c-webber
Goto Top

Selfhosted MDM (Android) und Telekom - Konnektivitätsprobleme

Hallo zusammen,

ich brauche bitte mal eure Hilfe zum Thema MDM und Erreichbarkeit von Telekom Handys übers Internet.

Wir setzen bei uns ein Nischen-MDM ein (AppTec360), das wir selbst hosten um im ersten Schritt Android Handys im Telekom-Netz zu managen.

Die Handys wurden alle im MDM provisioniert und werden mit entsprechenden Richtlinien versorgt.
Wenn ich nun über die Management-App auf dem Handy einen Sync der Richtlinien anstoße, funktioniert die Verbindung vom Handy in Richtung MDM, sprich die geänderten Einstellungen werden am Endgerät übernommen.

Wenn ich aber vom MDM System aus neue Richtlinien in Richtung Endgerät pushe, dann kommt beim Endgerät nichts an.
Somit würden auch die Befehle zum Sperren und Löschen des Geräts nicht ankommen, falls es verloren geht.

Sobald das Handy hier im Haus im Wlan hängt, funktioniert der push einwandfrei, hat also was mit dem mobilen Datennetz zu tun. Am Handy kann ich sehen, dass ihm eine öffentliche IPv6 und v4 Adresse zugewiesen wurden.
Mein MDM sagt aber, dass dem Handy die IP 192.0.0.4 zugewiesen ist.

Kann mir von euch jemand erklären, was grundsätzlich nötig ist, um die Geräte von außen ansprechen zu können?
Muss das Telekomseitig freigeschaltet werden und tun die das, wenn ich nicht deren MDM nutze?

Hat evtl. jemand ähnliche Erfahrungen mit selbst gehosteten MDM?
Ich würde mich über einen Meinungsaustausch freuen.

Danke und Gruß, Chris

Content-ID: 51192211710

Url: https://administrator.de/contentid/51192211710

Ausgedruckt am: 22.11.2024 um 07:11 Uhr

LordGurke
LordGurke 14.11.2023 um 12:16:15 Uhr
Goto Top
Die IP 192.0.0.4 ist eine spezielle IPv4-Adresse um zu signalisieren, dass das Telefon keine IPv4-Verbindungen aufbauen sondern alles über IPv6 (tunneln) soll.
XLAT64 ist das Stichwort.

Aber das hat mit deinem Problem nichts zu tun — das Problem ist dass das MDM versucht das Gerät über eine auf dem Gerät ermittelte IP anzusprechen, was bei jeder Form des NAT (also auch, wenn es sich in einem WLAN außerhalb eures Büros befindet) scheitern muss.
Das Telefon müsste eine dauerhafte Verbindung zum MDM offenhalten, darüber können dann auch Befehle gepushed werden.
Zu versuchen, das Telefon über dessen IP direkt zu kontaktieren muss scheitern. Und bedeutet, dass es auf den Geräten dann einen offenen Port geben muss, über den die Geräte angreifbar wären.

Da würde ich mit dem Hersteller mal drüber sprechen, das kann so nicht gewollt sein.
c-webber
c-webber 14.11.2023 um 12:54:15 Uhr
Goto Top
Danke, das deckt sich mit meinem Eindruck.

Das heißt, ich muss die Geräte per VPN an unser MDM anbinden?
Oder meinst Du ich hätte Chancen das ohne VPN abzuhandeln, wenn die Geräte über eine native IPv4 Erreichbar wären?

Gruß, Chris
killtec
killtec 14.11.2023 um 12:59:13 Uhr
Goto Top
Hi,
blöde Frage, welche Ports hast du denn von außen auf die apptec geöffnet?
Das müssen ein paar sein. Bei uns sind es diese Ports laut apptec:

443, 8080-8081, 2195-2196, 5223

Gruß
c-webber
c-webber 14.11.2023 um 13:04:37 Uhr
Goto Top
Alle laut Doku nötigen Ports, sprich 443, 8080, 8081 - wir haben keine Apple-Geräte angebunden.
Von Außen nach Innen funktionierts ja offenbar und an unserer Firewall schlägt nichts auf, was geblockt würde.
insidERR
Lösung insidERR 14.11.2023 um 13:28:30 Uhr
Goto Top
Ich hatte eine Weile Probleme, dass wenn mein Auto (VAG) über mein Smartphone als Hotspot nachhause telefonieren wollte, es ständig Verbindungsprobleme hatte. Laut wieistmeineip war mein Smartphone über IPv6 und einer IPv4(an zweite Stelle) verbunden. Provider ist Telekom.
Dann hatte ich im Netz was gefunden und im Smartphone den Zugangspunkt von "internet.v6.telekom" in "internet.t-d1.de" geändert.
Schon habe ich die IPv4 (IPv6: nicht vorhanden) und das Auto hat seit dem keine Probleme mehr Stauupdates und Infos aus dem Internet zu holen.
Vielleicht bringt es in deinem Fall auch etwas.
Anleitung für ein "Samsung S21":
Einstellungen -> Verbindungen -> Mobile Netzwerke -> Zugangspunkte
Hier kannst du einen neuen mit dem gewünschtem Eintrag erstellen und testen.
c-webber
c-webber 14.11.2023 um 13:46:22 Uhr
Goto Top
*ding*ding*ding*
..aaaand we have a winner!

