Erfahrung dauerhafte VPN-Verbindung auf Smartphones

trommel
Goto Top
Hallo Kollegen,

bei einem Kunden müssen wir demnächst E-Mail-Zugänge für den externen Zugriff freigeben. Das war dort bisher nie notwendig. Ich würde es gerne per VPN lösen (die Infrastruktur steht, Protokolle sind kompatibel mit iphone/Android). E-Mail-Server ist ein Exchange 2019.

Problem: Es müssen auch ein paar Smartphones (iOS/Android) bedient werden. Meine Erfahrung beschränkt sich leider nur auf VPN auf den Clients (Notebooks) oder eben Side2Side Verbindungen für Außenstellen.
Ich würde gerne die integrierte VPN-Funktion von iOS/Android nutzen (wenn möglich).

Meine Frage dazu: Hat diesbezüglich jemand Erfahrung mit dauerhaften VPN-Verbindungen auf Smartphones in der Praxis? Ich habe zwar schon ein paar Smartphones per VPN angebunden, diese verbinden sich aber manuell wenn benötigt. Ein manuelles Verbinden kann ich den Leuten nicht zumuten.

Diese neuen VPN-Verbindungen müssen quasi dauerhaft laufen. Die sind auch weltweit unterwegs (Hotels etc.), es müsste also definitiv zuverlässig laufen. Laut meinen Google-Recherchen gibt es bei Android als auch bei iOS die dauerhafte Verbindung, wobei ich bei Apple wirklich etwas Kopfschmerzen habe, da ich nicht wirklich was mit Apple zutun habe und ich gelesen habe, dass es ggf. im Standby nicht funktioniert (Push-Alerts dann auch nicht?).

Das ganze könnte sicherlich auch für andere Dinge als nur Mailabruf interessant werden.

Besten Dank.

Trommel

Content-Key: 3210853948

Url: https://administrator.de/contentid/3210853948

Ausgedruckt am: 15.08.2022 um 17:08 Uhr

Mitglied: michi1983
michi1983 29.06.2022 um 19:29:40 Uhr
Goto Top
Hallo,

ich habe auf meinem iPhone zB dauerhaft Wireguard und somit eine VPN Verbindung zu mir nach Hause.

Das läuft ohne Probleme.

Gruß
Mitglied: radiogugu
radiogugu 29.06.2022 um 19:31:08 Uhr
Goto Top
Hi.

Du solltest dir die entsprechenden Anleitungen im Internet mal durchschauen, bezüglich Veröffentlichung eines Mail Servers. Stichworte wären zumindest mal Reverse Proxy, Mailgateway und auch eine Migration zu Exchange Online in Betracht ziehen.

Das Problem bei VPNs ist ganz einfach, dass diese eine gewisse Qualität an Verbindung voraussetzen und wenn diese nicht stimmt, wird abgebrochen.

Das kriegt dann der Benutzer eventuell nicht immer mit und wundert sich, warum er seit zwei Stunden keine Nachrichten mehr empfangen hat.

Gruß
Marc
Mitglied: dertowa
dertowa 29.06.2022 um 20:11:49 Uhr
Goto Top
Salut,
das hängt meiner Ansicht nach eher am VPN Ziel als am Endgerät.
Wir nutzen bspw. Securepoint als Firewall, der Hersteller bietet einen eigenen SSL VPN Client für Windows, Mac und Linux bleiben aber außen vor.
Das Zertifikat und die Verbindungsdatei sind aber ebenfalls mit OpenVPN (linux) und Tunnelblick (mac) kompatibel.
Für Android gibt es ebenfalls einen Client von Securepoint oder eben auch OpenVPN.

Ist die Frage was man da möchte, erstmal würde ich mich aber am Firewallhersteller orientieren.

