VPN on-demand mit iOS - ich versteh's nicht ganz

**Oli** · 09.10.2017, 17:35

Zitat von svethi

Die lokale Adresse. Also intern die IP und extern den Namen, den Du zum Triggern der VPN Verbindung verwendest

Okay, muss ich mal probieren. Immo hab ich den Port von der mjpgStreamer geöffnet.

Gesendet von iPhone mit Tapatalk

**svethi** · 22.10.2017, 12:31

Hi Leute,

ich bin für einen Bekannten mal wieder über das DNS-Problem über VPN gestolpert. Dieser ist, sagen wir mal etwas "schwierig".
Problem: unter iOS >= 9 funktionieren bekanntlich keine IP-Adressen mehr. Wenn man auf Domainnamen umstellt und dann im Browser den Domainnamen angibt wird zwar wunderschön das VPN aufgebaut, die Seite ist dennoch nicht erreichbar, da weiterhin der öffentliche DNS-Server befragt wird und dieser letztlich nicht auflösen kann. Eine Lösung wäre ... eine Link mit domain anzulegen um das VPN zu triggern und einen Link mit IP anzulegen um die Seite aufzurufen. Für den Bekannte nicht tragbar :-)
Ich habe dafür eine Lösung gefunden. Es gibt eine weitere Option "RequiredDNSServers" dort kann man die DNS-Server eintragen, die dann benötigt werden um die Namen aufzulösen. Das klappt bei mit unter iOS 11.0.2 sehr gut ...

Hier findet Ihr den entsprechend aktualisierten Wikibeitrag.

Gruß Sven

**Gast** · 01.11.2017, 07:04

Hallo,

ich habe diesen Thread und den Eintrag im Wiki gefunden. Vielen Dank für die Mühe beim Testen und recherchieren.
Leider funktioniert das bei mir so nicht.

Ich habe ebenfalls ein USG und L2TP eingerichtet. Wenn ich dies am iPhone manuell einrichte muss ich Benutzername, Kennwort und SharedSecret eingeben. In der .mobileconfig fehlt allerdings das SharedSecret.

Weiss jemand, an welcher Stelle dies wie eingegeben werden muss?

Ich nehme an, dass aus diesem Grund der Aufbau nicht klappt.

Danke und Gruß
Christian

**svethi** · 01.11.2017, 10:08

Das SharedSecret steht da sehr wohl drin und ist auch in der Beschreibung angegeben dass das Base64 codiert sein muss

**svethi** · 01.11.2017, 10:20

Gast ich habe gerade noch einmal nachgesehen. Das steht sogar regelrecht als „SharedSecret“ in der Datei. Das solltest Du finden. Wäre allerdings auch nicht so schlimm, denn wenn das nicht drin, oder auch nicht Base64 codiert ist, wird dies bei der Installation abgefragt. Geht also so oder so.

**Gast** · 01.11.2017, 10:29

Hallo,

danke für die Rückmeldung.
Ich habe meine Frage nicht konkret genug gestellt. Ich beziehe mich auf die Vorlage für L2TP.
Dort fehlt aus meiner Sicht das SharedSecret, welches ich in der Unifizierend Oberfläche eingetragen haben.
Abgefragt wird es leider auch nicht, die Verbindung kommt einfach nicht zu Stande.

Ich würde es in diesem Abschnitt vermuten, kann aber auch ganz wo anders hingehören.

PHP-Code:

<dict>
                <key>AuthName</key>
                <string>###YOUR_USER_NAME###</string>
                <key>AuthPassword</key>
                <string>###YOUR_PASSWORD###</string>
                <key>CommRemoteAddress</key>
                <string>###YOUR_DYNDNS_DOMAIN###</string>
            </dict>

Oder habe ich etwas übersehen?

