iPhone / iPad VPN on Demand mit Lancom VPN Router Teil 4

VPN on Demand Übersicht

Teil 1: Konfiguration des Lancom mit dem LANconfig Setup Assistenten

Teil 2: Anpassung des VPN Profils an iOS

Teil 3: Einrichtung der mobileConfig mit dem iPhone Konfigurationsprogramm

*** UPDATE iOS8 VPN on Demand ***

Sollte das Profil bereits unter iOS7 auf das Gerät provisionert worden sein, so muss nach dem Update auf iOS8 das Profil gelöscht und neu auf dem Gerät installiert werden!

*** UPDATE iOS8 VPN on Demand ***

Die in Teil 3 erstellte mobileConfig Datei muss jetzt auf das iPhone / iPad übertragen werden. Dazu lässt sich diese z.B. auf einem geschützten (internen) Webserver ablegen oder per Mail auf das Gerät übertragen (Nach der Übertragung die (E-Mail mit der) mobileConfig am besten wieder löschen und an einem sicheren Ort aufbewahren.

mobileConfig auf Gerät übertragen
mobileConfig auf Gerät übertragen

Ich habe mir in diesem Fall die mobileConfig einfach per Mail auf mein iPhone gesendet und installiert. Durch einfaches antippen des Anhangs wird dieser geöffnet und die Konfigration des Profils auf dem iPad / iPhone kann gestartet werden.

Installieren antippen
Installieren antippen

Auf „Installieren“ tippen.

Profil Installieren
Profil Installieren

Hier befinden sich jetzt die Bemerkungen und Hinweise die im iPhone Konfigurationstool im Abschnitt „Allgemein“ eingegeben wurden.

Sperrcode eingeben
Sperrcode eingeben

Den Sperrcode des Gerätes eingeben, damit das Profil installiert werden kann. Sollte das Gerät nicht mit einem Sperrcode versehen sein, wird dieser Schritt übersprungen.

Neue VPN Verbindung
Neue VPN Verbindung

Wechselt man jetzt im Menü des iPhones zu den VPN Verbindungen sieht man die soeben eingerichtete Verbindung.

Erweiterte VPN on Demand Optionen
Erweiterte VPN on Demand Optionen

In den weiteren Informationen der Verbindung sieht man jetzt nur den Schalter „Bei bedarf verbinden“. Ist dieser aktiviert baut das Device bei jeder Anfrage zu einer on Demand Domain den VPN Tunnel auf. Durch deaktivieren dieser Option wird VPN on Demand deaktiviert.

VPN testen
VPN testen

Im VPN Hauptmenü des Gerätes kann jetzt durch umlegen des VPN Schalter die Verbindung getestet werden.

VPN on Demand Test
VPN on Demand Test

Der eigentliche Test des VPN on Demand erfolgt aber in der Safari App. Hier starte ich einfach die Web Konfiguration meines Lancom Routers (https://router.intern). Sobald ich die Seite öffne, triggert das Gerät den Aufbau der VPN Verbindung und nach wenigen Sekunden ist der Tunnel und somit auch die Konfiguration des Routers verfügbar.

Beteilige dich an der Unterhaltung

13 Kommentare

  1. Hallo,
    Habe diese tolle Anleitung mehrmals versucht aber immer wieder kommt „Serverzertifikat konnte nicht überprüft werden“ und es kommt keine Verbindung zu stande.
    iOS 8.3, kein Jailbreak.

    Ideen was hier die Ursache sein könnte?
    Danke!
    Kosta

    1. Hi,
      nutzt du die Zertifikate die Lancom zum Download bereitstellt oder eigene? Ich habe das letztens auch nochmal mit den Lancom Zertifikaten probiert und hatte Probleme. Habe dann eine Windows PKI aufgesetzt und es mit Zertifikaten der Windows PKI umgesetzt. Klappte auf anhieb.

      Gruß
      Jan

  2. Hallo Jan,

    Ich habe versucht sowohl mit den von Lancom bereitgestellten Zertifikaten, wie per deiner Anleitung aber auch mit selbst erstellen Zertifikaten mit dem Tool „xca“ (Lancom Anleitung). Beides no-go.
    Was meinst du genau mit „Windows PKI aufgesetzt“?
    Kannst du mir eventuell hierzu eine schnelle txt Anleitung geben? (Ich bin in der Sache IPSEC VPN ganz neu)

    Gruß
    Kosta

  3. Hi,

    Also für die Erstellung der Zertifikate benötige ich ein Server OS…
    Habe leider kein LCOS 9.1, da mein Lancom ein 1751 ist.

