VPN on-demand mit iOS - ich versteh's nicht ganz

**svethi** · 16.05.2017, 10:09

Jan, er verwendet das VPN über den Loxberry, wenn ich mich recht entsinne wird da L2TP verwendet und keine XAuth. Mit dem Konfigurationsprogramm ist schon klar, ich habe mir immer die VPN Konfig darüber erstellt und schonmal getestet ob das VPN überhaupt funktioniert. Dann habe ich mir das VPN-on-Demand selbst in die Konfig eingebaut. Daher kommt sicher sein Versuch.
Da ich aber kein VPN auf dem Wege habe, konnte icv ihm auch nicht sagen wie die VPN Konfig für seinen Fall aussieht. Das sie falsch ist, ist schonmal klar

**wrack solutionist** · 16.05.2017, 10:56

Hi Jan,
kurz zum Hintergrund: der VPN Server läuft auf der Loxberry, nach der im LoxWiki beschriebenen Anweisung. Der Router ist ein Speedport LTE II. Die Ports sind entsprechend freigeschalten.
ich habe jetzt, dass von dir verlinkte Template genommen und bekomme die Fehlermeldung, dass der VPN Server nicht antwortet.
Welche Infos benötigst du damit du mir gezielt helfen kannst?

Vielen Dank Michael

**Jan W.** · 17.05.2017, 00:07

Mit den Erklärungen von Svethi und Dir ist nun klar, dass eine L2TP Verbindung schon richtig ist und nicht IPSec. Ebenso wie Svethi verwende ich eine Fritzbox mit einem IPSec VPN und kann Dir hier leider nicht helfen.

Vielleicht kann Dir ja Günter Wieser weiterhelfen. Zumindest bei den Parametern, die in beiden Varianten gleich sind, kannst Du überprüfen, ob Du in Deiner Config nur an den "richtigen" Stellen die Werte geändert hast.

**svethi** · 18.05.2017, 21:27

So, ich habe mal ein Template für das LoxBerry VPN erstellt.
Die Werte, die in 3 Rauten eingeschlossen sind, müssen angepasst werden.
Da der PSK in meiner Datei verschlüsselt stand, habe ich ihn ganz rausgenommen. Bei der Installation der Config wird man daher nach dem PSK gefragt.

Die Datei enthält Unix Zeileendemarkierungen und sollten auch so bleiben. Das Suffix .txt muss natürlich entfernt werden.

Angehängte Dateien

VPN-on-Demand.mobileconfig.txt (2,8 KB, 1 Hit)

**wrack solutionist** · 19.05.2017, 15:53

Hallo svethi,

vielen vielen Dank, es hat geklappt, VOD funktioniert.

. Man war ich an der Frustgrenze. Das Template von dir sollte man ins Wiki stellen.
Eine Frage funktionieren die Benachrichtigung bei VOD, da ja hier der MS eine Mitteilung an die Clienten senden möchte
.
Jetzt wird ja nur ein VPN aufgebaut, wenn der Client "nach Hause telefonieren "möchte.

**svethi** · 19.05.2017, 15:56

Wie bereits schon mehrfach erwähnt werden die Pushnachrichten immer über die Appleserver verschickt und haben daher nichts mit VPN-on-Demand zu tun. So lange der MiniServer ans Internet kommt, geht das auch.

**wrack solutionist** · 19.05.2017, 15:57

Ok jetzt habe ich es verstanden, wie hier die Kommunikation läuft.

**neonnt** · 21.05.2017, 15:26

Hat noch jemand folgendes Problem:

Mobileconfig:
- mehrere SSIDs für WLAN ,wo die VPN Verbindung getrennt bzw. nicht hergestellt werden soll
- mehrere Domain Einträge (fritz.box, xxx.fritz.box, local.net, xxx.local.net)
- Loxone als ms.fritz.box im LAN

Loxone App öffnen
- UMTS oder LTE: VPN wird aufgebaut
- nicht in der Config enthaltenes WLAN: VPN wird aufgebaut
- UMTS oder LTE ist aktiv, man schaltet WLAN an und ist Zuhause: VPN wird getrennt

und jetzt das Problem:
man ist im eigenen WLAN, das ist in der Config eingetragen und ein VPN sollte nicht aufgebaut werden: VPN wird trotzdem aufgebaut !?????

