VPN-on-demand iOS & Fritzbox

[Alberich]

Hallo, ich möchte mein iPhone 11 mit dem VPN meiner Fritzbox 7490 verbinden und zwar ohne dass ich das VPN immer wieder manuell aktivieren muss, sobald dass Telefon in den Ruhemodus geht.

In meinem heimischen Wlan soll das VPN ausbleiben und ansonsten in Wlans und Handynetzen an sein.

Mit dem Apple Configurator 2 und einigen Anpassungen lässt sich das über ein Profil ganz gut machen, es gab ja auch schon Threads dazu (https://www.apfeltalk.de/community/threads/vpn-on-demand-fritzbox.512714/), in die ich leider nicht mehr reinschreiben kann, sonst hätte ich keinen neuen gestartet.

Dazu habe ich nun noch ein paar Fragen evtl. kann mir jemand weiterhelfen. @Ijon Tichy z.B. scheint sich ja ganz gut damit auszukennen, wenn ich den alten Thread so lese. Vielleicht gibt es auch sonst jemand der Rat weiß.

Ich habe mir auch schon einige Seiten mit entsprechenden Anleitungen angeguckt, mich eingelesen und das Benötigte zusammengesucht, sehe eigentlich soweit klar, denke ich und bin mit dem Profil fast fertig.

Was mir nur noch nicht ganz klar ist sind einige Profilbestandteile:

Was machen folgende Zeilen:

<key>IPv4</key>
<dict>
<key>OverridePrimary</key>
<integer>1</integer>
</dict>

Dann fügen einige Blogger dies als default-setting jeweils hinter den Regeln für heimisches Wlan, Wlan und Mobilfunknetz ein:

<key>Action</key>
<string>Disconnect</string>

andere das:

<key>Action</key>
<string>Ignore</string>

andere das

<key>Action</key>
<string>Connect</string>

Was bewirkt das? Es scheint darum zu gehen was gelten soll, wenn es weder heimisches Wlan, noch Wlan, noch Mobilfunknetz sein sollte und was dann gelten soll. Ignorien, nicht verbinden, verbinden... Da scheint mir ignorien fast noch ab sinnvollsten. Was meint ihr?

Als drittes noch eine Verständnisfrage. Ich nutze nicht VPM-always-on. Möchte das auch nicht, weil das wohl nur im Supervized Mode geht. Daher VPN-on-demand. Verstehe ich es richtig, dass bei VPN-on-demand bei Eintritt in den Ruhemodus Wland und VPN getrennt werden? Dass das VPN zusammen mit dem Wlan aber wieder angeht? Das ist das was ich möchte.

Was mir nur nicht ganz klar ist: Wenn nicht ich aktiv werde und den Ruhezustand beende, sondern z.B. eine Push-Nachricht für einen Messenger reinkommt, was passiert dann? Aktiviert sich dann auch das VPN? Oder erst, wenn ich das Handy in die Hand nehme um die Nachricht anzugucken? Gibt es demnach bei VPN-on-demand immer auch Traffic, der nicht über VPN läuft? Ich hoffe die Frage ist verständlich.

 

[Alberich]

Ich habe mir jetzt ein VPN-on-demand für das iPhone angelegt und es funktioniert. In fremden Wlans und im Mobilfunknetz wird eine VPN-Verbindung zu meiner Fritzbox aufgebaut. So weit so gut, auch wenn meine Eingangsfrage noch offen ist. Ich habe mich im Profil letztlich für die "ignore" Variante entschieden.

Das einzige, was mir noch etwas Kopfzerbrechen bereitet, sind manche Captive-Portals. Grundsätzlich klappt es dort. Aber bei zwei Anbietern klappt es nicht. Das VPN wird nicht aufgebaut und dann kommt keine Verbindung zustande.

Ich bin nun unsicher, ob das am Konfigurationsprofil liegt (aber warum funktioniert es dann mit anderen Captive-Portals) oder ob er manche Anbieter von offenen Wlans keine VPN zulassen. Wäre das möglich? Kann man das blocken?

 

[Wuchtbrumme]

Ich habe mir jetzt ein VPN-on-demand für das iPhone angelegt und es funktioniert. In fremden Wlans und im Mobilfunknetz wird eine VPN-Verbindung zu meiner Fritzbox aufgebaut. So weit so gut, auch wenn meine Eingangsfrage noch offen ist. Ich habe mich im Profil letztlich für die "ignore" Variante entschieden.

Das einzige, was mir noch etwas Kopfzerbrechen bereitet, sind manche Captive-Portals. Grundsätzlich klappt es dort. Aber bei zwei Anbietern klappt es nicht. Das VPN wird nicht aufgebaut und dann kommt keine Verbindung zustande.

