VPN on-demand mit iOS - ich versteh's nicht ganz

Habe einen Fehler in Deiner entdeckt. Du hast hinter Deiner Domain einen Slash angegeben. Der muss weg

Vielen Dank, genau das war es. Oh man ich habe die config gefühlte 100 mal durchgesehen und habe das nicht gesehen.

Bitte gerne, weißt Du jetzt, warum wir drauf bestehen die Config zu sehen? ;-)

ja, leider weiß ich es jetzt.

Für den Fall das ich noch weitere Geräte einbinden will, muss ich dann für jedes Gerät einen User anlegen?

Können sich auch 2 User zeitgleich anmelden?

Für jeden einen User. Die Fritzbox reserviert für jeden User eine IP direkt nach dem DHCP Bereich. Daraus ergibt sich dann auch direkt, dass es nicht möglich ist, dass sich ein User mehrfach anmelden kann.

Hallo,

eine Frage: ich habe VPN über iOS als "Demand" - Service eingerichtet. D. h. beim Öffnen der Loxone-App öffnet das iPhone automatisch den VPN.

Allerdings geht dies nur dann, wenn man den Miniserver als <Name>.fritz.box am iPhone einrichtet. Als IP geht das nicht (mehr). Bis hier ja kein Problem...


aber: Leider ändert sich das nach jedem Neustart des Miniservers automatisch und alle iOS-Geräte greifen wieder über die IP-Adresse des Miniservers auf die Visualisierung zu. D. h.: nach jeder Programmierung 4 iOS-Geräte wieder einrichten.

Gibt es da einen Trick?!?

Selbst eine Umstellung in der Config (Eigenschaften des Miniservers) auf "intern erreichbar unter" <Name>.fritz.box ändert dies leider nicht.

VG und Danke für die Tipps!

In der Konfiguration bei interner Adresse den Namen angeben und nicht die IP. Das was dort steht wird nach dem Connect übernommen.

Komisch, ich habe sowas nie.
Man muss das schon richtig einrichten.
Also noch einmal!!!
interne Adresse: IP
externe Adresse: ms.fritz.box

Diese Einstellungen holt sich die App beim Neuverbinden oder nach Änderung der Programmierung. Wenn dort alles richtig eigetragen ist, braucht man nichts mehr machen

bei mir stellt es die ms.fritz.box immer wieder automatisch auf die externe von dns.loxonecloud.com um.

gibt es dafür irgendeine Lösung?

Das probiere ich dann gleich mal. Danke für Info :-)

Hi,

auch auf die gefahr des Doppelpost, denke ich das die Frage hier besser aufgehoben ist. Ich versuche vergebens den VOP mittels dem Template zu erstellen. Die VPN Daten direkt am iPhone eingegeben funktionieren. Ich habe auch versucht mittels Konfigurationsprogramm die VPN Einstellungen zu erstellen, jedoch öffnet dann das iPhone nur den Texteditor
Folgender Unterschied ist zu erkennen, wenn ich die VPN "manuell" VS. VOD Template am iPhone aktiviere:

Hat jemand einen heißen Tipp für micht danke.

Hi Wrack Solutionist,

der Typ sollte eigentlich IPSec sein und nicht L2TP. Damit die Datei auf dem iPhone zur Installation verwendet werden kann, muss sie die Endung .mobileconfig haben. Den Unterschied kann ich in dem Screenshot nicht sehen, nur das der Typ anders ist, als im Template. Welches Template hattest Du verwendet? Das hier:


Gruß Jan

Ich habe das aus dem Wiki genommen und zwar das für iOs 10.3 von Günter Wieser:
Link

Auch wenn die Endung *.mobileconfig ist, werden nicht die aus dem Konfigurator erstellten Dateien geöffnet.

VG Michael

Hallo Wrack Solutionist,

leider habe ich keine Kristallkugel parat, um Dir mit Deinen spärlichen Angaben wirklich helfen zu können. Hier aber ein paar Anmerkungen:

Wenn du mit "Konfigurator" den Apple Configurator (die alte Version hieß früher iPhone Konfigurationsprogramm) meinst, dann ist das richtig. Nur wenn Zertifikate für die Authentifizierung verwendet werden, dann ist lt. Apple ein "VPN on-demand" möglich. Das ist ja der eigentliche Clou, das irgend jemand mal herausgefunden hat, dass ein VPN on-Demand auch mit einfachen Preshared-Keys funktioniert. Dafür muss die .mobileconfig Datei manuell mit einem x-beliebigen Editor mit der richtigen Syntax erstellt werden. Alternativ kann man natürlich auch eine PKI Infrastruktur zu Hause aufbauen z.B. mit XCA auch kein Hexenwerk, aber schon deutlich aufwändiger, als mit pre-shared keys. Dann kann man auch direkt die mit dem Apple Configurator erstellten Profile mit Zertifikaten direkt verwenden.

Wie im vorherigen Post von mir schon angemerkt, verwendet diese Version statt reinem IPSec das Protokoll L2TP (das ist ein Layer 2 Tunnel, der über PPP authentifiziert wird und IPSec nur für den verschlüsselten Transport verwendet). Wenn ich die Config mit meiner vergleiche, dann gibt es erhebliche Abweichungen, insbesondere habe ich gar keinen Block für "PPP", aber dafür Einstellungen für IPSec (u.a. XauthName). Wenn das zentrale Gateway passend konfiguriert ist, dann funktioniert die Config wahrscheinlich bestens, allerdings finde ich ich keine Beschreibung der Einrichtung für die zentrale Seite in dem Post. Wenn Du unbedingt L2TP verwenden möchtest oder IPSec bei Deinem Internet-Router nicht geht, dann frag am Besten jemand, der diese Variante verwendet oder suche gezielt nach Anleitungen dafür.

Ein weiterer Kritikpunkt: Leider besteht diese Version nur aus dem Beispiel und es geht nicht klar hervor, welche Werte man für das eigene VPN ändern muss. Vielleicht war ihm auch gar nicht klar, dass man bei <key>SSIDMatch</key><array><string>GW Home</string> die eigene SSID (den eigenen WLAN-Namen) für "GW Home" (Case-sensitiv!) eintragen muss, damit das VPN zu Hause sofort wieder abgebaut wird. Ich finde es nicht so einfach, in der Config alle variablen Anteile zu finden und dann zu wissen, was man genau eintragen muss, da kaum Kommentare verwendet wurden und die variablen Anteile nicht durch spezielle Zeichen gekennzeichnet sind.

Ich hatte mal hier im Forum eine Step-by-Step Beschreibung für die Fritzbox erstellt und eine Vorlage für die .mobileconfig mit Erklärungen hier erstellt. In der Loxwiki gibt es auch eine .mobileconfig mit OnDemandRules, die für die variablen Werte [[...]] verwendet. Die ist sehr ähnlich zu der damals von mir erstellten Datei.