Ankündigung

Einklappen
Keine Ankündigung bisher.

VPN on-demand mit iOS - ich versteh's nicht ganz

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Jan, er verwendet das VPN über den Loxberry, wenn ich mich recht entsinne wird da L2TP verwendet und keine XAuth. Mit dem Konfigurationsprogramm ist schon klar, ich habe mir immer die VPN Konfig darüber erstellt und schonmal getestet ob das VPN überhaupt funktioniert. Dann habe ich mir das VPN-on-Demand selbst in die Konfig eingebaut. Daher kommt sicher sein Versuch.
    Da ich aber kein VPN auf dem Wege habe, konnte icv ihm auch nicht sagen wie die VPN Konfig für seinen Fall aussieht. Das sie falsch ist, ist schonmal klar
    Miniserver; KNX; Vitogate; EnOcean (EnOceanPi); Loxone Air; Caldav-Kalenderanbindung; RaspberryPi und für keine Frickellösung zu schade :-)

    Kommentar


    • Hi Jan,
      kurz zum Hintergrund: der VPN Server läuft auf der Loxberry, nach der im LoxWiki beschriebenen Anweisung. Der Router ist ein Speedport LTE II. Die Ports sind entsprechend freigeschalten.
      ich habe jetzt, dass von dir verlinkte Template genommen und bekomme die Fehlermeldung, dass der VPN Server nicht antwortet.
      Welche Infos benötigst du damit du mir gezielt helfen kannst?

      Vielen Dank Michael

      Kommentar


      • Mit den Erklärungen von Svethi und Dir ist nun klar, dass eine L2TP Verbindung schon richtig ist und nicht IPSec. Ebenso wie Svethi verwende ich eine Fritzbox mit einem IPSec VPN und kann Dir hier leider nicht helfen.

        Vielleicht kann Dir ja Günter Wieser weiterhelfen. Zumindest bei den Parametern, die in beiden Varianten gleich sind, kannst Du überprüfen, ob Du in Deiner Config nur an den "richtigen" Stellen die Werte geändert hast.
        Miniserver v10.0.9.24, 2x Ext., 2x Relay Ext., 2x Dimmer Ext., DMX Ext., 1-Wire Ext., Gira KNX Tastsensor 3 Komfort, Gira KNX Präsenzmelder, Fenster- und Türkontakte, Loxone Regen- und Windsensor, Gira Dual Q Rauchmelder vernetzt mit 1x Relais-Modul
        Loxberry: SmartMeter, MS Backup, CamConnect, Weather4Lox
        Lüftung: Helios KWL EC 370W ET mit Modbus TCP - via Pico-C
        Heizung: Stiebel Eltron WPF 5 cool (Sole-Wasser WP) mit ISG, FB-Heizung mit 18 Kreisen, Erdsonde - via modifiziertem ISG

        Kommentar


        • So, ich habe mal ein Template für das LoxBerry VPN erstellt.
          Die Werte, die in 3 Rauten eingeschlossen sind, müssen angepasst werden.
          Da der PSK in meiner Datei verschlüsselt stand, habe ich ihn ganz rausgenommen. Bei der Installation der Config wird man daher nach dem PSK gefragt.

          Die Datei enthält Unix Zeileendemarkierungen und sollten auch so bleiben. Das Suffix .txt muss natürlich entfernt werden.
          Angehängte Dateien
          Miniserver; KNX; Vitogate; EnOcean (EnOceanPi); Loxone Air; Caldav-Kalenderanbindung; RaspberryPi und für keine Frickellösung zu schade :-)

          Kommentar


          • Hallo svethi,

            vielen vielen Dank, es hat geklappt, VOD funktioniert.. Man war ich an der Frustgrenze. Das Template von dir sollte man ins Wiki stellen.
            Eine Frage funktionieren die Benachrichtigung bei VOD, da ja hier der MS eine Mitteilung an die Clienten senden möchte Klicke auf die Grafik für eine vergrößerte Ansicht  Name: 2017-05-19 15_49_15-Loxone Config - 170117_Miniserver.png Ansichten: 1 Größe: 6,6 KB ID: 99153
            .
            Jetzt wird ja nur ein VPN aufgebaut, wenn der Client "nach Hause telefonieren "möchte.

            Kommentar


            • svethi
              svethi kommentierte
              Kommentar bearbeiten
              Schön, dass es jetzt funktioniert. Ich habe das Template jetzt auch ins Wiki gestellt.
              Was hast Du denn jetzt als Trigger genommen? Dein Router machte doch nicht wirklich internes DNS ala miniserver.fritz.box

            • wrack solutionist
              wrack solutionist kommentierte
              Kommentar bearbeiten
              Hi,

              als trigger habe ich *.speedport.ip genommen. Das funktioniert für die Loxone App perfekt, jedoch habe ich nun Probleme, dass bei Geofency einzubinden.
              Hast du da eine schlaue Idee? Weil die Befehle MS.speedport.ip:PORT/dev/sps/io/Test/Ein laufen ins Leere.