**tholle** · 22.05.2017, 07:10

Ohne deine Config wird das zum Kristallkugellesen.

Diese Passage hast du aber drin, oder?

Code:

                <!-- Turn off VPN if on our WiFi network -->
                <dict>
                    <key>InterfaceTypeMatch</key>
                        <string>WiFi</string>
                    <key>SSIDMatch</key>
                        <array>
                            <string>###YOUR_SSID###</string>
                        </array>
                    <key>Action</key>
                    <string>Disconnect</string>
                </dict>

Gruss,
tholle

**svethi** · 22.05.2017, 09:45

Da steht ja auch, dass das VPN bei Wifi aufgebaut werden soll

**Jan W.** · 22.05.2017, 09:48

Bin mir nicht ganz sicher, aber ich glaube die Reihenfolge der Blöcke ist relevant. Bei mir ist der <dict> Block mit SSIDMatch vor dem "Domains" Block. Einen zweiten Block mit InterfaceTypeMatch "WiFi" habe ich nicht und in fremden WLANs wird trotzdem das VPN aufgebaut. Dafür reicht der "ConnectIfNeeded" wohl aus.

Gruß Jan

**neonnt** · 22.05.2017, 10:03

svethi ja, aber eigentlich nur wenn die SSID nicht matcht, was z.B. bei Wifi5 problemlos funktioniert (das WLAN ist schon per VPN verbunden, deshalb benötige ich dort keinen Tunnel), sobald ich aber im eigenen WLAN bin wird das VPN aufgebaut.

Jan W. Ich schaue mir nochmal die Reihenfolge an.

EDIT: Die Reihenfolge war schuld. Ich habe den SSID Block vor den Domains Block gesetzt und nun läuft es wie es soll. :-)

**kofi1990** · 31.05.2017, 12:45

Hi, ich hab Probleme bei diesem Thema, bzw. bin nicht sicher ob VPNonDemand auch bei Unifi funktioniert

* VPN hab ich auf meinem Unifi USG eingerichtet.
* Die Verbindung funktioniert, zugriff über 192.168.1.2 auf meinem Miniserver von auswärts funktioniert auch.

Jetzt bin ich dabei die mobileconfig zu editieren und scheitere an folgenden Punkten:

Hostname: Kann es sein, dass mein Miniserver keinen Hostname hat? Ich hab per FTP in der Config Datei nachgesehen: Da steht nur <hostname></hostname>. Wie füge ich selbigen hinzu?
Domain: in meinem LAN-Netzwerk steht bei Domainname "localdomain". Wäre dann der interne DNS Name: "hostname".localdomain?
FQDN: brauch ich hier einen DynDNS Anbieter oder reicht meine WAN IP (statisch)?
VPN Gruppennamen: Bei der Fritzbox ist es ja gleich dem VPN Benutzernamen. Ist das bei Unifi genauso?

Mit der Bitte um Hilfe,
lg
Daniel

**orli** · 31.05.2017, 13:13

Das Unifi - Endbenutzer VPN geht aktuell über das PPTP Protokoll (unsicher!). Du solltest daher nach Möglichkeit vorher auf openvpn wechseln und danach das Thema on Demand angehen. Schau mal hier:

https://community.ubnt.com/t5/UniFi-Routing-Switching/USG-Remote-User-VPN-PPTP/td-p/1231695

Zu deinen Fragen:

Was du vor hast, geht nicht. Du willst ein IPSEC Profil auswählen, diesen VPN Typ stellt dir das USG aber nicht zur Verfügung (nur für Site to Site Verbindungen). Du kannst versuchen, den VPN Typ auf PPTP umzustellen, dass sollte zu deinen Einstellungen im USG passen. Sicherer wäre aber vorher OpenVPN auf der USG zu aktivieren --> im Apple Configurator für openVPN "eigenes SSL" auswählen.

**kofi1990** · 31.05.2017, 13:20

Wie gesagt, ich bin nicht wirklich ein Netzwerkspezialist, aber ich denk mit 5.5.11 funktioniert L2TP.
Zumindest hab ichs so eingerichtet

VPN on-demand mit iOS - ich versteh's nicht ganz

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar