VPN on-demand mit iOS - ich versteh's nicht ganz

**Matthias** · 09.11.2015, 21:10

Hallo zusammen,

Es mal danke für die Anleitung, das funktionier bei mir fast perfekt.
Ein Problem habe ich habe aber mit der Lox App, wenn ich den DNS Namen in der App Eintrage dann funktioniert der automatische VPN Start.
Aber wenn ich die App (neue App) dann über das WLAN öffne, dann wird der DNS Namen mit der IP Adresse überschrieben und beim nächsten Öffnen startet dann VPN nicht, da die IP Adresse anstelle von der DNS Adresse angefragt wird.
Bei der Classic App kommt die Meldung "keine Verbindung" nach dem 2. Öffnen über VPN, nach dem Schließen der App funktioniert es wieder. Dann muß aber das PW neue eingegeben werden.

Wie habt ihr das gelöst?

Gruß
Matthias

**tottia79** · 10.11.2015, 07:53

Ja, das mit Unitymedia kann ich bestätigen. Habe seit Monaten eine funktionierenden VPN über ni-ip.com. Alles wunderbar, bis zur iOS 9. Seit dem Tag geht nichts mehr. Habe mit Unitymedia telefoniert,da war man sicher, wenn ich auf die Box komme (das sehe ich ja im Menü der Fritzbox), kann der Fehler nicht mehr auf deren Seite liegen.

Bei mir funktioniert die Verbindung zum VPN, aber sobald ich diese hergestellt habe, kann ich weder im Internet surfen noch auf meine Loxone zugreifen. Wie gesagt, hat alles funktioniert, nur jetzt aktuell funktioniert es nicht. Hat einer einen Tip ??

Habe dann die Lösung von Loxoxne probiert, klappt auch nicht. Kann mir lediglich über ein Tool meine IP Adresse (die von Unitymedia) anzeigen lassen, und über diese dann von ausserhalb auf die Loxone zugreifen. Ist aber ja Sinnfrei, auch Unitymedia wechselt ständig die IP.

Danke im vorraus.

**Scrati** · 10.11.2015, 09:58

Code:

                    <key>InterfaceTypeMatch</key>
                    <string>WiFi</string>
                    <key>SSIDMatch</key>
                    <array>
                        [B]<string>MEINESSID</string>[/B]
                    </array>
                    <key>Action</key>
                    <string>Disconnect</string>
                </dict>
                <!--Rule to turn on VPN -->
                <dict>
                    <key>Action</key>
                    <string>EvaluateConnection</string>
                    <key>ActionParameters</key>
                    <array>
                        <dict>
                            <key>Domains</key>
                            <array>
                               [B] <string>miniserver.fritz.box</string>[/B]
                            </array>
                            <key>DomainAction</key>
                            <string>ConnectIfNeeded</string>
                        </dict>
                    </array>
                </dict>
                </array>

                <key>LocalIdentifier</key>
               [B] <string>GRUPPENNAME</string>[/B]
                <key>LocalIdentifierType</key>
                <string>KeyID</string>
                <key>RemoteAddress</key>
                [B]<string>name.dynanbieter.de</string>[/B]
                <key>SharedSecret</key>
               [B] <data>MEINPASSWORT</data>[/B]
                <key>XAuthEnabled</key>
                <integer>1</integer>
                <key>XAuthName</key>
               [B] <string>BENUTZERNAME</string>[/B]
                <key>XAuthPassword</key>
                [B]<string>BENUTZERPASSWORT</string>[/B]

Hallo zusammen,

irgendwie stelle ich mich zu dusslig an. Ich bekomme es nicht zum Laufen. Wenn ich per Hand auf dem Gerät ein VPN einrichte funktioniert alles wunderbar. Sobald ich aber diese Variante nutze, ist der "VPN Server nicht erreichbar" (auch wenn ich manuell die Verbindung mit diesem Profil anstoße).

Was mache ich falsch?

