Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN-Verbindung Iphone -> Sophos UTM Home

Hallo zusammen,

ich habe folgendes Problem:

Ich habe ein Iphone, welches ich per IPsec-VPN mit dem hinter der Sophos UTM (Home Version) liegenden Netz verbinden möchte. Die Sophos UTM steht nicht bei mir zu Hause sondern ist an einem anderen Internetanschluss.

Ich bin dabei nach der folgenden Anleitung (vom Februar 2014) vorgegangen:

iPhone IPSec VPN connection to Sophos UTM

Bin jetzt die Anleitung schon zum 3. Mal Schritt für Schritt durchgegangen, und finde den Fehler nicht.

Hier ein Auszug aus meinem IPsec-VPN Log (IP-Adressen und private Informationen ge###t)

Log wenn die Verbindung aus meinem WLAN aufgebaut werden soll:

2014:04:16-00:11:02 fw pluto[15910]: packet from ###.###.###.###:1: received Vendor ID payload [RFC 3947]

2014:04:16-00:11:02 fw pluto[15910]: packet from ###.###.###.###:1: ignoring Vendor ID payload [4df37928e9fc4fd1b3262170d515c662]
2014:04:16-00:11:02 fw pluto[15910]: packet from ###.###.###.###:1: ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8]
2014:04:16-00:11:02 fw pluto[15910]: packet from ###.###.###.###:1: ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582]
2014:04:16-00:11:02 fw pluto[15910]: packet from ###.###.###.###:1: ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285]
2014:04:16-00:11:02 fw pluto[15910]: packet from ###.###.###.###:1: ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee]
2014:04:16-00:11:02 fw pluto[15910]: packet from ###.###.###.###:1: ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b]
2014:04:16-00:11:02 fw pluto[15910]: packet from ###.###.###.###:1: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
2014:04:16-00:11:02 fw pluto[15910]: packet from ###.###.###.###:1: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
2014:04:16-00:11:02 fw pluto[15910]: packet from ###.###.###.###:1: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2014:04:16-00:11:02 fw pluto[15910]: packet from ###.###.###.###:1: received Vendor ID payload [XAUTH]
2014:04:16-00:11:02 fw pluto[15910]: packet from ###.###.###.###:1: ignoring Vendor ID payload [Cisco-Unity]
2014:04:16-00:11:02 fw pluto[15910]: packet from ###.###.###.###:1: ignoring Vendor ID payload [FRAGMENTATION 80000000]
2014:04:16-00:11:02 fw pluto[15910]: packet from ###.###.###.###:1: received Vendor ID payload [Dead Peer Detection]
2014:04:16-00:11:02 fw pluto[15910]: "D_for ###### to ###### (Network)"[2] ###.###.###.###:1 #1544: responding to Main Mode from unknown peer ###.###.###.###:1
2014:04:16-00:11:02 fw pluto[15910]: "D_for ###### to ###### (Network)"[2] ###.###.###.###:1 #1544: NAT-Traversal: Result using RFC 3947: peer is NATed
2014:04:16-00:11:13 fw pluto[15910]: packet from ###.###.###.###:4500: ISAKMP version of ISAKMP Message has an unknown value: 155
2014:04:16-00:11:13 fw pluto[15910]: packet from ###.###.###.###:4500: sending notification INVALID_MAJOR_VERSION to ###.###.###.###:4500
2014:04:16-00:11:32 fw pluto[15910]: packet from ###.###.###.###:4500: ISAKMP version of ISAKMP Message has an unknown value: 155
2014:04:16-00:11:32 fw pluto[15910]: packet from ###.###.###.###:4500: sending notification INVALID_MAJOR_VERSION to ###.###.###.###:4500
2014:04:16-00:11:32 fw pluto[15910]: packet from ###.###.###.###:4500: ISAKMP version of ISAKMP Message has an unknown value: 155
2014:04:16-00:11:32 fw pluto[15910]: packet from ###.###.###.###:4500: sending notification INVALID_MAJOR_VERSION to ###.###.###.###:4500 


Wenn ich die Verbindung aus dem Mobilfunknetz der (in diesem Fall T-Mobile) aufbauen möchte, ändert sich an dem Log lediglich die "unknown value" von 155 auf 255 mit den gleichen sonstigen fehlermeldungen.

Kann mir da jemand weiterhelfen, was ich evtl falsch gemacht habe?

STEX20


This thread was automatically locked due to age.
  • Hi das Cisco VPN ist einfacher mit dem IPhone und super einfach mit dem Userportal für die Einstellungen.
  • Hi das Cisco VPN ist einfacher mit dem IPhone und super einfach mit dem Userportal für die Einstellungen.


    Hallo moddix, 

    Danke für deine Antwort. Soweit ich weiss versuche ich das hier gerade :-)

    In der oben genannten Anleitung ist dies auch das Thema. Anlegen auf der Configseite und auf dem Iphone per User Portal installieren. Hab ich gemacht, führt nur leider zu einer nicht funktionierenden Verbindung und der oben geschriebenen Fehlermeldung.  

    Oder hab ich hier etwas übersehen?

    STEX20
  • Hallo zusammen,

    hab den Fehler gefunden. Das Iphone kann anscheinend nicht mit Zertifikaten > 1024 bit umgehen. Der User den ich für das Iphone angelegt habe, hatte aber ein (standardmässig ausgestelltes) 2048 bit Zertifikat. Nachdem ich dieses geändert hatte, funktioniert der Tunnel nun.

    -erledigt-

    STEX20
  • Tendentiell ist es genau andersrum, Schlüssel müssen größer als 1024 sein.
  • 2048 bit ist Standard, immer diesen nehmen...
  • Danke erstmal für die Antworten. Mir ist bewusst dass 2048bit Standard ist allerdings hat es ja eben mit diesen Zertifikaten nicht funktioniert (siehe oben). Liegt das nun an den Zertifikaten oder am Iphone?