Grüße
Mitglied: BirdyB
BirdyB 29.06.2022 um 20:57:23 Uhr
Goto Top
Moin,
wenn du auch über öffentliche WLANs die Verbindung herstellen möchtest, bleibt am ehesten OpenVPN über Port 443 übrig, da alle anderen Ports/Protokolle ggf. in öffentlichen Netzen nicht funktionieren.
Ggf. wäre es doch sinnvoller einen entsprechend gesicherten Reverse-Proxy einzusetzen.
VG
Mitglied: unbelanglos
unbelanglos 29.06.2022 um 21:42:08 Uhr
Goto Top
Ja, Always on VPN ist sehr praktisch. Ab Android 12 wirklich gut gemacht und mit Android 13 wird noch Mal nachgelegt.Ei-Gedöns hat auch per App und on demand VPN.

Ich verbinde mich zu meinem Server bei GCP in Frankfurt per Wireguard und mein HTTP-Exit ist z. B. In Wernigerode, andere Protokolle gehen in Braunschweig ins öffentliche Internet und ein paar ausgewählte Ziele, unabhängig vom Protokoll, gehen in Groningen online.
Läuft gut. Bringt aber 9 bis 25 zusätzliche Millisekunden.
Mitglied: StefanKittel
StefanKittel 29.06.2022 um 21:50:43 Uhr
Goto Top
Grundsätzlich: VPN
Ja, geht und funktioniert.

Der normale Internetzugang und App-Anbindungen laufen dann üblicherweise auch durch das VPN.
Das ist auch gut so.

Aber, es führt häufig zu Diskussionen, wenn am Arsch der Heide das Internet ohne VPN schneller als mit ist.

Alternativ ein Reverse-Proxy mit Client-Zertifikaten.
Kein Zertifikat, keine Verbindung. Dafür wird kein VPN benötigt.

Stefan
Mitglied: a.esposito
a.esposito 30.06.2022 um 07:11:15 Uhr
Goto Top
das Veröffentlichen deines internen Mailservers ins Internet ist nicht möglich? das ganze VPN Gedöns würde ich garnicht in Betracht ziehen, lieber sauber per Reverse Proxy etc dafür sorgen, das der on-prem Mailserver aus dem Internet erreichbar ist. Macht viel weniger Stress und Arbeit.
Mitglied: aqui
aqui 30.06.2022 aktualisiert um 10:38:43 Uhr
Goto Top
Dauerhafte Verbindungen mit IKEv2 und auch L2TP VPNs (onboard VPN Clients auf allen Endgeräten) auf einem iPhone laufen hier seit Jahren vollkommen fehlerlos!
bleibt am ehesten OpenVPN über Port 443 übrig
Warum nicht Wireguard? Ist gegenüber dem bekannten schlechten Durchsatz von OpenVPN ja deutlich im Vorteil.
Hat aber auch den gravierenden Nachteil das es wieder frickelige Zusatz VPN Software erfordert auf dem Client. Always on VPNs stellt man immer mit den so oder so vorhandenen onboard Clients mit IKEv2 oder L2TP zur Verfügung die das allemal besser können.
Mitglied: BirdyB
BirdyB 30.06.2022 um 10:49:26 Uhr
Goto Top
Zitat von @aqui:
bleibt am ehesten OpenVPN über Port 443 übrig
Warum nicht Wireguard? Ist gegenüber dem bekannten schlechten Durchsatz von OpenVPN ja deutlich im Vorteil.
Ich dachte an geblockte Ports in öffentlichen WLAN… Der TO schrieb, dass es ja auch im Hotel, etc. funktionieren soll.
Mitglied: aqui
aqui 30.06.2022 aktualisiert um 17:04:14 Uhr
Goto Top
Was prinzipiell richtig ist aber nichts mit einem spezifischen SSL VPN zu tun hat. 😉
Zurück zum Thema...
<edit> Du hast natürlich Recht mit dem UDP Einwand unten! </edit>
Mitglied: BirdyB
BirdyB 30.06.2022 um 16:51:16 Uhr
Goto Top
Zitat von @aqui:

Was ja prinzipiell richtig ist aber nichts mit einem spezifischen SSL VPN zu tun hat. 😉
Wireguard ist aber UDP… OpenVPN bekommst du auch mit TCP auf Port 443 zum laufen und da ist die Chance am höchsten, dass dieser offen ist…
Zurück zum Thema...
Du sagst es…