iPhone / iPad VPN on Demand mit Lancom VPN Router Teil 3

English English Deutsch Deutsch

VPN on Demand Übersicht

Teil 1: Konfiguration des Lancom mit dem LANconfig Setup Assistenten

Teil 2: Anpassung des VPN Profils an iOS

Im ersten Schritt muss das iPhone Konfigurationsprogramm heruntergeladen und installiert werden.

Zertifikat(e) am PC mit dem iPhone Konfigurationsprogramm installieren.

  • Über „Start“ -> „Ausführen“ -> „certmgr.msc“ die Zertifikatsverwaltung öffnen
  • „Eigene Zertifikate“ -> „Zertifikate“ -> rechte Maustaste -> „Alle Aufgaben“ -> „Importieren…“
  • „Weiter“ -> Zertifikat „iPhone.pfx“ wählen -> „Weiter“ -> Passwort (im Fall das die Zertifikate aus dem Lancom KB Artikel stammen) „test“ eingeben -> „Privaten Schlüssel als exportierbar markieren“ sowie „Alle erweiterten Eigenschaften einbeziehen“ anhaken -> „Weiter“ -> „Weiter“ -> „Fertigstellen“
  • Das Root Zertifikat „test“ auf „Vertrauenswürdige Stammzertifizierungsstellen“ ziehen und mit „Ja“ bestätigen
iOS Konfigurationsprofil erstellen
iOS Konfigurationsprofil erstellen

Zur Konfiguration eines neuen Profils für ein iPhone / iPad das iPhone Konfigurationsprogramm starten und Konfigurationsprofile wählen sowie auf das „Neu-Ribbon“ klicken.

Allgemeine Einstellungen
Allgemeine Einstellungen

Unter dem Punkt „Allgemein“ wird die Grundkonfiguration des Profils festgelegt.

  • Name (Anzeigename des Profils): „IPHONE-TEST-Profil“
  • Kennung (Eindeutige Kennung des Profils): „iphonetest.dertest.profile“
  • Organisation: „derTest“
  • Beschreibung (Eine kurze Beschreibung, was diese Profil beinhaltet): „VPN on Demand Profil“
  • Nachricht (Meldung die dem Nutzer angezeigt wird): „Durch Installation dieses Profils wird VPN on Demand auf dem Device aktiviert.“
  • Sicherheit (Entfernen des Profils erlauben): Immer (jeder darf das Profil entfernen) / Mit Authentifizierung (Passwort muss zum Entfernen eingegeben werden) / Nie (Nur ein Zurücksetzen des Gerätes entfernt das Profil)
  • Profil automatisch entfernen (Automatisches Entfernen des Profils): Nie (Profil bleibt bis zur manuellen Löschung auf dem Device) /  Am (Profil wird zum angegebenen Datum entfernt) / Nach Interval (Profil bleibt X Tage auf dem Gerät bevor es entfernt wird)
Root Zertifikat "Der-Test-RootCA" importieren
Root Zertifikat „Der-Test-RootCA“ importieren

Den Punkt „Zertifikate“ wählen und das Root Zertifikat sowie das zwischen Zertifikat importieren. Auf „Konfigurieren“ klicken und in diesem Fall das zwischen Zertifikat markieren und hinzufügen.

iPhone Zertifikat einbinden
iPhone Zertifikat einbinden

Auf „+“ klicken und das iPhone Zertifikat „iPhone“ auswählen und durch einen Klicke auf „Ok“ hinzufügen.

Kennwort für private Key vergeben
Kennwort für private Key vergeben

Privaten Schlüssel des Zertifikats durch Passwort (hier: „k3Y-5ecret!“) schützen, damit das Zertifikat samt Schlüssel im nächsten Schritt auf dem iPhone / iPad installiert werden kann.

