Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 38 subscribers
  • Views 4878 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[7.405] IPhone + Cisco VPN = Serverzertifikat nicht prüfbar

markusf
Hallo zusammen,

ich habe bereits einige Threads zu dem Thema im Forum gefunden, konnte mein Problem aber leider noch nicht lösen:

Zielsetzung: Ich möchte mit einem IPhone [3.1] eine VPN Verbindung zur Astaro [7.405] aufbauen und darüber E-Mails abrufen.

Vorgehen bisher: 
Remote Access -> Cisco VPN Client -> Global
-> Server Settings ausgefüllt
-> User berechtigt
-> Automatic Packet Filter Rules [x] -> any

Remote Access -> Cisco VPN Client -> Iphone
-> Connection Name: Default
-> Override Hostname: 

Den Hostname Override habe ich eingetragen, da der interne Name der Astaro von extern nicht auflösbar ist. Daher habe ich auch unter Remote Access -> Certificate Management -> New Certificate ein Zertifikat für die IP-Adresse  angelegt. Zudem habe ich dieses neu angelegte Zertifikat unter Remote Access -> Cisco VPN Client -> Global -> Server Settings eingetragen.

Problem: Auf dem Iphone wird, nachdem ich über den User-Access der Anleitung http://www.astaro.de/content/download/5712/52206/file/iPhone_ASG_IPSEC_Setup_Guide.pdf folgend die Einstellungen installiert habe folgender Fehler gebracht: "VPN-Verbindung Serverzertifikat konnte nicht überprüft werden".

Was habe ich falsch gemacht?

Für eine Hilfe wäre ich sehr dankbar [:)]

Viele Grüße,
Markus


This thread was automatically locked due to age.
Parents
  • 0
    Das mit SNAT war eine Falschaussage von mir. Für die Interne FW existiert eine SNAT Einstellung mit der gleichen öffentlichen IP. Ich habe mir den Live Log der externen FW angeschaut, dort wird nichts geblockt.
    Wir haben übrigens ein ganzes Class-C Netz öffentlicher Adressen.

    Ich habe mal den Live Log von der IPSec Seite während ich eine Verbindung aufbaue (etwas anonymisiert):

    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.129:38931: received Vendor ID payload [RFC 3947] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.129:38931: ignoring Vendor ID payload [4df37928e9fc4fd1b3262170d515c662] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.***:38931: ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.***:38931: ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.***:38931: ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.***:38931: ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.***:38931: ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.***:38931: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.***:38931: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.***:38931: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.***:38931: received Vendor ID payload [XAUTH] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.***:38931: ignoring Vendor ID payload [Cisco-Unity] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.***:38931: received Vendor ID payload [Dead Peer Detection] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: "D_Unknown Object"[13] 80.187.109.***:38931 #14: responding to Main Mode from unknown peer 80.187.109.***:38931 
    2009:10:22-15:31:37 fwint-2 pluto[20248]: "D_Unknown Object"[13] 80.187.109.***:38931 #14: NAT-Traversal: Result using RFC 3947: both are NATed 
    2009:10:22-15:31:39 fwint-2 pluto[20248]: "D_Unknown Object"[13] 80.187.109.***:38931 #14: Peer ID is ID_DER_ASN1_DN: 'C=de, L=Augsburg, O=meineFirma, CN=ichselber' 
    2009:10:22-15:31:39 fwint-2 pluto[20248]: "D_Unknown Object"[13] 80.187.109.***:38931 #14: crl not found 
    2009:10:22-15:31:39 fwint-2 pluto[20248]: "D_Unknown Object"[13] 80.187.109.***:38931 #14: certificate status unknown 
    2009:10:22-15:31:39 fwint-2 pluto[20248]: "D_Unknown Object"[13] 80.187.109.***:38931 #14: we have a cert and are sending it 
    2009:10:22-15:31:39 fwint-2 pluto[20248]: | NAT-T: new mapping 80.187.109.***:38931/36266) 
    2009:10:22-15:31:39 fwint-2 pluto[20248]: "D_Unknown Object"[13] 80.187.109.***:36266 #14: sent MR3, ISAKMP SA established 
    2009:10:22-15:31:39 fwint-2 pluto[20248]: "D_Unknown Object"[13] 80.187.109.***:36266 #14: sending XAUTH request 
    2009:10:22-15:31:40 fwint-2 pluto[20248]: packet from 80.187.109.***:36266: Informational Exchange is for an unknown (expired?) SA 
    2009:10:22-15:32:49 fwint-2 pluto[20248]: "D_Unknown Object"[13] 80.187.109.***:36266 #14: max number of retransmissions (2) reached STATE_XAUTH_R1 
    2009:10:22-15:32:49 fwint-2 pluto[20248]: "D_Unknown Object"[13] 80.187.109.***:36266: deleting connection "D_Unknown Object" instance with peer 80.187.109.*** {isakmp=#0/ipsec=#0} 
    2009:10:22-15:32:49 fwint-1 pluto[2870]: "D_Unknown Object"[13] 80.187.109.***:36266: deleting connection "D_Unknown Object" instance with peer 80.187.109.*** {isakmp=#0/ipsec=#0}