Gruß
Christian

**Gast** · 01.11.2017, 11:49

Hallo,

ich habe es jetzt hinbekommen, und zwar mit der Vorlage aus den Wiki Kommentaren.
Das SharedSecret steht gort im oberen Bereich

HTML-Code:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
    <dict>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>IPSec</key>
                <dict>
                    <key>AuthenticationMethod</key>
                    <string>SharedSecret</string>
                    <key>LocalIdentifierType</key>
                    <string>KeyID</string>
                    <key>#####SharedSecret#####</key>
                    <data>
                        #####SharedSecret#####
                    </data>
                    <!-- VPN-On-Demand Codeblock -->
                    <key>OnDemandEnabled</key>
                    <integer>1</integer>
                    <key>OnDemandRules</key>
                    <array>
                        <dict>
                            <!-- VPN bei ausgewählten WLAN-Netzen deaktivieren -->
                            <key>Action</key>
                            <string>Disconnect</string>
                            <key>InterfaceTypeMatch</key>
                            <string>WiFi</string>
                            <key>SSIDMatch</key>
                            <array>
                                <string>####SSID####</string>
                            </array>
                        </dict>
                        <!-- VPN beim Zugriff auf Heimnetz-Adressen aufbauen -->
                        <dict>
                            <key>Action</key>
                            <string>EvaluateConnection</string>
                            <key>ActionParameters</key>
                            <array>
                                <dict>
                                    <key>Domains</key>
                                    <array>
                                        <!-- put your servers here -->
                                        <string>####loxone.yourdomain.com#####</string>
                                    </array>
                                    <key>DomainAction</key>
                                    <string>ConnectIfNeeded</string>
                                </dict>
                            </array>
                        </dict>
                        <dict>
                            <!-- VPN Default state -->
                            <key>Action</key>
                            <string>Disconnect</string>
                        </dict>
                    </array>
                    <!-- VPN-On-Demand Codeblock ENDE-->
                </dict>
                <key>IPv4</key>
                <dict>
                    <key>OverridePrimary</key>
                    <integer>0</integer>
                </dict>
                <key>PPP</key>
                <dict>
                    <key>AuthName</key>
                    <string>####username####</string>
                    <key>AuthPassword</key>
                    <string>####password####</string>
                    <key>CommRemoteAddress</key>
                    <string>###dyndns-domain####</string>
                </dict>
                <key>PayloadDescription</key>
                <string>VPN-Einstellungen konfigurieren</string>
                <key>PayloadDisplayName</key>
                <string>VPN</string>
                <key>PayloadIdentifier</key>
                <string>com.apple.vpn.managed.A4ED8F09-D5E5-41A3-A479-9E9665418AC3</string>
                <key>PayloadType</key>
                <string>com.apple.vpn.managed</string>
                <key>PayloadUUID</key>
                <string>3C9FDDFA-7253-4B4A-8263-2C3E1E3F8B07</string>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>Proxies</key>
                <dict>
                    <key>HTTPEnable</key>
                    <integer>0</integer>
                    <key>HTTPSEnable</key>
                    <integer>0</integer>
                </dict>
                <key>UserDefinedName</key>
                <string>###Beschreibung####</string>
                <key>VPNType</key>
                <string>L2TP</string>
            </dict>
        </array>
        <key>PayloadDescription</key>
        <string>Privat-VPN mit diversen lokalen Systemen</string>
        <key>PayloadDisplayName</key>
        <string>VPN Privat</string>
        <key>PayloadIdentifier</key>
        <string>n005034.yourdomain.com.85D98A6D-F9A1-44F6-812D-FC2A23B6E223</string>
        <key>PayloadOrganization</key>
        <string>###yourdomain###</string>
        <key>PayloadRemovalDisallowed</key>
        <false/>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadUUID</key>
        <string>19245848-98E3-4E84-9D0C-5B0DFD04C549</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
    </dict>
</plist>

Hiermit geht es bei mir. Ich habe die Stellen, die ich angepasst habe noch mal mit ### markiert.

@swethi: Vielleicht kannst Du diese angepasste Datei in das Wiki übernehmen. Dort fehlen in der Vorlage für L2TP einige Zeilen für das SharedSecret.

