meintechblog.de
8Feb/15323

VPN On-Demand zwischen iPhone und Fritz!Box einrichten

iOS VPNondemand

Wie bereits vor geraumer Zeit im Artikel Sichere VPN-Verbindung zwischen iPhone und Fritz!Box erläutert, lässt sich von unterwegs ein sicherer Datentunnel aufbauen, um alle Daten verschlüsselt zwischen mobilem Endgerät und heimischem Router zu übertragen und damit abzusichern. Das ist dann besonders praktisch, wenn der heimische Server auf sicherem Wege erreicht werden soll, der selbst keine verschlüsselte Verbindung unterstützen würde (wie bspw. im Falle des Loxone Miniservers) oder generell ein Port-Forwarding vermieden werden soll.

Etwas unkomfortabel war dabei jedoch, dass die sichere VPN-Verbindung grundsätzlich manuell aufgebaut werden muss. Nachfolgend wird deshalb erläutert, wie eine solche Verbindung regelbasiert "on demand" auch ohne manuelle Eingriffe voll automatisch hergestellt werden kann.

Server- und Client-Konfiguration

Um die VPN-OnDemand-Verbindung zwischen heimischer Fritz!Box (Affiliate-Link) und iPhone einrichten zu können, werden zwei Komponenten benötigt. Zum einen eine Server-Konfigurationsdatei, welche in der Fritz!Box hinterlegt wird und zum anderen eine Client-Konfigurationsdatei, welche auf dem iPhone als Profil installiert wird.

Serverkonfiguration auf der Fritz!Box

In der zum Download bereitgestellten Datei 150208_fritzbox_vpn_oehringen.cfg (2087 Downloads) werden alle notwendigen Settings eingetragen, damit die Fritz!Box später die eingehende Verbindung vom iPhone auch akzeptiert. Die Konfigurationsdatei bearbeitet man mit einem Texteditor, welcher das Format unberührt lässt. Unter OS X nutzt man einfach das bereits standardmäßig installierte TextEdit, unter Windows bspw. Notepad++.

Fritzbox VPN Oehringen

Wichtig sind dabei nachfolgende Werte, die jeder selbst anpassen muss:

Grün umrandet: "jay_iphone"
Das ist der VPN-Benutzername, mit welchem die Verbindung aufgebaut werden soll.

Rot umrandet: "192.168.3.202"
Das ist die von der Fritz!Box für das iPhone bereitgestellte IP-Adresse, welche für die VPN-Verbindung freigehalten wird. Um herauszufinden, welche Werte genutzt werden müssen, können die Fritz!Box-Einstellungen unter "http://fritz.box" -> "Heimnetz" -> "Netzwerk" -> "Netzwerkeinstellungen" -> "IPv4-Adressen" geprüft werden.

Fritzbox Netzwerkeinstellungen IPv4

In diesem Beispiel weist die Fritz!Box per DHCP bis zur IP 192.168.3.200 automatisch Adressen für Geräte im heimischen Netzwerk zu. Freie nachfolgende Adressen (192.168.3.201, 192.168.3.202, etc.) können dann sinnvollerweise für VPN-Verbindungen genutzt werden.

Blau umrandet: "deinpersönlicherkey"
Hier wird der VPN-Schlüssel eingegeben. Der Key sollte mindestens 16-stellig sein und Sonderzeichen enthalten, so dass er nicht erraten werden kann.

Update vom 24.02.2015: Die Nutzung bestimmter Sonderzeichen scheint zu Problemen zu führen, so dass die Konfigurationdatei nicht vom iPhone akzeptiert wird. Danke an Björn für die Info!

Grau umrandet: "deinpersönlichespasswort"
Hier muss jeder ein sicheres persönliches Passwort vergeben.

Update vom 20.03.2015: Wer beim späteren Verbindungsaufbau den Fehler "Authentifizierung fehlgeschlagen" erhält, sollte sein Passwort anpassen, da bestimmte Sonderzeichen anscheinend nicht funktionieren.

Die einzelnen Werte müssen, wie in obiger Abbildung ersichtlich, teilweise mehrfach eingetragen werden. Hier am besten die Alles-Suchen-Und-Ersetzen-Funktion verwenden, um die Werte in der zum Download bereitgestellten Konfigurationsdatei individuell anzupassen.

Die fertige Datei wird dann in der Fritz!Box-Weboberfläche unter "Internet" -> "Freigaben" -> "VPN" -> "VPN-Verbindung hinzufügen" importiert. Hier wählt man die Option "Eine VPN-Konfiguration aus einer vorhandenen VPN-Einstellungsdatei importieren" und lädt die gerade erzeugte Konfigurationdatei hoch. Bereits bestehende VPN-Einstellungen bleiben dabei erhalten, ein bestehender VPN-Eintrag mit dem selben Namen, hier "jays_iphone", würde aber entsprechend überschrieben werden.

Fritzbox VPN

Clientkonfiguration auf dem iPhone

In der zum Download bereitgestellten Datei 150208_iphone_vpnondemand_oehringen.mobileconfig.zip (2887 Downloads)  werden alle notwendigen Settings eingetragen, damit das iPhone die ausgehende Verbindung zur Fritz!Box aufbauen kann.

iPhone VPNONDEMAND Oehringen

Wichtig sind dabei nachfolgende Werte, die jeder selbst anpassen muss:

Gelb umrandet:
Hier können Namen (SSIDs) von WLan-Netzwerken eingetragen werden. Sofern sich das iPhone zu einem der angegebenen WLan-Netzwerke verbindet, wird keine VPN-On-Demand-Verbindung hergestellt. In diesem Fall lautet der Name dieses WLan-Netzwerks "Apfel". Der gesamt gelb umrandete Inhalt kann auch herausgelöscht werden, er ist nur notwendig, wenn eben explizit keine VPN-On-Demand-Verbindung in speziellen WLan-Netzen aufgebaut werden soll.

Schwarz umrandet:
Hier werden die Netzwerkadressen bzw. Domains eingetragen, die eine VPN-Verbindung initiieren sollen. Versucht das iPhone aus einem fremden Netzwerk heraus eine Verbindung herzustellen und merkt, dass die gewünschte Adresse nicht erreichbar ist, wird automatisch eine VPN-Verbindung aufgebaut. In diesem Fall befindet sich "192.168.3.11" unter den IP-Adressen. Das ist mein Loxone Miniserver, welcher nun auch von unterwegs über die Loxone iPhone-App mit lokaler IP komplett verschlüsselt über die VPN-Verbindung angesprochen werden kann.

Update vom 19.09.2015: Mit dem vor zwei Tagen gelaunchten iOS 9 hat Apple die Richtlinien für VPN On-Demand angepasst, sodass ab sofort keine IP-Adressen und stattdessen nur noch Domainnamen genutzt werden können. Wie bereits per Kommentar kommuniziert, empfehle ich deshalb erstmal folgende Konfiguration zu vewenden:

<key>Domains</key>
<array>
<string>fritz.box</string>
</array>
<key>DomainAction</key>

Mit diesem einen Eintrag sollten dann alle Endgeräte im Netzwerk direkt angesprochen werden können, deren "Namen" in der FritzBox-Oberfläche im Menüpunkt "Heimnetz" -> "Netzwerk" hinterlegt sind. Ist dort bspw. ein Gerät mit dem Namen "Brother" hinterlegt, erfolgt der Aufruf über den Browser bzw. die entsprechende App über den Domainnamen "brother.fritz.box" und nicht mehr über die IP-Adresse "192.168.3.49".

FritzBox Heimnetz Netzwerk Name

Hier gibt es aber anscheinenend auch noch Probleme, gerade was Kabelanschlüsse angeht. Und auch ich habe ein anderes Problem bei einigen Devices. Mit "miniserver.fritz.box" komme ich z.B. auch nicht direkt im LAN auf meinen Loxone Miniserver. Aber das hat primär nichts mit dem VPN zu tun, sondern ist vermutlich ein komisches Auflösungsproblem bei der Namenszuordnung der FritzBox. An dieser Stelle bin ich für jeden Tipp dankbar.

Grün umrandet: "jay_iphone"
Gleich lautender Benutzername wie in der oben aufgeführten Konfigurationsdatei der Fritz!Box.

Hellblau umrandet: "ukneeghx4o9oxxxx.myfritz.net"
Hier wird die Dyndns-Adresse eingetragen, über welche die eigene Fritz!Box aus dem Internet erreichbar ist. Wer Details dazu benötigt, kann im Artikel MyFRITZ! – DynDNS-Alternative für die Fritz!Box weitere Infos zur Einrichtung des kostenfreien My!Fritz-Dienstes erhalten.

Blau umrandet: "deinpersoenlicherkey"
Hier wird der VPN-Schlüssel eingegeben, welcher mit dem in der Konfigurationsdatei der Fritz!Box übereinstimmen muss.

Orange umrandet: "Öhringen"
Das ist der VPN-Profilname. In diesem Beispiel ist das einfach der Standort der Fritz!Box.

Auch in der Konfigurationsdatei des Clients müssen die einzelnen Werte, wie in obiger Abbildung ersichtlich, teilweise mehrfach eingetragen werden. Auch hier am besten die Alles-Finden-Und-Ersetzen-Funktion nutzen, um die Werte in der zum Download bereitgestellten Konfigurationsdatei individuell anzupassen.

Sobald alle Anpassungen vorgenommen wurden, muss die Konfigurationsdatei noch auf dem iPhone als VPN-Profil installiert werden. Das geht am einfachsten, indem man sich die Konfigurationsdatei selbst per Email zuschickt und dann auf dem iPhone öffnet. Wem das zu unsicher ist, kann aber natürlich auch Dateiübertragungs-Apps verwenden.

iPhone Email VPN

Das Profil einfach anklicken und die Installationsschritte durchlaufen. Bei der Einrichtung muss der "BENUTZERNAMEN FÜR VPN-PROFIL" (hier: "jay_iphone") und das "PASSWORT" (hier: "deinpersönlichespasswort") eingegeben werden. Sobald das Profil installiert wurde, kann es am iPhone unter "Einstellungen" -> "Allgemein" -> "VPN" eingesehen werden.

iPhone VPN Verbindung herstellen

Damit die Verbindung nachfolgend immer automatisch hergestellt wird, muss sie einmal initial manuell aufgebaut werden. Ab sofort wird bei Bedarf immer automatisch eine VPN-Verbindung hergestellt.

Noch ein Hinweis: Wer ein bestehendes VPN-Profil wieder vom iPhone löschen möchte, kann dies unter "Einstellungen" -> "Allgemein" -> "Profil" -> "Öhringen" -> "Profil löschen" tun.

Wer mehr Informatoinen über mögliche VPN-Attribute über IOS-Devices nachlesen möchte, dem sei die ausführlich Dokumentation Configuration Profile Key Reference von Apple empfohlen. Weiter gibt es noch Interessantes zum Thema On Demand Rules Dictionary Keys.

Update vom 15.03.2015: Auch unter iOS 8.2 funktioniert oben beschriebene Konfiguration weiterhin problemlos.

Update vom 19.08.2015: Mit der aktuellen Betaversion von iOS 9 funktioniert VPN-On-Demand laut der zahlreichen Kommentare (siehe unten) nicht mehr. Ob das nur an der Beta liegt oder ob das Betriebssystemupdate für iPhone und iPad auch in der finalen Version andere Settings benötigt, entzieht sicht aktuell meiner Kenntnis. Ich werde mich jedoch mit Sicherheit mit der finalen Version von iOS 9 auseinandersetzen, da ich dann spätestens auch updaten werde. Wer mein Update nicht verpassen möchte, kann sich zum Newsletter anmelden oder meintechblog.de auf Facebook folgen.

Aus meinem täglichen Leben

Lange habe ich nach einer zuverlässigen Lösung gesucht, um bei Bedarf eine VPN-Verbindung zur Fritz!Box (in meinem Fall eine Fritz!Box 7490 (Affiliate-Link)) aufbauen zu können. So lassen sich auch unsichere Verbindungen, wie die bereits oben angesprochene Verbindung mit dem Loxone Miniserver, welcher als Smart-Home-Server nur http und eben kein verschlüsseltes https beherrscht, beim mobilen Zugriff zuverlässig absichern.

Gleichzeitig erspart man sich sonst notwendige Port-Weiterleitungen, auf die ich gezielt verzichten möchte, sofern sie nicht zwingend notwendig ist. Wird die Loxone-App dann von unterwegs geöffnet, dauert es keine zwei bis drei Sekunden (schnelle mobile Anbindung vorausgesetzt), bis die VPN-Verbindung automatisch im Hintergrund aufgebaut wird und die Verbindung zum Server steht. Aus diesem Grund ist diese VPN-On-Demand-Lösung zwischen iPhone und Fritz!Box (Affiliate-Link) für mich nicht mehr wegzudenken und gehört zu einer der zentralsten Funktionen, um hohe Sicherheit bei gleichzeitig hohem Komfort zu ermöglichen.

Affiliate-Links

FHEM-Einsteiger? Unser E-Book hilft dir weiter.

Verpasse keine Inhalte mehr! Trag dich in unseren Newsletter ein und folge meintechblog auf Facebook oder Twitter.

Share Button
Jörg

Jörg

hat meintechblog.de ins Leben gerufen, um seine Technikbegeisterung und Erkenntnisse zu teilen. Er veröffentlicht regelmäßig Howtos in den Bereichen Smart Home und Home Entertainment. Mehr Infos
Jörg
Kommentare (323)
  1. Nach einer Möglichkeit, eine VPN-Verbindung automatisch bei Bedarf herzustellen, suche ich schon lange.
    Ich könnte mir aber vorstellen, dass einige Apps beim Verbindungsaufbau in ein Timeout laufen, während im Hintergrund die Verbindung aufgebaut wird. Konntest du so etwas schon beobachten?

    Oli

    • Hi Oli,
      freut mich, daß dir der Blogpost weiterhilft! Das von dir angesprochene Problem hatte ich bisher glücklicherweise noch nicht. Aber du hast natürlich Recht, wenn eine App nicht lange genug wartet, bis die Verbindung erfolgreich hergestellt ist, kann es auch mal zu Problemen kommen, sofern der Aufbau doch mal länger dauert.

      Grüße
      
Jörg

    • Gerade ausprobiert. Funktioniert hervorragend. Der Tunnel wird bei mir auch schnell genug aufgebaut, sodass sich noch keine meiner Apps beschwert haben.

      An dieser Stelle auch noch ein Dankeschön für diesen sehr guten Blog, der mir den Einstieg in FHEM sehr erleichtert hat.

  2. Danke für die ausführliche Anleitung (siehe auch http://blog.wenzlaff.de/?p=4899).

  3. Hi,

    kann es sein, dass sich da ein Tippfehler eingeschlichen hat?
    Es gibt den Key PayloadUUID zwei mal, einmal hast du dort den persönlichen Key stehen, einmal die MyFritz-URL.
    Bilder kann man hier nicht anhängen, oder?
    https://db.tt/HchL1V88

    LG,
    Arne

    • Hi Arne,
      also ein Tippfehler ist es nicht. In dieser Konstellation funktioniert die Config bei mir einwandfrei. Meld dich einfach nochmal, falls es bei dir nicht klappt.
      Bilder kann man hier nicht anhängen, richtig.

      Grüße
      Jörg

  4. Hallo Jörg,

    vielen Dank für Deinen Tipp, den ich äußerst praktikabel finde. Leider erkennt mein 5s die Config-Datei nicht als solche und öffnet sie nicht entsprechend. Eine Idee?

    • Hi Günter,
      ist vielleicht nen blöder Tipp, aber hast du die zip-Datei vorher am PC entpackt? Die Endung muss .mobileconfig lauten. Hab es eben selbst getestet und mein iPhone 6 hat sie einwandfrei "gefressen".
      Hoffe das hilft dir weiter!

      Grüße
      Jörg

  5. Ein fettes Dankeschön. Funktioniert einwandfrei.
    Eine Frage noch. Wie kann ich die VPN auf dem iPhone wieder löschen? Ich finde da keine Möglichkeit.

    • Hi Olli,
      super, daß es bei dir klappt!
      Hier der Hinweis aus obigem Blogpost: "Wer ein bestehendes VPN-Profil wieder vom iPhone löschen möchte, kann dies unter "Einstellungen" -> "Allgemein" -> "Profil" -> "Öhringen" -> "Profil löschen" tun."

      Grüße
      Jörg

    • Grrrr, das hätte ich auch finden können. Ich dachte, ich könnte das dort löschen, wo meine andere VPN war. Vielen Dank. Das ist ein Hammer Blog. Ihr habt mir schon in vielen Sachen das Leben erleichtert. Nochmals danke.

  6. Hi Jörg,
    cooler Blog auf den ich durch Zufall aufmerksam geworden bin. Habe auch schon viele der Themen umgesetzt, die Du hier beschreibst, hätte ich den Blog vorher gekannt, wäre ich mit manchem schneller gewesen.

    Das mit dem VPN hier finde ich spannend. Habe alles so ungesetzt, aber bekomme immer die Meldung "Ungültiges Profil"
    Hast du ne Idee?

    • Hallo Sebastian,
      hier das gleiche Problem. Die Fritzbox akzeptiert das 'Fritzbox-Protokoll'. Das iPhone mit IOS 8.1.3. akzeptiert aber nicht das iPhone-Protokoll. Habe es mit TextEditor auf dem Mac bearbeitet und dann per email auf das iPhone gesendet. Beim öffnen kommt die Fehlermeldung "ungültiges Profil"

  7. Hallo Jörg,

    ich kann mich meinen beiden Vorredner anschließen. Habe auch das selbe Problem unter 8.1.3

    • Werde es nochmal selbst mit der im Blogpost bereitgestellten iPhone-Vorlage durchtesten und Bescheid geben... Bitte etwas Geduld :)

      Grüße
      Jörg

    • Hi,
      habe gerade alles nochmal getestet (ebenfalls mit iOS 8.1.3). Hat alles perfekt geklappt.
      Spontan weiß ich nicht wirklich, warum es bei euch nicht klappt. Habt ihr evtl. Leerzeichen in Benutzernamen oder Passwörtern? Falls ja, bitte entfernen und nochmal testen. Ihr könnt mir gerne eure config-Files auch an joerg@meintechblog.de schicken, dann schau ich mal drüber.

      Grüße und viel Erfolg bei der Fehlersuche
      Jörg

  8. Kann ich bestätigen. Bei mir auch ohne Fehler gelappt, mit 8.1.3.

  9. Hallo Jörg,

    ich hab es nun doch zum Laufen gebracht, frag mich aber nicht wie, bzw. wo der Fehler lag.

    So wie ich es sehe, geht es in deinem Beitrag darum eine VPN-Verbindung zum Heimnetz aufzubauen.
    Mein Interesse liegt allerdings nicht bei dem Zugriff auf lokale Geräte im Heimnetz sondern um die Tunnelung zur Internetnutzung.

    Also: Ich möchte mit meinem iPhone automatisch eine VPN-Verbindung zu meinem Heimnetz aufbauen und den gesamten Internettraffic somit über meine Fritzbox daheim leiten.
    Dies ist bisher mit deinem Skript nicht möglich. Kannst du mir hier weiterhelfen?

