VPN On-Demand zwischen iPhone und Fritz!Box einrichten

IM EINSATZ?

Dann schau dir UNSEREN LOXKURS an und profitiere von unserem Wissen!

Wie bereits vor geraumer Zeit im Artikel Sichere VPN-Verbindung zwischen iPhone und Fritz!Box erläutert, lässt sich von unterwegs ein sicherer Datentunnel aufbauen, um alle Daten verschlüsselt zwischen mobilem Endgerät und heimischem Router zu übertragen und damit abzusichern. Das ist dann besonders praktisch, wenn der heimische Server auf sicherem Wege erreicht werden soll, der selbst keine verschlüsselte Verbindung unterstützen würde (wie bspw. im Falle des Loxone Miniservers) oder generell ein Port-Forwarding vermieden werden soll.

Etwas unkomfortabel war dabei jedoch, dass die sichere VPN-Verbindung grundsätzlich manuell aufgebaut werden muss. Nachfolgend wird deshalb erläutert, wie eine solche Verbindung regelbasiert “on demand” auch ohne manuelle Eingriffe voll automatisch hergestellt werden kann.

Server- und Client-Konfiguration

Um die VPN-OnDemand-Verbindung zwischen heimischer Fritz!Box (Affiliate-Link) und iPhone einrichten zu können, werden zwei Komponenten benötigt. Zum einen eine Server-Konfigurationsdatei, welche in der Fritz!Box hinterlegt wird und zum anderen eine Client-Konfigurationsdatei, welche auf dem iPhone als Profil installiert wird.

Serverkonfiguration auf der Fritz!Box

In der zum Download bereitgestellten Datei 150208_fritzbox_vpn_oehringen.cfg (17567 Downloads ) werden alle notwendigen Settings eingetragen, damit die Fritz!Box später die eingehende Verbindung vom iPhone auch akzeptiert. Die Konfigurationsdatei bearbeitet man mit einem Texteditor, welcher das Format unberührt lässt. Unter OS X nutzt man einfach das bereits standardmäßig installierte TextEdit, unter Windows bspw. Notepad++.

Fritzbox VPN Oehringen

Wichtig sind dabei nachfolgende Werte, die jeder selbst anpassen muss:

Grün umrandet: “jay_iphone”
Das ist der VPN-Benutzername, mit welchem die Verbindung aufgebaut werden soll.

Rot umrandet: “192.168.3.202”
Das ist die von der Fritz!Box für das iPhone bereitgestellte IP-Adresse, welche für die VPN-Verbindung freigehalten wird. Um herauszufinden, welche Werte genutzt werden müssen, können die Fritz!Box-Einstellungen unter “http://fritz.box” -> “Heimnetz” -> “Netzwerk” -> “Netzwerkeinstellungen” -> “IPv4-Adressen” geprüft werden.

Fritzbox Netzwerkeinstellungen IPv4

In diesem Beispiel weist die Fritz!Box per DHCP bis zur IP 192.168.3.200 automatisch Adressen für Geräte im heimischen Netzwerk zu. Freie nachfolgende Adressen (192.168.3.201, 192.168.3.202, etc.) können dann sinnvollerweise für VPN-Verbindungen genutzt werden.

Blau umrandet: “deinpersönlicherkey”
Hier wird der VPN-Schlüssel eingegeben. Der Key sollte mindestens 16-stellig sein und Sonderzeichen enthalten, so dass er nicht erraten werden kann.

Update vom 24.02.2015: Die Nutzung bestimmter Sonderzeichen scheint zu Problemen zu führen, so dass die Konfigurationdatei nicht vom iPhone akzeptiert wird. Danke an Björn für die Info.

Update vom 29.08.2016: Achtet beim Anpassen der Dateien unbedingt darauf, dass euer Texteditor keine Anführungszeichen oder andere Sonderzeichen umformatiert. Danke an Martin für die Info.

Grau umrandet: “deinpersönlichespasswort”
Hier muss jeder ein sicheres persönliches Passwort vergeben.

Update vom 20.03.2015: Wer beim späteren Verbindungsaufbau den Fehler “Authentifizierung fehlgeschlagen” erhält, sollte sein Passwort anpassen, da bestimmte Sonderzeichen anscheinend nicht funktionieren.

Die einzelnen Werte müssen, wie in obiger Abbildung ersichtlich, teilweise mehrfach eingetragen werden. Hier am besten die Alles-Suchen-Und-Ersetzen-Funktion verwenden, um die Werte in der zum Download bereitgestellten Konfigurationsdatei individuell anzupassen.

