VPN mit mobilen Geräten

[SPQRInc]

Hallo zusammen,

ich habe auf meinem Mac-Server VPN konfiguriert und lasse die Einstellungen über den Profilmanager ausrollen. Auf meinem OS X-Geräten funktioniert das auch wunderbar; auf iOS-Geräten bekomme ich aber die Rückmeldung, dass der L2TP-Server nicht reagieren würde.


Das Portforwarding übernimmt die Fritzbox (siehe Anhang).

Welchen Fehler mache ich?

 

[Scotch]

Wofür in aller Welt braucht man bei einer VPN-Verbindung port forwarding? Der Sinn und Zweck eines VPN-Tunnels ist es, u.a. genau das zu vermeiden!

 

[SPQRInc]

Nunja, zumindest müssen doch die Anfragen für VPN irgendwie an den VPN-Server gelangen, oder nicht?

 

[Scotch]

Die ultra-Kurzfassung: Du baust den Tunnel zu deiner FB auf (die ist ja netzseitig sichtbar). Sobald der Tunnel steht, bezieht dein Client eine IP aus dem lokalen Netz (also von der FB). Danach kann der Client auf alle Resourcen des LAN zugreifen, als wäre er Bestandteil dessen.

Wenn du aus irgendwelchen Gründen einen dedizierten Server hinter der FB (und damit auch hinter dem Paketfilter) als VPN-Gateway betreiben willst (das ist für ein 08/15-privat-LAN i.d.R. nicht empfehlenswert), dann müssen nur die Ports für den Aufbau des Tunnels weitergeleitet werden (1723, 500, 1701, 4500 - je nach tunnelling-Protokoll). Du hast mal gleich alle inkl. ESP aufgemacht - das kann nicht sinnvoll sein.

Für alles weitere: Google. Eine gute Übersicht zum Einstieg findest du bei Microsoft. Achtung! Das ist eine Beschreibung aus der Windows Server MSDN Library - was da als "üblich" bezeichnet wird, gilt i.d.R. für mittelgrosse bis grosse Firmennetzwerke. Deine FB kombiniert VPN & Firewall. Das VPN-GW sitzt dabei hinter der FW.

 

[SPQRInc]

Hm, ich verstehe Deine Kritik.

Hier muss das Setup folgendermaßen lauten:

Der Mac Mini Server liegt hinter der Fritzbox und erhält von dieser eine feste IP. Der Mac Mini Server stellt VPN bereit und rollt die Einstellungen über den Profilemanager an alle Nutzer aus, die hierfür freigegeben werden.

Ich sehe hier keine andere Möglichkeit, als mit einer Port-Weiterleitung zu arbeiten. Ich habe all diese Ports geöffnet, da die Verbindungen auch unter Verwendung von OS X nicht zustande kommen.

Wie Du siehst sind alle relevanten Ports geöffnet - und dennoch kommt es zu keiner Verbindung unter Verwendung von iOS.

 

[SPQRInc]

Jetzt wird es komisch: Wenn ich L2TP nutze und als Shared Key genau das Passwort des Administrators verwende, funktioniert es auch auf den iOS-Geräten. Nutze ich ein Passwort, welches auch nur ein Zeichen abweicht, funktioniert es nicht.

 

[Insulaner]

Das ist doch jetzt wohl ein Witz oder?
Wenn man nicht das richtige Passwort benutzt, dann wird es natürlich nicht funktionieren.
Ein Passwort muss immer *exakt* stimmen. Das sollte doch wohl klar sein.

 

[SPQRInc]

Du hast das missverstanden:

Ich habe einen Nutzer im OD. Dieser Nutzer ist ein Netzwerkbenutzer mit einem Passwort.

Wenn das Shared Secret diesem Passwort entspricht (und das Passwort natürlich auch) funktioniert alles. Wenn das Shared Secret aber abweicht (ich möchte ja nicht als Shared Secret ausgerechnet das Passwort verwenden, welches ich für einen real existierenden Nutzer mit Administrationsrechten verwende) und dieses natürlich auch auf den Clients anpasse, funktioniert es nicht.

 

[Insulaner]

Verstehe.
Ich kenn das so, dass das Shared Secret immer identisch ist und
dann die User-Authentifikation individuell (username/passwort) erfolgt.

Also im Prinzip:
1. Aufbau der VPN-Verbindung (mit dem Shared Secret)
2. Freischalten der Datenkommunikation (mit User / Password)

 

[SPQRInc]

Genau - so sollte das sein.

Aber in diesem Fall muss das Shared Secret identisch mit dem OD-Passwort des Nutzers sein, um mit dem Test-Account zu funktionieren. Und das ist wohl nicht Sinn der Übung

Ich habe den Fehler nun gelöst: Ich habe die "Einstellungen für jeden" gelöscht und neu ins Profil eingebunden. Nun passt es.

 

[erdtfgkuh]

Hallo die FB kann ebenfalls eine VPN Leitung aufbauen, damit fällt die Portweiterleitung weg. Und hat die gleiche Wirkung