VPN-on-Demand / AppleConfigurator 2

Push-Nachrichten von MacTechNews.de

Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Forum>Entwickler>VPN-on-Demand / AppleConfigurator 2

Statler_RGBG01.10.1821:14

Hallo, mal schauen ob ich hier richtig bin oder eher im Netzwerk-Teil - betrifft eigentlich beides:

Ich würde gerne am iPhone bei Öffnen einer App automatisch eine VPN Verbindung zum Firmenserver aufbauen lassen. Das ganze müsste theoretisch ja mittels VPN-on-Demand funktionieren. Eine erste "rohe" mobilconfig Datei im AppleConfigurator 2 erstellen ist ja soweit kein Problem. Aber wie erweitere ich diese um die Möglichkeit das mit meiner gewünschten App (Documents von Readle) zu verknüpfen? Und ich bräuchte das eigentlich nur ausserhalb von HomeOffice- und Firmen-WLAN da ich im HO eine feste VPN Verbindung hab und in der Firma sie ja auch nicht brauche.

Das Configuration-Profile-Reference.pdf von Apple hat mich leider nicht weitergebracht

Jemand da, der mir helfen kann?

Kommentare

MikeMuc01.10.1822:02

Statler_RGBG
Mist, hättest du das nicht nen paar Tage früher fragen können? Sowas hab ich vor ein paar Tagen in nem Blog gesichtet. Waren 2 Teile und wie man ein VPN zu ner Fritzbox aufbaut. Das einzige was mir dazu noch einfällt ist, das man die Konfigurationsdatei manuell mit etlichen Zeilen XML aufpeppen mußte weil der Konfigurator das von Haus aus nicht bietet.
Leider find ich in der History nichts

Statler_RGBG01.10.1822:06

Meinst du den?

Den hab ich auf der Suche nach meiner Problemlösung gefunden, der hat mich aber nicht weitergebracht - nur dahingehend, das es wohl funktionieren muss ... und genau mit den XML Erweiterungen steh ich grad auf Kriegsfuss

MikeMuc01.10.1823:05

Statler_RGBG
👍 der wars. Hab ihn dann aber nicht weiter „unter die Lupe“ genommen ob das alles so funktioniert.
So wie ich das dort interpretiere sollte das exakt die Lösung für dein Problem sein.
Erst die „Basiskonfiguration“ im Konfigurator vornehmen und dann das dir aufgeführte XML in die Datei ergänzen. Dabei die Wlannamen etc anpassen und das ganze ins iPhone übertragen.
Waren dann allerdings mehr als „nur ein paar“ Zeilen so das ich mir das nicht genauer angeschaut habe.
Wenn du schreibst wo es bei dir hapert dann findet sich ja vielleicht jemand kompetenteres der da was zu sagen kann (such noch ein Daumendrück Emoji, gibts das wirklich nicht?

MikeMuc02.10.1811:03

So, grad noch mal rein geschaut:

<array>
<string>Name of my Home Network</string>
<string>Company WiFi</string>
</array>

Eigentlich mußt nuru nur die WLAN-Namen, in denen kein VPN aufgebaut werden muß, hier eintragen. Und dann diesen Block in die Datei, die mit dem Konfiguration erstellt wurde Einkopieren. Der untere Codeteil ist dann eine komplette Konfigdatei (mit Platzhalter) damit du siehst, wo der "ON-Demand-Code" eingefügt werden muß. Die gelten Teile interessieren dich nicht denn die hast du ja bereits selber erstellt.

Also erstmal testen, ob du manuell ein VPN mittels des unmodifizierten Profiles aufbauen kannst. Wenn ja, dann das Profil entsprechend aufbohren.
Allerdings gilt diese Erweiterung "VPN on Demand" so wohl für alle Aktivitäten. Ob man das noch auf einzelne Apps einschänken kann weiß ich nicht. Das wird dort weder beschrieben noch wird überhaupt darauf eingegangen Dazu muß man dann wohl mehr Dokumentation wälzen oder weiter im Internet suchen.

Statler_RGBG02.10.1811:47

Ich habs vorhin parallel zu deinem letzten Eintrag gerade ausprobiert.
Mein Code ist:

<!-- VPN beim Zugriff auf Heimnetz-Adressen aufbauen
    <dict>
        <key>Action</key>
        <string>EvaluateConnection</string>
        <key>ActionParameters</key>
        <array>
            <dict>
                <key>Domains</key>
                <array>
                    <string>2012r2.xxx.local</string>
                </array>
                <key>DomainAction</key>
                <string>ConnectIfNeeded</string>
            </dict>
        </array>
</dict>
<dict>
        <!-- VPN bei ausgewählten WLAN-Netzen deaktivieren
        <key>InterfaceTypeMatch</key>
        <string>WiFi</string>
        <key>SSIDMatch</key>
        <array>
            <string>xxx</string>
            <string>xxx</string>
        </array>
        <key>Action</key>
        <string>Disconnect</string>
</dict>

Aber wo muss der hin? Immer wenn ich den einfüge ist das erstellte Profil defekt. Die Angabe vor dem ersten "/dict" ist wohl nicht richtig:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>PayloadContent</key>
    <array>
        <dict>
            <key>IPSec</key>
            <dict>
                <key>AuthenticationMethod</key>
                <string>SharedSecret</string>
                <key>LocalIdentifierType</key>
                <string>KeyID</string>
                <key>SharedSecret</key>
                <data>
                xxx
                </data>
            </dict>
            <!-- VPN beim Zugriff auf Heimnetz-Adressen aufbauen
            <dict>
                <key>Action</key>
                <string>EvaluateConnection</string>
                <key>ActionParameters</key>
                <array>
                    <dict>
                        <key>Domains</key>
                        <array>
                            <string>2012r2.xxx.local</string>
                        </array>
                        <key>DomainAction</key>
                        <string>ConnectIfNeeded</string>
                    </dict>
                </array>
            </dict>
            <dict>
                <!-- VPN bei ausgewählten WLAN-Netzen deaktivieren
                <key>InterfaceTypeMatch</key>
                <string>WiFi</string>
                <key>SSIDMatch</key>
                <array>
                    <string>xxx</string>
                    <string>xxx</string>
                </array>
                <key>Action</key>
                <string>Disconnect</string>
            </dict>
            <key>IPv4</key>
            <dict>
                <key>OverridePrimary</key>
                <integer>1</integer>
            </dict>
            <key>PPP</key>
            <dict>
                <key>AuthName</key>
                <string>matthias</string>
                <key>AuthPassword</key>
                <string>xxx</string>
                <key>CommRemoteAddress</key>
                <string>xxx</string>
            </dict>
            <key>PayloadDescription</key>
            <string>Konfiguriert VPN-Einstellungen</string>
            <key>PayloadDisplayName</key>
            <string>VPN</string>
            <key>PayloadIdentifier</key>
            <string>com.apple.vpn.managed.9EA0064F-64B4-4D87-AFD4-51D29F E61A48</string>
            <key>PayloadType</key>
            <string>com.apple.vpn.managed</string>
            <key>PayloadUUID</key>
            <string>9EA0064F-64B4-4D87-AFD4-51D29FE61A48</string>
            <key>PayloadVersion</key>
            <integer>1</integer>
            <key>Proxies</key>
            <dict>
                <key>HTTPEnable</key>
                <integer>0</integer>
                <key>HTTPSEnable</key>
                <integer>0</integer>
            </dict>
            <key>UserDefinedName</key>
            <string>xxx</string>
            <key>VPNType</key>
            <string>L2TP</string>
        </dict>
    </array>
    <key>PayloadDisplayName</key>
    <string>VPN_TC_Doc</string>
    <key>PayloadIdentifier</key>
    <string>VPN_iOS_Documents_MPU</string>
    <key>PayloadOrganization</key>
    <string>xxx</string>
    <key>PayloadRemovalDisallowed</key>
    <false/>
    <key>PayloadType</key>
    <string>Configuration</string>
    <key>PayloadUUID</key>
    <string>9C98EAC7-4D8F-4E8D-A221-27905098A68A</string>
    <key>PayloadVersion</key>
    <integer>1</integer>
</dict>
</plist>

MikeMuc02.10.1817:15

Wenn di schreibt "die Angabe vor dem ersten "</dict>"... warum fügst du den Block dann dahinter ein? Wer von uns beiden hat da Tomaten auf den Augen? Der Block soll in den IPSec Block. Zumindest sieht das für mich so aus.
Hast du das Profil schon ohne das On Demand getestet?

Statler_RGBG02.10.1817:23

Weil es damit nicht funktioniert hat und ich ausprobiert habe ob es vielleicht ein Schreibfehler war und "danach" gemeint war. Ja, ohne meine Ergänzungen lässt es sich übertragen und aktivieren

MikeMuc02.10.1817:56

Hmm, das hieße jetzt, das ich das entweder selber mal probieren müßte oder sich wer anderes hier mal einklinkt und seinen Senf dazu gibt
Ich gehe jetzt mal davon aus, sofern ich das alles richtig verstehe, das sich das On Demand für die 3 Domains *local, *fritz.box und Fritz.box aktivieren soll. Da du zu deinem Firmenserver ein VPN haben willst wird an dieser Stelle noch was anzupassen sein. Da muß man in der Appledoku nachlesen was genau da eingetragen werden muß (zB: wenn der Server im Netzwerk 172.30.99.x liegt, was muß man dann dort eintragen das bei Zugriffen auf dieses Subnetz die Verbindung aufgebaut wird.

Stellt sich die 2. Frage, wie sieht deine / unsere Testumgebung aus oder reicht es für einen Versuch, das VPN auch bei Nutzung der Mobilverbindung "zu erzwingen (InterfaceTypeMatch Cellular. Da würde ich versuchsweise mal aus dem Disconnect ein Connect machen wenn du oben das Subnetz (als Ziel) eintragen kannst zu dem du ein VPN aufbauen willst. Alternativ steht die vielleicht das WLAn deiner Nachbarn zum Testen zur Verfügung. Dann wähle dich dort ein und versuche, deine Fritzbox zu erreichen. Oder trag bei der Liste der WLANs irgendwelche Namen ein. Dann sollte aus deinem eigenen WLAN auch ein VPN aufgebaut werden.

Also erstmal den Block "wieder an dir richtige Stelle schieben und dann mit den Einstellungen spielen. Und immer schön notieren mit welchen Einstellungen grad was getestet wurde damit man am Ende weiß was alle probiert wurde

Statler_RGBG02.10.1821:06

Nö, da hast du was falsch verstanden. Das mit den FritzBoxen war aus dem anderen Forum. Bei mir sind es nur zwei WLANs die missachtet werden sollen. Zur Not reicht es mir auch, wenn die VPN Verbindung nur im HomeOffice nicht ausgelöst wird,da ich viel zu selten direkt in der Firma bin.
Was ich gelesen habe, ist das der Server nicht mittels IP angesprochen werden kann, sondern nur mit dem Netzwerknamen (hier: 2012r2.xxx.local).
Meine Testumgebung: ich würde einfach das WLAN am iPhone deaktivieren und es über LTE testen - das ist auch mein reales Setup: zu 80% werde ich den Sync via LTE nutzen. Ansonsten kann ich mir aber auch mal das VPN im Router deaktivieren. Also: Standort A steht der Server, ich arbeite/wohne an Standort B, dort ist ein Router der fix mittels VPN mit Standort A vernetzt ist.
Mein vorrangiges Problem ist, das ich das Profil nicht auf das iPhone bekomme. Das nächste Problem wird vielleicht sein, den Sync auszulösen, da ich nicht weiss ob z.B. die Netzwerkadresse 2012r2.xxx.local richtig ist. Unser Admin wollte das Problem schon mal selber für sich lösen, hat es aber nicht hinbekommen (hat aber andere Gründe). Vorerst wäre ich schon zufrieden, wenn ich meine App öffne und zumindest ein VPN Verbindungsversuch läuft ...
Vielleicht ist das auch ein Problem, das 2012r2.xxx.local nicht konform zu den Apple Vorgaben ist. Vielleicht muss ich einfach mal eine andere, quasi öffentlich erreichbare Adresse wie unser OWA eintragen

MikeMuc02.10.1823:10

Nach dem Beispiel müßtest du bei den Domains xxx.local eingeben, und 2012r2 weglassen. Und nach der Appledocu kann man, wenn ich das richtig verstanden habe, auch Subnetze angeben.

Die Auflösung 2012r2.xxx.local wird nicht funktionieren weil der1012r2 nur dem Firmen-DNS-Server bekannt ist. Aber der wird vom iPhone sicher gar nicht erst gefragt weil er ja nirgends eingetragen wurde. Du wirst ihn also ausschließlich über die IP erreichen sofern ein VPN besteht.

Statler_RGBG04.10.1821:25

Danke, ich werde das die nä Tage testen

Pogba4218.10.1814:46

Ich habe diese Methode mit diesem Purevpn Germany Server ausprobiert und es hat funktioniert, danke

Statler_RGBG18.10.1814:51

Bei mir läuft es noch nicht so wie ich mir das vorstelle. Hast du "meinen" Code genommen und ihn mit deinen Paramtern modifiziert? Unter Einstellungen/Allgemein - ist da VPN bei dir als aktiv gekennzeichnet oder ist das da immer aus?

rmayergfx18.10.1817:47

Das hier dürfte sich doch ohne Probleme auf die App Documents anpassen lassen:

Wichtig ist das ab IOS 11 nur noch FQDN funktioniert. Wie ist der Connect in Raddle zuzeit realisiert ?
Server wird per IP oder FQDN angesprochen ?

„Der Computer soll die Arbeit des Menschen erleichtern, nicht umgekehrt !“

Statler_RGBG18.10.1818:13

Der Link scheint interessant zu sein, danke.
Ja, das nur noch FQDN funktioniert, weiss ich und da liegt u.a. auch mein Problem - der zu syncronisierende Ordner liegt auf einem Server, der lt. Admin "server01.xxx.local" (früher sagte er es ist der 2012r2.xxx.local) heisst, also unter server01.xxx.local/syncordner.
In Documents wird der Ordner über SMB und IP Adresse angesprochen und ich hab in Documents noch keine Kombination gefunden, mit der ich den Ordner ohne die IP erreiche - folgedessen kann ich natürlich auch noch keinen passenden Host in der mobileConfig eingeben

MikeMuc18.10.1819:25

Wenn du im Netz mit dem fraglichen Server bist dann mach doch einfach nen lookup mittels der IP und schau, was dir dann als FQDN zurück geliefert wird. Der Link von rmayergfx ist interessant, gleich mal archiviert (den Inhalt, nicht den Link )

Kommentieren

Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.

M4 Mac mini im Effizienztest: Hohe Ersparnis im...

Mac mini M4: Reparaturhandbuch bestätigt austau...

iOS 18: Kritik an neuer Fotos-App reißt nicht ab

Parallels führt x86-Windows auf M-Macs aus – Te...

Weitere Berichte zur neuen Kamera des iPhone 17...

Apple-Leak spricht vom "iPad Air M3"

PIN-Code erraten: Dauer

Kurz: Trump unterstützt Musk als TikTok-Besitze...