Die fertige Datei wird dann in der Fritz!Box-Weboberfläche unter “Internet” -> “Freigaben” -> “VPN” -> “VPN-Verbindung hinzufügen” importiert. Hier wählt man die Option “Eine VPN-Konfiguration aus einer vorhandenen VPN-Einstellungsdatei importieren” und lädt die gerade erzeugte Konfigurationdatei hoch. Bereits bestehende VPN-Einstellungen bleiben dabei erhalten, ein bestehender VPN-Eintrag mit dem selben Namen, hier “jays_iphone”, würde aber entsprechend überschrieben werden.

Fritzbox VPN

Clientkonfiguration auf dem iPhone

In der zum Download bereitgestellten Datei 150208_iphone_vpnondemand_oehringen.mobileconfig.zip (20847 Downloads )  werden alle notwendigen Settings eingetragen, damit das iPhone die ausgehende Verbindung zur Fritz!Box aufbauen kann.

iPhone VPNONDEMAND Oehringen

Wichtig sind dabei nachfolgende Werte, die jeder selbst anpassen muss:

Gelb umrandet:
Hier können Namen (SSIDs) von WLan-Netzwerken eingetragen werden. Sofern sich das iPhone zu einem der angegebenen WLan-Netzwerke verbindet, wird keine VPN-On-Demand-Verbindung hergestellt. In diesem Fall lautet der Name dieses WLan-Netzwerks “Apfel”. Der gesamt gelb umrandete Inhalt kann auch herausgelöscht werden, er ist nur notwendig, wenn eben explizit keine VPN-On-Demand-Verbindung in speziellen WLan-Netzen aufgebaut werden soll.

Schwarz umrandet:
Hier werden die Netzwerkadressen bzw. Domains eingetragen, die eine VPN-Verbindung initiieren sollen. Versucht das iPhone aus einem fremden Netzwerk heraus eine Verbindung herzustellen und merkt, dass die gewünschte Adresse nicht erreichbar ist, wird automatisch eine VPN-Verbindung aufgebaut. In diesem Fall befindet sich “192.168.3.11” unter den IP-Adressen. Das ist mein Loxone Miniserver, welcher nun auch von unterwegs über die Loxone iPhone-App mit lokaler IP komplett verschlüsselt über die VPN-Verbindung angesprochen werden kann.

Update vom 19.09.2015: Mit dem vor zwei Tagen gelaunchten iOS 9 hat Apple die Richtlinien für VPN On-Demand angepasst, sodass ab sofort keine IP-Adressen und stattdessen nur noch Domainnamen genutzt werden können. Wie bereits per Kommentar kommuniziert, empfehle ich deshalb erstmal folgende Konfiguration zu vewenden:

<key>Domains</key>
<array>
<string>fritz.box</string>
</array>
<key>DomainAction</key>

Mit diesem einen Eintrag sollten dann alle Endgeräte im Netzwerk direkt angesprochen werden können, deren “Namen” in der FritzBox-Oberfläche im Menüpunkt “Heimnetz” -> “Netzwerk” hinterlegt sind. Ist dort bspw. ein Gerät mit dem Namen “Brother” hinterlegt, erfolgt der Aufruf über den Browser bzw. die entsprechende App über den Domainnamen “brother.fritz.box” und nicht mehr über die IP-Adresse “192.168.3.49”.

FritzBox Heimnetz Netzwerk Name

Hier gibt es aber anscheinenend auch noch Probleme, gerade was Kabelanschlüsse angeht. Und auch ich habe ein anderes Problem bei einigen Devices. Mit “miniserver.fritz.box” komme ich z.B. auch nicht direkt im LAN auf meinen Loxone Miniserver. Aber das hat primär nichts mit dem VPN zu tun, sondern ist vermutlich ein komisches Auflösungsproblem bei der Namenszuordnung der FritzBox. An dieser Stelle bin ich für jeden Tipp dankbar.

Grün umrandet: “jay_iphone”
Gleich lautender Benutzername wie in der oben aufgeführten Konfigurationsdatei der Fritz!Box.

Hellblau umrandet: “ukneeghx4o9oxxxx.myfritz.net”
Hier wird die Dyndns-Adresse eingetragen, über welche die eigene Fritz!Box aus dem Internet erreichbar ist. Wer Details dazu benötigt, kann im Artikel MyFRITZ! – DynDNS-Alternative für die Fritz!Box weitere Infos zur Einrichtung des kostenfreien My!Fritz-Dienstes erhalten.

