iPhone und VPN on demand (IPSec mit Zertifikaten)

[Ali.Mente]

Hallo zusammen,

ich bin auf der Suche nach einer Anleitung, nach der ich ein iOS Gerät (z.B. iPhone) für VPN on demand konfigurieren kann.

Für die Einrichtung von VPN mittels PPTP oder IPSec mit Preshared Keys gibt es ja bereits diverse Anleitungen. Allerdings ist für VPN on demand eine IPSec Verbindung mit Zertifikaten notwendig (CISCO Client). Alles was ich zu diesem Thema finden konnte waren leider nur Fragen anderer Suchender.
Nach meinen Recherchen sollten LANCOM-Geräte mit neueren LCOS Versionen eigentlich alles mitbringen, was hierfür benötigt wird.

Kann da jemand helfen?

Beste Grüße,

-= Ali =-

[mongostyles]

Hallo,

hat sich hier was getan? mich würde auch einer Zertifikat basierte Lösung für das iPhone interessieren.

Gruss Markus

[findler]

Damit lassen sich iOS Geräte einfach für VPN mit Zertifikaten konfigurieren:
http://support.apple.com/kb/DL926

Ansonsten sollten die beiden Artikel helfen:
http://www2.lancom.de/kb.nsf/1275/FB30F ... enDocument
http://www2.lancom.de/kb.nsf/1275/D5265 ... enDocument

[mongostyles]

Hallo findler,

danke für deine Antwort!
Ich habe die Artikel durch, eine VPN Verbindung vom iPhone mittels PSK bekomme ich wie in der Lancom Anleitung hin. Ebenso bekomme ich eine VPN Verbindung mittels Zertifikaten und einem VPN Client (Shrew-Soft) hin.
Leider habe ich es nicht geschafft, mit einem iOS Gerät eine Zertifikats basierende VPN Verbindung hin zu bekommen.
Kannst Du oder irgend jemand hier mir eventuell auf die Sprünge helfen?

Gruss Markus

[findler]

Was sagt der vpn-status Trace, wenn Du über iPhone & Zertifikate eine Verbindung aufbauen möchtest?

[mongostyles]

Servus,

das hier kommt.

Code: Alles auswählen

> Trace # disp + vpn-st
Status              ON 
Error               ON 
VPN-Status          ON 
root@LANCOM_GATEWAY:/
> 
[VPN-Status] 2011/05/14 10:01:25,150
IKE info: The remote server 109.85.25.169:500 (UDP) peer def-main-peer id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 109.85.25.169:500 (UDP) peer def-main-peer id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 109.85.25.169:500 (UDP) peer def-main-peer id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 109.85.25.169:500 (UDP) peer def-main-peer id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 109.85.25.169:500 (UDP) peer def-main-peer id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 109.85.25.169:500 (UDP) peer def-main-peer id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 109.85.25.169:500 (UDP) peer def-main-peer id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 109.85.25.169:500 (UDP) peer def-main-peer id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 109.85.25.169:500 (UDP) peer def-main-peer id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 109.85.25.169:500 (UDP) peer def-main-peer id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 109.85.25.169:500 (UDP) peer def-main-peer id <no_id> supports draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server 109.85.25.169:500 (UDP) peer def-main-peer id <no_id> supports NAT-T in mode rfc
IKE info: The remote server 109.85.25.169:500 (UDP) peer def-main-peer id <no_id> negotiated rfc-3706-dead-peer-detection