Ich bin nun unsicher, ob das am Konfigurationsprofil liegt (aber warum funktioniert es dann mit anderen Captive-Portals) oder ob er manche Anbieter von offenen Wlans keine VPN zulassen. Wäre das möglich? Kann man das blocken?

das ist alles möglich. Zunächst einmal hat man ja gar kein outgoing internet, bis man nicht die captive page bestätigt hat, aber selbst dann muss der Router dort das VPN unterstützen, durch eine vollständige Implementation der Anforderungen an einen echten Internetanschluss, zum anderen ggfls. durch NATting entsprechender Protokolle *und* leistungsmässiges Unterstützen. Manche Router sind so überladen, dass sie das gar nicht können. Und bei dem einen oder anderen Hotel müsste mal jemand den hängengebliebenen Router resetten, aber das tut keiner.

Was mich noch von automatischem VPN-on-demand abhält, ist, dass wenn es nicht klappt, man auch kein Internet hat.

 

[Alberich]

Unter Allgemein>VPN>VPN>[Name deines VPN-Profils] hast du ja einen Schalter "Bei Bedarf verbinden".

Ich bin nicht sicher. Dachte aber, dass man das Profil so notfalls abschalten kann. Käme auf Versuch an. Außerdem kannst du das Profil ja such löschen.

Kommt natürlich auch drauf an was du mit der VPN Verbindung willst. Nur Fritzfon nutzen, oder mehr.

 

[Sequoia]

Du kannst auch manuell einfach noch eine zweite VPN Verbindung (ganz normale manuelle Verbindung) zur FRITZ!Box einrichten.

Ich habe es permanent auf VPN on demand stehen.

Wenn der oben beschriebenen Fall nun eintritt, dann wechselt man einfach per klick auf das manuelle Profil, und verbindet nicht. Damit hat man dann VPN on demand quasi deaktiviert

 

[Ijon Tichy]

Sorry, komme erst heute zum Anworten!

Was machen folgende Zeilen:

<key>IPv4</key>
<dict>
<key>OverridePrimary</key>
<integer>1</integer>
</dict>

OverridePrimary gibt an, ob der gesamte Traffic durch das VPN laufen soll (1) oder nur der fürs Intranet erforderliche (0), letztes auch bekannt als Split Tunneling.

Leider in deinem Fall nicht relevant, da nur bei den Protokollen L2TP oder PPTP anwendbar. Bei IPSec, was die Fritzbox derzeit verwendet, wird von iOS immer voll getunnelt.

Dann fügen einige Blogger dies als default-setting jeweils hinter den Regeln für heimisches Wlan, Wlan und Mobilfunknetz ein:

<key>Action</key>
<string>Disconnect</string>

andere das:

<key>Action</key>
<string>Ignore</string>

andere das

<key>Action</key>
<string>Connect</string>

Was bewirkt das? Es scheint darum zu gehen was gelten soll, wenn es weder heimisches Wlan, noch Wlan, noch Mobilfunknetz sein sollte und was dann gelten soll. Ignorien, nicht verbinden, verbinden... Da scheint mir ignorien fast noch ab sinnvollsten. Was meint ihr?

Damit wird angegeben, wann der VPN-Tunnel auf- oder abgebaut werden soll. Wenn du zum Beispiel ein VPN zu dir nach Hause haben willst, sollte das VPN natürlich nur dann aufgebaut werden, wenn du nicht zuhause bist. Erstens macht es zuhause keinen Sinn und zweitens geht es da auch gar nicht. Also Disconnect in diesem Fall (du willst nicht verbunden werden).

Mit Connect gibst du eben an, in welchen Fällen du verbunden werden willst. Ignore ist meiner Meinung nach eigentlich rechts sinnlos, heißt nämlich so viel wie "mach nix, egal, ob du gerade verbunden bist oder nicht".

Als drittes noch eine Verständnisfrage. Ich nutze nicht VPM-always-on. Möchte das auch nicht, weil das wohl nur im Supervized Mode geht. Daher VPN-on-demand. Verstehe ich es richtig, dass bei VPN-on-demand bei Eintritt in den Ruhemodus Wland und VPN getrennt werden? Dass das VPN zusammen mit dem Wlan aber wieder angeht? Das ist das was ich möchte.

Ja, das VPN wird im Ruhemodus getrennt (zumindest nach einer Weile) und bei Bedarf dann wieder verbunden.

Bei einem VPN on demand kann man den VPN-Schalter aber übrigens auch immer von Hand einschalten.

