Unternehmen     Impressum     Kontakt
+ Antworten
Ergebnis 1 bis 3 von 3

Thema: vpn iPhone

  1. 18.12.2009 14:17 #1
    achberger
    achberger ist offline Registered User
    Registriert seit
    May 2006
    Beiträge
    27

    vpn iPhone

    Hallo,

    ich habe mich sehr über die VPN-Anbindung von iPhones gefreut und wollte das gleich ausprobieren. Ich bin auf folgende Probleme gestossen:

    (1) Verschlüsselungsprofil ohne PFS in Verbindung mit "Road Warrier" geht leider nur, wenn alle Verbindungen so konfiguriert sind. Ich habe schon einige Tunnel stehen, die ich nicht umkonfigurieren kann (möchte)

    Ist zu erwarten, dass dies in Zukunft möglich sein wird?

    (2) Getestet habe ich es jetzt mit fester IP aus unserem WLAN. Die Verbindung bekomme ich aber trotzdem nicht hin. Hier ein Auszug aus dem Server-Log:

    Dec 18 14:09:11 intranator pluto[4475]: packet from 172.xx.xx.xx:500: received Vendor ID payload [RFC 3947]
    Dec 18 14:09:11 intranator pluto[4475]: packet from 172.xx.xx.xx:500: ignoring Vendor ID payload [4df37928e9fc4fd1b3262170d515c662]
    Dec 18 14:09:11 intranator pluto[4475]: packet from 172.xx.xx.xx:500: ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8]
    Dec 18 14:09:11 intranator pluto[4475]: packet from 172.xx.xx.xx:500: ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582]
    Dec 18 14:09:11 intranator pluto[4475]: packet from 172.xx.xx.xx:500: ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285]
    Dec 18 14:09:11 intranator pluto[4475]: packet from 172..xx.xx.xx:500: ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee]
    Dec 18 14:09:11 intranator pluto[4475]: packet from 172.xx.xx.xx:500: ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b]
    Dec 18 14:09:11 intranator pluto[4475]: packet from 172.xx.xx.xx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
    Dec 18 14:09:11 intranator pluto[4475]: packet from 172.xx.xx.xx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
    Dec 18 14:09:12 intranator pluto[4475]: packet from 172.xx.xx.xx:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
    Dec 18 14:09:12 intranator pluto[4475]: packet from 172.xx.xx.xx:500: received Vendor ID payload [XAUTH]
    Dec 18 14:09:12 intranator pluto[4475]: packet from 172.xx.xx.xx:500: ignoring Vendor ID payload [Cisco-Unity]
    Dec 18 14:09:12 intranator pluto[4475]: packet from 172.xx.xx.xx:500: received Vendor ID payload [Dead Peer Detection]
    Dec 18 14:09:12 intranator pluto[4475]: packet from 172.xx.xx.xx:500: initial Main Mode message received on 213.xx.xx.xx:500 but no connection has been authorized with policy=XAUTHRSASIG+XAUTHSERVER

    Die Meldung wird 4x pro Verbindungsversuch wiederholt. Die letzte Zeile scheint den Grund anzugeben, ich kann sie jedoch nicht deuten. An die Benutzergruppe mit dem Recht XAUTH habe ich wie im Referenzmanual gedacht.

    Schonmal vorab: Frohe Weihnachten!


    Viele Grüße
    Zitieren Zitieren
  2. 18.12.2009 16:50 #2
    Gerd von Egidy
    Gerd von Egidy ist offline Administrator
    Registriert seit
    Dec 2001
    Ort
    Tübingen
    Beiträge
    829
    Hallo,

    Zitat Zitat von achberger Beitrag anzeigen
    (1) Verschlüsselungsprofil ohne PFS in Verbindung mit "Road Warrier" geht leider nur, wenn alle Verbindungen so konfiguriert sind. Ich habe schon einige Tunnel stehen, die ich nicht umkonfigurieren kann (möchte)
    Auch in Zukunft werden die Verschlüsselungsprofile für alle Gegenstellen mit dynamischer IP identisch sein müssen. Allerdings wirkt die Einstellung "ohne PFS" so, daß beim Aufbau einer Verbindung vom Intranator aus kein PFS verwendet wird. Fordert der Client dagegen PFS an, wird es akzeptiert. Bei "mit PFS" besteht der Intranator dagegen auf PFS.

    Sie können also alle bestehenden Verbindungen auf ein Profil ohne PFS umstellen. Wenn im Client das PFS aktiviert ist, wird es weiterhin verwendet - auch wenn Sie auf dem Intranator "ohne PFS" eingestellt haben.

    Zitat Zitat von achberger Beitrag anzeigen
    Dec 18 14:09:12 intranator pluto[4475]: packet from 172.xx.xx.xx:500: initial Main Mode message received on 213.xx.xx.xx:500 but no connection has been authorized with policy=XAUTHRSASIG+XAUTHSERVER
    Hmm, die Meldung besagt auf jeden Fall, daß das iPhone mit dem richtigen Modus versucht sich zu verbinden. Der Intranator erwartet allerdings keine solche Verbindung.

    Mir fallen jetzt folgende Möglichkeiten ein:
    a) Auf dem Intranator ist das XAUTH nicht aktiviert oder Sie haben keinen Benutzer für XAUTH freigeschaltet
    b) Sie verwenden keine Zertifikate für diese Verbindung sondern Pre-Shared Key
    c) Die Verbindung wird nicht akzeptiert, weil Sie von oder an die falsche Schnittstelle verbinden. Kontrollieren Sie bitte, ob Sie wirklich bei "Lokales Netz" die Option "Alles (0.0.0.0/0.0.0.0)" gewählt haben. Ansonsten werden Verbindungen aus Ihrem lokalen WLAN nicht akzeptiert.

    Probieren Sie es vielleicht auch mal aus dem Internet.

    Herzliche Grüße,

    v. Egidy
    Zitieren Zitieren
  3. 12.01.2010 16:36 #3
    achberger
    achberger ist offline Registered User
    Registriert seit
    May 2006
    Beiträge
    27

    Gelöst

    Hallo,

    nach der Umstellung auf "ohne PFS" und Road-Warrior als entfernte IP hat das iPhone sofort verbunden.

    Der Hinweis, dass PFS auch funktioniert, wenn auf dem Intranator deaktiviert, war Gold wert.

    Danke und viele Grüße
    Jürgen Achberger
    Geändert von achberger (12.01.2010 um 16:37 Uhr) Grund: Rechtschreibfehler
    Zitieren Zitieren
+ Antworten
« Vorheriges Thema | Nächstes Thema »

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein

Foren-Regeln