VPN on-demand mit iOS - ich versteh's nicht ganz

Nö, ich hatte nur mal in einem anderem Forum gelesen, dass es bei einigen Providern Probleme mit dem VPN gibt, was bei Dir ja sonst geht.

Mit meiner 7490 klappt alles bestens, die hat keine solchen Security Einstellungen.

Hallo

Zu VPN kann ich hier vielleicht für die Algemeinheit ein anderes Verfahren aufzeigen. Ich habe den Port meines Loxone Systems nach aussen nicht geöffnet. Es gibt sowieso kaum Ports die von Aussen her offen sind ausser die die ich für den Exchange Server benötige. ALs Firewall setze ich die geniale Lösung von pfsense (gratis) ein und lasse die auf einem vmware Server laufen. Natürlich hat das nicht jeder gleich so bereit. Die pfsense lässt sich auch auf ein ALIX Board oder besser APU Board (schneller) installieren. Damit erhält man eine sehr professionelle Firewall mit allen schikanen für etwas über 100 Euro.
Darin konfiguriere ich ein OpenVPN und dies funktioniert dann bestens mit allen möglichen Geräten. Es funktioniert perfekt auf Andoriden, auf iOS Geräten und PC's oder Mac. Und die CLients sind alle kostenlos. OpenVPN verwenden wir in der Firma auch bei Kunden die Filialen verbinden wollen. Das ist Rock stabil und einfach einzurichten und erst noch sicher. Es werden verschiedene Verschlüsselungsarten unterstützt. Je nachdem was man will, schneller -> weniger sicher, etwas langsamer -> sicherer. Die GEschwindigkeit im VPN Tunnel wird natürlich auch von der Hardware auf welcher die Firewal läuft bestimmt. Performanterer Firewalls installieren wir auf schnellen Servern. Aber die APU Board version läuft schon sehr sehr schnell und schläge manche Firewall die 1000 Euro kostet oder mehr. Was die Features angeht sowieso.

So bin ich eigentlich von überall her immer im eigenen Netz. Brauche keine Ports zu öffnen und somit keine Sicherheitslücken. EInzig der OpenVPN Port muss natürlich offen sein. Dieser kann frei gewählt werden oder Default gelassen werden. Die FW ist sicher genug, das können wir mit jahre langer Erfahrung dieser Software sagen.

Natürlich kann man OpenVPN auch mit anderen Firewalls machen, sie müssen dies einfach anbieten. Oder man baut sich einen Rechner mit Linux und installiert openvpn. Doch, dann geht es schon einfacher mit der pfannenfertigen Lösung von pfsense.

Zu finden bei: www.pfsense.org unter comunity.

Es gibt auch kommerzielle Geräte. Da läuft aber die gleiche Software. Nur wer Support braucht, muss den bezahlen. Ansonsten gibts Foren die kostenlos helfen.

Apu Boards bekommt man bei: http://www.pcengines.ch

Es gibt auch wiederverkäufer in Deutschland und vermutlich auch Österreich.

Eine PF Sense kann man vermutlich auch hinter eine Fritzbox setzen. Aber dies wäre zumindest für mich keine Lösung. Mit diesen Dingern haben wir mehr Probleme als Freude. Dann bei einem DSL Anschluss besser eine Bridge (beispielsweise Zyxel) zwischen Leitung und pfsense stellen und das ppoe Login von der pfsense machen lassen. Hat man direkt Ehernet Anschluss, dann kann die pfsense direkt eingeschlauft werden. WIr haben hier einen Kabelanschluss (Kabelfernsehprovider) und einen DSL (Redundanz). Die Firewall schaltet automatisch auf den Anschluss der schneller ist. Oder bei Ausfall eines Anschlusses auf den der noch funktioniert. Dies hat zwar nichts mit dem VPN zu tun, aber zeigt, dass das DIng einiges kann. Auch VLAN, oder Content FIltering, wenn man die sense beherrscht kann auch https Content gefiltert werden. Und wer will, kann daraus auch einen Access Point für wlan machen, entsprechende Module bietet PC Engines auch an.

VIel Spassm wer sich daran wagt, er wird nicht enttäscht sein.

Gruss
Sigma

Ok, hab's geloest! In den Einstellungen zur APP (EINSTELLUNGEN/LOXONE) war der Schalter fuer "Mobile Daten" deaktiviert. Normalerweise greift jede App, die mobile Daten nutzen will, auf die entsprechende Schnittstelle im iOS zu, um zu pruefen, ob mobile Daten erlaubt sind. Ist dies nicht der Fall, poppt eine entsprechende Meldung auf. Dies wurde scheinbar in der LOXONE-App nicht implementiert. Das ist etwas schlampig und nur wenig benutzerfreundlich!

Gruss und thx an alle, die mitgedacht haben!
tholle

Hallo zusammen

Habe gestern Nacht den VPN on Demand auf meinem iPhone eingerichtet, so dass beim öffnen der Loxone-App automatisch die VPN-Verbindung hergestellt wird. Dies klappte, nach einigen Anlaufschwierigkeiten (wir haben bei uns in der CH nicht IPsec, sondern L2TP), auch wunderbar.