Import Passwort für private Key eingeben
Import Passwort für private Key eingeben

Wird das Passwort (hier: „k3Y-5ecret!“) zum Import des Zertifikates an dieser Stelle hinterlegt, installiert sich das Profil auf dem Device selbstständig. Ohne Passwort muss der User während der Installation von Hand eingeben.

VPN Payload konfigurieren
VPN Payload konfigurieren

Als nächstes wird das VPN on Demand Profil zur Konfiguration hinzugefügt. Dazu einfach „VPN“ wählen und „Konfigurieren“ an klicken.

Konfiguration der VPN Payload
Konfiguration der VPN Payload

VPN mit folgenden Parametern einrichten

  • Verbindungsname (Anzeigename auf dem Gerät): „derTest VPN“
  • Verbindungstyp: „IPSec Cisco“
  • Server (öffentliche IP/FQDN des Routers): „<IP_oder_FQDN_des_Routers>“
  • Account (Gegenstelle auf Lancom Router): „IPHONE-TEST“
  • Kennwort (Passwort aus PPP-Liste am Lancom Router): „iPhone-t0p-s3cret!“
  • Geräteauthentifizerung: „Zertifikat“
  • Identitätszertifikat: „iPhone“
  • VPN on Demand: aktivieren
    Domänen: <Domäne>.<tld> (hier: „dertest.intern“ sowie „intern“)
    Aktion: „Immer herstellen“
Profil exportieren
Profil exportieren

Generell lassen sich jetzt noch weitere Payloads konfigurieren wie z.B. eine Exchange Anbindung oder WLAN Profile. Für VPN on Demand wird allerdings nichts weiter benötigt, sodass das Profil im nächsten Schritt exportiert werden kann.

Profil signieren
Profil signieren

Als Export-Option das „Konfigurationsprofil signieren“ wählen und auf dem PC speichern.

Weiter geht es – im letzten Teil – Part IV.

iPhone / iPad VPN on Demand mit Lancom VPN Router Teil 2

English English Deutsch Deutsch

VPN on Demand Übersicht

Teil 1: Konfiguration des Lancom mit dem LANconfig Setup Assistenten

IP-Adress-Pool einrichten
IP-Adress-Pool einrichten

Die Router Konfiguration aufrufen und unter „IPv4“ -> „Adressen“ den IP-Adress-Pool bereitstellen, der zur Einwahl genutzt werden soll.

XAUTH auf Server einrichten
XAUTH auf Server einrichten

Unter „VPN“ -> „Allgemein“ -> „Verbindungsliste“ -> „IPHONE-TEST“ bearbeiten und „XAUTH“ auf „Server“ konfigurieren.

PFS ausschalten
PFS ausschalten

PFS deaktivieren, da der iPhone- / iPad-VPN-Client PFS nicht unterstützt. „VPN“ -> „Allgemein“ -> „Verbindungsparameter“ -> „IPHONE-TEST“ bearbeiten bei „PFS-Gruppe“ „kein PFS“ wählen.

PPP Parameter konfigurieren
PPP Parameter konfigurieren

„Kommunikation“ -> „Protokolle“ -> „PPP-Liste“ -> „Hinzufügen“:

  • Gegenstelle: „IPHONE-TEST“
  • Benutzername: <Leer lassen>
  • Passwort vergeben oder generieren lassen: „iPhone-t0p-s3cret!“
Konfiguration speichern
Konfiguration speichern

Durch einen Klick auf „OK“ die Konfiguration in den Router übertragen.