    Vielen Dank und grüße
    Timo

    • Hi Timo,
      wahrscheinlich lässt sich das auch geschickter realisieren, aber spontan fällt mir nur als Lösung ein jede gewünschte Internetseite in eine neue Zeile der VPN-On-Demand-Config-Datei zu schreiben (schwarz umrandet). Dann wird beim Aufruf der Seite die VPN-Verbindung aufgebaut und der Traffic läuft dann darüber. Vielleicht kann man hier auch mit Wildcards (*) arbeiten, hier habe ich aber leider noch keine Erfahrungen sammeln können.

      Grüße und viel Erfolg bei der Umsetzung
      Jörg

  10. Hallo Jörg,
    vielen Dank für deine ausführliche Beschreibung. Leider habe ich auf meinem iPhone 5S mit iOS 8.1.3 die Fehlermeldung "ungültiges Profil". Leerzeichen in Benutzernamen oder Passwörtern habe ich nicht.

    Viele Grüße
    Jens

    • Hi Jens,
      ich habe den Hinweis von Björn im Artikel vermerkt, dass Sonderzeichen das Problem auslösen können.

      Grüße
      Jörg

    • Hallo Jörg,
      Ja, der Hinweis von Björn bzgl. der Sonderzeichen war hilfreich. Jetzt baut sich die VPN-Verbindung auf. Sowohl iPhone/iPad als auch Fritzbox 7390 melden eine bestehende Verbindung. Allerdings habe ich gar keinen Traffic. Ich kann weder auf die internen IP-Adressen noch auf das Internet zugreifen.

      Viele Grüße
      Jens

  11. Bei mir funktioniert die mobileconfig-Datei nun.
    Problem war der personal key (dunkelblau).
    IOS hat anscheinend ein Problem mit einigen Sonderzeichen. Die Länge spielt keine Rolle, 50 stellig ist z.B. kein Problem.
    Ich habe nun nicht alle Sonderzeichen durchgetestet, aber ich denke das wird bei euch das Problem mit dem "ungültiges Profil" lösen.

    Jörg, hast du zufällig auch ein Skript zur Hand für OSX, Windows, Android? Ich denke du erreichst mit dem Blog viele Interessierte und man könnte das ja noch komplettieren. Ich persönlich hätte gern für OSX (MacBook) eine Datei, wüsste das aber alleine nicht umzusetzen.

    Gruß
    Björn

    • Hi Björn,
      danke für deine Hinweise. Bzgl. OSX kannst du dir einfach mal den Artikel Sichere VPN-Verbindung zwischen Mac OS X und Fritz!Box ansehen. Hier wird die Konfiguration erklärt. Das VPN-OnDemand-Feature sollte sich eigetnlich analog zu obiger iOS-Config ergänzen lassen, hab das aber noch nicht selbst getestet.

      Grüße und viel Erfolg bei der Umsetzung
      Jörg

  12. Hallo Jörg,

    ich bin fast bei jedem deiner Beiträge "erschrocken", da du immer genau die Themen behandelst die mich gerade beschäftigen und irgendwie genau die Hardware und Konstellationen verwendest, die ich ebenfalls im Einsatz habe. Das kann ja eigentlich kein schlechtes Zeichen sein! ;-)
    Auch ich habe lange nach VPN on demand gesucht. (sehnlichst nach der Veröffentlichung von iOS 8 darauf gewartet und dann feststellen müssen, dass es nur im Businessumfeld funktioniert)
    Und nun das bzw. dieses simple Config-File. Da meine FritzBox bereits mit diversen Zugängen ausgestattet war, brauchte ich nur die mobileconfig. Ich frage mich immer wieder, wie du diese Dinge findest. Klasse und klappt hervorragend. Nutze es für QNAP NAS, Fhem, FritzBox Fon App, Blackbox (Dreambox) u.v.m.

    Eine Frage hätte ich am Ende allerdings noch. Ich setze Banking 4i auf meinen iOS Geräten ein habe die Datenbank auf meinem NAS. Die Freigabe habe ich per WebDAV eingerichtet. Zugriff erfolgt hier über https://IP-ADRESSE-NAS/Freigabeverzeichnis/
    Sobald man die App Banking 4i startet, versucht er auf die WebDAV Freigabe zuzugreifen und einen Upload/Download zu initiieren. Hier startet allerdings das VPN nicht automatisch. Eine Idee, wie man das implementieren/realisieren könnte bzw. warum es nicht klappt?

    Gruß und bitte weiterhin so tolle Beiträge!
    Tim

    • Zugriff erfolgt auf https://IP-ADRESSE-NAS:8081/Freigabeverzeichnis/ (also mit Port 8081)

    • Hi Tim,
      hehe freut mich zu lesen, daß ich mit meiner Technikbegeisterung nicht allein bin und die Blogthemen auch für andere von Interesse sind. Oftmals muss ich echt lange recherchieren, verschiedene Wege probieren und selbst Hand anlegen, bis es endlich reibungsfrei klappt. Bisher bin ich aber glücklicherweise immer noch zum Ziel gekommen, auch wenn es manchmal etwas länger gedauert hat.
      Spontan wüsste ich nicht, weshalb das VPN bei dir nicht aufgebaut werden sollte, sofern du eine passende VPN-Regel für den Zugriff auf dein NAS hinterlegt hast. Evtl. musst du deine Config einfach nochmal prüfen und findest den Fehler.

      Grüße
      Jörg

  13. Weiterhin ist mir aufgefallen, dass über das VPN on demand gar kein Internet Traffic mehr läuft :/
    Das was mir über die VPN Settings im Reiter IPsec auf dem iPhone möglich. Gibt es hierfür Abhilfe?

  14. Das war auch genau meine Frage. wäre super, wenn es möglich wäre!

  15. Also, bei mir läuft der ganze Internet Traffic über den VPN-Tunnel. Ich weiß, dass man das bei der Konfiguration über das Fritz-Tool damals als Option auswählen konnte.
    Aber wie gesagt, bei mir funktioniert das auch mit der oben verlinkten Config.

  16. Hallo,

    erst mal vielen Dank für das Howto! Funktioniert bestens!

    Ich habe gleich ein zweites Profil für meine zweit Fritz.Box erstellt und leider festgestellt das man dann doch zwischen den beiden VPN-Profilen auf dem iPhone umschalten muss. Schade.

    Da aber die beiden Fritz-Boxen eh untereinander per VPN verbunden sind, habe ich einfach die IP-Adressen die ich im zweiten Netz verbinden will ebenfalls in die Config aufgenommen. ;)

    Grüße aus Stuttgart & Würzburg ;)

  17. Danke für die tolle Anleitung! Funktioniert hervorragend!

    Ist es normal, dass die automatisch hergestellte VPN-Verbindung sich erst dann trennt, wenn man das Netzwerk wechselt? Ist es möglich die Konfiguration so zu gestalten, dass die VPN-Verbindung getrennt wird, sobald die verwendete App nicht mehr aktiv ist?

    Kannst du irgendetwas zum Stromverbrauch der VPN-Verbindung sagen?

    • Hi Miro,
      das ist normal. Einmal per VPN verbunden, wird die VPN-Verbindung erst wieder nach einer gewissen Nichtnutzungszeit oder beim Abbruch/Wechsel des Netzwerks getrennt. Ich weiß nicht, dass sich das auch anders/besser (z.B. beim Schließen einer App) lösen lässt. Habe diese Funktion jedenfalls noch nie vermisst.
      Den Stromverbrauch habe ich noch nicht kontrolliert. Bei meinen VPN-Sitzungen (meistens nur einige Minuten) habe ich bisher noch keine gravierenden Laufzeiteinbrüche des Akkus bemerkt, obwohl es sicherlich etwas mehr Energie kostet.

      Grüße
      Jörg

  18. Vielen Dank! Seit Monaten versuche ich wie verrückt VPN über Fritzbox auf dem iPad einzurichten, ohne Erfolg. Habe auch Apps versucht, immer ohne Funktion, Grund unbekannt.
    Mit der Konfiguration hat es endlich funktioniert!

    2 Fragen noch.

    1.
    Gelb umrandet:
    Hier können Namen (SSIDs) von WLan-Netzwerken eingetragen werden. Sofern sich das iPhone zu einem der angegebenen WLan-Netzwerke verbindet, wird keine VPN-On-Demand-Verbindung hergestellt. In diesem Fall lautet der Name dieses WLan-Netzwerks "Apfel". Der gesamt gelb umrandete Inhalt kann auch herausgelöscht werden, er ist nur notwendig, wenn eben explizit keine VPN-On-Demand-Verbindung in speziellen WLan-Netzen aufgebaut werden soll.
    --> Wie kann ich mehrere Netzwerke definieren, mit Semikolon trennen ? Wlan1;Wlan2;Wlan3 ?

    2.
    Schwarz umrandet:
    Hier werden die Netzwerkadressen bzw. Domains eingetragen, die eine VPN-Verbindung initiieren sollen. Versucht das iPhone aus einem fremden Netzwerk heraus eine Verbindung herzustellen und merkt, dass die gewünschte Adresse nicht erreichbar ist, wird automatisch eine VPN-Verbindung aufgebaut. In diesem Fall befindet sich "192.168.3.11" unter den IP-Adressen. Das ist mein Loxone Miniserver, welcher nun auch von unterwegs über die Loxone iPhone-App mit lokaler IP komplett verschlüsselt über die VPN-Verbindung angesprochen werden kann.
    --> Muss ich hier wenn mein Netzwerk zuhause auf 192.168.0.X (1 ist die Fritzbox) was anderes eintragen ?

    Vielen Dank!

  19. Gibt es eine Möglichkeit das VPN automatisch angeht wenn

    a) man nicht im spezifizierten WiFi ist
    +
    b) man nicht über ein anderes WiFi oder 3G/LTE im Netz ist ?

    • Hi Elmar,
      zu deinen Fragen:

      a) Einfach ein Eintrag pro Zeile (genauso wie bei den Adresse - schwarz umrandet), also z.B.
      Apfel
      ElmarWlan
      FritzboxWlan

      b) Du musst jede IP der anzusprechenden Endgeräte eintragen. Wenn also die VPN-Verbindung aufgebaut werden soll, wenn du auf die Fritzbox (192.168.0.1) und dein NAS (192.168.0.2) zugreifen möchtest, lautet es entsprechend:
      192.168.0.1
      192.168.0.2

      Hoffe das hilft dir weiter!

      Grüße
      Jörg

    • Hi Elmar,
      zu deinen Fragen:
      a) Ist mir leider nicht bekannt. Ich weiss auch ehrlich gesagt nicht, ob das so sinnvoll wäre, da der permanente Verbindungsaufbau bzww. das Halten der Verbindung, gerade wenn man unterwegs ist, massiv am Akku zehren sollte.
      b) Verstehe die Frage leider nicht. Ein Anwendungsfall würde wohl helfen.

      Grüße
      Jörg

  20. Hello,

    ist es möglich mit dieser Konfiguration ein Split Tunneling einzurichten? Also VPN Verbindung "nach Hause" nur für das Heimnetz?

    • Das würde mich auch sehr interessieren, habe dafür bisher auch noch keine Lösung gefunden...

  21. Funktioniert Leider bei mir unter iOS 8.2 nicht mehr.

    Kann das jemand bestätigen?

    • Funktioniert bei mir weiterhin wunderbar mit iOS 8.2, getestet auf iPhone 6 und iPad Mini Retina.

      Grüße
      Jörg

    • Hab jetzt mal die Datei neu geladen und obwohl die Punkte genauso ersetze wie in der Anleitung bekomme ich den Fehler "Authentifizierung fehlgeschlagen".

      Wenn ich die selben Daten als ein normales VPN-Profil nutze klappt es.

      Irgendeine Idee?

    • Poste deine Config doch mal als Kommentar (Passwörter etc. natürlich vorher chiffrieren). Evtl. findet sich so der Fehler...

    • PayloadContent

      IPSec

      AuthenticationMethod
      SharedSecret

      OnDemandEnabled
      1
      OnDemandRules

      InterfaceTypeMatch
      WiFi
      SSIDMatch

      DAHEIM

      Action
      Disconnect

      Action
      EvaluateConnection
      ActionParameters

      Domains

      fritz.box
      10.10.10.1

      DomainAction
      ConnectIfNeeded

      LocalIdentifier
      Arnaud_VPN
      LocalIdentifierType
      KeyID
      RemoteAddress
      Hier Steht meine DynDNS Adresse
      SharedSecret
      BALBLABLABLUBB

      PayloadDescription
      Configures VPN settings, including authentication.
      PayloadDisplayName
      VPN (Arnaud)
      PayloadIdentifier
      Hier Steht meine DynDNS Adresse
      PayloadOrganization
      Arnaud
      PayloadType
      com.apple.vpn.managed
      PayloadUUID
      BALBLABLABLUBB
      PayloadVersion
      1
      UserDefinedName
      Arnaud
      VPNType
      IPSec

      PayloadDescription
      VPN-Zugang zu Arnaud
      PayloadDisplayName
      Arnaud
      PayloadIdentifier
      Hier Steht meine DynDNS Adresse
      PayloadOrganization
      Arnaud
      PayloadType
      Configuration
      PayloadUUID
      Hier Steht meine DynDNS Adresse
      PayloadVersion
      1

    • Als Erweiterung für den Blogpost:

      Sollte der Fehler "Authentifizierung fehlgeschlagen" kommen ändert das Passwort ab. Ich hatte ein komplexes und erst nach dem ändern des Passwortes funktioniert es. Keine Ahnung warum.

      Werde das auch mal bei mir verbloggen. Natürlich mit Quellenangabe zu diesem Blog da dieser mich erst auf die richtige Fährte geführt hat für die schlussendliche Konfiguration. Davor waren meine Versuche gescheitert.

      Vielen Dank :)
      Man liest sich

    • Hi Arnaud,
      freut mich, dass dir der Artikel geholfen hat und danke für den Tipp! Habe einen entsprechenden Hinweis im Artikel vermerkt. Kannst du evtl. noch etwas dazu sagen, welche Sonderzeichen bei dir nicht funktioniert haben?

      Grüße
      Jörg

    • Hi Jörg,

      mein erstes Passwort enthielt KEIN Sondernzeichen. Das neue enthält Sonderzeichen und funktioniert.

      Folgendes soll keine Werbung sein für meinen Blog sondern als Zusatz bzw. Fork von deinem Skript dienen:

      Habe u.a. dein Skript etwas erweitert, das wenn man das Profil einspielt nicht noch einmal Benutzer & Passwort eingeben muss die man in der FritzBox vergeben hat.

      Kannst du ja entsprechend erweitern um folgenden Link: https://arnaudfeld.de/2015/03/19/howto-vpnondemand-zusammen-mit-der-fritzbox/ .

      War etwas Sucherei es so zu erweitern aber es funktioniert.

  22. cool ist auch die Möglichkeit sich aus der ganzen Welt per VPN (sofern man WLAN am Ort hat) zuhause auf die Fritzbox einzuloggen und per APP Fritz Fon zu telefonieren. Gepräch nimmt dann die Fritzbox zuhause vor.

  23. Hallo Jörg,

    das ist genau die Lösung, die ich gesucht habe.
    Funktioniert auf meinem IPhone 5s mit der Fritzbox 6360 von KBW auf Anhieb.
    Ich musste nur 1x die Verbindung von manuell aufbauen.

    Vielen Dank

    P.S. Du hast es in meine Browserfavoriten geschafft.

    • Hi Tilo,
      super, freut mich! :)
      Habe auch echt lange an der Lösung gebastelt. So freut es mich umso mehr, dass auch andere davon profitieren können.

      Grüße
      Jörg

  24. Hallo Jörg,
    klasse Anleitung!
    Die Einrichtung klappt auch mit jedem anderen DynDNS-Anbieter und dem zuvor an der Fritz!Box von Hand eingerichteten und bereits funktionierenden VPN. Dann muss man nur die iPhone-Seite einrichten und alles ist schick!

    Viele Grüße
    Thomas

  25. Hi Jörg,

    ist es auch möglich die VPN on-demand Verbindung auf eine https seite aufzubauen.
    Sprich ich habe meine fhem url die über https erreichbar ist auf dem homescreen abgespeichert.
    Klappt das auch so oder geht das nur über eine App?!

    Danke dir schonmal

    • Hi Slayer,

      du musst nur die IP-Adresse - wie im Artikel beschrieben - angeben. Dann wird sofort eine VPN-Verbindung hergestellt, sobald du versuchst auf die IP zuzugreifen, egal welchen Dienst oder App und welches Protokoll (http oder https) du nutzt.

      Grüße
      Jörg

  26. hallo liebe gemeinde... ich versuche das ganze nun auch gerade umzusetzen.. klappt alles wunderbar nach der echt tollen anleitung...

    leider habe ich aber ein kleines problemchen :-(
    ich hab eine app in meinem fall join ( gerne auch eine andere sip app )
    diese soll sich wenn man sie startet ins heimische netz zur asterisk verbinden.. wenn man unterwegs ist eben mittels der vpn...

    jetzt klappt bei mir der aufbau wenn ich die ip im safari eingebe einwandfrei.. es wird sofort die vpn verbdindung aufgebaut..
    starte ich aber aber die join app ( auch schon 2 andere probiert UDP und TCP )
    ( hier ist als server die IP drinnen )
    dann passiert leider nichts :-( es baut sich keine verbindung auf..

    hat da jemand erfahrungen oder einen vorschlag?
    wäre euch wirklich sehr dankbar... :-)

    besten dank!

  27. Ich habe das VPN on Demand jetzt schon ein paar Wochen laufen.
    Mit ist jetzt folgendes aufgefallen. Wenn ich im Auto via BT Spotify höre, schaltet sich VPN sporadisch zu. Nicht immer, aber definitiv nur im Auto wenn Spotify gehört wird. Hat jemand die gleiche Situation bzw ne Idee wie ich das beheben kann?

  28. Hier gibt es einen mobileconfig Generator, der in Ruby geschrieben ist und VoD Config-Profile für OpenVPN generiert. Evtl. könnte man das ja als Grundlage für eine "Fritzbox"-VPN Version nehmen.
    https://github.com/iphoting/ovpnmcgen.rb

    Hier gibt es so einen Generator in PERL. Allerdings ohne die VPN-Settings. :-/
    https://github.com/akkornel/Config-Apple-Profile

  29. Ich habe nun auch die onDemand Verbindung eingerichtet.
    Jetzt habe ich aber ein mehr oder weniger großes Problem festgestellt.
    Wenn die onDemand Verbindung im Mobilfunknetz aufgebaut wird und ich in ein WLAN wechsle, wird der gesamte Datenverkehr weiterhin über die Mobilfunkverbindung geleitet, trotz aktivem WLAN. Dies kann dazu führen, dass wenn man dies nicht bemerkt man Ahnungslos das Mobile Datenvolumen ausreizt obowhl man rein optisch mit dem WLAN verbunden ist.
    Gibt es eine Möglichkeit, beim wechsel in ein WLAN die Verbindung zu unterbrechen, und dann bei einer erneuten Anfrage die onDemand Verbindung wieder herstellt?
    Das VPN bleibt bei mir auch im Ruhezustand des iPhones dauerhaft bestehen.