Nun würde ich aber gerne den VPN-Tunnel automatisch wieder schliessen, sobald ich die App schliesse resp. den Home-Button betätige. Müsste ja schon gehen, denn beim Anmelden am Heim-W-LAN wird der Tunnel ja auch automatisch geschlossen.
Habt ihr hier eine idee, ob und wie sich dies realisieren lässt?

Bin für jeden Tipp dankbar.

Vielen Dank & Gruss
Stibe

Der Tunnel baut sich selbst wieder ab. Der Tunnel wird nicht durch das Öffnen der App aufgebaut sondern durch die Netzwerkkommunikation die die App dann einleitet. Wenn diese Kommunikation wieder still ist (natürlich erst nach einer kleinen Wartezeit), wird auch der Tunnel wieder abgebaut. Da die VPN's meist so aufgebaut sind, dass dann sämtliche Kommunikation über den Tunnel geht, muss hierfür auch "Funkstille" sein. Sprich, wenn Du weiter surfst oder andere Apps fleißig Daten hinundher schicken, bleibt der Tunnel erst einmal bestehen. In diesem Fall müsstest Du in die Einstellungen gehen und das VPN selbst abschalten. Beim Anmelden am Heimnetzwerk wird der Tunnel natürlich abgebaut. Das ist ja so konfiguriert.

Ich hatte bis Ende letzten Jahres VPN über Fritzbox. Da baute sich der Tunnel nach einer gewissen Zeit selbst ab (ich vermute ausgelöst durch einen Timeout in der Fritzbox). Habe dann auf die InternetBox von Swisscom und VPN über L2TP gewechselt. Seit dem baut sich der Tunnel nicht mehr selbständig ab und ich muss die Verbindung manuell schliessen. Schätze mal, das "Problem" liegt bei der InternetBox der Swisscom.

Hat jemand andere Erfahrungen oder gar einen Workaround?

Pio

Das VPN "on-demand" wird auf dem iPhone durch einstellbare "On-Demand Rules" ein- bzw. ausgeschaltet. Die möglichen Parameter enthalten kein "App X gestartet oder beendet", sondern nur Bedingungen, wie bestimmte SSID oder Aufruf eines bestimmten DNS Namens.

Gut beschrieben ist das hier:
https://nerd.one/vpn-on-demand-confi...#ondemandrules oder in der offiziellen Referenz von Apple
https://developer.apple.com/library/...roduction.html bzw.
https://developer.apple.com/library/...10206-CH1-SW36

Der Tunnel wird durch das iOS nach Bedarf aufgebaut und ist nicht an eine bestimmte App gekoppelt. Bei Aufbau einer IPSec Verbindung wird die Lebensdauer des IKE SAs und der IPSec SAs ausgehandelt. Die Referenz von Apple führt hier eine Sektion "ChildSecurityAssociationParameters" mit dem Parameter "LifeTimeInMinutes" auf. Hier könnte man weitermachen.

Bei IPSec VPNs werden ebenfalls die zu verschlüsselnden IP-Netze festgelegt und man kann auf der zentralen Seite festlegen, ob entweder alle Ziele (aus der Sicht des Clients) oder nur das eigene Heimnetz verschlüsselt werden soll. Bei meiner Fritzbox habe ich die "standard" Konfiguration verwendet und es wird der gesamte Datenverkehr durch den Tunnel gesendet. Wie Svethi bereits erwähnt hat, bleibt der VPN Tunnel damit auch beim Surfen oder durch andere Apps bestehen und wird nicht durch einen Timeout automatisch wieder abgebaut. Irgendeine App sendet i.d.R. immer etwas. Die Fritzbox ist so intelligent, dass sie den VPN Verkehr passend in das Internet weiterleitet, so dass man diese Umleitung gar nicht merkt, wenn man eine gute Internetanbindung zu Hause hat. Überprüfen kann man dies z.B. mit dem Aufruf der URL www.wieistmeineip.de bei geöffnetem VPN Tunnel. Bei einem langsamen Internet-Anschluss zu Hause könnte diese Umleitung das Arbeiten mit dem iPhone bremsen. Alternativ könnte man wahrscheinlich in der Fritzbox eine sogenannte Split-Tunnel VPN Konfiguration einrichten, so dass nur die Pakete mit einer Ziel-IP im eigenen Home-LAN den VPN Tunnel verwenden. Das habe ich bisher nicht getestet.

@Stibe: Was ist der Grund für den Wunsch? Hast Du ein Problem, wenn der VPN Tunnel offen bleibt?

@Pio: Bei L2TP ist mir kein Parameter auf der iPhone Seite bekannt, um den Tunnel zu beenden. Vielleicht gibt es auf der Box von Swisscom eine Einstellung für "Keep-Alive Timeout" o.ä.