Was mir nur nicht ganz klar ist: Wenn nicht ich aktiv werde und den Ruhezustand beende, sondern z.B. eine Push-Nachricht für einen Messenger reinkommt, was passiert dann? Aktiviert sich dann auch das VPN? Oder erst, wenn ich das Handy in die Hand nehme um die Nachricht anzugucken? Gibt es demnach bei VPN-on-demand immer auch Traffic, der nicht über VPN läuft? Ich hoffe die Frage ist verständlich.

Das VPN on demand wird nur aktiv, wenn es erforderlich ist. Kommt also darauf an, was du konkret konfiguriert hast.

Was mich noch von automatischem VPN-on-demand abhält, ist, dass wenn es nicht klappt, man auch kein Internet hat.

Nicht dass ich wüsste. Bei mir geht Internet mit und ohne VPN. In welchem Szenario soll das so sein?

 

[Alberich]

OverridePrimary gibt an, ob der gesamte Traffic durch das VPN laufen soll (1) oder nur der fürs Intranet erforderliche (0), letztes auch bekannt als Split Tunneling.

Leider in deinem Fall nicht relevant, da nur bei den Protokollen L2TP oder PPTP anwendbar. Bei IPSec, was die Fritzbox derzeit verwendet, wird von iOS immer voll getunnelt.

Danke, dann hätte ich mir das sparen können und der ganze Abschnitt kann also weg? Erstaunlicherweise findet sich das in fast allen Anleitungen für VPN-on-demand für die Fritzbox. Hat vielleicht einer beim anderen abgeschrieben?

<key>IPv4</key>
<dict>
<key>OverridePrimary</key>
<integer>1</integer>
</dict>

Damit wird angegeben, wann der VPN-Tunnel auf- oder abgebaut werden soll. Wenn du zum Beispiel ein VPN zu dir nach Hause haben willst, sollte das VPN natürlich nur dann aufgebaut werden, wenn du nicht zuhause bist. Erstens macht es zuhause keinen Sinn und zweitens geht es da auch gar nicht. Also Disconnect in diesem Fall (du willst nicht verbunden werden).

Mit Connect gibst du eben an, in welchen Fällen du verbunden werden willst. Ignore ist meiner Meinung nach eigentlich rechts sinnlos, heißt nämlich so viel wie "mach nix, egal, ob du gerade verbunden bist oder nicht".

Nee, so meinte ich das nicht. Mir ist klar, was connect, disconnet und ignore heißt. Meine Frage bezog sich darauf, dass nachdem entsprechende Einstellungen für die eigenen SSIDs (disconnect), sonstige Wlans (connect) sowie Mobilfunknetze (connect) getroffen wurden, noch dies hinzugefügt wurde, ohne erkennbare Bedingung:

<key>Action</key>
<string>Disconnect</string>

oder

<key>Action</key>
<string>Ignore</string>

oder

<key>Action</key>
<string>Connect</string>

Was bringt das?

---------------------
So sieht das ungefähr bei mir (IPSec Fritzbox) aus:

...

<dict>

<key>InterfaceTypeMatch</key>

<string>WiFi</string>

<key>SSIDMatch</key>

<array>

<string>Mein eigenes Wlan zu Hause</string>

<string>Mein Gast-Wlan zu Hause</string>

</array>

<key>Action</key>

<string>Disconnect</string>

</dict>

<dict>

<key>InterfaceTypeMatch</key>

<string>WiFi</string>

<key>Action</key>

<string>Connect</string>

</dict>

<dict>

<key>InterfaceTypeMatch</key>

<string>Cellular</string>

<key>Action</key>

<string>Connect</string>

</dict>

<dict>

<key>Action</key>

<string>Disconnect</string>

</dict>

...

</dict>

<key>IPv4</key>

<dict>

<key>OverridePrimary</key>

<integer>1</integer>

</dict>

<key>PayloadDescription</key>

...

 

[Ijon Tichy]

Danke, dann hätte ich mir das sparen können und der ganze Abschnitt kann also weg? Erstaunlicherweise findet sich das in fast allen Anleitungen für VPN-on-demand für die Fritzbox. Hat vielleicht einer beim anderen abgeschrieben?