[VPN-Status] 2011/05/14 10:01:25,150
IKE info: phase-1 proposal failed: remote No 1 hash algorithm = SHA <-> local No 1 hash algorithm = MD5
IKE info: phase-1 proposal failed: remote No 1 group = 5 <-> local No 2 group = 2
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = AES_CBC <-> local No 3 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = AES_CBC <-> local No 4 encryption algorithm = BLOWFISH_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = AES_CBC <-> local No 5 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = AES_CBC <-> local No 6 encryption algorithm = CAST_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = AES_CBC <-> local No 7 encryption algorithm = 3DES_CBC
IKE info: phase-1 proposal failed: remote No 1 encryption algorithm = AES_CBC <-> local No 8 encryption algorithm = 3DES_CBC
IKE info: Phase-1 remote proposal 1 failed for peer def-main-peer
IKE info: phase-1 proposal failed: remote No 2 hash algorithm = SHA <-> local No 1 hash algorithm = MD5
IKE info: Phase-1 remote proposal 2 for peer def-main-peer matched with local proposal 2

[VPN-Status] 2011/05/14 10:01:26,030
IKE info: Phase-1 [responder] got INITIAL-CONTACT from peer def-main-peer (109.85.25.169)

[VPN-Status] 2011/05/14 10:01:26,030
IKE info: Phase-1 SA removed: peer def-main-peer rule def-main-peer removed

[VPN-Status] 2011/05/14 10:01:26,060
IKE info: Set local ID to </C=DE/ST=BAWUE/L=Stuttgart/O=Firma/OU=VPN/CN=gateway_stuttgart/E=email@domain.de>

[VPN-Status] 2011/05/14 10:01:26,290
IKE info: Phase-1 [responder] for peer def-main-peer between initiator id E=email@domain.de,CN=mk_ipad,OU=VPN,O=Firma,L=Stuttgart,ST=BAWUE,C=DE, responder id E=email@domain.de,CN=gateway_stuttgart,OU=VPN,O=Firma,L=Stuttgart,ST=BAWUE,C=DE done
IKE info: SA ISAKMP for peer def-main-peer encryption aes-cbc authentication sha1
IKE info: life time ( 3600 sec/ 0 kb)

[VPN-Status] 2011/05/14 10:01:26,290
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer def-main-peer set to 3240 seconds (Responder)

[VPN-Status] 2011/05/14 10:01:26,290
IKE info: Phase-1 SA Timeout (Hard-Event) for peer def-main-peer set to 3600 seconds (Responder)

[VPN-Status] 2011/05/14 10:01:26,450
IKE log: 100126.000000 Default message_parse_payloads: invalid next payload type <Unknown 112> in payload of type 8

[VPN-Status] 2011/05/14 10:01:26,450
IKE log: 100126.000000 Default dropped message from 109.85.25.169 port 500 due to notification type INVALID_PAYLOAD_TYPE

[VPN-Status] 2011/05/14 10:01:26,450
IKE info: dropped message from peer def-main-peer 109.85.25.169 port 500 due to notification type INVALID_PAYLOAD_TYPE

Gruss

[findler]

Hi mongostyles,

bitte geb Bescheid, ob Dir die Hinweise per PM geholfen haben. Solltest Du dann über die Meldung "Could not validate Server Certificate" stolpern, so empfehle ich http://manuals.info.apple.com/en_US/Ent ... _Guide.pdf ab Seite 67ff. Insbesonders die Requirements zu den Zertifikaten auf dem iPhone/iPad.

[...]The server identity certificate must contain the server’s DNS name and/or IP address
in the subject alternate name (SubjectAltName) field. The device uses this
information to verify that the certificate belongs to the server. You can specify the
SubjectAltName using wildcard characters for per-segment matching, such as
vpn.*.mycompany.com, for more flexibility. The DNS name can be put in the common
name field, if no SubjectAltName is specified.[...]

[chrizzz86]

Moin,

also bei mir läufts auch, SubjectAltName muss zwingend vorhanden sein.
Allerdings läufts nur mit DNS:FQDN und nicht mit IP:xxx.xxx.xxx.xxx

Grüße

[mongostyles]

Hallo ihr,

erst mal 1000 Dank an findler!
Hatte nun noch das Problem, das mein iPad2 mit aktuellem iOS wohl IKE 5 macht, anstatt 2, das hab ich aber dann vollends hin bekommen.