  30. Hallo,

    ich habe dein Skript etwas erweitert bzw. geändert. Über den Payload "Per-App VPN Payload" kann man die Bundle-ID einer App eintragen und so den gesamten Traffic einer App über das VPN leiten. Das ist zum Beispiel für die FritzFon App interessant. Die Bundle-ID hierfür lautet: de.avm.FRITZApp

    • Hi Kai,
      danke für den Hinweis, das ist sicher für viele Anwender interessant.
      Könntest du - der Einfachheit halber - bitte mal einen entsprechenden Codeausschnitt posten, wie man das Config-File erweitert?

      Grüße
      Jörg

  31. Danke für die Anleitung, hat soweit wunderbar funktioniert.

    Aber ähnlich wie Elmar suche ich auch eine Lösung für "AlwaysOn" VPN.
    Apple beschreibt das ja hier.

    VPNType statt auf IPSec auf AlwaysOn stellen. Problem ist, dass man dann eine Gegenstelle benötigt, die zwingend IKEv2 kann - und die Fritzbox kann das soweit ich weiß heute noch nicht.

    Anwendungsfälle: Du möchtest in einem öffentliches WLAN lieber den gesamten Traffic verschlüsselt übertragen. Du kannst zwar händisch die VPN Verbindung aktivieren, sobald das iPhone aber in den Ruhemodus geht (Display aus), geht nach einer Weile auch die VPN Verbindung weg (vermutlich wegen dem Wechsel zurück ins Mobilfunknetz) - außer man hängt am Strom, dann bleibt es ewig.

    Auch ist es teilweise über das Mobilfunknetz sicherer, alle Daten über eine vermeintlich sichere Leitung zu schicken.

    VPN on Demand hilft mir jetzt auf mein NAS Zuhause zuzugreifen, ohne jedes mal 3-klicks zu machen.
    AlwaysOn VPN wäre halt cool, dann würde das noch schneller gehen und man hat alle Daten unterwegs verschlüsselt.

    • Hi Thomas,
      da hast du natürlich grundsätzlich Recht. Direkt über die Fritz!Box ohne weitere Hardware sollte eine Alway-On VPN-Verbindung aber in der Tat nicht realisiert werden können. Weiterhin dürfte eine permanente VPN-Verbindung ganz schön auf den Akku des angebundenen Endgeräts gehen, ganz zu schweigen vom permanenten Datentransfer während der Verbindungszeit, der notwendig wird, um die Verbindung stabil aufrecht zu halten. Das lässt sich bereits bei VPN On-Demand ganz gut nachvollziehen, hier werden alle paar Sekunden entsprechende Datenpakete von bis zu einigen kB ausgetauscht, die sich in Summe ganz schön aufsummieren dürften, sofern eine permanente Verbindung besteht. Gerade für volumenbasierte Datentarife im Mobilfunknetz mit max. einigen GB/Monat ist dieser Umstand wahrscheinlich bereits alleine ein KO-Kriterium.

      Grüße
      Jörg

  32. Hi, super Anleitung. Funktioniert bei mir super zwischen Fritzbox 7490 (hinter Speedport Hybrid) und iPhone 6 + (iOS 8.3).
    Leider habe ich einen Congstar Vertrag und Facetime funktioniert nur über VPN.
    Das ist beim Raustelefonieren noch möglich (VPN Manuell an). Ankommende Anrufe schlagen aber fehl.
    Kennt jemand vielleicht die Domains, die ich unter EvaluateConnection eintragen könnte?
    Ich meine, damit könnte es doch funktionieren.

    Gruß

    Patryk

  33. Hallo Kai,

    wie findet man denn die Bundle-ID einer App heraus? Kannst du nochmal einen Code Schnipsel bitte posten...
    Würde gerne die Bundle ID der Loxone App herausfinden...

    Besten Dank vorab.

    Gruß,

    Timo

  34. Um eine meiner Fragen selbst zu beantworten.
    Hier findet man, wie man sich die Bundle ID einer App heraussucht:
    https://kb.acronis.com/content/39368

  35. Ich bekomme leider nur die Fehlermeldung "VPN-Server nicht gefunden" liegt das daran, dass die FRITZ!Box einen DS-Lite-Tunnel verwendet?

    Fritz!Box 6360 Cable, KabelBW, iPhone 6, IOS 8.3

    • Ja. Lass deine Internet Anschluss auf ipv4 umstellen! und lass dich nicht abwimmeln :D

  36. @Atilla:
    Mit DSL-Lite wirst du kein Glück haben. Die Provider machen ein NAT und tauchst "im" Internet mit deiner Fritzbox nur mit einer ipV6 Adresse auf. Das NATting kannst du nicht beeinflussen.

    @Kai
    Kannst du bitte nochmals deine Config inkl. "VPN per App" posten?

  37. Ist es eigentlich möglich den Datenverkehr einer gesamten App automatisch über das VPN umzuleiten?

  38. Hi ist es auch möglich einen kompletten IP Block einzugeben ohne jede einzelne IP in die Config einzutragen?

    192.168.178.* ...??

  39. Hallo Zusammen,
    die Anleitung funktioniert super mit meine iPad Air (iOS 8.3). Danke :-)
    Leider geht mit meinem alten iPhone 4 (iOS 7.1.2) nicht nur die manuelle Verbindung, automatisch (bei Bedarf) macht er es leider nicht. Hat jemand einen Rat?
    Noch eine Frage: Ich habe in meiner Wohnung und bei meinen Eltern eine Fritzbox. Ich habe für beide VPN ein Profil erstellt. Leider funktioniert nur der VPN, bei welchem der Haken gesetzt ist. Ideal wäre, wenn er den Tunnel zu meinen Eltern aufbaut, wenn ich IP dort anwähle und in meiner Wohnung genau so. Die beiden Netze haben komplett unterschiedliche IP Bereiche. Jemand eine Idee, wie man je nach IP einen anderen Tunnel aufbaut?
    Nochmal Danke.
    Beste Grüße
    Thomas

    • Hi Thomas,
      sofern du mehrere VPN-Profile nutzt, funktioniert der automatische Aufbau immer nur mit dem zuletzt verbundenen Profil. Das hab ich auch schon herausfinden müssen. Ob es hierzu eine Lösung gibt, bezweifle ich eigentlich. Ich habe das so gelöst, dass ich nur insgesamt ein VPN-Profil auf dem iPhone nutze und dann die gewünschten Fritzboxen direkt untereinander per VPN gekoppelt habe. In diesem einen VPN-Profil sind dann alle anzusprechenden IP-Adressen aller Endgeräte eingetragen, die sowohl direkt über die Fritzbox des VPN-Profils als auch über die entfernten per Fritz-Fritzbox-VPN angebunden Geräte angesprochen werden können. So tunnelt man dann zwar oftmals einen Knoten mehr als eigentlich notwendig, sofern das anzusprechende Endgerät an einer "externen" Fritzbox betrieben wird, das funktioniert aber auch im Dauerbetrieb absolut reibungslos.

      Grüße
      Jörg

    • Danke :-) Probier ich die Tage aus.

    • Hallo Jörg,

      hab Deinen Beitrag schon erfolgreich anwenden können, um mein Iphone 5 unter iOS 8 mit meiner Fritz!Box zu verbinden. Super Sache, vielen Dank für die tolle Aufbereitung des komplexen Themas!

      Mit einem Iphone 4 (iOS 7) funktioniert der automatische Verbindungsaufbau leider nicht. Scheint das selbe Phänomen zu sein, das Thomas beschrieben hat.

      Es ist nur ein VPN-Profil vorhanden und die Konfiguration ist bis auf die Credentials absolut identisch. Die manuelle Verbindung zum VPN-Server funktioniert auch.

      Hat jemand einen Rat? Vielen Dank!

      Viele Grüße

      Martin

    • Hi,

      ich habe das gleiche Problem.
      VPN manuell geht. Nur eine VPN Verbindung auf dem iPhone.
      On demand geht leider nicht. ich habe zig Adressen eingetragen.

      Vielleicht hat jemand hier eine Lösung. Danke

      Gruß
      dirk

  40. Ein herzliches Dankeschön für die super dokumentierte Anleitung. Funktioniert perfekt. Habe die Konfiguration auch auf mein Macbook aufgespielt. auch hier funktioniert das VPN scheinbar on-Demand.

    Liebe Grüße

    Christian

    • Hi Christian,
      danke für den Hinweis mit OS X. Das wusste ich bisher auch noch nicht...

      Grüße
      Jörg

  41. Hallo,

    erstmal vielen Dank für die Super-Anleitung. Ich komme jetzt schon mal problemlos in mein Heimnetz rein, sofern es benötigt wird.

    Da ja die Freifunk-Netzweke derzeit groß im kommen sind, wollte ich mal nachfragen, wenn man sich in ein solches Netzwerk befindet, ob man VPN immer dann aufbauen kann, wenn man irgendetwas macht, ob Safari oder Apps. Geht das schon ?

    Danke, Gruß David

  42. Hab gerade gelesen, dass mit iOS 9 eine spannende Funktion namens "Reliable Network Fallback" eingeführt wird. Sie bewirkt, dass bei "schlechter" WLan-Verbindung dynamisch das Mobilfunknetz als Failover genutzt wird, so dass die Verbindungsqualität verbessert wird. Details hier: http://www.iphoneblog.de/2015/06/28/reliable-network-fallback/

    Bin schon gespannt, wie sich diese Funktion auf die VPN-On-Demand-Funktion auswirkt, wenn als Regel definiert ist, dass bei einem bestimmten WLan-Netz ein VPN nicht gewünscht ist, diese WLan-Verbindung dann zwischenzeitlich aber nicht mehr zuverlässig funktioniert und auf Mobilfunk gewechselt werden muss, was wiederum eine VPN-Verbindung notwendig macht. Ob in diesem Fall dann tatsächlich eine VPN-On-Demand-Verbindung aufgebaut wird, zeigt sich dann spätestens in einigen Wochen mit Erscheinen von iOS 9...

  43. Mit der aktuellen Beta 3 bzw. Beta 4 von iOS9 funktioniert VPN On Demand so nicht mehr. Lt. Antwort vom Bug Report dürfen keine IP Adressen mehr verwendet werden.
    Eine Lösung dafür habe ich bis jetzt noch nicht gefunden.

  44. Hallo Jörg,
    super Anleitung. Danke
    Alledings habe ich aktuell noch ein Problem mit CalDAV und CardDav. Ich habe bei mir einen Yosemite Server am laufen und dieser soll auch die Kalender und Kontakte bereitstellen. Wenn ich auf dem iPhone/iPad die Kalender oder Kontakte App öffne, wird der VPN Tunnel nicht aufgebaut. Die IP-Adresse ist richtig eingetragen. Das konnte ich testen, da der Server noch mehr Dienste bereitstellt und bei diesen der VPN-Tunnel funktioniert. Hast du evtl. noch eine Idee woran das liegen könnte?

    Viele Grüße
    André

    • Hi André,
      ehrlich gesagt habe ich spontan keine Ahnung, woran das liegen könnte, sorry. Alle meine Dienste funktionieren mit dem VPN-On-Demand wie am Schnürchen.

      Grüße und viel Erfolg bei der Problemlösung
      Jörg

    • Hi André!

      Leider habe ich das gleiche Problem. VPN on demand funktioniert prima mit Weblinks, aber nicht mit CalDAV und CardDAV, d. h. eine Synchronisierung findet erst statt wenn das VPN bereits steht.

      Hast Du das Problem lösen können?

      Patrick

  45. Ich kann auch bestätigen, dass VPN on Demand unter iOS 9 nicht mehr funktioniert. Er baut die VPN Verbindung zwar auf aber errieche keinerlei IP's im Netz und auch der Traffic wird nicht mehr durchgeroutet. Getestet auf meinem iPad 3

  46. @Tim: Kannst Du die .mobilconfig bitte mal posten. Bei mir wird mit der Beta 4 die Verbindung nicht einmal aufgebaut. Wenn ich die Verbindung manuell aufbaue, habe ich das gleich Verhalten. Sehr seltsam.

    Danke & Gruß
    Frank

  47. Bin mir gerade nicht sicher aber glaube habe noch die Beta 2. Also die aktuellste Beta die automatisch unter Softwareaktualisierung verfügbar ist. Wäre bei meinem iPad die 9.0 (13A4305g)
    Sobald ich zu Hause bin, kann ich dir config mal posten, nachdem ich sie anonymisiert habe ;)

    Gruss

    • bei mir kam die Beta 4 über die Softwareaktualisierung.
      Ich meine 13A4305g ist die Beta4.

  48. Hallo,

    hat es unter iOS 9 schon jemand ans Laufen bekommen?
    Profil wird bei mir installiert etc., aber "on demand" wird kein Tunnel aufgebaut.

    Viele Grüße
    Gregor

    • funktioniert das bei Dir wenn du VPN manuell aktivierst?
      Geht bei mir auch nicht. Verbindung steht, aber es geht nichts durch.

  49. Hi Jörg,

    danke für die prima Vorbereitung der Files. Hab es genau nach Deiner Anleitung gemacht und es klappt prima.
    Nicht gefunden hab ich wie man die Zeit definieren kann nach der das VPN wieder abgebaut wird wenn man nicht mehr auf die entsprechende IP oder Domain zugreift.
    Im Moment wird es nach 3-4 Minuten abgebaut. Manchmal allerdings auch gar nicht (bzw. sehr lange nicht).

    Damit das VPN auch automatisch öffnet wenn man die Fritzbox Fon App öffnet hab ich im IP-Adressen Array noch "fritz.box" hinzugefügt. Klappt.

    Wenn jemand noch posten mag wie man per App noch einbindet, wäre super!

    iOS 9 beta:
    Es kam glaub ich grad eine Neue raus. Wenn da jemand wieder das VPN OnDemand testet wäre super. Ich hoffe ja nicht das Apple dieses sinnvolle Feature wieder killt.

    Cheers
    Seppm

    • Probleme bestehen weiterhin mit der Beta5.

    • Danke Frank,

      weisst Du ob das mit den Zertifikaten geht? Allerdings wäre mir auch nicht klar ob das für privat ein gangbarer Weg ist, also sich solche Zertifikate zu besorgen und die Installation/Betrieb?

      Cheers Seppm

    • das weiss ich leider nicht.

    • Wenn man der Configuration Profile Reference von Apple glauben darf, sollte OnDemand auch in iOS9 weiterhin funktionieren. Ein Parameter zur Einstellung der Dauer bis zur Verbindungstrennung existiert darin jedoch nicht.

  50. Hallo Jörg,

    zunächst Danke für Deine Anleitung, habe es mit etwas probieren hinbekommen. Auf meinem iPhone tritt jedoch folgendes auf: während unter Safari eine angewählte Seite automatisch mit dem VPN verbunden wird, läuft sich Crome einen Wolf, ohne Erfolg. Hast Du dazu eine Idee?

    Und meine zweite Frage: Gibt es auch die Möglichkeit eines Auto-Disconnect's? z.B. wenn die auslösende Seite / IP-Adresse geschlossen wird.

    Danke und Gruß
    wolfgang

  51. Ich kann das Problem mit Chrome zumindest bestätigen. Eine Erklärung dafür habe ich allerdings auch nicht. Meine Idee war, dass es möglicherweise an der Datenkomprimierung liegt. Aber das war's auch nicht.

  52. Hallo,

    gibt es auch eine Möglichkeit, sobald sich in bestimmte WLAN-Netze z.B. auch der Telekom-Hotspot generell eine VPN-Verbindung on Demand aufbauen zu lassen? Kann man auch mehrere VPN-Profile im iPhone gleichzeitig nutzen?

  53. Wer mit dem iPhone-Konfigurationsprogramm arbeitet, kann sich auch dort ein Profil mit den VPN-Daten erstellen, dieses Exportieren und dann die beiden Keys (OnDemandEnabled und OnDemandRules) inkl. der nötigen Einstellungen einfügen. Ich habe diese zwischen dem Key AuthenticationMethod und LocalIdentifier eingefügt, es sollte aber auch an anderen Stellen klappen. Vorteil ist, dass die Daten auch wirklich an den richtigen Stellen stehen, und nur dort. Der Shared-Key hat z.B. nichts mit der Payload-UUID zu tun und muss auch nicht dort rein.

    Anbei noch die wichtige Passage für die automatische Aktivierung des VPN-Zugangs.

    .....
    AuthenticationMethod
    SharedSecret

    OnDemandEnabled
    1
    OnDemandRules

    InterfaceTypeMatch
    WiFi
    SSIDMatch

    Mein-WLAN

    Action
    Disconnect

    Action
    EvaluateConnection
    ActionParameters

    Domains

    192.168.xxx.xxx
    192.168.yyy.yyy
    Beispieldomain.com

    DomainAction
    ConnectIfNeeded

    LocalIdentifier
    .....

    • Leider wird im Kommentar das Format der plist-Datei "verschluckt". Der wichtige Teil, ist der, der im Bild des Artikels gelb und schwarz eingerahmt ist.

  54. Hi @all,

    nur zum Verständnis....bisher lief OnDemand unter IOS8 auch dank dieser tollen Anleitung auch bei mir ;-)

    Jetzt bin ich auf die PublicBeta von IOS9 gewechselt...und da geht es eben nicht mehr. Manueller Aufbau funktioniert auch noch mit dem erstellten Profil.

    Nun meine Frage ...läuft das schon bei jemandem unter IOS9 ...

    Danke - Gruß CHRIS

  55. bei mir läuft es unter ios9 beta5 auch nicht manuell: verbindungsaufbau klappt problemlos, aber es kommen keine Daten durch. Hat jemand eine Idee??

  56. Daten kommen bei mir bei manuellem Aufbau unter Ios9 durch

  57. Vielen Dank für diese perfekte Anleitung. Anfangs hatte ich auch das Problem, dass ich per VPN zwar auf mein lokales Netz kam, aber nicht weiter ins Internet. Interessanterweise war dies nur ein Problem bei Verwendung des iPhones (iPhone 5, IOS 8.4.1), denn mit einem Android-Handy klappte der Zugriff auf's Internet ohne Probleme. Und genaugenommen funktionierte auch auf dem iPhone der Internet-Zugang - ping auf IP-Adressen im Internet waren erfolgreich, aber die DNS-Auflösung scheiterte. Scheinbar bekam das iPhone beim Aufbau des VPNs keinen DNS-Server übergeben. Nachdem ich dann längere Zeit nach einer Lösung vergeblich gegoogelt hatte und auch die Anleitung auf der AVM-Seite keine Lösung brachte, führte ein Neustart der Fritzbox zum Erfolg.

  58. Falls es hier jemanden interessiert, auch unter IOS9 läuft jetzt VPN on demand. Ich habe lediglich die IP Adressen durch die Domain ersetzt.

    CAM1.fritz.box

    Verbindung baut sich auf und auch wieder ab.

    Gruß Chris

  59. @Chris:
    Baut sich die Verbindung nur auf oder gehen auch Daten durch? Nachdem ich mein iPad auf die neuste iOS 9 Pblic Beta geupdated habe, funktioniert dies nach wie vor nicht. VPn baut nur auf aber keinerlei Daten gehen durch. Weder Internet Traffic, noch erreiche ich meine Devices im Netz.
    Wofür steht das CAM1 in deiner Domain und wo hast du die IP durch die Domain ersetzt?

