Konfiguration VPN

[xxlkobold]

Hallo zusammen,

ich bräuchte ein wenig Unterstützung. Folgendes: Über die FritzBox habe ich soweit die VPN Freigaben eingerichtet, diese werden mit dem iPad bzw. iPhone auch verbunden bzw. aufgebaut. Einrichtung bei den Mobilen Geräten über den IPSec von Cisco (keine Zusatz App / Software). Wenn ich das Mobile Gerät nun auf die Seite lege und später wieder nutze, wurde anscheinend die VPN-Verbindung getrennt. Ich muss diese jedesmal dann wieder Manuell herstellen.

Ein Mitglied hier im Forum hat mir mitgeteilt, das diese bei im dauerhaft besteht, ohne das sich diese trennt.

Was mache ich falsch? Auf den Mobilen Geräten läuft das iOS 11. Vorab danke für die Unterstützung!

 

[Matrickser]

Die VPN-Verbindung wird generell immer nach einer kurzen Zeit der Nichtnutzung getrennt - das war schon immer so bei iOS.

Ein Mitglied hier im Forum hat mir mitgeteilt, das diese bei im dauerhaft besteht, ohne das sich diese trennt.

Warum hast du nicht gleich den Forum-User gefragt, wie dieser es bewerkstelligt hat?
Man kann mit Hilfe des 'Apple Configurator' bestimmte Apps einer VPN-Verbindung zuweisen, aber selbst diese trennen nach einer bestimmten Zeit die Verbindung.

 

[noodyn]

Ein Mitglied hier im Forum hat mir mitgeteilt, das diese bei im dauerhaft besteht, ohne das sich diese trennt.

Dann nutzt er vermutlich Android oder iOS mit Jailbreak. Im normalen iOS ist es leider so, dass die Verbindung getrennt wird. Das lässt sich nicht ändern.

 

[Tuxtom007]

Dann nutzt er vermutlich Android oder iOS mit Jailbreak. Im normalen iOS ist es leider so, dass die Verbindung getrennt wird. Das lässt sich nicht ändern.

VPN on Demand währe noch eine Optionen, dann wird die VPN-Verbindung wieder hergestellt, sobald auf das entsprechende Netz zugegriffen wird.

Ich muss aber gestehen, ich habs noch nicht zum laufen bekommen.

 

[Blaubeere2]

Ich klinke mich mal in diesen Thread ein. Auch mich nervte es, dass die VPN-Verbindung meines iPhones zur heimischen Fritz!Box getrennt wurde, wenn das iPhone in den Ruhezustand ging. Anders als der TS nutze ich aber nicht das VPN-Profil der Fritz!Box, sondern ein VPN-Profil, das ich mit der Software VPN!Assistant erstellt hatte (gibt es hier: https://www.hosy.de/fritzvpn/index.php).

Ich habe bei iPhone-ticker eine Anleitung gefunden, wie man VPN-on-Demand einrichtet (https://www.iphone-ticker.de/vpn-anleitung-iphone-fritzbox-und-vpn-on-demand-97462/) und das heute mal getestet. Den dort genannten Code habe ich unter Verwendung des Texteditors BBEdit in das von VPN!Assistant erzeugte VPN-Profil an der richtigen Stelle hinein kopiert, den Namen meines WLAN's eingegeben und das derart geänderte Profil mittels Airdrop auf mein iPhone übertragen.

Zunächst klappte es nicht wie erwünscht, weil die VPN-Verbindung getrennt wird, wenn das iPhone in den Ruhestand geht. In den Kommentaren fand ich aber die Lösung. Wie User loverz dort am 15.03.2019 berichtet, muss man die Reihenfolge der Blöcke tauschen. Mit getauschten Blöcken wird die VPN-Verbindung zwar wiederum getrennt, wenn das iPhone in den Ruhestand geht, aber nach dem aufwecken wird die VPN-Verbindung nach wenigen Sekunden wieder aufgebaut. Ich werde das Verhalten mal unterwegs beobachten (derzeit teste ich das mit Hilfe eines mobilen LTE-Routers).

Ich füge den Code, wie ich ihn derzeit teste, hier mal ein für die, die es interessiert:

<!-- VPN-On-Demand Codeblock -->
                <key>OnDemandEnabled</key>
                <integer>1</integer>
                <key>OnDemandRules</key>
                <array>
                    <dict>
                        <!-- VPN im Mobilfunknetz nicht aktivieren -->
                        <key>InterfaceTypeMatch</key>
                        <string>Cellular</string>
                        <key>Action</key>
                        <string>Disconnect</string>
                    </dict>
                    <dict>
                        <!-- VPN bei ausgewählten WLAN-Netzen deaktivieren -->
                        <key>InterfaceTypeMatch</key>
                        <string>WiFi</string>
                        <key>SSIDMatch</key>
                        <array>
                            <string>Name meines Heim-Netzwerks</string>
                            <string>Name des Firmen-Netzwerks</string>
                        </array>
                        <key>Action</key>
                        <string>Disconnect</string>
                    </dict>
                    <dict>
                        <!-- VPN bei aktiver WLAN-Verbindung aktivieren -->
                        <key>InterfaceTypeMatch</key>
                        <string>WiFi</string>
                        <key>Action</key>
                        <string>Connect</string>
                    </dict>
                    <dict>
                        <!-- VPN beim Zugriff auf Heimnetz-Adressen aufbauen -->
                        <key>Action</key>
                        <string>EvaluateConnection</string>
                        <key>ActionParameters</key>
                        <array>
                            <dict>
                                <key>Domains</key>
                                <array>
                                    <string>*.local</string>
                                    <string>*.fritz.box</string>
                                    <string>fritz.box</string>
                                </array>
                                <key>DomainAction</key>
                                <string>ConnectIfNeeded</string>
                            </dict>
                        </array>
                    </dict>
                    <dict>
                        <!-- VPN Default state -->
                        <key>Action</key>
                        <string>Disconnect</string>
                    </dict>
                </array>
                <!-- VPN-On-Demand Codeblock ENDE-->

 

[Schnatterente]

Falls man ein NAS zuhause hat, kann man da auch einen OpenVPN Server laufen lassen. Mit der App auf dem Handy wird nix getrennt. Auch nach Tagen besteht noch die VPN Verbindung. Weiterer Vorteil ist der Fullspeed beim Upload.
Bei der Fritz geht mximal nur 1mbit und bei OpenVPN was die Leitung hergibt.

 

[AgentMax]

Ich habe selbst ein VPN Profil erstellt. Auch On Demand und als Regel festgelegt dass es immer an ist solange es nicht mit einer bestimmten WLAN SSID verbunden ist.
Mein VPN bleibt jetzt zB wo ich in Asien bin dauerhaft verbunden. Auch im Ruhezustand.
Das geht also ohne Probleme.

 

[Schnatterente]

wohin verbindest du dich dann? Zur heimischen Fritz?

 

[AgentMax]

Zu der Synology hinter der Fritz mit L2TP.

 

[Schnatterente]

ahh ok. Dann hast du auch vollen Upload und kannst zb. in Asien deutsches TV, von einer zb. Dreambox, streamen.
So habe ich das gemacht und ging auch ganz gut.

 

[AgentMax]

Ja. Nutze SkyGo usw ohne Probleme. Kann die vollen 50 MBit von daheim im Upload nutzen (abzgl. etwas VPN overhead natürlich).

 

[AgentMax]

Falls man ein NAS zuhause hat, kann man da auch einen OpenVPN Server laufen lassen. Mit der App auf dem Handy wird nix getrennt. Auch nach Tagen besteht noch die VPN Verbindung.

Gerade erst gesehen.
Also das hat bei mir nicht funktioniert. Ich musste es wirklich im OnDemand Profil erzwingen dass er VPN an macht wenn er meine WLAN SSID nicht erkennt.
Selbst die OpenVPN App hat im Ruhezustand getrennt und sobald der Bildschirm an ging wieder verbunden.

 

[Schnatterente]

also hier gehts, habe Open VPN Server auf meiner Qnap laufen und nutze aber auf dem iPhone die OpenVPN App.
Dort füge ich die erstellte Konfig ein und das Teil bleibt an.
Ob es auch im Ruhezustand an bleibt, weiss ich nicht, aber wenn es an ist, bin ich verbunden. Ich hatte es gemerkt, weil ich es dann nach ausgemacht habe als es tagelang lief. War ich von dem anderen VPN nicht gewöhnt.

ps: habe jetzt mal direkt in der Qnap beim OpenVPN Server nachgeschaut und da sehe ich genau, dass sich das iPhone im Ruhezustand trennt und wenn ich es an mache automatisch wieder verbindet.

 

[Blaubeere2]

Ich musste es wirklich im OnDemand Profil erzwingen dass er VPN an macht wenn er meine WLAN SSID nicht erkennt.

Würdest du den VPN-on-Demand-Block deines Profils hier veröffentlichen? Natürlich anonymisiert. Dann könnte man nachvollziehen, was bei dir anders ist.

Bei mir bleibt VPN nicht dauerhaft an. Ich habe aber auch kein NAS oder Synologie an der Fritz!Box hängen. Nutze mein Profil, um in öffentlichen WLAN-Netzen nicht ungesichert zu surfen.