Gruß
Christian

**Gast** · 01.11.2017, 20:15

Freunde, bei mir funktioniert es soweit mit der Vpn on demand. Aber....wenn die VPN verbindung dann hergestellt ist kann ich keine webseiten in safari mehr aufrufen....sicher nur eine Kleinigkeit, könnt ihr helfen?
Gruß
Björn

**svethi** · 01.11.2017, 20:46

Gast wie tholle schon sagt, das ist ein Wiki was von jederman bearbeitet werden kann und auch davon lebt. Allerdings würde ich kein vorhandenes Beispiel ändern. Die hier vorhandenen Beispiele funktionieren bei den dort angegebenen VPN-Servern und sind getestet. IPSec ist ein schwieriges Thema und jeder Server reagiert anders.

**svethi** · 01.11.2017, 20:48

Gast das liegt dann wohl an Deinem VPN-Server/Router. Da solltest Du Dir mal die Einstellungen ansehen

**Gast** · 02.11.2017, 09:11

Zitat von svethi

Gast wie tholle schon sagt, das ist ein Wiki was von jederman bearbeitet werden kann und auch davon lebt. Allerdings würde ich kein vorhandenes Beispiel ändern. Die hier vorhandenen Beispiele funktionieren bei den dort angegebenen VPN-Servern und sind getestet. IPSec ist ein schwieriges Thema und jeder Server reagiert anders.

Das ein Wiki ein Gemeinschaftsprojekt ist war mir klar, ich wollte nur nicht einfach einen bestehenden Artikel anpassen. Ich habe mich im Forum eigentlich nur wegen dieses Themas angemeldet. Zum Thema Smarthome komme ich aus einer anderen Richtung, ich setzte IP-Symcon ein.

svethi Da man sich für das Wiki separat anmelden muss, und ich bisher noch keine Wikiartikel erstellt/bearbeitet habe würde ich Dich bitten die oben stehende Konfiguration in das Wiki zu übernehmen, Es funktioniert so mit Unifi USG und L2TP. Es könnte im Wiki auch ein Link auf meinen Beitrag ausreichen. Das wäre sehr nett, und würde mir die Einarbeitung und separate Anmeldung ersparen.

Vielen Dank und Gruß
Christian

**Xenobiologist** · 02.11.2017, 10:42

Macht es ggf Sinn, dass man ein kleines Skript schreibt, dass die Erstellung der xml (mobileconfig) Datei erleichtert? Mit z.B. Autoit sollte das ja relativ schnell gemacht sein. Dann muss man nur die x Werte eingeben und die Datei wird geschrieben.

**Freeflyer82** · 14.11.2017, 13:29

Hallo Leute

Ich habe ein etwas spezielles Problem. Die ganz VPN on demand Geschichte funktioniert bei mir grundsätzlich gut. (Iphone 8 mit IOS 11.1.1, Fritzbox 7490, Miniserver 9.0.9.26).
Wenn ich mich im WLAN meines Geschäfts befinde, lässt sich der VPN herstellen aber anschliessend bringt mir die App die Meldung "schlechte Verbindung" und bleibt dort hängen. Ich kann dann auch via Browser nicht auf den Miniserver zugreifen. Befinde ich mich im 4G Netz oder in einem anderen WLAN, funktioniert alles wie gewünscht. Eingerichtet habe ich das Ganze gemäss Loxwiki. Hat jemand eine Idee was das Problem hier sein könnte? Danke euch!

**orli** · 14.11.2017, 23:37

Hat das Geschäfts WLAN vielleicht den gleichen Namen wie dein Home-WLAN?

**Freeflyer82** · 15.11.2017, 16:11

Danke für den Input. Leider hat es nicht den gleichen Namen. Den VPN baut er ja auch automatisch auf. Es macht auch keinen Unterschied ob ich den VPN manuell eröffnen oder direkt über on demand.