Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 38 subscribers
  • Views 4830 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[7.405] IPhone + Cisco VPN = Serverzertifikat nicht prüfbar

markusf
Hallo zusammen,

ich habe bereits einige Threads zu dem Thema im Forum gefunden, konnte mein Problem aber leider noch nicht lösen:

Zielsetzung: Ich möchte mit einem IPhone [3.1] eine VPN Verbindung zur Astaro [7.405] aufbauen und darüber E-Mails abrufen.

Vorgehen bisher: 
Remote Access -> Cisco VPN Client -> Global
-> Server Settings ausgefüllt
-> User berechtigt
-> Automatic Packet Filter Rules [x] -> any

Remote Access -> Cisco VPN Client -> Iphone
-> Connection Name: Default
-> Override Hostname: 

Den Hostname Override habe ich eingetragen, da der interne Name der Astaro von extern nicht auflösbar ist. Daher habe ich auch unter Remote Access -> Certificate Management -> New Certificate ein Zertifikat für die IP-Adresse  angelegt. Zudem habe ich dieses neu angelegte Zertifikat unter Remote Access -> Cisco VPN Client -> Global -> Server Settings eingetragen.

Problem: Auf dem Iphone wird, nachdem ich über den User-Access der Anleitung http://www.astaro.de/content/download/5712/52206/file/iPhone_ASG_IPSEC_Setup_Guide.pdf folgend die Einstellungen installiert habe folgender Fehler gebracht: "VPN-Verbindung Serverzertifikat konnte nicht überprüft werden".

Was habe ich falsch gemacht?

Für eine Hilfe wäre ich sehr dankbar [:)]

Viele Grüße,
Markus


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to piccolo696
    Hallo Christian,

    SNAT habe ich keines, sollte ich?
    Alle IPSec Standartports werden genattet.

    Gruß
    Hupp
  • 0 in reply to hupp
    Ich habe mal die entsprechenden Logs durchsucht, vielleicht helfen die...


    Live Log: IPSec VPN 
    2009:10:22-15:01:22 fw[16732]: "D_Unknown Object"[10] [IP]:37181 #13: Peer ID is ID_DER_ASN1_DN: 'C=de, L=[Stadt], O=[ou], CN=[name], E=[e-Mail]'
    2009:10:22-15:01:22 fw[16732]: "D_Unknown Object"[10] [IP]:37181 #13: crl not found
    2009:10:22-15:01:22 fw[16732]: "D_Unknown Object"[10] [IP]:37181 #13: certificate status unknown
    2009:10:22-15:01:22 fw[16732]: "D_Unknown Object"[10] [IP]:37181 #13: deleting connection "D_Unknown Object" instance with peer [IP] {isakmp=#0/ipsec=#0}
    2009:10:22-15:01:22 fw[16732]: "D_Unknown Object"[10] [IP]:37181 #13: we have a cert and are sending it
    2009:10:22-15:01:22 fw[16732]: | NAT-T: new mapping [IP]:37181/10259)
    2009:10:22-15:01:22 fw[16732]: "D_Unknown Object"[10] [IP]:10259 #13: sent MR3, ISAKMP SA established
    2009:10:22-15:01:22 fw[16732]: "D_Unknown Object"[10] [IP]:10259 #13: sending XAUTH request
    2009:10:22-15:01:22 fw[16732]: packet from [IP]:10259: Informational Exchange is for an unknown (expired?) SA
    2009:10:22-15:01:34 fw[16732]: ERROR: asynchronous network error report on eth0.3510 for message to [IP] port 10259, complainant [IP]: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: received Vendor ID payload [RFC 3947]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: ignoring Vendor ID payload [***]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: ignoring Vendor ID payload [***]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: ignoring Vendor ID payload [***]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: ignoring Vendor ID payload [***]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: ignoring Vendor ID payload [***]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: ignoring Vendor ID payload [***]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: received Vendor ID payload [XAUTH]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: ignoring Vendor ID payload [Cisco-Unity]
    2009:10:22-15:01:39 fw[16732]: packet from [IP]:37181: received Vendor ID payload [Dead Peer Detection]
    2009:10:22-15:01:39 fw[16732]: "D_Unknown Object"[11] [IP]:37181 #14: responding to Main Mode from unknown peer [IP]:37181
    2009:10:22-15:01:40 fw[16732]: "D_Unknown Object"[11] [IP]:37181 #14: NAT-Traversal: Result using RFC 3947: peer is NATed
    2009:10:22-15:01:41 fw[16732]: "D_Unknown Object"[11] [IP]:37181 #14: Peer ID is ID_DER_ASN1_DN: 'C=de, L=[Stadt], O=[ou], CN=[name], E=[e-Mail]'
    2009:10:22-15:01:41 fw[16732]: "D_Unknown Object"[11] [IP]:37181 #14: crl not found
    2009:10:22-15:01:41 fw[16732]: "D_Unknown Object"[11] [IP]:37181 #14: certificate status unknown
    2009:10:22-15:01:41 fw[16732]: "D_Unknown Object"[11] [IP]:37181 #14: deleting connection "D_Unknown Object" instance with peer [IP] {isakmp=#0/ipsec=#0}
    2009:10:22-15:01:41 fw[16732]: "D_Unknown Object"[11] [IP]:37181 #14: we have a cert and are sending it
    2009:10:22-15:01:41 fw[16732]: | NAT-T: new mapping [IP]:37181/10259)
    2009:10:22-15:01:41 fw[16732]: "D_Unknown Object"[11] [IP]:10259 #14: sent MR3, ISAKMP SA established
    2009:10:22-15:01:41 fw[16732]: "D_Unknown Object"[11] [IP]:10259 #14: sending XAUTH request
    2009:10:22-15:01:41 fw[16732]: packet from [IP]:10259: Informational Exchange is for an unknown (expired?) SA
    2009:10:22-15:01:53 fw[16732]: ERROR: asynchronous network error report on eth0.3510 for message to [IP] port 10259, complainant [IP]: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]
    2009:10:22-15:01:53 fw[16732]: ERROR: asynchronous network error report on eth0.3510 for message to [IP] port 10259, complainant [IP]: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]

    Viele Grüße,
    Markus
Unfiltered HTML