    Ich hoffe das hilft weiter.
Reply
  • 0
    Das mit SNAT war eine Falschaussage von mir. Für die Interne FW existiert eine SNAT Einstellung mit der gleichen öffentlichen IP. Ich habe mir den Live Log der externen FW angeschaut, dort wird nichts geblockt.
    Wir haben übrigens ein ganzes Class-C Netz öffentlicher Adressen.

    Ich habe mal den Live Log von der IPSec Seite während ich eine Verbindung aufbaue (etwas anonymisiert):

    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.129:38931: received Vendor ID payload [RFC 3947] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.129:38931: ignoring Vendor ID payload [4df37928e9fc4fd1b3262170d515c662] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.***:38931: ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.***:38931: ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.***:38931: ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.***:38931: ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.***:38931: ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.***:38931: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.***:38931: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.***:38931: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.***:38931: received Vendor ID payload [XAUTH] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.***:38931: ignoring Vendor ID payload [Cisco-Unity] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: packet from 80.187.109.***:38931: received Vendor ID payload [Dead Peer Detection] 
    2009:10:22-15:31:36 fwint-2 pluto[20248]: "D_Unknown Object"[13] 80.187.109.***:38931 #14: responding to Main Mode from unknown peer 80.187.109.***:38931 
    2009:10:22-15:31:37 fwint-2 pluto[20248]: "D_Unknown Object"[13] 80.187.109.***:38931 #14: NAT-Traversal: Result using RFC 3947: both are NATed 
    2009:10:22-15:31:39 fwint-2 pluto[20248]: "D_Unknown Object"[13] 80.187.109.***:38931 #14: Peer ID is ID_DER_ASN1_DN: 'C=de, L=Augsburg, O=meineFirma, CN=ichselber' 
    2009:10:22-15:31:39 fwint-2 pluto[20248]: "D_Unknown Object"[13] 80.187.109.***:38931 #14: crl not found 
    2009:10:22-15:31:39 fwint-2 pluto[20248]: "D_Unknown Object"[13] 80.187.109.***:38931 #14: certificate status unknown 
    2009:10:22-15:31:39 fwint-2 pluto[20248]: "D_Unknown Object"[13] 80.187.109.***:38931 #14: we have a cert and are sending it 
    2009:10:22-15:31:39 fwint-2 pluto[20248]: | NAT-T: new mapping 80.187.109.***:38931/36266) 
    2009:10:22-15:31:39 fwint-2 pluto[20248]: "D_Unknown Object"[13] 80.187.109.***:36266 #14: sent MR3, ISAKMP SA established 
    2009:10:22-15:31:39 fwint-2 pluto[20248]: "D_Unknown Object"[13] 80.187.109.***:36266 #14: sending XAUTH request 
    2009:10:22-15:31:40 fwint-2 pluto[20248]: packet from 80.187.109.***:36266: Informational Exchange is for an unknown (expired?) SA 
    2009:10:22-15:32:49 fwint-2 pluto[20248]: "D_Unknown Object"[13] 80.187.109.***:36266 #14: max number of retransmissions (2) reached STATE_XAUTH_R1 
    2009:10:22-15:32:49 fwint-2 pluto[20248]: "D_Unknown Object"[13] 80.187.109.***:36266: deleting connection "D_Unknown Object" instance with peer 80.187.109.*** {isakmp=#0/ipsec=#0} 
    2009:10:22-15:32:49 fwint-1 pluto[2870]: "D_Unknown Object"[13] 80.187.109.***:36266: deleting connection "D_Unknown Object" instance with peer 80.187.109.*** {isakmp=#0/ipsec=#0}


    Ich hoffe das hilft weiter.
Children
No Data
Unfiltered HTML