Blau umrandet: “deinpersoenlicherkey”
Hier wird der VPN-Schlüssel eingegeben, welcher mit dem in der Konfigurationsdatei der Fritz!Box übereinstimmen muss.

Orange umrandet: “Öhringen”
Das ist der VPN-Profilname. In diesem Beispiel ist das einfach der Standort der Fritz!Box.

Auch in der Konfigurationsdatei des Clients müssen die einzelnen Werte, wie in obiger Abbildung ersichtlich, teilweise mehrfach eingetragen werden. Auch hier am besten die Alles-Finden-Und-Ersetzen-Funktion nutzen, um die Werte in der zum Download bereitgestellten Konfigurationsdatei individuell anzupassen.

Sobald alle Anpassungen vorgenommen wurden, muss die Konfigurationsdatei noch auf dem iPhone als VPN-Profil installiert werden. Das geht am einfachsten, indem man sich die Konfigurationsdatei selbst per Email zuschickt und dann auf dem iPhone öffnet. Wem das zu unsicher ist, kann aber natürlich auch Dateiübertragungs-Apps verwenden.

iPhone Email VPN

Das Profil einfach anklicken und die Installationsschritte durchlaufen. Bei der Einrichtung muss der “BENUTZERNAMEN FÜR VPN-PROFIL” (hier: “jay_iphone“) und das “PASSWORT” (hier: “deinpersönlichespasswort“) eingegeben werden. Sobald das Profil installiert wurde, kann es am iPhone unter “Einstellungen” -> “Allgemein” -> “VPN” eingesehen werden.

iPhone VPN Verbindung herstellen

Damit die Verbindung nachfolgend immer automatisch hergestellt wird, muss sie einmal initial manuell aufgebaut werden. Ab sofort wird bei Bedarf immer automatisch eine VPN-Verbindung hergestellt.

Noch ein Hinweis: Wer ein bestehendes VPN-Profil wieder vom iPhone löschen möchte, kann dies unter “Einstellungen” -> “Allgemein” -> “Profil” -> “Öhringen” -> “Profil löschen” tun.

Wer mehr Informationen über mögliche VPN-Attribute über IOS-Devices nachlesen möchte, dem sei die ausführlich Dokumentation Configuration Profile Key Reference von Apple empfohlen. Weiter gibt es noch Interessantes zum Thema On Demand Rules Dictionary Keys.

Update vom 15.03.2015: Auch unter iOS 8.2 funktioniert oben beschriebene Konfiguration weiterhin problemlos.

Update vom 19.08.2015: Mit der aktuellen Betaversion von iOS 9 funktioniert VPN-On-Demand laut der zahlreichen Kommentare (siehe unten) nicht mehr. Ob das nur an der Beta liegt oder ob das Betriebssystemupdate für iPhone und iPad auch in der finalen Version andere Settings benötigt, entzieht sicht aktuell meiner Kenntnis. Ich werde mich jedoch mit Sicherheit mit der finalen Version von iOS 9 auseinandersetzen, da ich dann spätestens auch updaten werde. Wer mein Update nicht verpassen möchte, kann sich zum Newsletter anmelden oder meintechblog.de auf Facebook folgen.

Aus meinem täglichen Leben

Lange habe ich nach einer zuverlässigen Lösung gesucht, um bei Bedarf eine VPN-Verbindung zur Fritz!Box (in meinem Fall eine Fritz!Box 7490 (Affiliate-Link)) aufbauen zu können. So lassen sich auch unsichere Verbindungen, wie die bereits oben angesprochene Verbindung mit dem Loxone Miniserver, welcher als Smart-Home-Server nur http und eben kein verschlüsseltes https beherrscht, beim mobilen Zugriff zuverlässig absichern.

Gleichzeitig erspart man sich sonst notwendige Port-Weiterleitungen, auf die ich gezielt verzichten möchte, sofern sie nicht zwingend notwendig ist. Wird die Loxone-App dann von unterwegs geöffnet, dauert es keine zwei bis drei Sekunden (schnelle mobile Anbindung vorausgesetzt), bis die VPN-Verbindung automatisch im Hintergrund aufgebaut wird und die Verbindung zum Server steht. Aus diesem Grund ist diese VPN-On-Demand-Lösung zwischen iPhone und Fritz!Box (Affiliate-Link) für mich nicht mehr wegzudenken und gehört zu einer der zentralsten Funktionen, um hohe Sicherheit bei gleichzeitig hohem Komfort zu ermöglichen.