Gruß Jan

@Jan:
Danke dir.
Möchte eigentlich nur den VPN-Tunnel offen haben, wenn ich auf mein Heimnetz zugreifen möchte.
Wenn ich nur im I-Net Surfe oder Mails checke, benötige ich den Tunnel ja nicht und eine zusätzliche Sicherheit habe ich für diesen Fall ja auch nicht.
Oder wieso meinst du sollte ich den Tunnel dauernd offen lassen?


Gesendet von iPhone mit Tapatalk

Bis Punkt fünf hat es bei mir gut funktioniert. Hier hab ich leider etwas Probleme. Vielleicht kann mir jemand helfen,

Ich hatte bisher schon eine VPN Verbindung die funktioniert. Ich verbinde mich manuell und die Loxone App verbindet sich dann mit der internen IP mit dem Miniserver.

Für meine neue On-Demand Verbindung nutze ich die selben Daten wie bei der bisherigen VPN Verbindung. Wenn ich diese manuell Verbinde funktioniert alles wie zuvor. Dann hab ich die Loxone App gestartet 'Neuen Miniserver' gewählt und als Adresse den Namen eingetragen den ich in der Config Datei vergeben hab (das habe ich aus Punkt 6 der Beschreibung verstanden). Wenn ich nun den den VPN abschalte und dann die Loxone App wieder starte, wird den VPN Tunnel anscheinend geöffnet (oben rechts in der Ecke steht das VPN Zeichen) die App sagt aber 'schlechte Verbindung' und ich bekomme keinen Zugriff.

Hat jemand eine Idee woran das liegen kann?

Ggf. am DNS? Wenn du verbunden bist, dann probier mal im Browser per IP auf deinen LMS zu kommen.
Wenn das geht schon mal gut. Dann probier mal zu surfen oder per Name auf den LMS zuzugreifen.

Wie viele VPNs sind bei Dir konfiguriert und welches VPN verbindet sich (iPhone Menü Einstellungen - VPN ?) Das "On-Demand VPN" kann man testweise auch manuell starten bzw. beenden.

Was zeigt die App (rundes "i") zu dem MS an? (Menü "Meine Miniserver")? Die App holt sich beim Verbinden die Daten aus dem MS, d.h. benutzt die Einstellungen, die Du dort als interne und externe Adresse hinterlegt hast. Die "lokalen" Einstellungen, beim Erstellen über "Neuen Miniserver" werden dabei überschrieben.

Wenn die App die VPN Verbindung "on-demand" aufbaut, dann sollte der MS auch erreichbar sein. Ggf. mal testen, ob der MS per Browser (sowohl interne IP-Adresse als auch interner DNS Name) bei aufgebauter VPN Verbindung erreichbar ist.

Ist vielleicht noch das Default-Gateway auf dem MS falsch? Welche Version hast Du auf der App, dem iPhone und dem MS?

Wen ich verbunden bin, kann ich im Browser den Miniserver per IP Eingabe erreichen. Surfen etc. Funktioniert auch.

Was meinst du mit 'per Name auf den LMS zuzugreifen'?


Ich habe zwei konfigureirt. Es verbindet sich das On-Demand VPN. Manuell starten geht auch. Sie oben.





Ich ich mich manuell mit dem Miniserver verbinde steht dort

Seriennummer: [Seriennummer]
Benutzer: [MeinBenutzerName]
Lokale IP: [IP:Port]
Externe Adresse: [dns.loxonecloud.com/Seriennummer]


Über die externe Adresse ist der Miniserver aber aktuell nciht erreichbar, da ich die Portweiterleitung rausgenommen habe. Intern verbindet er sich immer mit Port.



Default Gateway passt. MS Version ist 7.4.4.14 App Version ist 7.2.1 iPhone hat iOS 10.2

VPN verbunden
Loxone App starten --> IP-Adresse des Miniservers - ok
Loxone App starten --> Name (z.B. loxone-miniserver.fritz.box:4711) des Miniservers - ?

Teste mal mit und ohne VPN den Aurfuf per IP-Adresse (192.168.178.xxx:PORT) und per Namen

dns.loxonecloud ist schonmal falsch. Da versucht der doch immer über externe IP. Da muss der lokale DNS-Name rein

Da hat Svethi Recht. Seit iOS v9 gibt es nur noch On-Demand Rules, die mit DNS Namen arbeiten und welche mit IP-Adressen werden im iOS nicht mehr unterstützt. Daher muss in LoxConfig unter Externe Adresse der lokale DNS-Name angegeben werden, der den Aufbau des VPN Tunnels triggert.

Was mich nur wundert ist, dass Du geschrieben hast, dass "Wenn ich nun den den VPN abschalte und dann die Loxone App wieder starte, wird den VPN Tunnel anscheinend geöffnet (oben rechts in der Ecke steht das VPN Zeichen)". Ohne passenden Trigger dürfte ein VPN Tunnel gar nicht aufgebaut werden.