Viele Grüße

**raphaeldoerr** · 12.11.2015, 12:50

Hallo Zusammen. Vielen Dank für das template. Ich habe es jetzt auch hinbekommen. Mein Fehler war, dass ich in der App die IP Adresse drin stehen hatte. Bei der VPN on demand Variante gehört ja natürlich der Domain Name rein und nicht die IP. Also z.B. Miniserver.fritz.box

Das ist mir eben erst klar geworden.

**Gast** · 19.11.2015, 20:08

hallo, leider erreiche ich meinen Miniserver nicht via DNS-name (loxonems.fritz.box), auch nicht über den Browser meines Mac. Ne Idee woran das liegen kann?

**Gast** · 19.11.2015, 20:24

ah, meine Loxone hat eine feste IP, keine via DNS von der fritzbox.. liegt das evtl. daran?

**Gast** · 19.11.2015, 20:57

so, habs geschafft, IP-Adresse hole ich jetzt per DHCP... und hab jetzt auch die Externe Adresse korrekt konfiguriert.
Eine Frage noch: Die VPN-Verbindung wird mit beenden der APP nicht automatisch beendet, oder?

**Incalculable** · 26.12.2015, 20:45

Hallo,

Ich hätte eine kurze Frage zu VPN on Demand:
Hat hier im Forum jemand VPN on Demand mit einem Asus Router (Rt-68) hinbekommen?
Ich bin grad am Überlegen wie das gehen könnte (vermutlich mit Open VPN), aber ganz blicke ich da noch nicht durch...

Danke!

Lg Vinc

Mfg Incal

**svethi** · 27.12.2015, 10:08

VPN On Demand macht nicht der Router. Das macht das Endgerät. Wenn Du manuell eine VPN Verbindung zu Deinem Router aufbauen kannst, dann funktioniert auch VPN On Demand.
Zuerst musst Du also eine VPN Verbindung zu Deinem Router einrichten. Danach kannst Du Dir Gedanken zu VPN On Demand machen.

Gruß Sven

**Incalculable** · 27.12.2015, 10:45

Hallo Sven, Danke für deine Antwort.

Die VPN Verbindung zum Router klappt, kann auch die Loxone steuern etc, allerdings zur Zeit als PPTP VPN ohne Zertifikat. Soviel ich weiß funktioniert doch VPN on Demand in IOS nur mit Zertifikat, oder? Das einzige was mein Asus Router außer PPTP anbietet wäre OpenVPN.
Kann man das Template in diesem Thread dahingehend anpassen bzw hat das evtl schon jemand gemacht? Ich bin mir nicht sicher wie genau ich es abändern muss.
Ansonsten muss ich weiter experimentieren..

Mfg Incal

**roadi** · 06.02.2016, 23:41

Hallo Leute, ich hoffe ihr könnt mir auch helfen.

Gleich zu Anfang. Ich bin kein Programmierer oder sonstiger Netzwerkspezialist.

Eher ein Googler der sich seine Sachen durch viel lesen erarbeitet.

Nur jetzt komm ich nicht mehr weiter.

Ich habe eine Checkpoint Firewall die nur L2TP unterstützt.
Ich glaube aber das sollte kein Problem sein, da ich das script soweit zuerst mit dem Texteditor(die Stellen mit HIER) und dann mit dem Konfigurationsprogramm(die VPN Verbindung) bearbeitet habe.

Nun der Tunnel funktioniert, aber die automatische VPN Herstellung leider nicht.

Den Miniserver hab ich eine fixe ip zugewiesen, und hab ihn Loxone benannt (Hier weis ich nicht ob das reicht, ich wüsste jetzt nicht wo ich eine DNS vergeben kann?)
mit lookup finde ich nur "my.firewall" Diese habe ich jetzt bei externe Adresse(Loxoneconfig) eingetragen und auch mit dem iPhone einmal synchronisiert. Auch in diesem script steht diese drinnen

Soweit ich das verstanden habe vergleicht ja das script nur die Adressen oder??

Ich bitte euch um etwas Nachsicht. Ich bin schon froh das ich den VPN Tunnel mal herstellen konnte.