523 Kommentare
  1. Nach einer Möglichkeit, eine VPN-Verbindung automatisch bei Bedarf herzustellen, suche ich schon lange.
    Ich könnte mir aber vorstellen, dass einige Apps beim Verbindungsaufbau in ein Timeout laufen, während im Hintergrund die Verbindung aufgebaut wird. Konntest du so etwas schon beobachten?

    Oli

    1. Hi Oli,
      freut mich, daß dir der Blogpost weiterhilft! Das von dir angesprochene Problem hatte ich bisher glücklicherweise noch nicht. Aber du hast natürlich Recht, wenn eine App nicht lange genug wartet, bis die Verbindung erfolgreich hergestellt ist, kann es auch mal zu Problemen kommen, sofern der Aufbau doch mal länger dauert.

      Grüße
      
Jörg

    2. Gerade ausprobiert. Funktioniert hervorragend. Der Tunnel wird bei mir auch schnell genug aufgebaut, sodass sich noch keine meiner Apps beschwert haben.

      An dieser Stelle auch noch ein Dankeschön für diesen sehr guten Blog, der mir den Einstieg in FHEM sehr erleichtert hat.

  2. Hi,

    kann es sein, dass sich da ein Tippfehler eingeschlichen hat?
    Es gibt den Key PayloadUUID zwei mal, einmal hast du dort den persönlichen Key stehen, einmal die MyFritz-URL.
    Bilder kann man hier nicht anhängen, oder?
    https://db.tt/HchL1V88

    LG,
    Arne

    1. Hi Arne,
      also ein Tippfehler ist es nicht. In dieser Konstellation funktioniert die Config bei mir einwandfrei. Meld dich einfach nochmal, falls es bei dir nicht klappt.
      Bilder kann man hier nicht anhängen, richtig.

      Grüße
      Jörg

  3. Hallo Jörg,

    vielen Dank für Deinen Tipp, den ich äußerst praktikabel finde. Leider erkennt mein 5s die Config-Datei nicht als solche und öffnet sie nicht entsprechend. Eine Idee?

    1. Hi Günter,
      ist vielleicht nen blöder Tipp, aber hast du die zip-Datei vorher am PC entpackt? Die Endung muss .mobileconfig lauten. Hab es eben selbst getestet und mein iPhone 6 hat sie einwandfrei “gefressen”.
      Hoffe das hilft dir weiter!

      Grüße
      Jörg

  4. Ein fettes Dankeschön. Funktioniert einwandfrei.
    Eine Frage noch. Wie kann ich die VPN auf dem iPhone wieder löschen? Ich finde da keine Möglichkeit.

    1. Hi Olli,
      super, daß es bei dir klappt!
      Hier der Hinweis aus obigem Blogpost: “Wer ein bestehendes VPN-Profil wieder vom iPhone löschen möchte, kann dies unter “Einstellungen” -> “Allgemein” -> “Profil” -> “Öhringen” -> “Profil löschen” tun.”

      Grüße
      Jörg

    2. Grrrr, das hätte ich auch finden können. Ich dachte, ich könnte das dort löschen, wo meine andere VPN war. Vielen Dank. Das ist ein Hammer Blog. Ihr habt mir schon in vielen Sachen das Leben erleichtert. Nochmals danke.

  5. Hi Jörg,
    cooler Blog auf den ich durch Zufall aufmerksam geworden bin. Habe auch schon viele der Themen umgesetzt, die Du hier beschreibst, hätte ich den Blog vorher gekannt, wäre ich mit manchem schneller gewesen.

    Das mit dem VPN hier finde ich spannend. Habe alles so ungesetzt, aber bekomme immer die Meldung “Ungültiges Profil”
    Hast du ne Idee?