2 Fragen hab ich nun noch )
- wie siht das mit der Xautch Abfrage aus, kommt man um die irgendwie rum, bzw. kann man das Kennwort "speichern" lassen?
- in wie weit ist eine DNS Auflösung möglich? Bei unseren Software Clients usw. klappt das, ist das auch mit iOS Geräten machbar?

Gruss und nochmals DANKE

[findler]

Zu Deiner Bemerkung mit IKE siehe die IPSEC settings im Enterprise Deployment Guide S. 69. (Link letzter Post)
Ohne Xauth bei Zertifikaten theoretisch ja - ich habs selbst noch nicht getestet. (S. 67 Authentication Methods)

[...]Client and server certificates for IPSec authentication with optional user authentication via xauth[...]

So könnte es funktionieren: Im Iphone Konfigurationsprogramm Account leer lassen - Inklusive Benutzer-PIN nicht gesetzt. Evtl. .mobileconfig File editieren:

Code: Alles auswählen

<key>XAuthEnabled</key>
<integer>0</integer>

XAuth Passwort speichern: Im iPhone Konfigurationsprogramm "Inklusive Benutzer PIN" setzen, dann wird bei der Profil Installation das Passwort abgefragt und ist gespeichert.

Was meinst Du mit Deiner Frage zur DNS Auflösung?

[mongostyles]

Super, das mit der Pin hat super geklappt.
Jetzt kommt beim manuellen verbinden keinerlei Abfrage mehr.
Wenn jedoch das VPN per "on Demad" aktiviert wird, bekomme ich wieder die Xauth abfrage mit Account und Passwort

Ohne Xauth habe ich es bisher nicht ans laufen gebracht, diverse Dinge versucht, aber dann kommt die Meldung, dass das Gerät nict authentifiziert werden konnte.

Zwecks dem DNS Thema, nun ob eine Namensauflösung möglich ist mit der VPN Verbindung zwischen Lancom Routern und iOS Geräten, oder nicht. Da ich das bisher nicht geschafft habe, es jedoch mit Software Clients bestens funktioniert. Also Auflösung server.name zu ip-adresse...

Gruss

[findler]

Zwecks dem DNS Thema, nun ob eine Namensauflösung möglich ist mit der VPN Verbindung zwischen Lancom Routern und iOS Geräten, oder nicht

Das geht ohne Probleme. (edit: falls die lokale Domäne nicht auf .local endet)

[findler]

VPN on Demand ohne Passwortabfrage:

Dabei muss das Profil manuell bearbeitet werden. Dazu über das Konfigurationsprogramm exportieren und die erhaltene XML Datei (.mobileconfig) über einen Editor bearbeiten.
Ausdruck "XAuthName" suchen und danach einen key "XAuthPassword" einfügen. So sollte es ausschauen:

Code: Alles auswählen

<key>XAuthName</key>
<string>myname</string>
<key>XAuthPassword</key>
<string>mypassword</string>

Datei speichern. Das .mobileconfig File an einen Emailaccount schicken, der auf dem IPhone eingerichtet ist & auf dem Iphone öffnen. Hinweis: Erneutes Laden ins Konfigurationsprogramm löscht den Parameter, da er offiziell nicht unterstützt wird.


PS: Bin mir allerdings nicht mehr sicher, ob ein VPN Tunnel aus dem Standby aufgebaut wird. Dies könnte u.U. für einige Zugriffe wichtig sein ....

[mongostyles]

Hallo,

so als kurzes Feedback, es hat bestens geklappt mit dem manuell angepassten Konfigurations- File! Läuft hervorragend. Lediglich die Namensauflösung will nicht, was mich aber nicht stört.

Nochmals besten Dank.

Gruss

[DirkK]

Hallo,

ist ja eine recht gute Beschreibung hier, trotzdem krieg ich's nicht hin und weiss nicht mehr weiter. Das VPN mittels PSK funktioniert seit Jahren problemlos, nur benötige ich eigentlich VPN on demand.