    Wäre super, wenn es bis zum morgigen Release von iOS 9 eine Rückmeldung geben könnte. :-)
    Kannst du dazu etwas sagen, Jörg?

    Gruß und Danke
    Tim

  60. Hallo Tim,

    also Verbindung baut sich automatisch auf und auch wieder ab. Ging sowohl mit der GM und auch mit der jetzigen 9.1 Beta. Cam1 steht für die IP 192.168.178.34. In der FritzBox kannst du die Namen dafür vergeben. Geändert habe ich das in der mobileconfig. unter dem Punkt Domains siehe schwarze Umrandung...

    Das ganze läuft jetzt wieder einwandfrei ;-)

    Gruß Chris

  61. Danke Chris für deine rasche Antwort. Das heist mit der IP deiner FritzBox unter Domains in der mobileconfig hatte es nicht funktioniert oder hast du den Eintrag zusätzlich gemacht? Wie sieht es mit anderen Zielen aus? Meine Liste ist dort etwas länger mit Zielen, wie QNAP etc. ;-)
    Wird bei dir auch der Internet Traffic durchgeroutet? Dies bleibt bei mir nämlich aus. Weder Internet Traffic wird durch den Tunnel geroutet, noch sind meine anderen IP-Adressen wie NAS, Dreambox etc. erreichbar.

    Vielleicht müsste ich doch mal die neuste FritzBox Firmware einspielen. Nur muss ich dann wieder ein Freetz Image basteln und mit ein paar Einschränkungen was mein FHEM angeht leben...

    Gruß
    Tim

  62. Ich habe die devices alle mit einer Domain versehen. Genau mit der reinen IP hat es nicht funktioniert.

    Du benötigst kein Freetz , sondern du gehst einfach in die Heimnetzeinstellungen deiner FritzBox, und vergibst den dort aufgelisteten Devices eine Namen. Dann sollte das Ganze funktionieren...

    DeviceXYZ.fritz.box wobei dun in der Fritzbox nur DeviceXYZ eingibst. In der config dann noch .fritz.box hinten dran ;-)

    ob *.fritz.box geht weiss ich nicht. * steht für alle Einträge in der Domain

  63. Okay, das meinst du. Wobei das nicht wirklich Einfluss auf die Ziele hat. Entscheidend ist viel mehr der Hostname des Zieles.
    Nichts desto trotz habe ich es damit versucht, ohne Erfolg. Der Internet Traffic wird nach wie vor nicht durch gerouted bei bestehender VPN Verbindung und die Endgeräte sind ebenfalls nicht erreichbar. Weder über IP-Adresse, noch Hostname oder Hostname.fritz.box noch sonst etwas.
    Kannst du deine Konfig mal posten?

    Gruß

  64. Hallo
    Genau das Problem von Tim habe ich auch. Eine Lösung wäre prima. Vielen Dank.

    Gruß

  65. Vielleicht noch ergänzend: zumindest bei IOS8 kann man auch einfach die Domain "fritz.box" anstelle der einzelnen Hosts wie z.B. "CAM1.fritz.box" verwenden. Man sollte aber vorher mal schauen, ob die Namensauflösung der Fritzbox im LAN überhaupt funktioniert. Ich musste in der Fritzbox beim DNS Rebind Schutz "fritz.box" als Ausnahme eintragen. Aufgelöst werden dann alle Hostnamen, die unter Heimnetzwerk mit Namen aufgeführt sind.

    Gruß
    Peter

  66. Tja..habe auch mal den Tip ausprobiert. Leider bekomme ich auch keine Verbindung. Dann muss ich woh wieder manuell das VPN einschalten Damit klappt es wenigstens.
    SCHADE..
    Gruß Jürgen

  67. Alos , wie gesagt unter IO 9.1 Beta und der GoldenMAster funktioniert es...Ich kann nur das sagen und beschreiben, was ich gemacht habe...

    Sorry, dass es bei euch nicht funzt!

  68. @PeterJ.

    das mit dem fritz.box alleine funktioniert auch unter IOS9.1 . Danke für den Tip. Gerade getestet.

  69. Nach dem Update auf IOS 9.0 funktioniert bei mir das VPN nicht mehr. Ich habe in der iPhone-Config nur noch "fritz.box" als Domain aufgeführt. Wenn ich im iphone-Browser "fritz.box" als Adresse eingebe, wird der VPN-Tunnel zwar aufgefaut, ich kann dann aber nur pings ins Internet erfolgreich absetzen. Pings ins LAN und jeglicher Aufruf mit einer Domain (z.B. "host.fritz.box" oder "test.de") schalgen fehl.

    Kann es sein, dass erst mit IOS 9.1 alles wieder funktioniert?

  70. Nach dem update funktioniert bei mir VPN selber noch, nur kein on demand. Das heißt die Verbindung wird nicht aufgebaut. Ich habe keine hostnamen freigegeben, nur IP.

  71. @Sven: IP's in der iphone-mobilconfig werden in IOS 9 nicht mehr unterstützt. Du musst also Hostnamen bzw. eine Domain angeben, damit das iPhone das VPN on demand aufbaut (und dann diese naürlich auch beim ersten Zugriff in der URL des Browsers verwenden).

  72. Heißt das, dass VPN oD dann in Apps nicht mehr funktioniert? Die werden ja üblicherweise mit einer IP konfiguriert und nicht mit einem Hostnamen.

  73. Ich hatte es gestern kurz nach dem Upgrade auf IOS ausprobiert. Zu dem Zeitpunkt hatte ich noch die IP-Adressen parallel zum Domainnamen in der Konfiguration. Mit der IP-Adresse konnte ich das VPN nicht aufbauen, aber mit der Domain.
    Du kannst ja in der Fritzbox den einzelnen Geräten einen Namen zuweisen und dann in den Settings der Apps statt der IP-Adresse ".fritz.box" eintragen.

    Nichtsdestotrotz habe ich aber (s.o.) das Problem, dass ich die Geräte im LAN nicht erreichen kann und damit vermutlich die DNS-Auflösung durch die Fritzbox nicht funktioniert.

  74. Hallo, inzwischen klappt es auch bei mir. Habe den gelb markierten Bereich gelöscht und nur die Domäne fritz.box eingetragen. Allerdings muss ich jetzt in meinen Apps anstatt der IP den FQDN eintragen. Ist ganz schön aufwendig. Aber zum Glück nur einmal nötig.
    Gruß
    Jürgen

  75. Ich finde es sehr verwirrend, dass es bei jedem so unterschiedlich ist.
    Was in meinem Fall sicher anders sein wird, ist der Provider. Ich bin bei Unitymedia und habe eine Cable FritzBox mit statischer IPv4 Adresse. (leider nur als Business Kunde möglich). Meine VPN Konfigurationsdatei ist also auf der Cable FritzBox vorhanden. Über LAN1 betreibe ich dann meine FirtzBox 7390 mit Freetz Image und Fhem.
    Ich musste in meiner *.mobileconfig noch folgende Zeilen einfügen, damit die Adressen aufgelöst werden konnten:
    RequiredDNSServers
    DNS Server/IP FritzBox

    In meinem Fall steht die IP-Adresse der FirtzBox Cable drin.
    Wie bereits erwähnt funktioniert unter iOS8 VPN On demand und das Routing des gesamten Internet Traffics. Sämtliche Devices, welche an meiner FirtzBox 7390 hängen sind über die IP-Adresse und den Hostnamen.fritz.box erreichbar.

    In meiner *.mobilconfig habe ich unter iOS 8 IP-Adressen eingetragen. Unter iOS9 habe ich nun meine Domain fritz.box und die IP-Adressen drin. Aber ich bekomme unter iOS9 mit der gleichen *.mobileconfig nur einen manuellen Aufbau des VPN's hin. Ich kann aber keinerlei Geräte an meiner FirtzBox 7390 erreichen, weder über die IP-Adresse noch über name.fritz.box. Weiterhin kann ich auch keine externen URL's mehr aufrufen. Also der gesamte Internet Traffic geht ebenfalls nicht mehr durch.

    Wer von euch hat exakt die gleichen Probleme?
    Aktuell verstehe ich hier eher einen mix. Beim Einen funktioniert nur der automatische VPN Aufbau nicht mehr, dafür aber das Routing des Internet Traffics und auch der Zugriff auf die Geräte im LAN. Beim Anderen sieht es wieder etwas anders aus.

    Es wäre super, wenn man wieder eine Lösung wie von Jörg für iOS8 oben im Artikel beschrieben hätte, wo wieder der Aufruf über IP-Adressen, Hostname und Routing des gesamten Traffics über VPN funktioniert.

    Hoffe sehr auf eine funktionierende Lösung, damit ich auch das iPhone updaten kann. Bin ziemlich auf VPN angewiesen. Mir würde erst mal schon das manuelle VPN wieder reichen, damit überhaupt etwas erreichbar ist.

    Gruß
    Tim

  76. @Tim:
    Sieht bei mir genauso aus. Einzige Ausnahme: ping ins Internet funktioniert. Könntest Du testweise mal eine ping-App ("Free Ping") installieren und einen ping z.B. auf die 141.1.1.1 probieren. Ich bin zwar auch unitymedia Businesskunde, aber ich sehe hier eigentlich keine Ursache.
    Gruß
    Peter

  77. Mhh aber gut zu wissen, dass du auch bei UM bist!
    Ich werde mich gleich nach Hause bewegen und es auf dem iPad testen! Apps habe ich zur genüge drauf ;)
    Noch UM Kunden dabei, bei denen es funktioniert? Ich glaube nämlich doch fast, dass es daran liegt. Nur noch keine genaue Idee, wieso.

    Gruß

  78. Okay also pingen kann ich auch sämtliche Adressen. Es scheint wirklich so, als ob Ports geblockt werden oder irgendetwas mit der Namensauflösung nicht klappt oder beides.

  79. Hey Leute, bei mir sieht's nach dem Update auf iOS9 wie folgt aus:
    Die VPN-Verbindung baut sich nicht mehr automatisch auf, egal welche IP ich aufrufe (habe nur IPs und keine Domains in meiner config). Beim manuellen Aktivieren der VPN-Verbindung komme ich ganz normal in mein Netzwerk und kann alle Geräte erreichen. Auch Internettraffic wird über den VPN-Tunnel geroutet. Beim Einloggen in mein WLAN wird die VPN-Verbindung auch wieder automatisch deaktiviert.

    Somit funktioniert bei mir nur der automatische Aufbau nicht, der Rest geht. Ich werde es später mal mit Domainnamen versuchen.

  80. Hi,

    bei mir ebenfalls. Manuell mit fritz.box geht. Tippe ich in Safari fritz.box baut sofort der VPN auf.
    On demand nichts zu machen.
    Bin ebenfalls bei UM und zum Glück noch mit IPv4 an der Fritz :-)

    Hat jemand bereits VPN per App hinbekommen ? Ich les mir hier nen Wolf.
    Hätte dies gerne bei den Synology Apps.

  81. Ich habe sondie Befürchtung, dass nur die UM Kunden die Probleme haben. Habe noch versucht die DNS Server von UM mit in die config einzutragen aber auch kein Erfolg...

  82. Wie oben bereits mehrfach geschrieben... Funktionierte es bei mir mit 9.0 und der jetzigen 9.1beta.
    Auch VPN on demand via App funzt.... Die IP in den Apps durch Domain ersetzt....

  83. Achso Telekom Kunde

  84. könntest Du vielleicht Deine config nochmal posten ?
    speziell auch bezüglich VPN per App. Wäre echt klasse

  85. Config geht gerade nicht, da ich nicht am Mac bin sondern über das iPhone schreibe....

    Ich habe lediglich in der mobileconfig ( schwarzer Kasten Beispielconfig ) die IP durch fritz.box ersetzt.

    Dann in der fritzbox unter Heimnetz den IPs einen Namen vergeben. Auch ich nutze eine Syno NAS. Diese ist zu erreichen unter Diskstation.fritz.box. Genau diesen Namen habe ich in den Syno Apps eingetragen unter dem Punkt IP/Hostname..... Das wars..... Mehr habe ich nicht gemacht.
    Versteh nicht, warum es bei euch nicht funzt...

  86. mhhh. gibt es ja nicht. So hab ich das eingetragen
    fritz.box
    iPhone-6.fritz.box
    Synology.fritz.box

    Allerdings gehen die Synp Apps auf meine spdns Adresse. Muss diese dann zusätzlich oder nur neben der fritz.box eingetragen werden.

    Ich glaube ne neue Anleitung zum download wäre mal gut :-)

  87. So gehts bei mir:
    Mobile config:
    Domains

    fritz.box
    NAS.fritz.box
    ....

    Aufruf dann mit
    http://fritz.box
    https://NAS.fritz.box:5001/webman/index.cgi

  88. Meiner Meinung reicht es völlig aus, bei Domains nur "fritz.box" einzutragen. Ich habe es gerade noch mal ausprobiert: das VPN wird immer aufgebaut, egal was ich als Hostname vor "fritz.box" in der URL angebe.

    Zum Problem mit der Verbindung - hier meine "Forschungs"ergebnisse:

    - Gleiches mobilconfig-File auf iPhone (IOS 9) und iPad (IOS 8.x) -> VPN auf dem iPHone funktioniert nicht, auf dem iPad alles ok.

    - Trace auf der Fritzbox:
    Die Fritzbox empfängt nach dem Aufbau des VPNs DNS-Requests vom iPhone und beantwortet diese auch richtig, sowohl bei DNS-Anfragen für Hosts im Internet als auch im LAN. Allerdings wird in der Fritzbox vermutlich an einen Punkt getraced, an dem das VPN bereits terminiert ist (andernfalls könnte ich die Requests ja gar nicht lesen). Es könnte also sein, dass die Fritzbox die DNS-Antworten nicht durch den Tunnel schiebt.
    Nach dem DNS-Request und DNS-Antwort sehe ich dann aber nicht, dass das iPhone auch die TCP bzw. HTTP-Verbindung zu dem Host mit der angefragten IP-Adresse aufbaut - vermutlich erreicht die DNS-Antwort nicht das iPHone.

  89. Kurz meine Beobachtungen:
    Die VPN-Verbindung wird mit der alten Konfiguration auf meinem iOS9-iPad nicht automatisch aufgebaut. Wenn man sie manuell aufbaut, läuft aber der Datenverkehr normal. Zugriff auf Geräte im Heimnetz und auch Internet. Ich bin nicht bei UM.

  90. @Tim: Ich bin auch bei Unitymedia mit einem Cisco Kabelmodem 3208 und ipV4 Adresse. Dahinter ist eine Fritzbox 7490. Den VPN Tunnel vom iPhone (iOS9) zur Fritzbox bekomme ich aufgebaut, aber damit erreiche ich in meinem LAN gar keine Geräte mehr. Weder über IP noch über Hostnamen. Internetseiten per ebenfalls nicht per Name/IP erreichen (z.B. http://www.heise.de). Aus irgendeinem Grund kann ich aber den Google DNS 8.8.8.8 anpingen. Evtl. weil er bei mir in der Fritzbox konfiguriert ist.

  91. Nächste Beobachtung:
    Wenn ich bei meinen Clients (Apps oder Browser) .fritz.box eingebe, funktioniert alles wie gewohnt. Automatischer VPN-Aufbau und ich erreiche meine Geräte im Heimnetz.
    iOS9 auf einem iPad Mini.

    • Ach ja, ganz vergessen - danke für die Hinweise. Jetzt kann ich meine ganzen iDevices auf 9.0 updaten.

  92. Also laut der aktuellen Config Profile Referenz von Apple besteht wohl wirklich nur noch die option mit Domains zu arbeiten. Vor einigen Wochen war auch explizit die Möglichkeit aufgeführt, IPs in das Array aufzunehmen. Nun nicht mehr, scheint also tatsächlich gewollt zu sein.

    Ich habe nun den Eintrag *.fritz.box hinzugefügt und kann damit wieder automatisch in mein Netz, egal welches Gerät ich gerade aufrufe.

  93. Okay. Das ist plausibel. Habe auch die Apple Refs mal durchforstet und konnte gleiches feststellen. Nun haben also vermeintlich diejenigen ein Problem, die bei Unitymedia sind. Eventuell auch weitere Nutzer bei einem Kabelanbieter.

    Nun gilt es herauszufinden, was bei der Namensauflösung bei UM Usern nicht korrekt funktioniert. Danke dir Peter J. für das erste Troubleshooting. Hat einer eine Idee, wo wir Unterstützung dafür bekommen könnten? Ich will zwar versuchen da auch noch mal Zeit zum Investigieren reinzustecken aber vielleicht hat Jörg das Gleiche Problem oder jemand schon eine Idee woran es liegen könnte?

    Ich denke man kann festhalten, dass das Problem nur bei Kabel Benutzern (aktuell auch nur Unitymedia) besteht, oder?

    Gruß
    Tim

    • Kurzes Update von mir, da ich ja durch iOS9 auch an der Config-Datei nachbessern musste. Ich habe alle Netzwerkadressen rausgeschmissen und nutze derzeitig nur noch "fritz.box" als einzige Domain:

      <key>Domains</key>
      <array>
      <string>fritz.box</string>
      </array>
      <key>DomainAction</key>

      Dann habe ich entsprechend die Domainnamen meiner Devices in den Netzwerkeinstellungen meiner Fritzbox 7490 (1&1-Anschluss über Telekom) angepasst und greife dann bspw. per QFile-App über die Adresse qnap.fritz.box auf mein NAS zu. Der Aufbau per LTE klappt dann automatisch (mit iOS9 gefühlt sogar schneller als noch bei iOS8) und auch im WLAN kann ich problemlos ohne VPN zugreifen.
      Aktuell habe ich nur noch das Problem, dass einige Geräte im LAN gar nicht über deren eigentlich vergebenen Domainnamen (z.B. Loxone Miniserver per loxone.fritz.box) erreichbar sind - nichtmal ohne VPN direkt im LAN bzw. WLAN.
      Eine Fritzbox 6490 mit Unitymedia-Anschluss hätte ich auch noch zum Verfügung, getestet habe ich es damit aber noch nicht.

      Grüße
      Jörg

  94. Ich habe heute mal ein Ticket beim AVM-Support aufgemacht. Auf den ersten Blick sieht das Problem ja zunächst nach einem IOS-Fehler aus, da der Fehler ja aber scheinbar nur bei Unitymedia-Kunden auftaucht, könnte es auch an der speziellen Fritzbox-Firmware bzw. dem Fritzbox-Typ (Kabel-FB) liegen. Falls ich vom Support etwas Hilfreiches erfahre, werde ich es Euch wissen lassen.
    Ich habe mich heute dann aber doch entschieden, beim iPhone einen Downgrade auf IOS 8.4.1 durchzuführen, da mich neben dem VPN-Problem noch das ein oder andere an der 9er Version störte.

    Gruß
    Peter

  95. Danke Peter für die Info. Allerdings glaube ich nicht, dass es ein Firmware Problem in der Cable FritzBox ist, da ein Leser des Blogs einen Cisco Kabelmodem von UM verwendet. :-/
    Ich wollte soeben einen Thread im IP-Phone-Forum eröffnen, habe mich aber dann dem bereits Bestehenden des Lesers angeschlossen.