    1. Hallo Sebastian,
      hier das gleiche Problem. Die Fritzbox akzeptiert das ‘Fritzbox-Protokoll’. Das iPhone mit IOS 8.1.3. akzeptiert aber nicht das iPhone-Protokoll. Habe es mit TextEditor auf dem Mac bearbeitet und dann per email auf das iPhone gesendet. Beim öffnen kommt die Fehlermeldung “ungültiges Profil”

    1. Werde es nochmal selbst mit der im Blogpost bereitgestellten iPhone-Vorlage durchtesten und Bescheid geben… Bitte etwas Geduld 🙂

      Grüße
      Jörg

    2. Hi,
      habe gerade alles nochmal getestet (ebenfalls mit iOS 8.1.3). Hat alles perfekt geklappt.
      Spontan weiß ich nicht wirklich, warum es bei euch nicht klappt. Habt ihr evtl. Leerzeichen in Benutzernamen oder Passwörtern? Falls ja, bitte entfernen und nochmal testen. Ihr könnt mir gerne eure config-Files auch an joerg@meintechblog.de schicken, dann schau ich mal drüber.

      Grüße und viel Erfolg bei der Fehlersuche
      Jörg

  6. Hallo Jörg,

    ich hab es nun doch zum Laufen gebracht, frag mich aber nicht wie, bzw. wo der Fehler lag.

    So wie ich es sehe, geht es in deinem Beitrag darum eine VPN-Verbindung zum Heimnetz aufzubauen.
    Mein Interesse liegt allerdings nicht bei dem Zugriff auf lokale Geräte im Heimnetz sondern um die Tunnelung zur Internetnutzung.

    Also: Ich möchte mit meinem iPhone automatisch eine VPN-Verbindung zu meinem Heimnetz aufbauen und den gesamten Internettraffic somit über meine Fritzbox daheim leiten.
    Dies ist bisher mit deinem Skript nicht möglich. Kannst du mir hier weiterhelfen?

    Vielen Dank und grüße
    Timo

    1. Hi Timo,
      wahrscheinlich lässt sich das auch geschickter realisieren, aber spontan fällt mir nur als Lösung ein jede gewünschte Internetseite in eine neue Zeile der VPN-On-Demand-Config-Datei zu schreiben (schwarz umrandet). Dann wird beim Aufruf der Seite die VPN-Verbindung aufgebaut und der Traffic läuft dann darüber. Vielleicht kann man hier auch mit Wildcards (*) arbeiten, hier habe ich aber leider noch keine Erfahrungen sammeln können.

      Grüße und viel Erfolg bei der Umsetzung
      Jörg

  7. Hallo Jörg,
    vielen Dank für deine ausführliche Beschreibung. Leider habe ich auf meinem iPhone 5S mit iOS 8.1.3 die Fehlermeldung “ungültiges Profil”. Leerzeichen in Benutzernamen oder Passwörtern habe ich nicht.

    Viele Grüße
    Jens

    1. Hallo Jörg,
      Ja, der Hinweis von Björn bzgl. der Sonderzeichen war hilfreich. Jetzt baut sich die VPN-Verbindung auf. Sowohl iPhone/iPad als auch Fritzbox 7390 melden eine bestehende Verbindung. Allerdings habe ich gar keinen Traffic. Ich kann weder auf die internen IP-Adressen noch auf das Internet zugreifen.

      Viele Grüße
      Jens

  8. Bei mir funktioniert die mobileconfig-Datei nun.
    Problem war der personal key (dunkelblau).
    IOS hat anscheinend ein Problem mit einigen Sonderzeichen. Die Länge spielt keine Rolle, 50 stellig ist z.B. kein Problem.
    Ich habe nun nicht alle Sonderzeichen durchgetestet, aber ich denke das wird bei euch das Problem mit dem “ungültiges Profil” lösen.

    Jörg, hast du zufällig auch ein Skript zur Hand für OSX, Windows, Android? Ich denke du erreichst mit dem Blog viele Interessierte und man könnte das ja noch komplettieren. Ich persönlich hätte gern für OSX (MacBook) eine Datei, wüsste das aber alleine nicht umzusetzen.

    Gruß
    Björn

  9. Hallo Jörg,

    ich bin fast bei jedem deiner Beiträge “erschrocken”, da du immer genau die Themen behandelst die mich gerade beschäftigen und irgendwie genau die Hardware und Konstellationen verwendest, die ich ebenfalls im Einsatz habe. Das kann ja eigentlich kein schlechtes Zeichen sein! 😉
    Auch ich habe lange nach VPN on demand gesucht. (sehnlichst nach der Veröffentlichung von iOS 8 darauf gewartet und dann feststellen müssen, dass es nur im Businessumfeld funktioniert)
    Und nun das bzw. dieses simple Config-File. Da meine FritzBox bereits mit diversen Zugängen ausgestattet war, brauchte ich nur die mobileconfig. Ich frage mich immer wieder, wie du diese Dinge findest. Klasse und klappt hervorragend. Nutze es für QNAP NAS, Fhem, FritzBox Fon App, Blackbox (Dreambox) u.v.m.

