Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 38 subscribers
  • Views 4830 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[7.405] IPhone + Cisco VPN = Serverzertifikat nicht prüfbar

markusf
Hallo zusammen,

ich habe bereits einige Threads zu dem Thema im Forum gefunden, konnte mein Problem aber leider noch nicht lösen:

Zielsetzung: Ich möchte mit einem IPhone [3.1] eine VPN Verbindung zur Astaro [7.405] aufbauen und darüber E-Mails abrufen.

Vorgehen bisher: 
Remote Access -> Cisco VPN Client -> Global
-> Server Settings ausgefüllt
-> User berechtigt
-> Automatic Packet Filter Rules [x] -> any

Remote Access -> Cisco VPN Client -> Iphone
-> Connection Name: Default
-> Override Hostname: 

Den Hostname Override habe ich eingetragen, da der interne Name der Astaro von extern nicht auflösbar ist. Daher habe ich auch unter Remote Access -> Certificate Management -> New Certificate ein Zertifikat für die IP-Adresse  angelegt. Zudem habe ich dieses neu angelegte Zertifikat unter Remote Access -> Cisco VPN Client -> Global -> Server Settings eingetragen.

Problem: Auf dem Iphone wird, nachdem ich über den User-Access der Anleitung http://www.astaro.de/content/download/5712/52206/file/iPhone_ASG_IPSEC_Setup_Guide.pdf folgend die Einstellungen installiert habe folgender Fehler gebracht: "VPN-Verbindung Serverzertifikat konnte nicht überprüft werden".

Was habe ich falsch gemacht?

Für eine Hilfe wäre ich sehr dankbar [:)]

Viele Grüße,
Markus


This thread was automatically locked due to age.
Parents
  • 0
    Stehe genau vor dem gleichen Problem.

    Bei mir geht das VPN auf die Interne Firewall. Diese ist über ein DNAT der externen Firewall erreichbar.

    Kann es vielleicht an dem NAT liegen?

    Ich hoffe wir finden eine Lösung.

    Güße,
    Hupp
Reply
  • 0
    Stehe genau vor dem gleichen Problem.

    Bei mir geht das VPN auf die Interne Firewall. Diese ist über ein DNAT der externen Firewall erreichbar.

    Kann es vielleicht an dem NAT liegen?

    Ich hoffe wir finden eine Lösung.

    Güße,
    Hupp
Children
  • 0 in reply to hupp
    Hallo Hupp,

    hast du auch ein SNAT eingerichtet?
    Oder habt ihr nur eine IP Adresse vom Provider?

    Welche Ports hast du denn genattet?

    Gruß
    Christian
  • 0 in reply to piccolo696
    Hallo Christian,

    SNAT habe ich keines, sollte ich?
    Alle IPSec Standartports werden genattet.

    Gruß
    Hupp
  • 0 in reply to hupp
    Ich habe mal die entsprechenden Logs durchsucht, vielleicht helfen die...


    Live Log: IPSec VPN 
    2009:10:22-15:01:22 fw[16732]: "D_Unknown Object"[10] [IP]:37181 #13: Peer ID is ID_DER_ASN1_DN: 'C=de, L=[Stadt], O=[ou], CN=[name], E=[e-Mail]'
    2009:10:22-15:01:22 fw[16732]: "D_Unknown Object"[10] [IP]:37181 #13: crl not found
    2009:10:22-15:01:22 fw[16732]: "D_Unknown Object"[10] [IP]:37181 #13: certificate status unknown
    2009:10:22-15:01:22 fw[16732]: "D_Unknown Object"[10] [IP]:37181 #13: deleting connection "D_Unknown Object" instance with peer [IP] {isakmp=#0/ipsec=#0}
    2009:10:22-15:01:22 fw[16732]: "D_Unknown Object"[10] [IP]:37181 #13: we have a cert and are sending it
    2009:10:22-15:01:22 fw[16732]: | NAT-T: new mapping [IP]:37181/10259)
    2009:10:22-15:01:22 fw[16732]: "D_Unknown Object"[10] [IP]:10259 #13: sent MR3, ISAKMP SA established
    2009:10:22-15:01:22 fw[16732]: "D_Unknown Object"[10] [IP]:10259 #13: sending XAUTH request
    2009:10:22-15:01:22 fw[16732]: packet from [IP]:10259: Informational Exchange is for an unknown (expired?) SA
    2009:10:22-15:01:34 fw[16732]: ERROR: asynchronous network error report on eth0.3510 for message to [IP] port 10259, complainant [IP]: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: received Vendor ID payload [RFC 3947]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: ignoring Vendor ID payload [***]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: ignoring Vendor ID payload [***]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: ignoring Vendor ID payload [***]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: ignoring Vendor ID payload [***]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: ignoring Vendor ID payload [***]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: ignoring Vendor ID payload [***]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: received Vendor ID payload [XAUTH]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: ignoring Vendor ID payload [Cisco-Unity]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: received Vendor ID payload [Dead Peer Detection]
    2009:10:22-15:01:39 fw[16732]: "D_Unknown Object"[11] [IP]:37181 #14: responding to Main Mode from unknown peer [IP]:37181
    2009:10:22-15:01:40 fw[16732]: "D_Unknown Object"[11] [IP]:37181 #14: NAT-Traversal: Result using RFC 3947: peer is NATed
    2009:10:22-15:01:41 fw[16732]: "D_Unknown Object"[11] [IP]:37181 #14: Peer ID is ID_DER_ASN1_DN: 'C=de, L=[Stadt], O=[ou], CN=[name], E=[e-Mail]'
    2009:10:22-15:01:41 fw[16732]: "D_Unknown Object"[11] [IP]:37181 #14: crl not found
    2009:10:22-15:01:41 fw[16732]: "D_Unknown Object"[11] [IP]:37181 #14: certificate status unknown
    2009:10:22-15:01:41 fw[16732]: "D_Unknown Object"[11] [IP]:37181 #14: deleting connection "D_Unknown Object" instance with peer [IP] {isakmp=#0/ipsec=#0}
    2009:10:22-15:01:41 fw[16732]: "D_Unknown Object"[11] [IP]:37181 #14: we have a cert and are sending it
    2009:10:22-15:01:41 fw[16732]: | NAT-T: new mapping [IP]:37181/10259)
    2009:10:22-15:01:41 fw[16732]: "D_Unknown Object"[11] [IP]:10259 #14: sent MR3, ISAKMP SA established
    2009:10:22-15:01:41 fw[16732]: "D_Unknown Object"[11] [IP]:10259 #14: sending XAUTH request
    2009:10:22-15:01:41 fw[16732]: packet from [IP]:10259: Informational Exchange is for an unknown (expired?) SA
    2009:10:22-15:01:53 fw[16732]: ERROR: asynchronous network error report on eth0.3510 for message to [IP] port 10259, complainant [IP]: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]
    2009:10:22-15:01:53 fw[16732]: ERROR: asynchronous network error report on eth0.3510 for message to [IP] port 10259, complainant [IP]: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]

    Viele Grüße,
    Markus
Unfiltered HTML