    Siehe hier

    Vielleicht finden wir hier noch Unterstützung.

    Gruß
    Tim

    • Ich habe mich nun auch mal an die Unitymedia Business Hotline gewandt und muss wie immer feststellen, dass dort Kunden Service nicht gerade groß geschrieben wird.

      Problem geschildert, mit allen hier aufgeführten Hinweisen, dass es zwar ein neues iOS 9 gibt und es Nahe liegt, dass genau das das Problem ist aber gleiche Konfigurationen mit anderen Providern etc. funktioniert.

      Der gute Mann von UM hat zunächst gar nicht auf das Problem eingehen wollen und gesagt es liegt nicht an uns, sondern an Apple und dem neuen iOS 9, da es immer so war.

      Es ist meiner Meinung nach allerdings nicht zu viel vom Kunden verlangt zu erwarten, dass solche Sachen getestet werden und ggf. intern geprüft wird, ob man das Problem selbst beheben kann. Daraufhin wurde mir versichert, dass dies getan wird. Unter anderem gab es bei Windows 10 ähnliche Probleme.

      Also habe ich schlussendlich die Aussage bekommen, dass das Problem bei Unitymedia bekannt ist und man daran arbeitet, soweit man es aufgrund von Änderungen bei Apple überhaupt lösen kann. Ob dies nur eine Aussage des Mitarbeiters war, weil er einfach keine Lust mehr hat, ist fraglich. Aber er meinte auch, dass es immer Probleme gibt, wenn Apple neue Updates rausbringt. Klar...Thats IT...

      Seine Aussage, dass Apple der Hauptschuldige ist kann ich einerseits verstehen. Aber in der IT Welt gehören immer zwei Parteien dazu und wenn etwas nicht funktioniert, weil eine Partei etwas ändert, verlange ich zumindest, dass die andere Partei eine Ursachenforschung vornimmt und ggf. sein Produkt daraufhin anpasst, wenn dies nötig ist. Ich wollte lediglich, dass das Problem aufgenommen, entsprechend die Erfahrungen und Auskünfte weitergeleitet und man als Kunde über den Stand der Problemfindung informiert wird.
      Pustekuchen...
      Dies kann man bei Unitymedia nicht. Weder darf der gute Mann ein Ticket eröffnen, noch kann er die Informationen weiterleiten. Da frage ich mich manchmal echt, wie manche Firmen überhaupt bestehen können...

      Ich hoffe dieses leidige Thema hat bald ein Ende...Die Hoffnung stirbt zuletzt.

    • Hey Tim,
      danke für dein Engagement!
      Ich denke wir "Poweruser", die VPN-OnDemand einsetzen, machen wohl insgesamt weniger als 0,01% aller Nutzer aus. Somit ist die Wahrscheinlichkeit recht hoch, dass das Problem erst mal unter dem Radar der Anbieter verschwindet. Warum sollte man die Probleme solcher Freaks auch priorisiert angehen? Was solche Unternehmen dabei aber nicht verstehen, ist die Tatsache, dass gerade wir oftmals auch Meinungsbildner für Normalo-Anwender sind und sich unsere Zufriedenheit über kurz oder lang per Multiplikatoreffekt auch auf die breite Masse auswirken kann. Ich würde an deren Stelle jedenfalls auf Poweruser hören, gerade wenn sie sich schon aktiv bei mir melden und mir schon einen Teil der Arbeit abnehmen. Aber dazu bedarf es wohl auch etwas (technischer) Weitsicht und nicht nur die BWL-optimierte Sicht aufs Folgequartal... :)

  96. Vielen Dank an dieser Stelle an alle, die im Vorfeld mit iOS 9 rumprobiert und damit auch mir die Umstellung erleichert haben.
    Ich habe dem Blogpost gerade mal ein entsprechendes Update verpasst. Falls ich irgendetwas vergessen haben sollte, bitte kurz Bescheid geben.

    Cheers
    Jörg

  97. Mal ein andere Frage: Wie bekommt Ihr unter iOS9 den das Profil auf das Gerät. Bisher habe ich es mir per Mail aufs iPhone geschickt und dann einfach installiert. Das scheint unter iOS9 ja so nicht mehr zu funktionieren. Wenn ich auf die .mobileconfig klicke, wird mir lediglich der Inhalt der Datei angezeigt. Ein längerer Klick öffnet zwar weitere Möglichkeiten, aber nicht, das Profil zu installieren.

  98. So ein Mist, der Apple Configurator ist noch nicht OSX 10.11kompatibel..... Muss ich wohl ne Zeit warten bis der Configurator aktualisiert ist.

  99. Unter iOS9 geht das bei mir ebenfalls nicht!

  100. Komischer Weise, lässt sich die Config über Email, auf meinem iPad, mit Beta 9.1, ohne Probleme installieren. Auf meinem iPhone mit iOS9 nicht!

    • Ja, stimmt. Bei mir ist das auch so. Auf dem iPad geht es, auf dem iPhone nicht. Ein Bug...?

  101. @Dirk

    Danke, für die Schnelle Antwort. Leider habe ich keinen Dev. Zugang, somit kann ich es nicht downloaden. Bin Public Beta Tester.

  102. @Dirk

    Danke trotzdem. Ich such mal im Netz, ob ich evtl. die Datei finde....

  103. Das Versenden des Profils per Mail finde ich eigentlich nicht gerade sicher. Wenn man schon IPSec verwenden will, sollte man den Key dafür nicht einfach in einer lesbaren Datei mailen (auch wenn man noch das Passwort kennen müsste, um auf einem fremden iPhone den Zugang zu installieren).

    Ich habe die mobileconfig-Datei auf einem lokalen Weberver installiert, der von außen nicht zugänglich ist. Ich rufe dann im Browser (Safari) des iPhones die "Webseite" http://serveradresse/iphone.mobileconfig. Das iPhone lädt/startet dann das config-File, wie man es (früher) bei der Mailversion auch machte. Wer keinen dedizierten Webserver zu Hause hat, kann auch einen der einfachen Webserver (z.b. Xampp) auf dem PC installieren und die Datei dann per http://serveradresse/iphone.mobileconfig installieren.

    Gruß
    Peter

    • Für die meisten User wird das Versenden per Mail wohl die einfachste Möglichkeit bzw. praktiabelste Lösung darstellen. Man müsste ja schließlich noch Passwort UND Benutzername erraten, was wohl gewöhnlich genügend Schutz bietet. Ein Webserver ist aber natürlich auch eine Möglichkeit, danke für den Hinweis!

  104. Das soll mal jemand verstehen. Jetzt konnte ich die Datei ganz normal über eMail installieren. Weiß der Geier warum das vorhin mehrmals und bei anderen nicht ginge....

    • Was soll ich sagen? Bei mir funktioniert es auf einmal auch wieder auf dem iPhone aus Mail heraus. Ich bin verwirrt...

  105. Auch habe als Unitymedia-Kunde das Problem, dass ich zwar noch eine VPN-Verbindung über meine FRITZ!Box 6490 Cable aufgebaut bekomme, aber keinen Zugriff mehr auf meine lokalen IPs erhalte. Habe Unitymedia diesbezüglich mal eine Email geschrieben und um Klärung des Problems gebeten. Bin gespannt.

    Übrigens bin ich Privatkunde, allerdings mit fester IP4-Adresse.

  106. Danke für die neue ios9 info !!

  107. Das senden der Config per Mail funktioniert auch unter iOS9 problemlos. Das geschilderte Problem hatte ein Bekannter von mir auch, lag an einer veralteten Version des iPhone-Konfigurationsprogramms. Ich nutze Version 3.5. Diese ist bei Apple aber nicht mehr zu laden. Mit meiner klappt es wunderbar.

  108. Hallo,
    gibt es schon weitere Erfahrung mit dem neuen iOS9?

  109. Noch mal zurück zum Problem der nicht unterstützten VPN-Verbindung für Unitymedia-Kunden. Meine FRITZ!Box 6490 Cable hat immer noch die Firmware 6.24 installiert, obwohl es seit Wochen bereits die 6.30 von AVM gibt. Könnte es sein, dass das Problem ggf. durch ein Firmware-Update behoben ist, oder funktioniert es bei einigen auch mit der 6.24?

  110. Allmählich füllen sich die Foren mit "unserem" Problem. Am interessantesten:
    https://forums.developer.apple.com/thread/16699

    Gruß
    Peter

  111. Bei mir das gleich mit iOS9 und FB 6360. Nachdem ich die 8.41 wieder auf mein iPhone 5s aufgespielt habe ging die Verbindung wieder.

    Gruß Tilo

  112. Hi Tilo,

    hängst Du auch an Unitymedia (ich nicht)?
    Wenn ja, kann man dann sagen das folgendes der Fall ist?

    a) bei Unitymedia Kunden geht mit iOS9 zwar das VPN manuell zu starten, aber es geht kein Traffic drüber

    b) das automatische Öffnen des Tunnels basierend auf IP Adressen geht nicht mehr, man muss dazu in der Fritzbox bei den Netzwerk Einstellungen bei den Geräten die Domain Namen verwenden (siehe oben)

    Situation bei mir (kein Unity Media Kunde, IPV4 dynamisch) ist das ich bei iOS8 die Vorlage von Jörg mit IP Adressen benutzte und das prima mit dem automatischen Aufbau klappte.
    Seit iOS9 geht das VPN mit den IP Adressen nicht mehr automatisch aufzubauen ABER manuell kann ich es starten und ich kann sowohl lokale Seiten als auch web-Seiten aufrufen. Das mit den Domains hab ich schon versucht aber da hab ich wohl noch einen Fehler drin, muss ich noch basteln.

    Wäre nur neugierig ob es "nur" bei den Unitymedia Kunden mit dem Traffic Probleme macht oder auch bei anderen und
    welches FritzOS! auf den entsprechenden Fritzboxen ist.

    Auf meiner 7390 ist 6.30 vom Provider (KMS cablesurf München) installiert worden (nachdem ich noch vor iOS9 einen anderen Effekt, der nichts mit VPN zu tun hatte, meldete und das bemängelte).

    Cheers Seppm

    • Hi Seppm,

      ja ich hänge an Unitymedia mit einer FB 6360. Der automatisch Aufbau klappt da ich bereits meine Geräte mit Domainnamen eingetragen hatte. Ich sehe auch die aufgebaute Verbindung in der Fritzbox.

      Gruß Tilo

  113. Meine Konfiguration Fritzbox 7390, IOS9 und Telekom Business Vertrag. VPN funktioniert manuell, aber nicht mehr automatisch.

    Gruß René

  114. Hi Rewe,

    ich meinte als Provider Deinen Internet Provider Deiner Fritzbox. Der Mobilfunkprovider ist hoffentlich egal.

    cheers
    Seppm

  115. Bin auch Unitymediakunde mit Cisco Kabelmodem IPv4 und einer pfSense Firewall.
    Seit iOS weder IPsec noch OpenVPN möglich. Verbindung wird aufgebaut, auch die LAN IPs werden von der Firewall geroutet und durchgelassen, die Datenübertragung klappt allerdings nicht.
    Ich denke es liegt auf dem Rückweg das Problem bei Unitymedia. Nur wieso erst seit iOS 9?

    Hat mal wer einen Tunnel innerhalb des UM Netzes getestet?

    Ich tunnel von einem Telekomanschluss auf meine Firewall ins Unitymedia Netz.

    Kann man wieder auf iOS 8 zurück? Ohne JB...

  116. Hi,

    noch kann man wohl auf iOS8 zurück. Hier eine Info wie es geht:
    http://www.netzwelt.de/news/154842-ios-9-so-gelingt-downgrade-ios-8.html

    Ein Auszug aus dem Text dort:
    "wechselt ihr zurück auf die neueste Version von iOS 8 das ist iOS 8 4.1. Allerdings solltet ihr schnell sein. Der Wechsel zurück auf iOS geht nur solange, wie Apple dies noch zulässt. Signiert Apple die ältere iOS-Version nicht mehr, so ist auch das Downgrade auf iOS 8 nicht mehr möglich."

    Wenn ich mich recht erinnere sind es oft 2 Wochen wo man noch zurück kann, aber wer weiss das schon.

    cheers Seppm

  117. Hallo zusammen,
    ich habe mal wieder einige Tests gemacht und die Ergebnisse auf Anfrage auch an den AVM-Support geschickt. Meine Beobachtungen in Kürze:

    (1) VPN zwischen IOS 9 Client und Fritzbox über Unitymedia funktioniert nicht. Es sind nur Pings ins Internet möglich.
    (2) VPN zwischen IOS 9 Client und Fritzbox über lokales WLAN funktioniert einwandfrei (config so geändert, dass auch bei WLAN das VPN aufgemacht wird).
    (3) VPN zwischen IOS 8.4.1 Client und Fritzbox über Unitymedia funktioniert einwandfrei.

    Der Punkt (2) zeigt eigentlich, dass ein IOS9-Gerät prinzipiell mit dem IPSec-Stack der Fritzbox kommunizieren kann. Das Problem taucht also erst dann auf, wenn die WAN-Seite der Fritzbox und die unitymedia-Strecke mit ins Spiel kommt. Am wahrscheinlichsten sehe ich momentan, dass bei Unitymedia irgendwelche NAT-Devices nach dem Aufbau des Tunnels nicht mit der Payload klarkommen - aber das sind nur Vermutungen.

    In der ganzen Strecke zwischen iPhone und Fritzbox liegt ja nicht nur Unitymedia, sondern auch ein Mobilfunknetz. Ich werde mal in den nächsten Tagen mein iPAD mit IOS9 an entfernter Stelle per WLAN einbuchen, und dann versuchen auf meine Fritzbox zu kommen. In diesem Fall hätte ich dann kein Mobilfunknetz dazwischen und könnte das Problem vielleicht weiter eingrenzen. Alternativ könnten wir auch zusammen eine Tabelle aufstellen mit den "Spalten": geht/geht nicht - Internet-Provider - Mobildfunkprovider.

    Gruß
    Peter

    Gruß
    Peter

  118. Hi, ansich ist das top, aber gibt es eine Möglichkeit die VPN Verbindung nur an ungesicherten WLAN Hotspots on demand aufzubauen?

  119. Ich kann bestätigen, dass es alleine mit den IP-Adressen als Trigger für den VPN-Aufbau nicht mehr funktioniert, das Hinzufügen der FQDNs und die Umstellung der Apps sodass anstelle der IPs die FQDNs verwendet werden bringt das VPN wieder on-demand hoch und lässt mich über meine Fritzbox auf alle Server dahinter zugreifen.

    Bisher hatte ich in der mobileconfig sowas in der Art stehen:

    Domains

    10.0.0.1
    10.0.0.2
    10.0.0.3

    DomainAction
    ConnectIfNeeded

    Jetzt habe ich das erweitert auf die FQDNs:

    Domains

    10.0.0.1
    fritz.box
    10.0.0.2
    server1.fritz.box
    10.0.0.3
    server2.fritz.box

    DomainAction
    ConnectIfNeeded

    In den Apps auf dem iPhone muss dann leider statt der IP-Adressen die FQDNs eingetragen werden (also fritz.box, server1.fritz.box, etc.) aber das ist zu verschmerzen.

    VG,
    Dustpuppy

    • Kannst du mir sagen wie du das neue Profil unter IOS9 installiert bekommen hast?
      iOS9 öffnet die mobileconfig bei mir nur noch wie ein pdf, installiert es aber nicht?!

    • Leider funktioniert VPN on Demand mit diesem Fix bei mir nicht!
      VPN selbst ist meiner Meinung nach nicht das Problem, wenn ich die VPN-Verbindung manuell aufbaue funktioniert alles Einwandfrei.

      Ich bin komplett bei der Telekom.

      Da VPN grundsätzlich funktioniert, nur eben nicht mehr "on-Demand" bin ich mir eigentlich sicher das es an iOS9 liegt!

      Wenn noch jemand einen anderen Vorschlag hat außer den FQDN, immer her damit!
      Ohne VPN-on-Demand bin ich recht aufgeschmissen... :(

  120. Sorry, mein Fehler, geht jetzt. Die config war nicht ganz korrekt....

  121. Also IPsec von einem anderen UM Anschluss aus ins UM Netz geht ebenfalls nicht.

  122. Ich hatte es in meiner mobileconfig ebenfalls mit der gleichzeitigen Verwendung von Domainnamen und IP-Adressen versucht, bin aber trotzdem nicht durch gekommen. Daher die Frage an dustpuppy, ob Du auch Unitymedia-Kunde bist?

  123. @dtp Nein, ich bin Kabel Deutschland Kunde, aber da das Triggern der VPN Verbindung erstmal rein lokal am iPhone passiert und das iPhone erst mal versuchen muss die VPN Verbindung aufzubauen, sobald auf eine IP oder FQDN aus der VPN Domain zugegriffen wird, sollte das Thema "on demand" vom Provider unabhängig sein.

    Wichtig ist, den vollen FQDN einzutragen und nicht nur den Hostnamen. Also server1.fritz.box und nicht nur server1.

  124. Also, bei mir klappt es ohne Probleme. Kabel Deutschland ist mein Provider. Die Domains dürfen auch keine Zahlen enthalten. Ist hatte bei meinem Sat Receiver VUduo2 im Router eingetragen, das ginge nicht. Erst als ich die 2 entfernte, also nur VUduo, ginge es.

  125. Bei mir funktioniert es jetzt wieder mit VPN-on-Demand (Telekom).

    Wichtig ist scheinbar die IPs und FQDN exakt so in die mobileconfig einzutragen wie Dustpuppy es im Beispiel getan hat.

    IP und FQDN müssen sich abwechseln.
    Nur FQDN funktioniert nicht.

    Zahlen in der Domain sind bei mir allerdings kein Problem.

  126. Ich kann das so nicht bestätigen. Bei mir steht in der Konfiguration nur
    fritz.box,
    keine IP-Adressen und keine Subdomains.

    Wenn ich in der URL-Zeile des Browsers "fritz.box" oder "wasauchimmer.fritz.box" eingebe, wird das VPN aufgebaut. IN IOS9 werden meines Wissens die IP-Adressen sowieso nicht mehr beachtet. Bei älteren IOS-Versionen kann man durch Hinzufügen von IP-Adressen ermöglichen, dass man einen Host im LAN zusätzlich auch über die IP-Adresse erreichen kann (oder genauer gesagt, dass VPN für die IP-Adresse des Hosts aufmachen kann).

    • Exakt dasselbe Verhalten bei mir. In der .mobileconfig nur fritz.box als Domain, in den Clients geraet.fritz.box und alles läuft.

  127. Danke OlliSp, es scheint so, als ob mein Beispiel mit server1, server2, etc. schlecht gewählt war. Offenbar matcht IOS9 auf Zahlen in den Domain-Einträgen und ignoriert diese geflissentlich.
    Da der on-demand-Mechanismus ja tatsächlich von der Idee her mit (Sub-)Domains arbeitet statt mit Hostnames oder FQDNs sollte es auch wirklich ausreichen, einen einzigen Eintrag mit fritz.box als Domain zu haben.