    Eine Frage hätte ich am Ende allerdings noch. Ich setze Banking 4i auf meinen iOS Geräten ein habe die Datenbank auf meinem NAS. Die Freigabe habe ich per WebDAV eingerichtet. Zugriff erfolgt hier über https://IP-ADRESSE-NAS/Freigabeverzeichnis/
    Sobald man die App Banking 4i startet, versucht er auf die WebDAV Freigabe zuzugreifen und einen Upload/Download zu initiieren. Hier startet allerdings das VPN nicht automatisch. Eine Idee, wie man das implementieren/realisieren könnte bzw. warum es nicht klappt?

    Gruß und bitte weiterhin so tolle Beiträge!
    Tim

    1. Hi Tim,
      hehe freut mich zu lesen, daß ich mit meiner Technikbegeisterung nicht allein bin und die Blogthemen auch für andere von Interesse sind. Oftmals muss ich echt lange recherchieren, verschiedene Wege probieren und selbst Hand anlegen, bis es endlich reibungsfrei klappt. Bisher bin ich aber glücklicherweise immer noch zum Ziel gekommen, auch wenn es manchmal etwas länger gedauert hat.
      Spontan wüsste ich nicht, weshalb das VPN bei dir nicht aufgebaut werden sollte, sofern du eine passende VPN-Regel für den Zugriff auf dein NAS hinterlegt hast. Evtl. musst du deine Config einfach nochmal prüfen und findest den Fehler.

      Grüße
      Jörg

    2. Ein freundliches Hallo in die Runde. Ich bin schwer begeistert von dem Block und den zahlreichen Tipps. Die Verbindung zu fritz.box geht, aber wie hast du das gemacht um auf andere Geräte zuzugreifen mit z.B. Port 8081 oder 5000. Ganz zu schweigen von einer APP die auf das NAS zu greift.
      Ich möchte gerne eine VPN Verbindung aufbauen, wenn ich meine DS Cam App öffne.
      Das ist eine App für ein Synology NAS auf dem surveillance station läuft.
      Würde mich sehr über eine Hilfestellung freuen.
      Viele Grüße Heiko

  10. Weiterhin ist mir aufgefallen, dass über das VPN on demand gar kein Internet Traffic mehr läuft :/
    Das was mir über die VPN Settings im Reiter IPsec auf dem iPhone möglich. Gibt es hierfür Abhilfe?

  11. Also, bei mir läuft der ganze Internet Traffic über den VPN-Tunnel. Ich weiß, dass man das bei der Konfiguration über das Fritz-Tool damals als Option auswählen konnte.
    Aber wie gesagt, bei mir funktioniert das auch mit der oben verlinkten Config.

  12. Hallo,

    erst mal vielen Dank für das Howto! Funktioniert bestens!

    Ich habe gleich ein zweites Profil für meine zweit Fritz.Box erstellt und leider festgestellt das man dann doch zwischen den beiden VPN-Profilen auf dem iPhone umschalten muss. Schade.

    Da aber die beiden Fritz-Boxen eh untereinander per VPN verbunden sind, habe ich einfach die IP-Adressen die ich im zweiten Netz verbinden will ebenfalls in die Config aufgenommen. 😉

    Grüße aus Stuttgart & Würzburg 😉

  13. Danke für die tolle Anleitung! Funktioniert hervorragend!

    Ist es normal, dass die automatisch hergestellte VPN-Verbindung sich erst dann trennt, wenn man das Netzwerk wechselt? Ist es möglich die Konfiguration so zu gestalten, dass die VPN-Verbindung getrennt wird, sobald die verwendete App nicht mehr aktiv ist?

    Kannst du irgendetwas zum Stromverbrauch der VPN-Verbindung sagen?

    1. Hi Miro,
      das ist normal. Einmal per VPN verbunden, wird die VPN-Verbindung erst wieder nach einer gewissen Nichtnutzungszeit oder beim Abbruch/Wechsel des Netzwerks getrennt. Ich weiß nicht, dass sich das auch anders/besser (z.B. beim Schließen einer App) lösen lässt. Habe diese Funktion jedenfalls noch nie vermisst.
      Den Stromverbrauch habe ich noch nicht kontrolliert. Bei meinen VPN-Sitzungen (meistens nur einige Minuten) habe ich bisher noch keine gravierenden Laufzeiteinbrüche des Akkus bemerkt, obwohl es sicherlich etwas mehr Energie kostet.