Das sieht tatsächlich auf den ersten Blick so aus, als ob es mein Problem gelöst hat.

Danke an alle!

Gruß, Chris
Mr-Gustav
Mr-Gustav 14.11.2023 um 15:35:51 Uhr
Goto Top
Witziger weise steht das aber irgendwie nicht in der Anleitung oder ich hab es überlesen::::
c-webber
c-webber 14.11.2023 um 16:31:49 Uhr
Goto Top
Die Anleitung ist tatsächlich ausbaufähig...
LordGurke
LordGurke 14.11.2023 um 19:47:46 Uhr
Goto Top
Dass das die Lösung ist, deutet aber auf einen schlimmen Bug in AppTec360 hin...
Egal ob dein Telefon IPv6 hat oder nicht, du greifst bei dem eingestellten APN per CGNAT aufs Internet zu.
Beim IPv6 Only-APN ist der einzige Unterschied, dass dir die spezielle IPv4-Adresse 192.0.0.4 zugewiesen wird, die vermutlich vom MDM nicht korrekt als Non-Routed bzw. Private IP ausgewertet wird und wo deshalb versucht wird, direkt drauf zu verbinden.
Beim anderen APN wird zusätzlich eine IP-Adresse aus 10.0/8 zugewiesen was dann vermutlich korrekt als "nicht direkt erreichbar" interpretiert wird.

Denn Zugriff vom Telefon aufs MDM läuft weiterhin durch CGNAT, falls dein MDM nur per IPv4 erreichbar ist, die Ports des Telefons sind daher auch in beiden Fällen nicht direkt aus dem Internet erreichbar.

Ich würde damit auf jeden Fall dem Hersteller auf die Nerven gehen, denn man weiß ja nicht wie lange die Telekom den alten APN noch betreibt.
Die müssen vermutlich einfach nur die Adressen aus 192.0.0.0/29 (siehe RFC 6333) korrekt interpretieren.
Mr-Gustav
Mr-Gustav 15.11.2023 um 14:03:18 Uhr
Goto Top
Tja das war auch einer der Gründe warum ich ich bei einem meiner Kunden auf Intune umgestiegen bin.
Apptec360 wäre durchaus attraktiv gewesen aber das genannte Problem hat mich A. Jede menge Nerven gekostet bis ich es über das WAN/Internet funktionsfähig hat. Was bringt mir ein MDM wenn die Kommunikation mit dem MDM Server nicht auf Anhieb funktioniert und ich auf den willen der DTAG angewiesen bin was den APN angeht ?
Ich hab auch nicht wirklich Bock immer den APN anzupassen bzw. was wenn es den APN nicht mehr gibt oder die telekom irgendwas Ändert und der APN dann nicht mehr geht ?
B. Hat meinem Kunden die Webkonsole nicht gefallen. Kann man sich jetzt Streiten aber da er ja auch damit arbeiten muss.......
Klar waren die 25 Gratis Lizenzen für einen Test oder POC nicht zu verachten aber das wars es auch schon.
Franz80
Franz80 15.12.2023 um 14:24:06 Uhr
Goto Top
@Mr-Gustav: Es funktioniert sehr gut auf Anhieb. Man muss keine APN anpassen.

@c-webber: Es ist wichtig zu beachten, dass der MDM-Server keine direkte Verbindung zum Gerät herstellt. Stattdessen kommuniziert er mit Google (Google Push Server), um das Gerät dazu aufzufordern, sich beim MDM-Server zu melden. Daher speichert der MDM-Server keine Zieladresse, da die Verbindung immer vom Gerät initiiert wird. Haben Sie überprüft, ob das Gerät über das Mobilfunknetz die Ports 443 und 8080 auf dem MDM-Server erreichen kann?
Es könnte auch hilfreich sein, den AppTec-Support zu kontaktieren.