LG. Christoph

Nachtrag: alternativ hätte ich noch ein synology nas das ich zum dns server machen könnte. Dabei bekäme ich auch Unterstützung von einem Freund von mir. Sofern das erforderlich ist??

**svethi** · 07.02.2016, 05:18

Das funktioniert schonmal gar nicht. Wenn Du zuerst Deine Änderungen in die Konfig einbaust und dann erst mit dem Konfigurationsprogramm die VPN-Verbindung einträgst, macht das Konfigprogramm Deine ganzen Änderungen wieder platt.
Du musst zuerst mit dem Konfigprogramm die VPN-Verbindung einrichten. Dann lädst Du diese Konfig in Dein Telefon und versuchst von extern, also WLAN aus, die VPN-Verbindung aufzubauen und dann auf den Miniserver zuzugreifen. Wenn das alles klappt, nimmst Du Dir die Konfig und trägst die entsprechenden Daten ein. Der MiniServer muss dazu einen vollwertigen DNS Namen haben.Vielleicht heißt er ja bei Deinem Router Loxone.my.firewall . Das kann ich Dir aber nicht sagen, da ich das Teil nicht kenne. Das musst Du heraus finden.

Gruß Sven

**roadi** · 07.02.2016, 07:49

Oh danke für die schnelle Antwort.

Das mit dem DNS Namen dürfte mein Hauptproblem sein. Ich werd den DNS Server am Nas installieren. Melde mich später wieder.

Lg Christoph

Gesendet von meinem iPhone mit Tapatalk

**Jan W.** · 07.02.2016, 11:35

Der DNS Server am NAS ist mit Sicherheit nicht Dein Problem. Wie ich schon im o.a. Kommentar vom 19.Nov.2015 geschrieben habe, wird DNS NUR intern im iPhone als Trigger verwendet, um das VPN on Demand auszulösen. Du kannst Dir also irgendeinen DNS Fantasienamen ausdenken, den Du als externen Namen in deinem Miniserver einträgst. Die App holt sich bei jeder Verbindung die aktuellen Einstellungen vom Miniserver. Die App versucht sich zuerst intern mit der internen IP-Adresse zu verbinden. Das schlägt natürlich ohne VPN von extern fehl. Also versucht es die App über den externen DNS Namen. Dies ist der Trigger für das VPN on Demand, d.h. hier muss eine Regel vorhanden sein, die das VPN beim Zugriff auf den DNS Namen auflöst. Nach Aufbau des VPNs versucht es die App wieder über die interne IP-Adresse. Das sollte jetzt funktionieren und Du kannst den Miniserver steuern.

Wie Svethi schon geschrieben hat, kannst Du das VPN on Demand über das Konfigurationsprogramm zumindest bei IPSec VPN Verbindungen normalerweise nicht einrichten, weil Apple dies nur für "sichere" Authentifizierung über Zertifikate vorgesehen hat. Irgendjemand hat aber herausgefunden, dass es doch auch mit den üblichen Pre-Shared Keys geht, wenn man die Config manuell bearbeitet und entsprechende Regeln einfügt. So ist die hier im Forum vorgestellte Config entstanden. Ob sich die "On-Demand" Regeln auch für L2TP nachträglich manuell einbinden lassen, dass kann ich Dir nicht sagen.

Gruß Jan

**roadi** · 07.02.2016, 12:58

Ja danke.

Hab jetzt das Problem erkannt, sobald ich im Konfig Programm auf L2TP ändere ist alles andere weg.

Das ganze zu ändern, übersteigt aber glaub ich meine Fähigkeiten.

Von euch wäre ja nicht vielleicht jemand so nett und könnte das probieren zum anpassen? Sofern dies überhaupt möglich ist.

Jan W. Danke für den Hinweis mit dem DNS Server. Kam allerdings 3Std zu spät.

Hab grad meine ganze Netzwerkstruktur geändert.

Dafür kenn ich mich jetzt mit DNS Adressen, usw. wieder ein bisschen besser aus