    Root Zertifikate, gute Frage. Auf dem Lancom lies sich nur der „p12“ einspielen, der Root-Zertifikat lies sich nicht einspielen.

    Es war mir auch unklar was ich via xca erstellen muss. Ob ich zwei Client Zertifikate erstellen muss, oder einen anderen für den Router oder so…

    Die Fehlermeldung war aber immer die selbe, auch mit den von Lancom bereitgestellten Filiale/Zentrale Zertifikaten.

    1. Hi,
      ja, die Windows PKI läuft nur auf Server OS. Die LCOS 9.1 ist auch momentan noch RC! Produktiv würde ich die noch nicht nutzen. Das XCA von Lancom habe ich auch nicht richtig verstanden, bzw. habe halt direkt eine eigene PKI aufgesetzt.
      Ich sehe grade, dass für den 1751 die neuste Firmware 8.84 RU8 ist. Nicht das es die Probleme daher kommen.

      Gruß
      Jan

  4. Hi,
    Meinerseits gemeint: für den 1751 wird kein LCOS 9.x geben. Updates eingestellt. Blöd…
    Genau, diese habe ich auch.

    Aber VPN ist derzeit das einzige was mich vermutlich dazu zwingen wird, vom iPhone zu wechseln. Ich benutze VPN sehr stark, und dass die VPN mit Synology Apps nicht online bleibt ist sehr dämlich. Trennt sich i.d.R. jede 10 Minuten oder so. Im Auto mehr aus blöd…

    Ich kann PKI dann in der Firma drauftun, dort haben wir 2008R2. Werde mal bei Gelegenheit versuchen…

    1. Hi,
      evtl. kannst du mal den KB von Lancom testen: https://www2.lancom.de/kb.nsf/1275/2E732E65BFD788E6C1257D8F0033F9ED?OpenDocument
      Wenn du mit dem Advanced VPN Client ein VPN über Zertifikate aufgebaut bekommst, kannst du schonmal sicher sein, dass die Zertifikate passen.

      Btw. bei welchem Mobilfunk Provider bist du? Ich hatte einen Kunden, der Vodafone nutzte und dort war kein Verbindungsaufbau mit zertifikatsbasierten VPN möglich. IPSec mit PSK war hingegen kein Problem.

  5. Hi,
    Habe leider keinen Advanced VPN Client gekauft, ich könnte die 30Tage Testversion versuchen. Wobei hier gehe ich davon aus, dass es funktionieren wird.

    T-Mobile. PSK ist genau womit ich jetzt drauf bin, dafür geht aber kein On Demand, was auch ziemlich doof ist…

  6. Hi,

    Ist dir eventuell aufgefallen dass IPSEC Tunnel unstabiler als zB. PPTP ist?
    Mir fällt sehr stark auf, insbesondere im Auto, dass die Verbindung wesentlich öfters als beim PPTP reißt. Ich gehe stark von einer Netzschwankung zwischen 3G und EDGE. Ich weiß dass dort, wo früher via PPTP definitiv keine Brüche waren, sind jetzt welche vorhanden.

    Ich verstehe es einfach nicht, warum Hersteller wie Lumia zB. ein Reconnect haben, und iPhone schafft es nicht…

    1. Hi,

      generell ist PPTP eher das anfälligere Protokoll und es gilt ja nun schon länger als unsicher (http://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.html). Evtl. bricht deine Verbindung einfach nur aufgrund der Dead Peer Detection ab und beim PPTP hattest du kein Client Timeout?
      Das es keine Apps bzw. keinen Reconnect gibt, liegt vermutlich daran, dass Apple sehr restriktiv mit den App Entwicklern umgeht. Es ist wohl auch ein IPSec Client von NCP in Planung, der Release wird aber auch immer nur nach hinten verschoben. Begründet wurde dies ebenfalls mal damit, dass Apple sehr restriktiv sei.

      Gruß
      Jan

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.