    Klingt doch alles schon übersichtlicher allmählich :)

  128. Vielen Dank für die gute und ausführliche Anleitung.

    Auf der Fritz habe ich mir seinerzeit auch die passende Config erstellt und importiert. Auf den ersten Blick würde ich sagen es sieht zu meiner Lösung sehr ähnlich aus.

    Auf iOS habe ich aber eine VPN IPSec Configuration über den "Neue VPN Verbindung" Dialog eingerichtet (nach Umstellung auf IPSec bekommt dieser ein Cisco am oberen Rand). Diese Konfiguration funktionierte seit iOS 6 bis zu iOS 8.4.1

    Seit iOS 9 ist wie ihr beschrieben habt Feierabend. Ich werde also mal den Weg über die mobileconfig versuchen, wenn mir UM nicht noch einen weiteren Stein in den Weg schmeißt.

    • Ich bin mir dessen bewusst, dass ich den VPN manuell hergestellt habe. Mit der VPNonDemand Variante funktioniert der Tunnelaufbau automatisch, aber das Ergebnis bleibt trotz angepasster Config (Domains: fritz.box) identisch. Kein Datenverkehr.

      Ja, Unitymedia Kunde. IPv4 wegen Altkunden-Bestandsschutz!

      Zeit für iOS 8.4.1 ...

  129. Seit gestern gibt es IOS 9.0.1.
    Damit soll auch die DNS Auflösung bei einigen VPN Verbindungen gefixt worden sein.
    Siehe hier: http://www.heise.de/newsticker/meldung/iOS-9-Bug-sorgt-fuer-VPN-Probleme-2823133.html
    und hier: http://www.heise.de/newsticker/meldung/iOS-9-Erstes-Update-soll-Fehler-beseitigen-2824504.html?wt_mc=nl.ho.2015-09-24

    Evtl. kann jemand gegen einen Unitymedia Anschluß testen und hier berichten, ob das Routing wieder funktioniert.

    • Mein Test direkt über Dir war bereits mit 9.0.1 ( :O hatte ich nur nicht rein geschrieben :O )

  130. Habe soeben auf die aktuelle iOS 9.1 Public Beta 2 aktualisiert und das Problem besteht weiterhin. Aber zumindest konnte die Ursache gefunden werden. Jetzt ist die Frage, wer das Problem beheben wird, UM oder Apple und wann...

    Aber ich habe noch eine Frage. Da mit iOS 9 ja nur noch Domain Namen funktionieren um VPN on Demand überhaupt aufzubauen. Wie erreiche ich meine zweite FritzBox 7390 hinter meiner Cable Fritz per FQDN?
    Leider klappt weder name.fitz.box noch der Name, welchen ich unter Heimnetz --> FritzBox Name eingetragen habe über http://NameDer2.Fritz

    Leider brauche ich dies, um meine Fhem Mobile App unter iOS weiter nutzen zu können...

    • UM lässt sich ebensogut zur Kundenfreundlichkeit bewegen, wie man ein schwarzes Loch mit einem Lasso vom Kurs abbringen kann.

      IMHO kann man nur auf Apple hoffen oder so schnell wie möglich zurück auf 8.4.1 wechseln. Die Änderungen in den Paketen betreibt Unitymedia seit über 7 Jahren ...

  131. Da ich nicht glaube, dass sich Unitymedia bewegt, kann man nur Apple etwas anstupsen.

    http://bugreport.apple.com/

  132. Die Ursache für das Problem scheint wohl lokalisiert worden zu sein.

    Es liegt wohl an den ECN-Bits (Explicit Congestion Notification) 0x03, die Apple seit iOS 9 den VPN-Paketen hinzufügt, die aber von Unitymedia konsequent blockiert werden.

    Unitymedia hat - wenn man den Thread weiter liest - auch sehr positiv reagiert. Es bleibt aber abzuwarten, ob Unitymedia seine Konfiguration entsprechend anpassen oder den schwarzen Peter an Apple übergeben wird. Letztlich haben hier wohl beide nicht ganz optimale Einstellungen gewählt. Apple wird sicherlich nicht reagieren, da es ja mit fast allen anderen Providern keinerlei Probleme zu geben scheint.

    • Ausführlich und englisch unter:
      https://forums.developer.apple.com/thread/16699
      von salamihawk am Sep 24, 2015 3:24 AM

    • Ich habe nur eine typische Standard-NULL-Antwort bekommen:

      "... vielen Dank für diese nützlichen Infos. Wir haben diese einmal an unsere Kollegen weitergeleitet. Unsere Fachabteilung ist dran, hier eine Lösung zu finden. Wir können nur um Geduld bitten. Herzliche Grüße ..."

    • Unitymedia:
      "Sehr geehrter Kunde, Ihre Störung kann durch einen Werksreset des Modems behoben werden. Eine Anleitung finden Sie unter … Ihr Unitymedia Team"

      Bullshit!

  133. genauer: unitymedia setzt das ECN auf 03 und Apple blockiert.

  134. Stimmt. So rum war's. Sorry.

  135. Was seitens Apple ja auch absolut richtig ist und ein Fehler von Unitymedia das ECN 0x03 bei sämtlichen Paketen mit zusenden. Seit 7 Jahren ist es bei Unitymedia bekannt und genau deshalb glaube ich nicht, dass sie sich als erstes bewegen werden...

  136. Bin kein UM Kunde, aber vlt. solltet ihr Euch da mal zusammen tun und geschlossen kündigen bzw. es androhen. Manchmal geht Vernunft ja über Armut. Wollte hier den Blog aber nicht dazu missbrauchen. Aber wenn da schon jemand dran ist könnte er ja einen Link einstellen wo man sich zum UM Thema speziell austauscht. Ich wär froh drüber wäre ich UM Kunde.
    just my 2.5 ct

    • Primär müssten UM-Business-Kunden druck machen, aber dortige Administratoren (die der UM-Business-Kunden) werden wohl auch nur sagen "Liegt an eurem Sch*** System (iOS + OS X El Capitan)"

  137. Nun ja. Das Kündigen meines UM-Vertrags würde ziemlich weitreichende Änderungen bzgl. DSL, Kabel-TV und IP-Telefonie zur Folge haben. Zudem würde ich dadurch ziemlich sicher meine IPv4-Adresse als Privatkunde verlieren. Und die Folgen wären deutlich weitreichender, als die zur Zeit nicht funktionierende VPN-Verbindung.

    Ich hoffe so ein wenig, dass UM sich der Sache vielleicht doch annehmen und Konformität zu den Apple-Vorgaben schaffen wird. Wenn sich da keine Änderung abzeichnen sollte, würde ich aber vermutlich eher von iOS Abstand nehmen und zu Windows Phone oder Android wechseln in der Hoffnung, dass VPN damit noch funktioniert. Andererseits würde es mir aber schon sehr schwer fallen, auf mein iPhone zu verzichten, da auf diesem einige Apps laufen, die es bisher noch nicht unter den anderen mobilen OS gibt.

    • Bei mir ist es ähnlich, würde die IPv4 verlieren, müsste alles umbauen und noch viel schlimmer mit 6MBit auskommen (down wohlgemerkt), da es hier keinen sonstigen Breitbandausbau gibt.

      Bin nun mit allen Geräten zurück zu iOS 8.4.1, leider mit dem Mangel, dass die Hörbücher in dieser Version so überhaupt nicht richtig funktionieren, seit diese in iBooks gewandert sind. Diese höre ich zur Zeit mit WindowsPhone, Android mag mir nicht gefallen. Leider wird es für iOS 8.4.1 sicher keine Updates mehr geben. Auch für iOS 6.1.3 gab es für iOS 7 fähige Geräte keine Updates mehr, auch wenn es noch 6.1.6 gab, die den GotoFail-Bug behoben haben.

      Ich bin seit fast 30 Jahren mit Apple zufrieden gewesen, aber seit iOS 7 und OS X 10.10 wächst meine Frustration permanent ...

      Unitymedia-Störungs-Support empfiehlt mir allen Ernstes einen Werksreset der Fritz!Box zur Behebung des VPN Problems, wieder nicht zugehört und nichts gelesen oder verstanden ...

  138. Hallo,
    ich habe iOS 9.0.2
    Habe alles nach Anleitung installiert.

    Diesen String habe ich auch eingesetzt.

    Domains

    fritz.box

    DomainAction

    Es kommt trotzdem noch die Meldung:
    Authentifizierung fehlgeschlagen...
    Das Passwort habe ich aber schon mehrfach geändert...
    Leider ohne Erfolg...

    Kann mir das jemand helfen??

  139. Ich hab meine mobileconfig mit dem Apple Configurator erstellt, und wollte dann die OnDemandRules mit dem SSIDMatch manuell einfügen. Ich benutzte statt IPSec Open VPN auf einem Asus Router also sieht meine Config etwas anders aus aber den OnDemandEnabled Eintrag gibt es trotzdem und dahinter hab ich das ganze eingefügt. Leider funktioniert die VPN Verbindung danach generell nicht mehr. Das Profil direkt aus dem Configurator läuft wie es soll. Wo muss das ganze dann hin?
    Im Configurator selbst kann man das SSIDMatch ja nicht einstellen, oder?

  140. Tja, jetzt hatte ich schon Hoffnung, dass sich etwas mit iOS 9.1 bessern könnte, aber diese wurde leider wieder zerschlagen. Mein aktueller Workaround ist daher, dass ich auf meiner DiskStation den VPN-Server mit PPTP laufen lasse, um über den frei gegebenen Port 1723 vom iPhone darauf zuzugreifen. Das funktioniert dann nämlich ohne zusätzliche App auch unter iOS 9.0. Leider mit dem Nachteil, dass diese VPN-Verbindung nicht zu den sichersten gehört. Aber ansonsten sehe ich derzeit Schwarz, eine VPN-Verbindung über iOS 9 und einem Unitymedia-Netz herzustellen. Unitymedia wird hier wohl auch nicht tätig werden, da sie die Schuld eindeutig bei Apple sehen. Und ob Apple reagiert, bleibt abzuwarten. Ich befürchte, wir werden uns als UM-Kunden IPSec für einen längeren Zeitraum abschminken können. Hatte übrigens auch noch mal L2TP/IPSec auf meiner DiskStation aktiviert, aber damit gab es das bereits seit längerer Zeit bekannte Problem, dass der VPN-Server trotz der freigeschalteten UDP-Ports 1701, 500 und 4500 einfach nicht gefunden werden kann. Was für ein Mist.

  141. Hallo,

    ohne jetzt alle Kommentare zu dem Unitymedia Problem durchzulesen...
    Ich habe 1. Unitymedia mit DS-Lite (nur IPv6) mit Fritzbox, 2. iOS 9.0.2 und komme ohne Probleme über OPEN VPN in meinen Netzwerk rein (Manuell).

    Da ich von Anfang das "IPv6 Problem" hatte. Habe ich das ganze über "IPv6 Portmapper" (5€ im Jahr) realisiert gekriegt.
    Zuhause läuft noch ein RaspberryPi als OPEN VPN Server über welches ich dann ins Heimnetz gelange.

    Das ganze ist mit relativ wenig Aufwand zu bewerkstelligen.
    Die glücklichen Unitymedia Kunden hier die noch eine IPv4 Anschluss haben, brauchen natürlich kein "IPv6 Portmapper". Aber warum dann die OPEN VPN Lösung nicht funktionert?... Liegt vielleicht an der Fritzbox.
    Wie gesagt mit RaspberryPi hinter der Fritzbox funktioniert es ohne Probleme.
    Falls jemand dazu mehr Informationen haben will, meldet euch.

    Gruß

  142. also ich habe jetzt mal 2 VPNs aufgebaut, eines für das iPad und eines für das iPhone.
    Alles hat wunderbar geklappt, werden in der Fritzbox angzeigt und verbunden ebenso auf dem iPhone und dem iPad.
    Aber...
    Ich komme auf keines meiner Geräte so z.B. auf meinen fhem-server.fritz.box da sagt er mir in Safari "Die Seite kann nicht aufgebaut werden.
    Aktuelle iOS ist bei mir 9.0.2 auf beiden Geräten.
    Was muss ich noch beachten, oder was habe ich vergessen..?

    • Kannst du denn "vor Ort" ohne VPN auf fhem-server.fritz.box zugreifen?

    • Hallo Jörg hatte ich bisher noch gar nicht probiert, aber es funktioniert auch nicht..! :-(
      Es gibt ja in der Fritzbox Einträge unter Heimnetz die sind als Link hinterlegt und die meisten aber eben nicht, der Fhem Server ist - ohne Link. Aber in der Adresszeile des Browsers eingegeben geht eben nicht

  143. @arestant:
    OpenVPN ist ein SSL VPN. In der hier beschriebenen Anleitung geht es um IPSec VPN. Wenn du die Kommentare liest, wirst du erkennen wo das Problem ist :)

    @René:
    Genau dein Problem haben alle UM Kunden auch. Siehe Kommentare oder hier.
    Für OS X EL Capitan gibt es einen Workaround. Für jailbreaked iPhones scheinbar auch (da gleicher Kernel von OS X in iOS verwendet wird). Details siehe IP-Phone-Forum. Problem kann nur durch UM oder Apple dauerhaft behoben werde.

  144. Das Problem liegt nicht an AVM, sondern an einem Datenstau-Flag, dass Unitymedia in jedes Datenpaket setzt mit dem Apple Implementierung von IPSec nicht zurecht kommt.

    Infos hier und folgend!

  145. Einen Work-Around für OS X gibt es. Für iOS nur mit einem JB, soweit ich es getestet habe geht es sogar. Leider räumt Apple der Behebung wohl keine hohe Brisanz und Priorität ein.

  146. Servus,

    bin kein Unitymedia Kunde, kann mein VPN zur Fritz manuell aufbauen und es nutzen.

    Die eingetragenen Domains gehen aber nur teils, bin sicher ist ein KnowHow Problem aber Google war noch nicht mein Freund.

    OnDemand geht zB wenn ich am iPhone in Safari fritz.box ansurfe - VPN geht automatisch auf und die Konfigseite der Fritzbox kommt. Perfekt.

    Was ich nicht schaffe ist das ich was früher
    https://192.168.1.62:92 (also Port 92, da ist ein Webfrontend dahinter) war auf
    auf
    https://website.fritz.box:92
    zum laufen zu bringen. Geht schon Lokal nicht, natürlich dann auch nicht über VPN.

    Mag er da evtl kein https? Vorher mit iOS8 ging es mit onDemand problemlos VM

    Kann mir bitte jemand sagen was ich falsch mache an meinem Domain Aufruf?

    Vielen Dank
    Sepp

    • Hi Sepp,
      das selbe Problem hab ich auch mit einigen Geräten im Netzwerk (z.B. Loxone Miniserver), die nur direkt über die IP angesprochen werden können. Hatte das auch bereits oben im Artikel kurz angesprochen. Ich hoffe mal, dass jemand mit mehr Ahnung den entscheidenden Tipp geben kann.

      Grüße
      Jörg

  147. Work-Around für iOS 9.0 bis 9.0.2 mit Jailbreak verfügbar:
    http://www.ip-phone-forum.de/showthread.php?t=281439&page=15&p=2123143&viewfull=1#post2123143

    Work-Around für OS X „El Capitan“. Da es nicht auf meinen Mist gewachsen ist hier nur der Link: http://www.ip-phone-forum.de/showthread.php?t=281439&page=12&p=2122457&viewfull=1#post2122457

    Getestet und positiv verifiziert. Einmal nach jedem Reboot oder in /etc/sysctl.conf

  148. Hi Elv,

    na ja, ein Jailbreak wäre aus Sicherheitsgründen jetzt irgendwie absurd um VPN Sicherheit zu erreichen.
    Man macht sich mit einem Jailbreak soviel unklare Hintertüren auf, dann kannst auch Deinen Router daheim offen lassen. Dann ist weniger zu konfigurieren und sparst den Jailbreak.

    cheers Sepp

  149. Was hat der JB auf einem iPad mit der Sicherheit meines Routers zu tun?

    Habe auch die 9.2PB1 bekommen. Ich kann damit über ein Vodafone- und ein O2-Netz eine VPN Verbindung aufbauen und dort ist auch eine Datenübertragung möglich, die nach erstem Augenschein auch sehr zügig funktioniert. Es ist die Konstellation, über die zuvor keine Datentransfer möglich war. Also gefixet? Zu finden ist in der Release-Doku nichts.

    Also: Ich habe hier ein iPad 4 mit iOS 9.2 (JB aber deaktiviertem LaunchDaemon => net.inet.ipsec.ecn=0) und ein iPad mini 9.2Beta1 hier liegen! Beide sind parallel über den selben Accesspoint verbunden.
    – iOS 9.0.2 Verbindungsaufbau, aber kein Datenverkehr
    – iOS 9.2b1 Verbindungsaufbau UND auch Datenverkehr

    OS X 10.11.2 beta ist auch raus und ZU HOFFEN, dass es dort auch wieder OK ist!

    Was ich noch mal genauer gucken muss. Mir scheint das VPNonDemand nicht mehr zu funktionieren, aber da muss ich wie gesagt noch mal genauer gucken, ob nicht in meinem Umfeld was falsch ist.

  150. kann jemand verifizieren dass es mit 9.2 Beta funktioniert? Auch mit Unitymedia?

  151. Der VPN-Zielpunkt ist bei mir zu Hause im UM-Netz. Ansonsten: Link

    Würde mich aber auch über eine weitere unabhängige Bestätigung freuen...

  152. IPSec on demand funktioniert mit der aktuellen Beta 9.2 und unter Verwendung von unitymedia wieder :-)
    Gruß
    Peter

  153. Kaum zu glaube aber WAHR! Auch bei mir funktioniert VPN mit iOS 9.2 Public Beta 1 wieder. Hoffen wir, dass es dabei bleibt!

    Gruß
    Tim

  154. hallo zusammen

    Ein Key welcher länger als 40 Zeichen ist, wird seitens Fritzbox nicht erkannt und es wird per Fehlermeldung abgebrochen

  155. Moin, moin,
    ich hatte auch das Problem das Geräte über name.fritz.box nicht erreichbar waren.
    Bei mir war das Problem eine feste IP (nicht über DHCP vergeben) und Gerät nur über WLAN erreichbar.
    Jetzt hab die die IP vom DHCP Server vergeben lassen (bei Bedarf immer die selbe vergeben lassen) und schwups klappt die Namensauflösung auch bei Geräten die nicht per Kabel angebunden sind.
    Vielleicht hilft mein kleiner Tipp ja dem Einen oder Anderen.
    Gruß S.

  156. Kann man eigentlich die FritzBox selbst in die Liste der VPN on Demand Geräte aufnehmen, so dass beim Aufruf von fritz.box der Tunnel aufgebaut wird?

    • Ja.
      Damit geht das VPN dann auch für fritz.box und *.fritz.box

      Gruß
      Peter

  157. Ja, dazu fritz.box eintragen.
    Da geht auch die FritzApp durch wenn die FB dort auch so eingetragen ist.
    Ob es sicher wieder abbaut hab ich nicht abgewartet.
    cheers Seppm

  158. Jetzt geht es wieder. :-))

    Gestern meine FB 6360 neu gestartet,den Verkehr gecaptured und mit wireshark versucht schlau zu werden. Und tatsächlich ist ecn nun 0x00.
    Mein Ipad Air auf iOS 9.1 upgedated und mit O2 eine VPN (on demand) Verbindung aufgebaut. Und alles flutscht ohne Probleme. Heute das iPhone 5s nachgezogen, läuft auch ohne Problem.