<key>IPv4</key>
<dict>
<key>OverridePrimary</key>
<integer>1</integer>
</dict>

Hier noch mal der Link zum Selbernachlesen, wenn du willst: Apple Configuration Profile Reference

Da steht über OverridePrimary: The following element is for VPN payloads of type L2TP or PPTP

Nee, so meinte ich das nicht. Mir ist klar, was connect, disconnet und ignore heißt. Meine Frage bezog sich darauf, dass nachdem entsprechende Einstellungen für die eigenen SSIDs (disconnect), sonstige Wlans (connect) sowie Mobilfunknetze (connect) getroffen wurden, noch dies hinzugefügt wurde, ohne erkennbare Bedingung:

<key>Action</key>
<string>Disconnect</string>

oder

<key>Action</key>
<string>Ignore</string>

oder

<key>Action</key>
<string>Connect</string>

Was bringt das?

Die Match-Bedingungen werden in der vorgegebenen Reihenfolge geprüft und beim ersten Treffer wird die entsprechende Action ausgeführt. Die Action ohne Bedingung am Ende ist sozusagen der Else-Zweig. Sie wird durchgeführt, wenn es die Match-Bedingungen davor alle nicht zugetroffen haben.

 

[Alberich]

Ok,ich danke Dir.

 

[Alberich]

Nach einigen Monaten habe ich die Konfigurationsdatei jetzt nochmal modifiziert. Weg von automatischer Aktivierung in fremden Wlans und Mobilfunk. Ich lasse es jetzt nur noch in fremden Wlans automatisch an gehen und habe mir zusätzlich noch ein manuelles Profil angelegt. Dann bleibt man flexibel. Hintergrund war ein neuer Mobilfunkvertrag, der mir über 100 Mbit bietet, während das VPN den Durchsatz im Mobilnetz ja auf den maximalen Festnetzupload runterbremst.

Du kannst auch manuell einfach noch eine zweite VPN Verbindung (ganz normale manuelle Verbindung) zur FRITZ!Box einrichten.

Ich habe es permanent auf VPN on demand stehen.

Wenn der oben beschriebenen Fall nun eintritt, dann wechselt man einfach per klick auf das manuelle Profil, und verbindet nicht. Damit hat man dann VPN on demand quasi deaktiviert
Anhang anzeigen 181788

 

[Sequoia]

Genau so habe ich es auch schon immer gehabt. Im Mobilfunk macht es weniger Sinn.

 

[Wuchtbrumme]

es sei denn, man ist in China. Aber da ist VPN vermutlich auch verboten.

 

[Sequoia]

Dort sind viele VPN gesperrt.
Zu meiner FB kann ich eine Verbindung herstellen. Da macht es Sinn, das zweite Profil (mit immer VPN an) auf Abruf dabei zu haben.

 

[willi89]

Noch ein Hinweis an alle, welche die VPN Sperren von einigen Anbietern umgehen wollen. Hierfür einfach openvpn mit tcp auf port 443 oder 80 nutzen. Solange surfen nicht gesperrt ist sollte das VPN dann auch gehen.

Lässt sich dann ebenso komfortabel einrichten wie das Fritz VPN. Auf dem iOS Gerät muss nur die open vpn app installiert sein.

Leider habe ich bei meinen Versuchen on demand / aus der Einstellungen App „nur“ Verbindungen zu eigenen Servern herstellen können. Mit Proton hats nicht funktioniert…

 

[Alberich]

Wie ist das mit der Apple Watch, wenn man auf dem iPhone so ein Konfigurationsprofil eingestellt hat. Ich meine nicht die Fälle, in denen die Uhr möglicherweise eine direkte Wlan-Verbindung zum iPhone aufbaut, sondern jene Fälle in denen die Uhr die gespiecherten Wlans des IPhones nutzt. Das ist ja so vorgesehen. Läuft das dann auch über VPN? Angezeigt wird nichts Dergleichen. Evtl. hat das mal jemand ausprobiert. Ich wüsste jedenfalls nicht, dass die Watch VPN kann.

 

[Ijon Tichy]

Wenn man einen Mac mit einem iPhone als Hotspot verbindet, benutzt der auch nicht ein evtl. laufendes VPN auf dem iPhone mit, also geht das vermutlich auch mit der Watch nicht.

 

[Wuchtbrumme]

Wenn man einen Mac mit einem iPhone als Hotspot verbindet, benutzt der auch nicht ein evtl. laufendes VPN auf dem iPhone mit,

ist das Wissen?

 

[Ijon Tichy]

ist das Wissen?

Erfahrung

Nachtrag:
Wobei ich nicht ganz ausschließen will, dass das auch vom VPN abhängen könnte. Bei mir war’s IPSec. Würde mich aber wundern. (Was aber auch nix heißen muss

 

[Alberich]

Gesetzt den Fall, das wäre so und das VPN des iPhone wird nicht genutzt: Kommt dann gar keine Verbindung zustande ohne eine ohne VPN?

 

[Ijon Tichy]

Eine ohne VPN.