          • Wie bereits schon mehrfach erwähnt werden die Pushnachrichten immer über die Appleserver verschickt und haben daher nichts mit VPN-on-Demand zu tun. So lange der MiniServer ans Internet kommt, geht das auch.
            Miniserver; KNX; Vitogate; EnOcean (EnOceanPi); Loxone Air; Caldav-Kalenderanbindung; RaspberryPi und für keine Frickellösung zu schade :-)

            Kommentar


            • Ok jetzt habe ich es verstanden, wie hier die Kommunikation läuft.

              Kommentar


              • Hat noch jemand folgendes Problem:

                Mobileconfig:
                - mehrere SSIDs für WLAN ,wo die VPN Verbindung getrennt bzw. nicht hergestellt werden soll
                - mehrere Domain Einträge (fritz.box, xxx.fritz.box, local.net, xxx.local.net)
                - Loxone als ms.fritz.box im LAN

                Loxone App öffnen
                - UMTS oder LTE: VPN wird aufgebaut
                - nicht in der Config enthaltenes WLAN: VPN wird aufgebaut
                - UMTS oder LTE ist aktiv, man schaltet WLAN an und ist Zuhause: VPN wird getrennt

                und jetzt das Problem:
                man ist im eigenen WLAN, das ist in der Config eingetragen und ein VPN sollte nicht aufgebaut werden: VPN wird trotzdem aufgebaut !?????
                Gruß
                neonnt


                MS, 2 Extensions, Tree-Extension, 1-Wire Extension, Enocean Extension, S0 Zähler, Loxberry + Homebridge + HA-Bridge + FHEM, DS1400 + Netatmo Wetterstation, Echo Dot, Hue Bridge v2, VU+ Solo2 und noch einige RPi + Arduino

                Kommentar


                • Ohne deine Config wird das zum Kristallkugellesen.

                  Diese Passage hast du aber drin, oder?

                  Code:
                                  <!-- Turn off VPN if on our WiFi network -->
                                  <dict>
                                      <key>InterfaceTypeMatch</key>
                                          <string>WiFi</string>
                                      <key>SSIDMatch</key>
                                          <array>
                                              <string>###YOUR_SSID###</string>
                                          </array>
                                      <key>Action</key>
                                      <string>Disconnect</string>
                                  </dict>
                  Gruss,
                  tholle

                  Kommentar


                  • neonnt
                    neonnt kommentierte
                    Kommentar bearbeiten
                    Sorry, ich hatte mit Tapatalk geschrieben, da war der Code weg.

                    Hier die Config:

                    Code:
                    <!-- VPN-On-Demand Codeblock -->
                    <key>OnDemandEnabled</key>
                    <integer>1</integer>
                    <key>OnDemandRules</key>
                    <array>
                    <!-- VPN beim Zugriff auf Heimnetz-Adressen aufbauen -->
                    	<dict>
                    		<key>Action</key>
                    		<string>EvaluateConnection</string>
                    		<key>ActionParameters</key>
                    		<array>
                    			<dict>
                    				<key>Domains</key>
                    				<array>
                    					<string>*.local</string>
                    					<string>*.fritz.box</string>
                    					<string>fritz.box</string>
                    				</array>
                    				<key>DomainAction</key>
                    				<string>ConnectIfNeeded</string>
                    			</dict>
                    		</array>
                    	</dict>
                    	<dict>
                    		<!-- VPN bei ausgewählten WLAN-Netzen deaktivieren -->
                    		<key>InterfaceTypeMatch</key>
                    		<string>WiFi</string>
                    		<key>SSIDMatch</key>
                    		<array>
                    			<string>Wifi1</string>
                    			<string>Wifi2</string>
                    			<string>Wifi3</string>
                    			<string>Wifi4</string>
                    			<string>Wifi5</string>
                    		</array>
                    		<key>Action</key>
                    		<string>Disconnect</string>
                    	</dict>
                    	<dict>
                    		<!-- VPN bei aktiver WLAN-Verbindung aktivieren -->
                    		<key>InterfaceTypeMatch</key>
                    		<string>WiFi</string>
                    		<key>Action</key>
                    		<string>Connect</string>
                    	</dict>
                    	<dict>
                    		<!-- VPN im Mobilfunknetz aktivieren -->
                    		<key>InterfaceTypeMatch</key>
                    		<string>Cellular</string>
                    		<key>Action</key>
                    		<string>Connect</string>
                    	</dict>
                    	<dict>
                    		<!-- VPN Default state -->
                    		<key>Action</key>
                    		<string>Disconnect</string>
                    	</dict>
                    </array>
                    <!-- VPN-On-Demand Codeblock ENDE-->

                • Da steht ja auch, dass das VPN bei Wifi aufgebaut werden soll
                  Miniserver; KNX; Vitogate; EnOcean (EnOceanPi); Loxone Air; Caldav-Kalenderanbindung; RaspberryPi und für keine Frickellösung zu schade :-)

                  Kommentar


                  • Bin mir nicht ganz sicher, aber ich glaube die Reihenfolge der Blöcke ist relevant. Bei mir ist der <dict> Block mit SSIDMatch vor dem "Domains" Block. Einen zweiten Block mit InterfaceTypeMatch "WiFi" habe ich nicht und in fremden WLANs wird trotzdem das VPN aufgebaut. Dafür reicht der "ConnectIfNeeded" wohl aus.

