VPN on-demand mit iOS - ich versteh's nicht ganz

Ok, und wie konfiguriere ich den DNS? Sorry für die dumme Frage.

Ist mir klar, aber damals kannte ich mich auf dem Gebiet noch gar nicht aus und gab alles in fremde Hände...

Nimm es mir nicht übel, aber das ist kein Thema für hier und dann muss das jemand machen, der sich auch mit dem Mikrotik auskennt. Dir wird wohl nichts anderes übrig bleiben, als wieder jemanden zu beauftragen.

Ok danke.

So ein Update zu meinem VPN on Demand mit Mikrotik Router:

Seit heute läuft alles, wie es soll. Nachdem ich mich ein bisschen eingelesen habe und mich mit meiner Router beschäftigt habe - gingen mir ein paar Lichter auf

• Mit der Anleitung vom LoxWiki - iOS ab Version 9 mit L2TP (z. B. Linux)
• Habe auf meinem Router einen DNS Server eingerichtet mit meiner lokalen Domainnamen: miniserver.xxxxx.local
• mein VPN vom Mikrotik Router (L2TP) funktioniert, wenn ich mich manuell verbinde
• Beim Profil habe ich für ###YOUR_TRIGGER_DOMAIN1### miniserver.xxxxx.local angegben so wie die weiteren Daten meines Netzwerkes
• Danach noch in der Loxone Config die externe Miniserveradresse auf miniserver.xxxxx.local geändert
• Miniserver aus der App gelöscht und wieder neu hinzugefügt
• und siehe da: VPN on Demand funktioniert einwandfrei und baut schnell auf - im eigenen WLAN wird wie gewünscht, kein VPN aufgebaut.

Ein Dank an Alle, die am Loxwiki mitwirken und an die, die hier im Forum über nützliche Tipps geben

Hallo,

bin neu hier. Habe seit zwei Monaten Loxone im Einsatz. Konnte schon viele Probleme nur durch mitlesen und asuprobieren lösen. Allen schon mal danke!

Jetzt komme ich leider aktuell nicht zu einer Lösung und hoffe ihr könnt mir helfen.

Ich habe das gleiche Problem wie Davidmei, wenn ich im Iphone in die Loxone-App gehe verbindet er sich nicht mit VPN. Dies muss ich manuell machen. Dann kann ich aber die App ganz normal benutzen.
Ich habe es nach der Anleitung aus dem Wiki gemacht und eigentlich hat es ganz gut gelappt.

Habe die neueste IOS Version 13.3.1
Habe die Loxone Config 10.3.11.27
VPN ist angehakt.
Schalter "Bei Bedarf verbinden" ist auch an.
Interner Port ist auf die IP 92.168.178.8080 eingestellt.
Externer Port auf miniserver.fritz.box

Ich hoffe, ihr seht meinen Fehler
(leider habe ich deine Problemlösung nicht verstanden Davidmei, evtl. kannst du es nochmal schildern?)

Meine VPN-config:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<key>IPSec</key>
<dict>
<key>AuthenticationMethod</key>
<string>SharedSecret</string>
<key>OnDemandEnabled</key>
<integer>1</integer>
<key>OnDemandRules</key>
<array>
<!-- Turn off VPN if on our WiFi network -->
<dict>
<key>InterfaceTypeMatch</key>
<string>WiFi</string>
<key>SSIDMatch</key>
<array>
<string>Reuschis</string>
</array>
<key>Action</key>
<string>Disconnect</string>
</dict>
<!--Rule to turn on VPN -->
<dict>
<key>Action</key>
<string>EvaluateConnection</string>
<key>ActionParameters</key>
<array>
<dict>
<key>Domains</key>
<array>
<string>Miniserver</string>
</array>
<key>DomainAction</key>
<string>ConnectIfNeeded</string>
<key>RequiredDNSServers</key>
<array>
<string>192.168.178.21</string>
</array>
</dict>
</array>
</dict>
</array>

<key>LocalIdentifier</key>
<string>*****</string>
<key>LocalIdentifierType</key>
<string>KeyID</string>
<key>RemoteAddress</key>
<string>************.myfritz.net</string>
<key>SharedSecret</key>
<data>**********</data>
<key>XAuthEnabled</key>
<integer>1</integer>
<key>XAuthName</key>
<string>****</string>
<key>XAuthPassword</key>
<string>********</string>
</dict>
<key>IPv4</key>
<dict>
<key>OverridePrimary</key>
<integer>1</integer>
</dict>
<key>PayloadDescription</key>
<string>Configures VPN settings</string>
<key>PayloadDisplayName</key>
<string>VPN Home (On-Demand)</string>
<key>PayloadIdentifier</key>
<string>com.home.vpn.A475B815-73F9-4560-8FBF-910C96609803</string>
<key>PayloadOrganization</key>
<string></string>
<key>PayloadType</key>
<string>com.apple.vpn.managed</string>
<key>PayloadUUID</key>
<string>A475B815-73F9-4560-8FBF-910C96609803</string>
<key>PayloadVersion</key>
<real>1</real>
<key>Proxies</key>
<dict/>
<key>UserDefinedName</key>
<string>VPN Home</string>
<key>VPNType</key>
<string>IPSec</string>
</dict>
</array>
<key>PayloadDisplayName</key>
<string>VPN Home (On-Demand)</string>
<key>PayloadIdentifier</key>
<string>com.home.vpn</string>
<key>PayloadRemovalDisallowed</key>
<false/>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadUUID</key>
<string>9F7008CE-C0D8-477E-9ECF-21D18ACBFC4D</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</plist>

