
    2009:10:22-15:01:22 fw[16732]: "D_Unknown Object"[10] [IP]:10259 #13: sending XAUTH request
    2009:10:22-15:01:22 fw[16732]: packet from [IP]:10259: Informational Exchange is for an unknown (expired?) SA
    2009:10:22-15:01:34 fw[16732]: ERROR: asynchronous network error report on eth0.3510 for message to [IP] port 10259, complainant [IP]: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: received Vendor ID payload [RFC 3947]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: ignoring Vendor ID payload [***]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: ignoring Vendor ID payload [***]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: ignoring Vendor ID payload [***]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: ignoring Vendor ID payload [***]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: ignoring Vendor ID payload [***]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: ignoring Vendor ID payload [***]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: received Vendor ID payload [XAUTH]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: ignoring Vendor ID payload [Cisco-Unity]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: received Vendor ID payload [Dead Peer Detection]
    2009:10:22-15:01:39 fw[16732]: "D_Unknown Object"[11] [IP]:37181 #14: responding to Main Mode from unknown peer [IP]:37181
    2009:10:22-15:01:40 fw[16732]: "D_Unknown Object"[11] [IP]:37181 #14: NAT-Traversal: Result using RFC 3947: peer is NATed
    2009:10:22-15:01:41 fw[16732]: "D_Unknown Object"[11] [IP]:37181 #14: Peer ID is ID_DER_ASN1_DN: 'C=de, L=[Stadt], O=[ou], CN=[name], E=[e-Mail]'
    2009:10:22-15:01:41 fw[16732]: "D_Unknown Object"[11] [IP]:37181 #14: crl not found
    2009:10:22-15:01:41 fw[16732]: "D_Unknown Object"[11] [IP]:37181 #14: certificate status unknown
    2009:10:22-15:01:41 fw[16732]: "D_Unknown Object"[11] [IP]:37181 #14: deleting connection "D_Unknown Object" instance with peer [IP] {isakmp=#0/ipsec=#0}
    2009:10:22-15:01:41 fw[16732]: "D_Unknown Object"[11] [IP]:37181 #14: we have a cert and are sending it
    2009:10:22-15:01:41 fw[16732]: | NAT-T: new mapping [IP]:37181/10259)
    2009:10:22-15:01:41 fw[16732]: "D_Unknown Object"[11] [IP]:10259 #14: sent MR3, ISAKMP SA established
    2009:10:22-15:01:41 fw[16732]: "D_Unknown Object"[11] [IP]:10259 #14: sending XAUTH request
    2009:10:22-15:01:41 fw[16732]: packet from [IP]:10259: Informational Exchange is for an unknown (expired?) SA
    2009:10:22-15:01:53 fw[16732]: ERROR: asynchronous network error report on eth0.3510 for message to [IP] port 10259, complainant [IP]: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]
    2009:10:22-15:01:53 fw[16732]: ERROR: asynchronous network error report on eth0.3510 for message to [IP] port 10259, complainant [IP]: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]

    Viele Grüße,
    Markus
  • 0

    Problem: Auf dem Iphone wird, nachdem ich über den User-Access der Anleitung http://www.astaro.de/content/download/5712/52206/file/iPhone_ASG_IPSEC_Setup_Guide.pdf folgend die Einstellungen installiert habe folgender Fehler gebracht: "VPN-Verbindung Serverzertifikat konnte nicht überprüft werden".

    Was habe ich falsch gemacht?


    Ganz einfach (ich habe die ganzen Postds zum SNAT jetzt nicht durchgelesen, da ich denke dass du das richtig gemacht hast).
    Cisco/Apple haben inm der  3er  Firmware etwas geändert, sodass der Ipsec-VPn Zugriff vom Iphone aus mit besagter Fehlermeldung abbricht.

    Es gibt nen Tricky workaround dafür, aber einfacher ist es, auf v7.501 upzugraden, da ist das nämlich offiziell gefixt.
  • 0 in reply to Ölm
    HI Ölm,

    vielen Dank, dann werde ich wohl warten müssen? Bei uns steht bisher nur die 7.500 bereit...

    Eine Frage habe ich jedoch noch:
    Wenn ich den Hostname mit der externen IP der Astaro überschreibe, welches Zertifikat muss ich dann unter Global eintragen? Wird der Hostname (nur intern erreichbar) oder die externe IP der Astaro zertifiziert?

    Danke vielmals.

    Gruß, Markus
  • 0
    @Hupp: Hast du die Zertifikate eingespielt bzw. welche erstellt?
    Dir Zertifikate müssen sowohl auf dem iPhone als auch im Server vorhanden sein.
  • 0 in reply to markusf

    vielen Dank, dann werde ich wohl warten müssen? Bei uns steht bisher nur die 7.500 bereit...


    Du kannst die 7.501 direkt von ftp.astaro.com runterladen und manuell über den Webadmin einspielen..
    Mit der 7.500 sollte das Phänomen aber auch bereits gelöst sein - nur fixt die 7.501 halt bereits einige andere, bekannte 7.500 bugs.


    Wenn ich den Hostname mit der externen IP der Astaro überschreibe, welches Zertifikat muss ich dann unter Global eintragen? Wird der Hostname (nur intern erreichbar) oder die externe IP der Astaro zertifiziert?

    Bin ich leider auch kein 100%iger SPezialist für, aber ich glaube,es funzt so:
    - erstell manuell ein neues Zertifikat (unter Certifikate management) für den extern auflösbaren DNS-Hostname deiner Astaro - zur Not (wenn du dynamische IPs verwendest) eben für den DynDNS Hostname. DIESES Zert wählst du dann im "global - Server Zertificate" aus. im "override hostname" gibts du dann ebenfalls den  dyndns-hostname ein oder eben lässst ihn leer.
Unfiltered HTML