Ich habe eine Windows CA aufgesetzt, mit der ich meine Zertifikat z.B. für Webserver selbst ausstelle. Damit habe ich ein VPN-Zertifikat für meinen 1724 und für mein iPhone erstellt und entsprechend dorthin übertragen.
Dann habe ich das VPN im Lancom mit Hilfe der Beschreibung im Referenzhandbuch und den Beiträgen hier konfiguriert. Xauth kann ich allerdings nicht wie hier beschrieben ausschalten. Wenn ich Xauth am 1724 ausschalte, so meldet das iphone, dass der VPN-Server nicht antwortet, wenn ich es einschalte meldet das iPhone "Benutzer-Authentifizierung fehlgeschlagen".
Hier mal die Traceausgabe:

Code: Alles auswählen

>
[VPN-Status] 2011/09/03 16:19:15,690
IKE info: The remote peer def-main-peer supports NAT-T in RFC mode
IKE info: The remote peer def-main-peer supports NAT-T in draft mode
IKE info: The remote peer def-main-peer supports NAT-T in draft mode
IKE info: The remote server 87.146.204.146:500 (UDP) peer def-main-peer id <no_id> supports draft-ietf-ipsec-isakmp-xauth
IKE info: The remote server 87.146.204.146:500 (UDP) peer def-main-peer id <no_id> negotiated rfc-3706-dead-peer-detection


[VPN-Status] 2011/09/03 16:19:15,690
IKE info: Phase-1 remote proposal 1 for peer def-main-peer matched with local proposal 1


[VPN-Status] 2011/09/03 16:19:17,510
IKE info: Phase-1 [responder] got INITIAL-CONTACT from peer IPHONE3 (87.146.204.146)


[VPN-Status] 2011/09/03 16:19:17,750
IKE info: Phase-1 [responder] for peer IPHONE3 between initiator id CN=iphone3,OU=iphone3,O=ghdf,C=DE, responder id CN=myhost.dyndns.org,OU=lcrouter,O=ghdf,C=DE done
IKE info: NAT-T enabled in mode rfc, we are not behind a nat, the remote side is not behind a nat
IKE info: SA ISAKMP for peer IPHONE3 encryption aes-cbc authentication sha1
IKE info: life time ( 3600 sec/ 0 kb)


[VPN-Status] 2011/09/03 16:19:17,760
IKE info: Phase-1 SA Rekeying Timeout (Soft-Event) for peer IPHONE3 set to 3240 seconds (Responder)


[VPN-Status] 2011/09/03 16:19:17,760
IKE info: Phase-1 SA Timeout (Hard-Event) for peer IPHONE3 set to 3600 seconds (Responder)


[VPN-Status] 2011/09/03 16:19:24,950
IKE log: 161924.000000 Default xauth_initiator_recv_ATTR: cfg packet ID did not match!


[VPN-Status] 2011/09/03 16:19:24,950
IKE info: IKE-CFG:   Attribute XAUTH_USER_NAME          len 7 value iphone3 received


[VPN-Status] 2011/09/03 16:19:24,950
IKE info: IKE-CFG:   Attribute XAUTH_PASSWORD           len 8 value * received


[VPN-Status] 2011/09/03 16:19:24,970
IKE info: IKE-CFG:   Attribute XAUTH_STATUS             len 2 value FAIL received


[VPN-Status] 2011/09/03 16:19:24,990
IKE info: Delete Notification received for Phase-1 SA isakmp-peer-IPHONE3 peer IPHONE3 cookies [f902da5c07b4948c df04709c69e6e9eb]


[VPN-Status] 2011/09/03 16:19:24,990
IKE info: Phase-1 SA removed: peer IPHONE3 rule IPHONE3 removed


[VPN-Status] 2011/09/03 16:19:25,000
VPN: IPHONE3 (0.0.0.0)  disconnected

[VPN-Status] 2011/09/03 16:19:25,000
vpn-maps[33], remote: IPHONE3, idle, static-name

Könnt Ihr mir vielleicht weiterhelfen?

Gruß
Dirk