                    Gruß Jan
                    Miniserver v10.0.9.24, 2x Ext., 2x Relay Ext., 2x Dimmer Ext., DMX Ext., 1-Wire Ext., Gira KNX Tastsensor 3 Komfort, Gira KNX Präsenzmelder, Fenster- und Türkontakte, Loxone Regen- und Windsensor, Gira Dual Q Rauchmelder vernetzt mit 1x Relais-Modul
                    Loxberry: SmartMeter, MS Backup, CamConnect, Weather4Lox
                    Lüftung: Helios KWL EC 370W ET mit Modbus TCP - via Pico-C
                    Heizung: Stiebel Eltron WPF 5 cool (Sole-Wasser WP) mit ISG, FB-Heizung mit 18 Kreisen, Erdsonde - via modifiziertem ISG

                    Kommentar


                    • svethi ja, aber eigentlich nur wenn die SSID nicht matcht, was z.B. bei Wifi5 problemlos funktioniert (das WLAN ist schon per VPN verbunden, deshalb benötige ich dort keinen Tunnel), sobald ich aber im eigenen WLAN bin wird das VPN aufgebaut.

                      Jan W. Ich schaue mir nochmal die Reihenfolge an.

                      EDIT: Die Reihenfolge war schuld. Ich habe den SSID Block vor den Domains Block gesetzt und nun läuft es wie es soll. :-)
                      Zuletzt geändert von neonnt; 22.Mai.2017, 19:00.
                      Gruß
                      neonnt


                      MS, 2 Extensions, Tree-Extension, 1-Wire Extension, Enocean Extension, S0 Zähler, Loxberry + Homebridge + HA-Bridge + FHEM, DS1400 + Netatmo Wetterstation, Echo Dot, Hue Bridge v2, VU+ Solo2 und noch einige RPi + Arduino

                      Kommentar


                      • Hi, ich hab Probleme bei diesem Thema, bzw. bin nicht sicher ob VPNonDemand auch bei Unifi funktioniert

                        * VPN hab ich auf meinem Unifi USG eingerichtet.
                        * Die Verbindung funktioniert, zugriff über 192.168.1.2 auf meinem Miniserver von auswärts funktioniert auch.

                        Jetzt bin ich dabei die mobileconfig zu editieren und scheitere an folgenden Punkten:

                        Hostname: Kann es sein, dass mein Miniserver keinen Hostname hat? Ich hab per FTP in der Config Datei nachgesehen: Da steht nur <hostname></hostname>. Wie füge ich selbigen hinzu?
                        Domain: in meinem LAN-Netzwerk steht bei Domainname "localdomain". Wäre dann der interne DNS Name: "hostname".localdomain?
                        FQDN: brauch ich hier einen DynDNS Anbieter oder reicht meine WAN IP (statisch)?
                        VPN Gruppennamen: Bei der Fritzbox ist es ja gleich dem VPN Benutzernamen. Ist das bei Unifi genauso?

                        Mit der Bitte um Hilfe,
                        lg
                        Daniel

                        Kommentar


                        • Das Unifi - Endbenutzer VPN geht aktuell über das PPTP Protokoll (unsicher!). Du solltest daher nach Möglichkeit vorher auf openvpn wechseln und danach das Thema on Demand angehen. Schau mal hier:

                          https://community.ubnt.com/t5/UniFi-...P/td-p/1231695

                          Zu deinen Fragen:

                          Was du vor hast, geht nicht. Du willst ein IPSEC Profil auswählen, diesen VPN Typ stellt dir das USG aber nicht zur Verfügung (nur für Site to Site Verbindungen). Du kannst versuchen, den VPN Typ auf PPTP umzustellen, dass sollte zu deinen Einstellungen im USG passen. Sicherer wäre aber vorher OpenVPN auf der USG zu aktivieren --> im Apple Configurator für openVPN "eigenes SSL" auswählen.

                          Kommentar


                          • Wie gesagt, ich bin nicht wirklich ein Netzwerkspezialist, aber ich denk mit 5.5.11 funktioniert L2TP.
                            Zumindest hab ichs so eingerichtet

                            Kommentar

                            Lädt...
                            X