Weiter geht es in Part III.

iPhone / iPad VPN on Demand mit Lancom VPN Router Teil 1

English English Deutsch Deutsch

VPN on Demand Übersicht

iPad_iPhone_VPN_on_Demand_000002
iPad_iPhone_VPN_on_Demand_000002

Als erstes die Zertifikate vom Lancom Artikel herunterladen und umbenennen oder gleich besser Zertifikate der eigenen PKI ausstellen und nutzen. Zentrale.pfx in Router.pfx sowie Filliale.pfx in iPhone.pfx.

iPad_iPhone_VPN_on_Demand_000003
iPad_iPhone_VPN_on_Demand_000003

Danach kann das Router Zertifikat über LANconfig in den Router importiert werden. Als Ziel für den Import wird “VPN – Container (VPN1)” gewählt und das Passwort zum Import lautet “test” (ohne Anführungszeichen).

iPad_iPhone_VPN_on_Demand_000004
iPad_iPhone_VPN_on_Demand_000004

Im nächsten Schritt wird dann im LANconfig der Setup-Assistent (Router markieren und STRG + W drücken) gestartet.

Einwahl-Zugang bereitstellen (RAS, VPN)
Einwahl-Zugang bereitstellen (RAS, VPN)

Zur Einrichtung des VPN Partner den Punkt “Einwahl-Zugang bereitstellen (RAS, VPN)” wählen.

iPad_iPhone_VPN_on_Demand_000006
iPad_iPhone_VPN_on_Demand_000006

“VPN-Verbindung über das Internet” auswählen -> Weiter.

iPad_iPhone_VPN_on_Demand_000007
iPad_iPhone_VPN_on_Demand_000007

“Lancom-Advanced-VPN-Client für Windows” wählen und Check-Box bei “Beschleunigen Sie das Konfigurieren mit 1-Click-VPN” deaktivieren.

iPad_iPhone_VPN_on_Demand_000008
iPad_iPhone_VPN_on_Demand_000008

“IPSec-over-HTTPS aktiviert” Check Box nicht aktivieren -> Weiter.

iPad_iPhone_VPN_on_Demand_000009
iPad_iPhone_VPN_on_Demand_000009

Namen der neuen VPN Gegenstelle, hier “IPHONE-TEST”, eingeben -> Weiter.

iPad_iPhone_VPN_on_Demand_000010
iPad_iPhone_VPN_on_Demand_000010

Öffentliche IP-Adresse oder FQDN des Routers eingeben -> Weiter.

iPad_iPhone_VPN_on_Demand_000011
iPad_iPhone_VPN_on_Demand_000011

Radio Button “Zertifikate (RSA Signature) und Main-Mode” wählen -> Weiter.

iPad_iPhone_VPN_on_Demand_000012
iPad_iPhone_VPN_on_Demand_000012

(Bei Austellung eines neuen/eigenen Zertifikates müssen hier entsprechend die Werte für Antragsteller, Organisationseinheit, Organisation sowie Land angepasst werden)

Lokale Identität: CN=Router/OU=derTest/O=VPN/C=DE
Entfernte Identität: CN=iPhone/OU=derTest/O=VPN/C=DE

Common Name der Zertifikate
iPad_iPhone_VPN_on_Demand_000014
iPad_iPhone_VPN_on_Demand_000014

Im nächsten Schritt einfach mit “Weiter” bestätigen.

iPad_iPhone_VPN_on_Demand_000015
iPad_iPhone_VPN_on_Demand_000015

Auswählen welche Netze der VPN Client später erreichen soll -> Weiter.

iPad_iPhone_VPN_on_Demand_000016
iPad_iPhone_VPN_on_Demand_000016

Einfach mit „Weiter“ bestätigen. NetBIOS wird nicht benötigt.

iPad_iPhone_VPN_on_Demand_000017
iPad_iPhone_VPN_on_Demand_000017

Da das Profil später als mobileConfig auf das Gerät übertragen wird bzw. es keinen Lancom VPN Client für iOS gibt “Profil als Lancom Advanced VPN Client Import-Datei speichern” abwählen -> Weiter.

iPad_iPhone_VPN_on_Demand_000018
iPad_iPhone_VPN_on_Demand_000018

Zu guter Letzt den Setup Assistenten durch “Fertigstellen” beenden und die Konfiguration zurück schreiben.

Weiter geht es mit Part II.