– Jan's Cloud – online Gedankenstütze ;)

18. August 2014

iPhone / iPad VPN on Demand mit Lancom VPN Router Teil 4

Filed under: Lancom — Schlagwörter: , , , , , , — Jan Mischo @ 20:37

VPN on Demand Übersicht

Teil 1: Konfiguration des Lancom mit dem LANconfig Setup Assistenten

Teil 2: Anpassung des VPN Profils an iOS

Teil 3: Einrichtung der mobileConfig mit dem iPhone Konfigurationsprogramm

*** UPDATE iOS8 VPN on Demand ***

Sollte das Profil bereits unter iOS7 auf das Gerät provisionert worden sein, so muss nach dem Update auf iOS8 das Profil gelöscht und neu auf dem Gerät installiert werden!

*** UPDATE iOS8 VPN on Demand ***

Die in Teil 3 erstellte mobileConfig Datei muss jetzt auf das iPhone / iPad übertragen werden. Dazu lässt sich diese z.B. auf einem geschützten (internen) Webserver ablegen oder per Mail auf das Gerät übertragen (Nach der Übertragung die (E-Mail mit der) mobileConfig am besten wieder löschen und an einem sicheren Ort aufbewahren.

 

mobileConfig auf Gerät übertragen

mobileConfig auf Gerät übertragen

 

 

Ich habe mir in diesem Fall die mobileConfig einfach per Mail auf mein iPhone gesendet und installiert. Durch einfaches antippen des Anhangs wird dieser geöffnet und die Konfigration des Profils auf dem iPad / iPhone kann gestartet werden.

 

 

 

 

 

 

Installieren antippen

Installieren antippen

 

 

Auf „Installieren“ tippen.

 

 

 

 

 

 

Profil Installieren

Profil Installieren

 

 

 

Hier befinden sich jetzt die Bemerkungen und Hinweise die im iPhone Konfigurationstool im Abschnitt „Allgemein“ eingegeben wurden.

 

 

 

 

 

Sperrcode eingeben

Sperrcode eingeben

 

 

Den Sperrcode des Gerätes eingeben, damit das Profil installiert werden kann. Sollte das Gerät nicht mit einem Sperrcode versehen sein, wird dieser Schritt übersprungen.

 

 

 

 

 

 

Neue VPN Verbindung

Neue VPN Verbindung

 

 

Wechselt man jetzt im Menü des iPhones zu den VPN Verbindungen sieht man die soeben eingerichtete Verbindung.

 

 

 

 

 

 

Erweiterte VPN on Demand Optionen

Erweiterte VPN on Demand Optionen

 

 

In den weiteren Informationen der Verbindung sieht man jetzt nur den Schalter „Bei bedarf verbinden“. Ist dieser aktiviert baut das Device bei jeder Anfrage zu einer on Demand Domain den VPN Tunnel auf. Durch deaktivieren dieser Option wird VPN on Demand deaktiviert.

 

 

 

 

 

 

VPN testen

VPN testen

 

 

Im VPN Hauptmenü des Gerätes kann jetzt durch umlegen des VPN Schalter die Verbindung getestet werden.

 

 

 

 

 

 

VPN on Demand Test

VPN on Demand Test

 

Der eigentliche Test des VPN on Demand erfolgt aber in der Safari App. Hier starte ich einfach die Web Konfiguration meines Lancom Routers (https://router.intern). Sobald ich die Seite öffne, triggert das Gerät den Aufbau der VPN Verbindung und nach wenigen Sekunden ist der Tunnel und somit auch die Konfiguration des Routers verfügbar.

11 Comments »

  1. Hallo,
    Habe diese tolle Anleitung mehrmals versucht aber immer wieder kommt „Serverzertifikat konnte nicht überprüft werden“ und es kommt keine Verbindung zu stande.
    iOS 8.3, kein Jailbreak.

    Ideen was hier die Ursache sein könnte?
    Danke!
    Kosta

    Kommentar by Kosta — 19. Mai 2015 @ 21:52

  2. Hi,
    nutzt du die Zertifikate die Lancom zum Download bereitstellt oder eigene? Ich habe das letztens auch nochmal mit den Lancom Zertifikaten probiert und hatte Probleme. Habe dann eine Windows PKI aufgesetzt und es mit Zertifikaten der Windows PKI umgesetzt. Klappte auf anhieb.

    Gruß
    Jan

    Kommentar by Jan Mischo — 19. Mai 2015 @ 22:10

  3. Hallo Jan,

    Ich habe versucht sowohl mit den von Lancom bereitgestellten Zertifikaten, wie per deiner Anleitung aber auch mit selbst erstellen Zertifikaten mit dem Tool „xca“ (Lancom Anleitung). Beides no-go.
    Was meinst du genau mit „Windows PKI aufgesetzt“?
    Kannst du mir eventuell hierzu eine schnelle txt Anleitung geben? (Ich bin in der Sache IPSEC VPN ganz neu)

    Gruß
    Kosta

    Kommentar by Kosta — 20. Mai 2015 @ 17:06

  4. Hi,
    damit meine ich eine Zertifizierungsstelle unter Windows: https://technet.microsoft.com/en-us/library/cc772393%28v=ws.10%29.aspx
    Das ganze könnte mit der LCOS 9.1 vermutlich noch etwas simpler werden, da der Lancom dann selber Zertifikate ausstellen kann.