    Gruß Tilo

  159. Einige haben ja schon gefragt, ob es eine Möglichkeit gibt, dass die VPN Verbindung automatisch hergestellt wird, sobald man sich z.B. in einem öffentlichen WLAN befindet.

    Könnte man das nicht evtl. hiermit bewältigen?

    ----------------------------------------------------

    Action
    Connect
    InterfaceTypeMatch
    WiFi
    SSIDMatch

    REPLACE_UNSECURE_PUBLIC_SSID

    ----------------------------------------------------

    Kann man anstatt der SSID nicht einfach ein * setzen? Bei welchen WLAN´s er nicht verbinden soll wird ja im "gelben" Bereich festgelegt und so würde evtl. bei allen anderen WLANS dann automatisch die Verbindung hergestellt. Hat das jemand schon mal getestet?

  160. Hallo zusammen,

    super Seite, klappt allerdings mit einer Einschränkung:
    Wenn ich Safari, Firefox, Chrome etc. verwende, um die OnDemand-URL einzugeben, wird sofort das VPN aufgebaut.
    Benutze ich allerdings eine andere App (z.B. RDP-Client, irgendein Ping-Utility oder sonst eine Drittherstellersoftware) die nicht ein Webbrowser ist, funktioniert der automatische Aufbau nicht.
    Ich bin davon ausgegangen, dass eine beliebige App den FQHN an das OS übergibt und das OS dann aufgrund der OnDemand-Einstellung alles Weitere regelt. Aber offenbar scheint das nicht der Fall zu sein.
    Komischerweise finde ich aber keine Posts von irgendwem, der ds Thema auch hat. Ist aber bei einem Kollegen am iOS 9.1/9.2 exakt dasselbe Problem wie bei mir auch. So ist das Ganze ja nicht wirklich sinnvoll einsetzbar.

    Danke für Euere Erfahrungen damit und für einen Hinweis, wie man das systemweit hinbekommt

    Gruß
    Udo

  161. Also ich nutze diverse Drittanbieter Apps. Unter anderem von QNAP QFile, QManager, FHEM Mobile, Backbox (Drrambox), dreamote u.v.m
    Auch mein Banking 4i baut automatisch nach Start das VPN und synchronisiert die Sicherung auf meinem NAS über WebDAV.
    Also das funktioniert schon mit Aufruf FQHN.fritz.box!

  162. Hi Tim,

    könntest Du mal kurz die "Ping-Network reachability test"- App auf dem aktuellen iOS installieren, die an erster Stelle im AppStore ist, wenn Du "Ping-Test" suchst und das gegentesten? Und was bei mir auch nicht geht, ist "Microsoft Remote Desktop" (einfach RDP eintippen).

    Die beiden machen's bei mir definitiv nicht.

    Wäre toll, wenn Du das kurz querprüfen könntest, um das Ganze einzugrenzen und auszuschließen, dass bei meiner Konfig etwas nicht ok ist.

    Danke Dir!

  163. Hallo Jörg,
    dein Blog ist wirklich sehr interessant.
    Mich würde allerdings ein etwas anderer Zustand interessieren:
    Ist es möglich eine derartige Konfiguration zu realisieren, das bei jeglichem Datenverkehr des Telefones eine sicher VPN-Verbindung mit einer Fritzbox aufgebaut werden kann ohne eine entsprechende Domain oder IP vorher festzulegen?

    Mit freundlichem Gruß

  164. Hallo,

    ich habe folgendes Szenario.

    Ich habe die Einrichtung wie oben geschrieben gemacht. Das Profil ist erfolgreich auf dem iPhone und auch auf der Fritzbox wurde alles konfiguriert. Die VPN Verbindung funktioniert auch.

    Nun zum Problem:
    Sobald eine Verbindung mit dem VPN besteht, geht weder der Intranet, noch der Internetzugriff. Selbst ein ping von intern auf die IP des iPhones funktioniert nicht. Ein ping vom iPhone auf ein internes Gerät oder externe Adresse ebenso wenig.

    Ist am iPhone kein VPN aktiv und ich öffne eine interne Adresse (http://raspberrypi.fritz.box oder http://IP.fritz.box) wird eine VPN Verbindung automatisch aufgebaut, also wie gewünscht. Nur die Seite wird eben nicht geöffnet.

    Von intern kann ich http://raspberrypi.fritz.box problemlos aufrufen, nur http://IP.fritz.box nicht.
    Den FHEM Server kann ich auch nicht erreichen. Jede Portangabe wird abgeblockt bzw. ins Internet weitergeleitet.

    Ich denke das Hauptproblem ist, dass das Routing nicht passt. Ich kann das iPhone trotz aktiver VPN Verbindung netzwerktechnisch nicht erreichen.
    Hat einer eine Idee, woran es liegen könnte?

    Freundliche Grüße
    TWART016

    • Hallo Twart016,

      ich habe genau das gleiche Problem. VPN zwischen iPhone (iOS 9.1) und FritzBox (FritzOS 6.50) wird tadellos aufgebaut. OnDemand oder manuell. Danach kann ich aber keinen meiner Server oder die FritzBox im Webbrowser über fritz.box oder server.fritz.box erreichen. Es kommt immer die gleiche Meldung "Server ist nicht erreichbar..."

      Wenn ich nach der VPN Verbindung die lokale IP Adresse 192.168.178.102 eingebe, klappt der Aufruf. Ein Wechsel von statischen IP Adressen zurück zu DHCP hat leider nicht geholfen. Es scheint an der DNS Auflösung für den VPN User zu liegen. Habe mal bei AVM eine Anfrage gestartet.

      Gruß
      Peter

  165. Hallo Jörg,

    ich lese Dein Blog schon länger und an dieser Stelle Danke für die vielen hilfreichen Tips.

    Wie es aussieht, ist das Problem mit dem DNS bei VPN on Demand in Kombination mit Fritzbox noch nicht gelöst. Ich habe das gestern bei mir konfiguriert, und wollte nur die Ergebnisse teilen, damit das Debugging leichter wird:

    - VPN on Demand nach Deiner Anleitung mit Fritzbox ist eingerichtet. Eigentlich wollte ich es auf meinem QNAP NAS einrichten, leider unterstützt QNAP aber nur L2TP/IPSec und fällt damit aus.

    Da ich auf dem QNAP mit nslookup/host auch interne Server auflösen kann würde sich das Problem wahrscheinlich so lösen lassen. Aber ich schaffe es nicht, die mobileconfig auf L2TP umzubauen :/

    Wenn ich mich auf die FB per IPSec connecte, kann ich alle Server - intern wie extern - per IP Adresse erreichen (also auch den RPI mit FHEM). Lediglich die Namenauflösung verweigert die FB konsequent.

    Nachdem IP mit VPN an sich funktioniert, liegt es aus meiner Sicht 100% am DNS der FB und nicht wie in anderen Foren behauptet am Provider, etc.

    Nach viel Lektüre habe ich auch versucht, den DNS-Rebind der FB zu verwenden - bringt nur leider gar nix. Ich habe auf einer offiziellen Domain (kein DDNS) einen lokalen Eintrag mit 192.168.178.1 vorgenommen und versucht, diese Domain über DNS-Rebind freizugeben. Führt zum selben Ergebnis.

    Die einzige Lösung, die ich wirklich sehe ist der Betrieb eines VPN Servers auf einem anderen Gerät als der FB. Diese greift dann intern per DNS auf die FB zu. Da QNAP ausfällt, werde ich es wahrscheinlich auf meinem rpi versuchen...

    Ich muss mir das die Tage mal ansehen. IPSec hatte ich bisher noch nie "from scratch" auf einem Linux System aufgesetzt. Falls Du einen Link hast, wo das erklärt ist, teste ich gerne und poste die Ergebnisse hier.

    Wenn Du weisst, wie man die mobileconfig für L2TP/IPsec aufsetzen muss kann ich auch das gerne testen.

    Freue mich über alle Ideen ;)

    Gruß
    Peter H.

    • Hi Peter,
      spontan kann ich dir wohl leider nicht weiterhelfen, sorry. Ich lese mich auch immer nur punktuell in die Thematik ein, wenn ich ein spezielles Problem lösen möchte. Mit L2TP/IPsec kenne ich mich leider nicht gut genug aus. Vielleicht kann ja jemand anderes dabei helfen, der mehr Ahnung davon hat...

      Grüße
      Jörg

    • Servus Peter,

      leider hast Du mich KnowHow mässig schon lang abgehängt, aber emotional bin ich voll da :-)

      Weil es mich nämlich auch tödlich nervt, dass ich VPN on demand nicht mehr auf mein IP-Symcon über "lokaleIP:Port" aufgebaut bekomme. Auch das Eintragen eines Hostnamen in der FB als zB "NUC123" und dann eben NUC123:88 geht ja auch nicht weil man bei DNS keinen Port mitgeben kann.

      Ich würde mich also auch sehr freuen wenn Dir für Dein FHEM was einfällt wie das wieder zum Laufen zu bekommen ist. Manchmal ist es schon echt ärgerlich wenn Apple alte Zöpfe (oder was der Grund war) abschneidet und vorher Einfaches plötzlich nicht mehr geht.

      Cheers Seppm

  166. Also bei mir läuft nach den Anpassungen von AVM und Unitymedia alles einwandfrei. VPN on demand bei Aufruf des DNS.fritz.box
    Ich könnte Jörg mal per Email meine mobileconfig zukommen lassen, damit er dies ggf. leserlich im Blog posten kann. Hier wird es leider blöd dargstellt.

    Gruß Tim

    • Hi Tim,
      danke nochmal für deine Mail! Bin leider noch nicht dazu gekommen den Blogpost zu aktualisieren. Werde das hoffentlich in Kürze nachholen können.

      Grüße
      Jörg

    • Hi Tim,

      ja, das wäre interessant, evtl. hast Du ja was anderes gemacht das hilft.

      Ansonsten on Demand geht bei mir mit zB fritz.box auch, ABER nicht klappen will es wenn man auch einen bestimmten Port übergeben muss, das geht bei DNS Namen nicht, bzw. weiss ich nicht wie (Reverse Proxy hab ich mal gehört könnte helfen, aber da hab ich leider keine Ahnung von).
      Es hat übrigens auch nicht geholfen mein IP-Symcon auf Port 80 zu betreiben. Auch den Port 80 muss ich angeben.

      Ich denke wir sprechen hier von 2 Problemen
      a) Unitymedia - das ist offenbar gelöst - gut
      b) DNS wenn man Port übergeben muss (was ich vorher beschrieb)

      Cheers Seppm

  167. Hallo zusammen,
    Frage an die Leute mit den Zugriffsproblemen:

    - habt Ihr Eure iPhones alle auf IOS 9.2 upgegradet?
    - Seid Ihr bei unitymedia?

  168. Oookay... Ich habe mal StrongSwan auf meinen RPI installiert (ist nicht schwer). Jetzt kann ich mich per iPhone mit IPSec PSK verbinden und voila - DNS funktioniert sauber. War ja auch nicht anders zu erwarten ;)

    Leider funktioniert jetzt das VPN on demand Profil nicht mehr. @Joerg: Hast Lust das mit mir zu debuggen? Wenn das funktioniert, haben wir für Alle eine hoffentlich dauerhaft funktionierende Lösung :)

    Kurz zu den einzelnen Schritten, die zur Konfiguration von StrongSwan notwendig sind:

    1) Nachdem StrongSwan in der "normalen" RPI Distribution nach meiner Recherche angreifbar ist, muss man auf die jessie Distribution zurückgreifen. Hierzu muss in der /etc/apt/sources.list als Superuser folgende Zeile temporär hinzugefügt werden:

    deb http://mirrordirector.raspbian.org/raspbian/ jessie main contrib non-free rip

    Danach die Datei speichern.

    2) Jetzt sind folgende Befehle auszuführen:

    apt-get update
    apt-get install -t jessie strongswan
    apt-get install -t jessie libcharon-extra-plugins

    Alle Rückfragen sind mit "J" zu bestätigen.

    3) Als nächstes sind in der Datei /etc/ipsec.conf folgende Zeilen hinzuzufügen:

    config setup
    cachecrls=yes
    uniqueids=yes

    conn ios
    keyexchange=ikev1
    authby=xauthpsk
    xauth=server
    left=%defaultroute
    leftsubnet=0.0.0.0/0
    leftfirewall=yes
    right=%any
    rightsubnet=10.0.0.0/24
    rightsourceip=10.0.0.2/24
    rightdns=4.2.2.1
    auto=add

    Dabei müsst ihr das rightsubnet, die rightsourceip und das rightdns nach eueren Bedürfnissen konfigurieren. Ich verwende (da FritzBox) das Netz 192.168.178.0/24.

    Dieses ist bei rightsubnet einzutragen. Bei rightsourceip gebt ihr einfach die Adresse an, welche euch als VPN Adresse zugeteilt werden soll, z.B. 192.168.178.250/24. Last but not least müsst ihr bei rightdns noch die Adresse euerer FritzBox angeben (in der Regel 192.168.178.1).

    Jetzt die Datei einfach speichern.

    4) Jetzt müsst ihr die Datei /etc/ipsec.secrets editieren und folgende Zeilen am Ende hinzufügen:

    YOUR MACHINES IP ADDRESS %any : PSK "YOUR PRE-SHARED KEY HERE"
    user1 : XAUTH "YOUR PASSWORD HERE"

    Bei der IP Adresse gebt bitte die IP Adresse eueres RPI an und NICHT die der FritzBOX. Bei Your PSK Key das was Jörg in BLAU umrahmt hat. Der user1 entspricht Jörgs GRÜNER, das Password der GRAUEN Umrandung.

    Wenn ihr weitere Benutzer hinzufügen wollt, könnt ihr die letzte Zeile einfach kopieren und die Daten des zweiten Benutzers angeben. Am Schluss einfach die Datei speichern.

    5) Im nächsten Schritt müsst ihr die Datei /etc/sysctl.conf editieren. Hier sucht ihr nach folgenden Zeilen:

    # Uncomment the next line to enable packet forwarding for IPv4
    # net.ipv4.ip_forward=1

    und nehmt das # vor der zweiten Zeile raus. Damit aktiviert ihr die Paketweiterleitung.

    6) Jetzt ist folgender Befehl auszuführen:

    sysctl -p

    Den Output könnt ihr getrost ignorieren, hier gibt er euch die aktuelle Konfiguration zurück.

    7) Editiert die Datei /etc/rc.local und fügt folgende Zeilen am Ende der Datei ein. Sollte die Datei mit "exit 0" enden, so müssen die Zeilen direkt VOR dieser Zeile eingefügt werden.

    # VPN NAT
    /sbin/iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth0 -j MASQUERADE

    Hier schreibt ihr statt der 10.0.0.0/8 wie im Schritt 3) 192.168.178.0/24 oder den entsprechenden Eintrag für euer Netz. Danach könnt ihr auch diese Datei speichern.

    8) Jetzt müsst ihr noch zwei Kommandos ausführen:

    update-rc.d -f ipsec remove
    update-rc.d -f ipsec start 41 2 3 4 5 . stop 91 1 . start 34 0 6 .

    Achtung: Der Punkt am Ende der zweiten Zeile gehört zum Kommando.

    9) Als Letztes nehmt ihr jetzt noch die im Schritt 1) in der Datei /etc/apt/sources.list hinzugefügte Zeile wieder raus und führt nach dem Speichern nochmals folgendes Kommando aus:

    apt-get update

    10) Jetzt könnt ihr eueren RPI rebooten. Nach dem Reboot führt folgendes Kommando aus, um zu testen ob das VPN nach dem Reboot aktiv ist:

    ps ax | grep ipsec

    Wenn dann in etwa folgendes zurückkommt hat alles geklappt:

    2141 ? Ss 0:00 /usr/lib/ipsec/starter --daemon charon
    2142 ? Ssl 0:00 /usr/lib/ipsec/charon --use-syslog
    2296 pts/0 S+ 0:00 grep --color=auto ipsec

    Zum Testen könnt ihr auf dem iPhone manuell ein VPN konfigurieren. Hierbei ist IPSec auszuwählen. Nach erfolgreichem Connect solltet ihr dann eueren FHEM Server auch als FQDN erreichen. Bei mir connecte ich mit FHEM Control auf raspberrypi.fritz.box und sehe alle meine angebundenen Devices.

    Wie gesagt, es IST definitiv ein DNS Problem von AVM und ich glaube auch ehrlich gesagt nicht, dass es irgendwas mit Unitymedia zu tun hat. Würde mich trotzdem freuen, wenn ihr das mal testen könntet und mir kurz Feedback gebt.

    Jetzt muss nur noch das On Demand mit der mobileconfig wieder funktionieren und ich bin happy. Mal sehen, ob Jörg Zeit und Lust hat mich da zu unterstützen :)

    All the best!
    Peter H

  169. Ach ja, ihr müsst auch noch 3 Ports in euerer FB auf den RPI weiterleiten:

    Port 500 UDP
    Port 4500 UDP
    ESP (braucht keinen Port)

    Diese werden für das IPSec VPN benötigt.

    Das macht ihr in der FB unter Internet -> Freigaben -> Portfreigaben.

    Gruß,
    Peter H

  170. Hat schon jemand VPN-on-demand im Zusammenhang mit der iOS 9.3 BETA ausprobiert? Bei mir dauerte der Aufbau der Verbindung teilweise über zehn Sekunden. Bin dann wieder zurück auf 9.2.1. Seitdem geht der Verbindungsaufbau wieder innerhalb einer Sekunde.

    • Wah, mein VPN kann gerade nichtmal mehr manuell aufgebaut werden... iOS 9.2.1 und aktuelles Fritz!OS 06.50 mit 1&1 VDSL (Telekom-Anschluss).
      Bekomme immer nach einigen Sekunden die Mitteilung "Der VPN Server antwortet nicht" angezeigt.

      Habe in letzter Zeit nichts an meinen Settings geändert. *Grml*

    • Habe das Problem gerade durch Zufall gelöst. Ich musste nur einmal in der FritzBox-Oberfläche mein VPN-Profil unter "Internet" -> "Freigabe" -> "VPN" kurz deaktivieren und wieder aktivieren.

      Puh :) Evtl. hilft das ja jemanden, der in den selben "Der VPN Server antwortet nicht"-Fehler gelaufen ist.

  171. Kommt mir auch so vor :-(

  172. Ich hatte meine FB zwischenzeitlich auch auf 6.50 gezogen. Aber daran hatte es wohl nicht gelegen.
    FritzOS 5.30 -> iOS 9.2 = 1 Sekunde
    FritzOS 5.30 -> iOS 9.3 = 10 Sekunden
    FritzOS 5.50 -> iOS 9.3 = 10 Sekunden
    FritzOS 5.50 -> iOS 9.2.1 = 1 Sekunde

    • Kann ich auch bei mir bestätigen! Geht echt eine Ewigkeit...vorher innerhalb von 1Sekunde aufgebaut...naja hoffen wir mal , dass ich einer nächsten Beta wieder etwas in Sachen Geschwindigkeit tut...