Hallo,

zum Einen ist die Triggerdomain falsch hier muss eine FQDN stehen. Also wenn der miniserver in der Fritzbox auch miniserver heißt, dann wäre das miniserver.fritz.box. Des Weiteren glaube ich nicht, dass Du der Fritzbox die IP 192.168.178.21 gegeben hast. In der Standardeinstellung hat die Fritzbox die IP 192.168.178.1

Gruß Sven

ja, bei der IP war ein Tippfehler. Natürlich heißt diese 192.168.178.1

Du meinst mit der Triggerdomain diese Zeile?
Wenn ich hier was anderes eintrage als die Serveradresse *****.myfritz.net bekomme ich gar keine Verbindung.

Grüße
Florian

Nein, hier:

<key>ActionParameters</key>
<array>
<dict>
<key>Domains</key>
<array>
<string>Miniserver</string>
</array>
<key>DomainAction</key>
<string>ConnectIfNeeded</string>

nur Miniserver funktioniert nicht. Da müsste wahrscheinlich miniserver.fritz.box stehen

Einwandfrei!

Super, danke. Das war das Problem.

Servus zusammen,

also VPN klappt einwandfrei; nur das "on demand" noch nicht. Ist für mich auch nicht so wichtig, dennoch wollte ich mal fragen, ob es evtl. damit zusammenhängen kann:

1.) ich nutze PiHole, hab aber in der *.mobilconfig bei DNS Server die 192.168.1.1 belassen
2.) mein WLAN kommt nicht von der FritzBox von dahiner geschalteter Unifi Hardware

Wenn auf Grund der zwei Punkte etwas anderes eingetragen werden muss, würde ich das gerne testen und im Anschluß im Wiki ergänzen.

Gruß Thomas

Nochmal: für On-Demand ist notwendig, dass die Domain, die bei extern drin steht auch bei den Domains in der mobileconfig drin steht.

Hallo Leute, nach Umzug (und damit verbundenem Providerwechsel) geht mein VPN-Zugang vom Handy über OpenVPN vom Raspberry leider nicht mehr...
Meine öffentliche IP-V4-Adresse aus meinem Nutzeraccount bei No-IP stimmt jedoch mit meiner in der Fritzbox angezeigten Adresse unter "Internet" überein.
Portweiterleitungen wie hier beschrieben https://www.loxwiki.eu/display/LOXBE...+Server+machen sind in der Fritzbox auch eingerichtet, nur zu L2TP finde ich da nix...

Kann jemand einem Netzwerkdeppen sagen, wo ich anfangen muss zu suchen?

Grüße, Martin

L2TP braucht noch einen anderen. Muss ich gucken, aber irgendwas um 1723 oder so. Warum so kompliziert? Wieso machst Du VPN nicht über die Fritte?

@Clubsport: L2TP enthält keine Verschlüsselung. Daher wird für die Verschlüsselung IPSec verwendet und man nennt das ganze IPSec/L2TP. Die beiden dafür benötigten Ports sind in der Loxwiki beschrieben (UDP/500 und UDP/4500).

Technisch gibt es zwar L2TP (ohne die Kombination mit IPSec) als Tunnelprotokoll, welches die Verbindung eines Clients mit einem Netzwerk bietet und Parameter aushandelt, als auch eine Authentifizierung für die Verbindung. Diese Verbindung läuft über UDP/1701. Über das Internet ist diese unverschlüsselte Verbindung nicht sinnvoll und braucht daher in der Praxis nicht weiter betrachtet zu werden.

Die Kombination IPSec/L2TP ist ebenfalls ausführlich im Internet beschrieben.

TCP/1723 wird übrigens von dem heute veralteteten, weil unsicherem Protokoll PPTP verwendet.

Um festzustellen, ob der Fehler beim Client oder Server liegt, kann man auf der Fritzbox Pakete aufzeichnen und mit Wireshark analysieren. Ist zwar nicht für Laien, aber eigentlich auch nicht so schwierig. Zuerst Wireshark installieren, dann das Capture starten, siehe https://www.andysblog.de/avm-fritzbo...nitt-erstellen Dort "Routing" Schnittstelle auswählen und Pakete aufzeichnen. Jetzt versuchen eine VPN Verbindung aufzubauen. In Wireshark öffnen und folgenden Filter eintragen: udp.port==500 || udp.port==4500

Wird nichts angezeigt, dann liegt der Fehler am Client. Es könnte natürlich sein, dass ein Provider eingehend diese Ports blockiert, aber ist nicht üblich.

Gruß Jan

Hallo Jan, WOW, das nenne ich mal eine kurze, knackige und super einfache Hilfestellung!!!! Danke!
Wireshark spuckt mir folgendes dann aus:

192.168.2.yy ist dabei mein Loxberry, da scheint alles i.O. , aber wer ist denn 109.41.0.xx ...? Müsste nach meinem Verständnis der Server meines DDNS-Dienstes sein, oder....?

Grüße, Martin