      Grüße
      Jörg

  14. Vielen Dank! Seit Monaten versuche ich wie verrückt VPN über Fritzbox auf dem iPad einzurichten, ohne Erfolg. Habe auch Apps versucht, immer ohne Funktion, Grund unbekannt.
    Mit der Konfiguration hat es endlich funktioniert!

    2 Fragen noch.

    1.
    Gelb umrandet:
    Hier können Namen (SSIDs) von WLan-Netzwerken eingetragen werden. Sofern sich das iPhone zu einem der angegebenen WLan-Netzwerke verbindet, wird keine VPN-On-Demand-Verbindung hergestellt. In diesem Fall lautet der Name dieses WLan-Netzwerks “Apfel”. Der gesamt gelb umrandete Inhalt kann auch herausgelöscht werden, er ist nur notwendig, wenn eben explizit keine VPN-On-Demand-Verbindung in speziellen WLan-Netzen aufgebaut werden soll.
    –> Wie kann ich mehrere Netzwerke definieren, mit Semikolon trennen ? Wlan1;Wlan2;Wlan3 ?

    2.
    Schwarz umrandet:
    Hier werden die Netzwerkadressen bzw. Domains eingetragen, die eine VPN-Verbindung initiieren sollen. Versucht das iPhone aus einem fremden Netzwerk heraus eine Verbindung herzustellen und merkt, dass die gewünschte Adresse nicht erreichbar ist, wird automatisch eine VPN-Verbindung aufgebaut. In diesem Fall befindet sich “192.168.3.11” unter den IP-Adressen. Das ist mein Loxone Miniserver, welcher nun auch von unterwegs über die Loxone iPhone-App mit lokaler IP komplett verschlüsselt über die VPN-Verbindung angesprochen werden kann.
    –> Muss ich hier wenn mein Netzwerk zuhause auf 192.168.0.X (1 ist die Fritzbox) was anderes eintragen ?

    Vielen Dank!

  15. Gibt es eine Möglichkeit das VPN automatisch angeht wenn

    a) man nicht im spezifizierten WiFi ist
    +
    b) man nicht über ein anderes WiFi oder 3G/LTE im Netz ist ?

    1. Hi Elmar,
      zu deinen Fragen:

      a) Einfach ein Eintrag pro Zeile (genauso wie bei den Adresse – schwarz umrandet), also z.B.
      Apfel
      ElmarWlan
      FritzboxWlan

      b) Du musst jede IP der anzusprechenden Endgeräte eintragen. Wenn also die VPN-Verbindung aufgebaut werden soll, wenn du auf die Fritzbox (192.168.0.1) und dein NAS (192.168.0.2) zugreifen möchtest, lautet es entsprechend:
      192.168.0.1
      192.168.0.2

      Hoffe das hilft dir weiter!

      Grüße
      Jörg

    2. Hi Elmar,
      zu deinen Fragen:
      a) Ist mir leider nicht bekannt. Ich weiss auch ehrlich gesagt nicht, ob das so sinnvoll wäre, da der permanente Verbindungsaufbau bzww. das Halten der Verbindung, gerade wenn man unterwegs ist, massiv am Akku zehren sollte.
      b) Verstehe die Frage leider nicht. Ein Anwendungsfall würde wohl helfen.

      Grüße
      Jörg

  16. Hello,

    ist es möglich mit dieser Konfiguration ein Split Tunneling einzurichten? Also VPN Verbindung “nach Hause” nur für das Heimnetz?

    1. Hab jetzt mal die Datei neu geladen und obwohl die Punkte genauso ersetze wie in der Anleitung bekomme ich den Fehler “Authentifizierung fehlgeschlagen”.

      Wenn ich die selben Daten als ein normales VPN-Profil nutze klappt es.

      Irgendeine Idee?