  173. Bei mir läuft noch alles wie geschmiert. iOS 9.2.1 und FritzOS 6.31 via Kabel Vodafone!

  174. Bei mir kriege ich mit iOS 9.2.1 und FB 7490 V.6.50 leider immer "Authentifizierung fehlgeschlagen".

    Passwörter mit und ohne Sonderzeichen habe ich alle durch.

    Hat einer eine Idee oder ähnliche Erfahrungen?

    Vielen Dank!

    • bei mir das gleiche, ich habs erst einmal aufgegeben

    • Ich war unachtsam und habe auf dem Iphone beim Laden des Profils statt des Benutzernamens und Passwortes 2x das Passwort eingegeben. Das min. 10x Und dabei ist es in der Anleitung schon extra fett...

  175. Vielen lieben Dank für das SUPER todo!!! :-)

    Gibt es auch eine Möglichkeit, dass nur in einem fremden WIFI ein VPN aufgebaut wird, aber im normalen Cellular (O2 LTE) nicht?
    Was muss ich der config mitgeben?

    Vielen Dank im Voraus.

  176. Hat sich schon jemand an die neue iOS 9.3 Beta gewagt?

    • Ich antworte mir mal selbst: Ja, ich! Leider keine Veränderung. Der Aufbau der VPN-Verbindung dauert immer noch ewig.

    • Mi der Public Beta 4 geht es wieder gewohnt schnell!!!!

  177. Kann ich bestätigen .... Geht wirklich ewig auch unter der neusten iOS 9.3 Beta..... Schade

  178. Hat jemand das mit einer Fritz!Box LTE am Laufen - Hier klappt das irgendwie nicht.

    • Hi Axel,
      eigentlich reicht es, wenn die Fritzbox über eine von außen ansprechbare IP (fix oder dynamisch per DNS-Dienst) erreichbar ist. Habe das auch schon mehrfach mit verschiedenen Mobilfunkprovidern (u.A. T-Mobile) versucht, bin aber bisher auch jedes Mal kläglich gescheitert.
      Die VPN-Verbindung konnte nie aufgebaut werden, nichtmal zwischen zwei Fritzboxen, eine per VDSL, die andere per Mobilfunk.
      Ich vermute einfach mal, dass entsprechende Ports bei den Mobilfunkprovidern gesperrt sind, die für das VPN benötigt werden. Aber vielleicht weiss es ja jemand besser und kann einen Tipp beisteuern.

      Grüße
      Jörg

  179. Normalerweise sind die mobilen Datennetze so eingerichtet, dass man keine Datenverbindungen *zu* einem mobilen Endgerät (in diesem Fall dann Deine Fritzbox LTE) aufbauen kann. Die Verbindung muss immer von dem Endgerät aus aufgebaut werden. Daher vermute ich, dass es nicht funktionieren wird.
    Gruß
    Peter

  180. Ich würde gerne die config so umbauen, dass zusätzlich VPN noch in einem Fremd Wifi aktiviert wird.
    Mit der oben genannten config funktioniert es wunderbar, wenn ich z.B. die Fritz Fon App öffne, dann wird VPN aufgebaut.
    Ein Traum wäre die zusätzliche Geschichte mit dem Fremd Wifi.

    • Das ist in dieser Form wohl leider nicht wirklich vorgesehen. Bräuchte man evtl. eine Art Dummy-App, die im Hintergrund immer kurz mal "fritz.box" anpingt (und damit das VPN aufbaut), sobald sich das iPhone in ein definiertes WLan einbucht. :)

    • Danke für die Info.
      Ich habe es schon mit zwei configs versucht. Das geht theoretisch, nur muss man immer eine config als aktiv wählen. Also auch nicht wirklich eine Lösung. :(
      Mit dieser config bekomme ich es hin, dass immer in einem Fremd Wifi VPN aktiviert wird:
      http://blog.wenzlaff.de/?p=4899
      Man müsste nur wissen, wie man die beiden configs zu Einer umbastelt.

  181. Hallo Jörg,

    zuerst einmal vielen Dank für die Bereitstellung der beiden Scripte. Leider habe ich ein Problem die Iphone-Datei auf dem Handy zu öffnen. Bearbeitet habe ich die Datei mit Notepad++ und nach dem speichern, diese per web.de als Mail zugeschickt. Ich bekomme die Datei zwar geöffnet, bekomme aber nur den Quellcode angezeigt. Hast du eine Idee was ich falsch mache?

    • Hi Andre,
      sorry, habe keine Ahnung, was da bei dir genau falsch läuft. Ich habe das Profil jetzt schon x Mal erfolgreich auf diesem Weg (iPhone, iPad) einspielen können. Vielleicht verändert dein Editor ja nur die Dateiendung, sodass es das iOS-Device nicht mehr intepretieren kann?!

      Grüße
      Jörg

    • Möglicherweise wurde die Dateiendung beim bearbeiten mit Notepad ++ auf .txt geändert. Sie muss aber mit .mobileconfig enden damit es funktioniert. Anhalt: ein Icon mit dem bekannte Zahnrad, dann ist es OK.

  182. Was muss ich in der Froitzbox.cfg ändern, dass in der FritzBox unter lokaler IP Adresse nicht nur 0.0.0.0 steht sondern die tatsächliche lokale Adresse....funktioniert das?

    Grüße

  183. Nur zur Info. Mit der aktuellen iOS 9.3 Beta 4 funktioniert VPN on demand wieder einwandfrei. Die Verbindung steht innerhalb einer Sekunde.

  184. Hallo Jörg,

    ich bin zwar immer noch keinen Schritt weiter, aber trotzdem vielen Dank für deine Rückmeldung.

    VG

  185. Also ich habe auch das Problem, dass die VPN Verbindung zwar sauber aufgebaut wird aber per "NAME".fritz.box auf kein Gerät komme.
    Nach dem Aufbau der VPN Verbindung funktioniert der direkte Aaufruf per IP tadellos.

    Gibt es dafür inzwischen eine Lösung?

    LG

  186. Kommst Du innerhalb deines lokalen Netzwerkes (von einem anderen Rechner aus) per ".fritz.box" auf den Host ?
    Ist der Host auf der Fritzbox unter "Heimnetz->Netzwerk" in der Liste mit aufgeführt?

    Ich vermute, dass die Fritzbox die DNS-Auflösung für den Host nicht hinbekommt.

    Gruß
    Peter

  187. Uups, beim Posten hier geht Text verloren, der in spitzen Klammern geschrieben wurde.
    Es sollte heißen:
    "Kommst Du innerhalb deines lokalen Netzwerkes (von einem anderen Rechner aus) per "name.fritz.box" auf den Host name?"

  188. Hat einer von Euch schon die neue IOS Beta 5 aufgespielt? Wird das VPN weiterhin schnell aufgebaut?
    Gruß
    Peter

  189. Die Beta 5 nicht, aber die gerade erschienene 6. Beta. Und da ist alles gut. Verbindung steht innerhalb von ein, zwei Sekunden.

  190. Erstmal Danke für die tolle Anleitung! Habe sie in einem etwas anderen Fall mit unserem Uni-Netzwerk (auch IPSEC mit PSK) ans Laufen bekommen. Beim Ansurfen von Seiten in Safari klappt es wunderbar. Nur beim Abruf der Mails vom internen Server nicht. Ich habe probeweise mal ein RequiredURLStringProbe mit einer internen URL bei den ActionParameters ergänzt. Damit klappt es jetzt auch beim Mail-Server :-) Habe allerdings nicht ganz verstanden weshalb.

    Davon abgesehen: Wie / wann wird die on-demand Verbindung eigentlich wieder beendet? Wenn ich eine andere Webseite (google.de o.ä.) lade bleibt sie bestehen. Derzeit muss ich sie händisch beenden oder sie geht beim nächsten Down der Netzwerkverbindung. Aber von selbst irgendwie nie. Probeweise hatte ich auch mal einen Disconnect-Block ohne Bedingungen hinter der EvaluateConnection Block gesetzt (wurde irgendwo mal als "Catch All" Default-Fall genannt). Aber der scheint nichts zu bewirken. Weder verhindert er den Aufbau noch führt er zum Abbau der Verbindung. Will aber halt nicht ewig im Institutsnetz hängen nur weil einmal Mails abgerufen werden... Any suggestions?

    • Hi Martin,
      wo und wie baut man das "RequiredURLStringProbe" ein? Evtl. bekomm ich damit auch mein IP-Symcon Problem gelöst.
      Danke Sepp

    • Domains

      domain.de

      DomainAction
      ConnectIfNeeded
      RequiredURLStringProbe
      http://meinrechner

  191. super beschreibung hat auf anhieb funktioniert

  192. Vielen Dank für den hervorragenden Beitrag
    Alles funktioniert prima, aber leider muss ich jedesmal wenn sich die VPN Verbindung aufbaut den Accountnamen und das Passwort eingeben. Dies ist natürlich sehr lästig, wenn ich von WIFI auf LTE umschalte, also jedesmal wenn ich die Wohnung verlasse. Gibt es eine Möglichkeit ein automatisches Einloggen zu ermöglichen. Wenn ich die XAuth Befehle von der Seite arnaudfeld.de in Ihr Script einfüge bekomme ich leider die Meldung, dass ein ungültiges Profil vorliegt. Übrigens konnte ich unter Windows Ihr Script nur unter Wordpad, nicht aber mit dem Editor bearbeiten.
    Mfg
    Peter

    • Hi Peter,
      kann es sein das Umlaute im Passwort oder Usernamen sind? Da hab ich von solchen Problemen schon gehört.
      cheers Sepp

  193. mal noch eine frage:
    wie sieht das denn aus wenn man mehreree Wlans zu hause hat?
    trägt man die einfach ein oder muss man zusätzlich was ändern

    InterfaceTypeMatch
    WiFi
    SSIDMatch

    wlanid1
    wlanid2

    Action
    Disconnect

  194. Hallo, danke für die Anleitung! Der automatische Verbindungsaufbau funktioniert aber es werden keine Daten übertragen. Weder mit Domainnamen noch wenn ich nach dem Aufbau eine IP Adresse eingebe.

    Hat jemand eine Lösung für das Problem?
    Gruß
    Martin

  195. Hallo Martin
    so spontan fällt mir die eingegebene ip ein in der fritz vpn zeile 33 und 35
    ich hatte bei einer anderen vpn mal das gleiche problem
    die ip die ich nutzte wurde im netz schon benutzt

    • Hallo Frank, Du meinst die Adresse für das iPhone? Das kann ich eigentlich ausschliessen, habe schon mehrere ausserhalb des DHCP Bereichs probiert.
      Danke und Gruß
      Martin

  196. ja die meinte ich
    schade
    kannst du das iphone pingen bei verbindung?

    • Hallo Frank,
      ich bin erst jetzt wieder dazu gekommen...nein Ping geht leider auch nicht :-(
      Gruß
      Martin

    • Hallo Frank,
      gute Nachricht...jetzt geht es...ich habe in der Fritzbox die Verbindung gelöscht und noch mal über die Fritzbox eine mit dem User eingerichtet. Ging dann natürlich nicht wegen falschen Shared secret. Diese VPN Verbindung wieder gelöscht und das Skript importiert. Jetzt funktioniert es...
      Grüße
      Martin

    • super freut mich, dass es geht

  197. Moin,

    Danke für die sehr hilfreiche Beschreibung, dieses hilft wirklich weiter. :-)

    Ich laß in einigen Kommentaren beim Wenzlaff Blog, daß eine VPN Verbindung automatisch aufgebaut wurde, obwohl sich das Gerät im Mobilfunknetz befindet. Kannst du dieses bestätigen oder weißt dazu mehr?

    Der Mailverkehr läuft dann doch auch über VPN?

    Danke + Gruß

  198. @lars
    ich habe die vpn on demand seit 3-4 wochen am laufen.
    ich habe festgestellt, dass sich vpn verbindungen - wenn die entsprechenden apps im hintergrund geöffnet sind - öfters aufbaut.
    es sei denn ich bin in meinem wlan.
    meines wissens läuft dann der ganze internet traffic über die vpn

  199. @ frank:

    Danke, die VPN Verbindung zur Fritzbox steht, es gehen aber außer im Mobilfunknetz keine Daten über die Leitung. In 3 verschiedenen WLAN getestet, als wenn ich die Datenverbindung/WLAN ausgeschaltet hätte. Hat jemand eine Idee?

    Danke

    • was hast du denn in der gelbumrandenden config fürs iphone eingetragen?
      bei mir geht es mit genau dieser konfig

  200. Hallo.

    Erstmal danke für das tolle Script!

    Ich hatte das vor 1-2 Jahren schonmal eingerichtet auf mehreren Geräten, damals mit einer FB an einem T-DSL Anschluss, da funktionierte das problemlos.

    Jetzt habe ich einen KD Anschluss und da ich VPN in letzter Zeit recht selten genutzt hatte, hatte ich das nur herkömmlich für manuelle Verbindung konfiguriert, da klappte das.

    Vorhin bin ich dann wieder über Dein Script gestolpert und wollte das gleich wieder nutzen. Die VPN Verbindung klappt, wird auch als verbunden angezeigt in der FB. Nur ich kann auf kein Gerät zugreifen, weder über xxxx.fritz.box, noch über die IP. Schalte ich im iOS Gerät auf die alte normale manuelle Verbindung um und aktiviere die, kann ich auf alle Geräte zugreifen.
    In der FB sieht das (bis auf unterschiedliche IP) in beiden Fällen aber gleich aus.
    Hab beide Config Dateien auch schon mehrfach komplett wieder gelöscht und neu angelegt, das Problem besteht aber immer noch.

    Hast Du eventuell eine Idee, wie ich das Problem lösen könnte?

    Gruss Nico

    • Hi Nico,
      würde dir gerne helfen, bei solchen Problemen ist es aber natürlich schwierig. Hatte dieses Phänomen noch nicht und kann deswegen auch nichts dazu sagen, sorry.

  201. Hallo Jörg,
    danke für die Antwort!
    Habe das Problem heute Nacht schon selber gelöst. Irgendwie scheint die Firmware der KabelD Fritzbox nicht mit der Config Datei klar zu kommen, sie wird zwar installiert, aber im Gegensatz zu einer anderen getesteten FB 7490 (TK Anschluss) ist damit kein echter Zugriff möglich, nur die Verbindung kommt zustande.
    Habe jetzt in der FB manuell einen VPN Account angelegt und Usernamen, Passwort und SharedSecret davon einfach in Deine ".mobileconfig" Datei fürs iOS Gerät eingesetzt. Jetzt geht das problemlos.
    Man muss übrigens in dieser Datei nicht alle Geräte einzeln aufführen, das genügt, wenn man da "fritz.box", "*.local" und "*.fritz.box" einträgt. So schaltet sich VPN an, wenn man auf alle Geräte im Heimnetz zugreift, eine direkte IP geht ja seit iOS9 eh nicht mehr.
    Gruss Nico

  202. Hallo Jörg,

    was trägst Du in der Loxone App als Adresse ein, um von extern auf den Miniserver zu connecten?

    Gruß

  203. Ich bin mittlerweile am verzweifeln, ich bekomme nichtmal die Verbindung mit den Einstellungen hin. Hab iOS 9.3.2 sowie die aktuelle Firmware der 7490.
    Als Fehlermeldung taucht VPN-Server wurde nicht gefunden.
    Dabei bin ich mittlerweile mehrmals strikt nach Anleitung vorgegangen...

    :-(

    Mache ich etwas Grundlegendes falsch?

    Muss die IPAdresse der Fritzbox geändert werden?

    • Hi Adam,
      seit einer Weile, könnte mit 9.3.2. zusammen hängen, hab ich ebenfalls das Problem das beim ersten händischen Anwahlversuch eigentlich immer der erste Versuch mit "VPN Verbindung: Kommunikation mit VPN-Server fehlgeschlagen". Wenn ich das bestätige und nochmal verbinde geht es sofort.
      Mit 9.3 ging das definitiv besser, 9.3.1 kann ich mich nicht mehr erinnern.
      Cheers Sepp

    • Ich hab das so gelöst:

      Nutzer in der FB angelegt und VPN aktiviert, dann würden die VPN Daten angezeigt.
      Diese Daten hab ich in die 2. Datei für iOS eingetragen.
      Diese Datei dann aufs iPhone geschickt und als Profil installiert.
      Das funktioniert super auch unter dem aktuellen iOS.
      Die Datei für die FB braucht es also gar nicht.
      Die machte bei mir eh schon länger Probleme. Angeblich war die Verbindung zum VPN Server damit fehlgeschlagen. Oder aber die Verbindung kam zustande, aber es war kein Datenverkehr damit möglich.

  204. Ich habe gestern Abend eigentlich aus Verzweiflung geschrieben. Danke für die netten und hilfreichen Antworten. Hätte ich nicht erwartet.

    @Nico, Danke, in die Richtung hatte ich auch schon gedacht und das war aufjedenfall der richtige Weg. Ein VPN-Tunnel wird vom iPhone zügig aufgebaut.
    Jedoch bleibt die Verbindung nicht ondemand, sondern trennt sich nach kurzer Zeit, z.B. ausschalten des Gerätes wieder. Eine Idee wo der Fehler liegen könnte?

    Habe es jetzt einen VPN Nutzer in der FB angelegt und die Werte in die config. eingetragen. Hat jetzt aber bisher keinen Mehrwert zum VPN-Tunnel wie AVM ihn vorschlägt, da die Verbindung flöten geht :-(

  205. Und was ich wohl auch noch nicht verstanden habe, über den Tunnel kann ich zwar meine FB nutzen, jedoch laufen keine Internetseite, Email etc.!

    • Hi,
      du musst einen erneuten Interneteintritt in der Fritzbox erlauben. Hier gibt es einen Haken der gesetzt werden musst, sonst kommst du nur bis zur Box, aber nicht mehr raus.

  206. Hi,

    was bringt mir der Domain Eintrag *.lokal den ich teilweise in anderen Scripten gefunden habe? Der Rest so funktioniert, eigentlich würde ich aber eine ständige VPN Verbindung ins Heimnetzwerk haben, das hier ist aber schon einmal ein großer Schritt in Sachen Komfort.

  207. Ich komme mittlerweile auch raus, aber ondemand ist es noch nicht. VPN trennt sich nach kurzer Zeit... ich tüftel aber weiter :-(

    • Hi,
      Das ist aber leider auch richtig so. Wenn du Allwayson haben möchtest (wie ich auch) brauchst du einen PI und einen VPN Dienst Server der auch Ikev2 unterstützt. Dann mit dem IPhone Configurator und einem
      Mac ein VPN Profil basteln und dann klappt das auch.

    • nachteil bei iphone akku geht schnell alle bei ständiger vpn

    • Hi,
      Das ist richtig, aber so der einzige Weg. Sollte auch klar sein wenn die ganze Zeit ein Dienst läuft das der Akku warm wird. Wie das mit dem Traffic ist kann ich aber nicht sagen..

  208. ich hab 200 mb die reichen mir im monat aus meine vpn ist 2 -3 stunden am tag aktiv


Dein Kommentar

Trackbacks sind deaktiviert.