    Die Root Zertifikate hast du aber in deinen Fällen sowohl auf dem Router als auch auf dem iPhone installiert? Also die Zertifikatskette ist gültig?

    Kommentar by Jan Mischo — 20. Mai 2015 @ 20:48

  5. Hi,

    Also für die Erstellung der Zertifikate benötige ich ein Server OS…
    Habe leider kein LCOS 9.1, da mein Lancom ein 1751 ist.

    Root Zertifikate, gute Frage. Auf dem Lancom lies sich nur der „p12“ einspielen, der Root-Zertifikat lies sich nicht einspielen.

    Es war mir auch unklar was ich via xca erstellen muss. Ob ich zwei Client Zertifikate erstellen muss, oder einen anderen für den Router oder so…

    Die Fehlermeldung war aber immer die selbe, auch mit den von Lancom bereitgestellten Filiale/Zentrale Zertifikaten.

    Kommentar by Kosta — 20. Mai 2015 @ 23:15

  6. Hi,
    ja, die Windows PKI läuft nur auf Server OS. Die LCOS 9.1 ist auch momentan noch RC! Produktiv würde ich die noch nicht nutzen. Das XCA von Lancom habe ich auch nicht richtig verstanden, bzw. habe halt direkt eine eigene PKI aufgesetzt.
    Ich sehe grade, dass für den 1751 die neuste Firmware 8.84 RU8 ist. Nicht das es die Probleme daher kommen.

    Gruß
    Jan

    Kommentar by Jan Mischo — 21. Mai 2015 @ 22:21

  7. Hi,
    Meinerseits gemeint: für den 1751 wird kein LCOS 9.x geben. Updates eingestellt. Blöd…
    Genau, diese habe ich auch.

    Aber VPN ist derzeit das einzige was mich vermutlich dazu zwingen wird, vom iPhone zu wechseln. Ich benutze VPN sehr stark, und dass die VPN mit Synology Apps nicht online bleibt ist sehr dämlich. Trennt sich i.d.R. jede 10 Minuten oder so. Im Auto mehr aus blöd…

    Ich kann PKI dann in der Firma drauftun, dort haben wir 2008R2. Werde mal bei Gelegenheit versuchen…

    Kommentar by Kosta — 21. Mai 2015 @ 22:27

  8. Hi,
    evtl. kannst du mal den KB von Lancom testen: https://www2.lancom.de/kb.nsf/1275/2E732E65BFD788E6C1257D8F0033F9ED?OpenDocument
    Wenn du mit dem Advanced VPN Client ein VPN über Zertifikate aufgebaut bekommst, kannst du schonmal sicher sein, dass die Zertifikate passen.

    Btw. bei welchem Mobilfunk Provider bist du? Ich hatte einen Kunden, der Vodafone nutzte und dort war kein Verbindungsaufbau mit zertifikatsbasierten VPN möglich. IPSec mit PSK war hingegen kein Problem.

    Kommentar by Jan Mischo — 21. Mai 2015 @ 22:34

  9. Hi,
    Habe leider keinen Advanced VPN Client gekauft, ich könnte die 30Tage Testversion versuchen. Wobei hier gehe ich davon aus, dass es funktionieren wird.

    T-Mobile. PSK ist genau womit ich jetzt drauf bin, dafür geht aber kein On Demand, was auch ziemlich doof ist…

    Kommentar by Kosta — 21. Mai 2015 @ 22:49

  10. Hi,

    Ist dir eventuell aufgefallen dass IPSEC Tunnel unstabiler als zB. PPTP ist?
    Mir fällt sehr stark auf, insbesondere im Auto, dass die Verbindung wesentlich öfters als beim PPTP reißt. Ich gehe stark von einer Netzschwankung zwischen 3G und EDGE. Ich weiß dass dort, wo früher via PPTP definitiv keine Brüche waren, sind jetzt welche vorhanden.

    Ich verstehe es einfach nicht, warum Hersteller wie Lumia zB. ein Reconnect haben, und iPhone schafft es nicht…

    Kommentar by Kosta — 24. Mai 2015 @ 07:32

  11. Hi,

    generell ist PPTP eher das anfälligere Protokoll und es gilt ja nun schon länger als unsicher (http://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.html). Evtl. bricht deine Verbindung einfach nur aufgrund der Dead Peer Detection ab und beim PPTP hattest du kein Client Timeout?
    Das es keine Apps bzw. keinen Reconnect gibt, liegt vermutlich daran, dass Apple sehr restriktiv mit den App Entwicklern umgeht. Es ist wohl auch ein IPSec Client von NCP in Planung, der Release wird aber auch immer nur nach hinten verschoben. Begründet wurde dies ebenfalls mal damit, dass Apple sehr restriktiv sei.

    Gruß
    Jan

    Kommentar by Jan Mischo — 24. Mai 2015 @ 11:58

RSS feed for comments on this post. TrackBack URL

Leave a comment

Powered by WordPress