 

[AgentMax]

Hier mal der Anfang des Profils. Danach folgt dann die normale Config mit User Passwort usw:

<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">

<plist version="1.0">

<dict>

    <key>PayloadContent</key>

    <array>

        <dict>

            <key>IPSec</key>

            <dict>

                <key>AuthenticationMethod</key>

                <string>SharedSecret</string>

                <key>LocalIdentifierType</key>

                <string>KeyID</string>

                <key>SharedSecret</key>

                <data>

                lalala

                </data>

                <!-- VPN-On-Demand Codeblock START -->

    <key>OnDemandEnabled</key>

    <integer>1</integer>

    <key>OnDemandRules</key>

    <array>

 

    <!-- VPN in bestimmten WLAN-Netzen *DE-AKTIVIEREN* -->

    <dict>

      <key>InterfaceTypeMatch</key>

      <string>WiFi</string>

      <key>SSIDMatch</key>

      <array>

      <string>Agent@Home</string>

      <string>AgeNt@Home</string>

      </array>

      <key>Action</key>

      <string>Disconnect</string>

    </dict>

   

    <!-- VPN in sonstigen WLAN-Netzen *AKTIVIEREN* -->

    <dict>

      <key>InterfaceTypeMatch</key>

      <string>WiFi</string>

      <key>Action</key>

      <string>Connect</string>

    </dict>

   

    <!-- VPN im Mobilfunknetz aktivieren -->

    <dict>

      <key>InterfaceTypeMatch</key>

      <string>Cellular</string>

      <key>Action</key>

      <string>Connect</string>

    </dict>

   

    <!-- VPN Default state -->

    <dict>

      <key>Action</key>

      <string>Connect</string>

    </dict>

    </array>

<!-- VPN-On-Demand Codeblock ENDE -->

 

[Blaubeere2]

Aha, nach eingehender Betrachtung sehe ich endlich den entscheidenden Unterschied: bei Default State hast du Connect stehen und ich Disconnect. Werde ich mal bei mir testen.

Frage: Wie ist das bei WLAN-Netzen, bei denen erst noch eine Vorschaltseite zum anmelden kommt - kommst du da ohne Probleme rein oder musst du da erst VPN abschalten?

 

[AgentMax]

Da muss ich erst abschalten. Er wechselt auch von Mobilfunk in WLAN erst nach kurzer Deaktivierung wenn es ein anderes Netz als meine sind.
Habe leider noch nicht herausgefunden wieso und wie ich das beheben kann.

 

[Blaubeere2]

@AgentMax
Ich habe mich an deinem Profil orientiert und das neue VPN-Profil läuft nun so, wie ich mir das vorgestellt hatte: im heimischen WLAN VPN aus, in fremden WLAN-Netzen VPN an, bei Mobilfunk VPN aus (im Unterschied zu deinem Profil). Wichtig ist die Reihenfolge der Code-Blöcke und dass der Default State auf "Connect" steht. Dann wird in fremden WLAN-Netzen automatisch VPN aktiviert.

Den in meinem Post #5 noch enthaltenen Code-Block für den Zugriff auf Heimnetz-Adressen habe ich rausgeworfen, weil ich das a) nicht so richtig zum Laufen brachte und weil ich es b) nicht wirklich benötige.

Hier der aktuell von mir genutzte Code für all die, die ihn auch nutzen wollen:

                <!-- VPN-On-Demand Codeblock -->
                <key>OnDemandEnabled</key>
                <integer>1</integer>
                <key>OnDemandRules</key>
                <array>              
                    <dict>
                        <!-- VPN bei ausgewählten WLAN-Netzen deaktivieren -->
                        <key>InterfaceTypeMatch</key>
                        <string>WiFi</string>
                        <key>SSIDMatch</key>
                        <array>
                            <string>Name meines Heim-Netzwerks</string>
                            <string>Name des Firmen-Netzwerks</string>
                        </array>
                        <key>Action</key>
                        <string>Disconnect</string>
                    </dict>
                    <dict>
                        <!-- VPN bei aktiver WLAN-Verbindung aktivieren -->
                        <key>InterfaceTypeMatch</key>
                        <string>WiFi</string>
                        <key>Action</key>
                        <string>Connect</string>
                    </dict>
                    <dict>
                        <!-- VPN im Mobilfunknetz nicht aktivieren -->
                        <key>InterfaceTypeMatch</key>
                        <string>Cellular</string>
                        <key>Action</key>
                        <string>Disconnect</string>
                    </dict>
                    <dict>
                        <!-- VPN Default state -->
                        <key>Action</key>
                        <string>Connect</string>
                    </dict>
                </array>
                <!-- VPN-On-Demand Codeblock ENDE-->

Edit: Für diejenigen, die den von mir in Post #5 erwähnten Artikel bei iPhone-ticker.de nicht gelesen haben: die obigen Code-Zeilen müssen im VPN-Profil vor das erste </dict> eingefügt werden. Nach diesem </dict> geht es dann weiter mit <key>IPv4</key>.

 

[Schnatterente]

Das ist zu hoch für mich.
Sehe da leider nicht wo ich das Passwort usw eingeben muss. Sonst würde ich das auch mal probieren.

 

[AgentMax]

Der Teil mit dem Passwort kommt nach diesen Code Schnippseln.