Mobile Einwahl mit VPN on Demand, iPhone, pfSense, VPN, IKEv2

Mitglied: buechi

buechi (Level 1) - Jetzt verbinden

15.04.2021, aktualisiert 12:11 Uhr, 466 Aufrufe, 5 Kommentare

Hallo liebe Gemeinde,

erst einmal vielen Dank für eure tolle Arbeit hier!

Ich versuche seit zwei Wochen eine funktionsfähige iPhone VPN Konfiguration in ein funktionsfähiges *.mobileconfig Profil zu migrieren - leider ohne Erfolg.
Hintergrund ist die Erweiterung mit VPN on Demand - aber leider scheitert schon die Basiskonfiguration.

Kommen wir zu den Fakten:

Firewall: pfSense (2.5.2)
VPN: IKEv2, Zertifikat und EAP Benutzername / Pre-Shared Key
https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...
Device: iPhone (14.4.2)

Die Verbindung lässt sich ohne Probleme mit den folgenden Angaben/Zertifikat auf dem iPhone einrichten:

- Zertifikat per AirDrop installieren
- VPN hinzufügen
Typ: IKEv2
Beschreibung: home
Server: xxx.ddns.com
Entfernte ID: PFsense
Lokale ID:
Benutzerauthentifizierung: Benutzername und Passwort
Benutzername: user
Passwort: xxx

Vermutlich vervollständigt das iPhone für User wie mich :-P den Rest, der Apple Configurator 2 möchte aber alles explizit definiert haben.
z.B. ist die Lokale ID auf dem iPhone eine option, im Configurator eine Pflichtangabe.

Egal was ich auch versucht habe, das Profil lässt sich am Ende nicht installieren "VPN Dienst konnte nicht installiert werden...".
https://developer.apple.com/documentation/devicemanagement/vpn/ikev2 habe ich natürlich gelesen... auch diverse Beiträge, aber scheinbar bin ich oder die Kombination das Problem ;)

Daher die Frage an euch, hat jemand eine ähnliche Kombination am laufen oder wäre so freundlich mir einen Tipp zu geben?

Vorab vielen Dank für Eure Mühe,

Micha
Mitglied: buechi
15.04.2021 um 22:10 Uhr
Guten Abend,

vielen Dank für deine Rückmeldung!

Ja, diese hatte ich schon gefunden. Mein Problem bezieht sich aber speziell auf den IKEv2 Key Exchange, mit den älteren Varianten gibt es keine Probleme.

Für mich wäre es erträglicher, wenn die Verbindung einfach nicht aufgebaut wird *lach*
Aber das nur die Konfiguration per Profil nicht funktioniert... das macht mich echt fuchsig.

Ich habe noch dieses Tutorial gefunden https://grokdesigns.com/pfsense-ikev2-for-ios-macos-1/
Ein paar Kommentare sehen interessant aus, die werde ich mal prüfen...

Grüße und Danke
Bitte warten ..
Mitglied: aqui
16.04.2021 um 12:28 Uhr
Oder dieses Tutorial was es exakt für IKEv2 auf allen Plattformen erklärt ! ;-) face-wink
https://administrator.de/tutorial/ipsec-vpn-fuer-mobile-benutzer-auf-der ...
Bitte warten ..
Mitglied: buechi
18.04.2021 um 15:40 Uhr
Danke für den Link, diesen hatte ich schon in meinem ersten Beitrag verlinkt :) face-smile

Das ist aber auch nicht das Problem!

Ich möchte die funktionsfähige Verbindung wie in deinem Link beschrieben mit der Option VPN on Demand erweitern. Damit dies funktioniert muss ich die Einstellungen per mobileconf Profil installieren... und das klappt nicht - weil vermutlich Angaben fehlen, die das iPhone eigenständig setzt und ich diese nicht über das Profil übergebe... hoffe ich konnte es jetzt besser formulieren?!

Sprich ich suche eine Info welche Settings übergeben werden müssen damit das iPhone das Profil akzeptiert - weil die Parameter aus der manuelle Konfiguration reichen dafür nicht aus.

Leider ist sie Fehlermeldung so unspezifisch das ich hier einfach nach Erfahrungen fragen wollte.

Grüße
Bitte warten ..
Mitglied: aqui
18.04.2021, aktualisiert um 19:55 Uhr
welche Settings übergeben werden müssen damit das iPhone das Profil akzeptiert
Im Zweifel immer die die du auch manuell eingeben musst:
  • VPN Server Zertifikat
  • Server IP Adresse oder Hostname
  • Group Password
  • Username und Passwort
Mehr als diese 4 Sachen dürfte es nicht sein wie auch ein Blick in den Apple Configurator 2 bestätigt:
konfig - Klicke auf das Bild, um es zu vergrößern
Die supporten Protokolle umfassen alles was es im VPN Umfeld gibt:
art - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Heiß diskutierte Inhalte
Datenschutz
FAX ist nicht mehr Datenschutzkonform
brammerVor 1 TagInformationDatenschutz52 Kommentare

Hallo, jetzt sollte es jeder begreifen FAX ist nicht mehr Datenschutzkonform brammer

Humor (lol)
Na, kann euer Toaster auch schon WLAN?
ITlerin95Vor 1 TagAllgemeinHumor (lol)16 Kommentare

Also ich frag mich ja selbst echt oft, ob wirkliche alle technischen Neuerungen auch wirklich notwendig sind. Hintergrund ist, ich brauch einen neuen Toaster. ...

Windows Update
Keine Updates zum Mai-Patchday über WSUS?
gelöst CoreknabeVor 1 TagFrageWindows Update12 Kommentare

Moin, wir laden über unseren WSUS die Windows Updates herunter (Server 2012R2). Jetzt stelle ich gerade verwundert fest, dass es Stand jetzt (19:45 Uhr) ...

Netzwerkgrundlagen
Statische Route auf UTM
gelöst Ex0r2k16Vor 14 StundenFrageNetzwerkgrundlagen31 Kommentare

Moin! Ich habe an meiner Sophos UTM an einem physischen Interface einen Switch angeschlossen. Dieser läuft im Netz 10.1.1.0/24. Ich kann von meinem aktuellen ...

Exchange Server
Sicherheitsupdates für Exchange Server 11. Mai 2021
kgbornVor 1 TagInformationExchange Server4 Kommentare

Sicherheitsupdates für Exchange Server 11. Mai 2021 Technet-Beitrag Meine Zusammenstellung: Sicherheitsupdates (KB5003435) für Microsoft Exchange Server (11. Mai 2021)

Exchange Server
Office 365 ohne lokalen Exchange
RicoPausBVor 1 TagFrageExchange Server8 Kommentare

Moin zusammen wir sind erst vor kurzem ins Office 365 eingestiegen und hatten vorher auch keinen Exchange Server im Einsatz. Ein Hybrid-Setup liegt also ...

SAN, NAS, DAS
Synology-NAS DS1813+: Lebensdauer des Gerätes?
OrmensonVor 1 TagFrageSAN, NAS, DAS10 Kommentare

Hallo Forum! In unserer Firma nutzen wir ein Synology NAS DS1813+ als zentraler Datenspeicherort. Konfiguriert ist er als RAID mit Ausfallsicherheit einer Platte. Die ...

Microsoft Office
Weiterleitung bestimmter Emails während Urlaubszeit
gelöst imebroVor 1 TagFrageMicrosoft Office11 Kommentare

Hallo, verschiedene Rechnungen werden an meine Email-Adresse gesendet. Daher habe ich vor einiger Zeit eine Outlook-Regel in meinem Outlook-Postfach erstellt, die automatisch Emails mit ...