    2. Poste deine Config doch mal als Kommentar (Passwörter etc. natürlich vorher chiffrieren). Evtl. findet sich so der Fehler…

    3. PayloadContent

      IPSec

      AuthenticationMethod
      SharedSecret

      OnDemandEnabled
      1
      OnDemandRules

      InterfaceTypeMatch
      WiFi
      SSIDMatch

      DAHEIM

      Action
      Disconnect

      Action
      EvaluateConnection
      ActionParameters

      Domains

      fritz.box
      10.10.10.1

      DomainAction
      ConnectIfNeeded

      LocalIdentifier
      Arnaud_VPN
      LocalIdentifierType
      KeyID
      RemoteAddress
      Hier Steht meine DynDNS Adresse
      SharedSecret
      BALBLABLABLUBB

      PayloadDescription
      Configures VPN settings, including authentication.
      PayloadDisplayName
      VPN (Arnaud)
      PayloadIdentifier
      Hier Steht meine DynDNS Adresse
      PayloadOrganization
      Arnaud
      PayloadType
      com.apple.vpn.managed
      PayloadUUID
      BALBLABLABLUBB
      PayloadVersion
      1
      UserDefinedName
      Arnaud
      VPNType
      IPSec

      PayloadDescription
      VPN-Zugang zu Arnaud
      PayloadDisplayName
      Arnaud
      PayloadIdentifier
      Hier Steht meine DynDNS Adresse
      PayloadOrganization
      Arnaud
      PayloadType
      Configuration
      PayloadUUID
      Hier Steht meine DynDNS Adresse
      PayloadVersion
      1

    4. Als Erweiterung für den Blogpost:

      Sollte der Fehler “Authentifizierung fehlgeschlagen” kommen ändert das Passwort ab. Ich hatte ein komplexes und erst nach dem ändern des Passwortes funktioniert es. Keine Ahnung warum.

      Werde das auch mal bei mir verbloggen. Natürlich mit Quellenangabe zu diesem Blog da dieser mich erst auf die richtige Fährte geführt hat für die schlussendliche Konfiguration. Davor waren meine Versuche gescheitert.

      Vielen Dank 🙂
      Man liest sich

    5. Hi Arnaud,
      freut mich, dass dir der Artikel geholfen hat und danke für den Tipp! Habe einen entsprechenden Hinweis im Artikel vermerkt. Kannst du evtl. noch etwas dazu sagen, welche Sonderzeichen bei dir nicht funktioniert haben?

      Grüße
      Jörg

    6. Hi Jörg,

      mein erstes Passwort enthielt KEIN Sondernzeichen. Das neue enthält Sonderzeichen und funktioniert.

      Folgendes soll keine Werbung sein für meinen Blog sondern als Zusatz bzw. Fork von deinem Skript dienen:

      Habe u.a. dein Skript etwas erweitert, das wenn man das Profil einspielt nicht noch einmal Benutzer & Passwort eingeben muss die man in der FritzBox vergeben hat.

      Kannst du ja entsprechend erweitern um folgenden Link: https://arnaudfeld.de/2015/03/19/howto-vpnondemand-zusammen-mit-der-fritzbox/ .

      War etwas Sucherei es so zu erweitern aber es funktioniert.

  17. cool ist auch die Möglichkeit sich aus der ganzen Welt per VPN (sofern man WLAN am Ort hat) zuhause auf die Fritzbox einzuloggen und per APP Fritz Fon zu telefonieren. Gepräch nimmt dann die Fritzbox zuhause vor.

  18. Hallo Jörg,

    das ist genau die Lösung, die ich gesucht habe.
    Funktioniert auf meinem IPhone 5s mit der Fritzbox 6360 von KBW auf Anhieb.
    Ich musste nur 1x die Verbindung von manuell aufbauen.

    Vielen Dank

    P.S. Du hast es in meine Browserfavoriten geschafft.

    1. Hi Tilo,
      super, freut mich! 🙂
      Habe auch echt lange an der Lösung gebastelt. So freut es mich umso mehr, dass auch andere davon profitieren können.

      Grüße
      Jörg

  19. Hallo Jörg,
    klasse Anleitung!
    Die Einrichtung klappt auch mit jedem anderen DynDNS-Anbieter und dem zuvor an der Fritz!Box von Hand eingerichteten und bereits funktionierenden VPN. Dann muss man nur die iPhone-Seite einrichten und alles ist schick!

    Viele Grüße
    Thomas

  20. Hi Jörg,

    ist es auch möglich die VPN on-demand Verbindung auf eine https seite aufzubauen.
    Sprich ich habe meine fhem url die über https erreichbar ist auf dem homescreen abgespeichert.
    Klappt das auch so oder geht das nur über eine App?!

    Danke dir schonmal

    1. Hi Slayer,

      du musst nur die IP-Adresse – wie im Artikel beschrieben – angeben. Dann wird sofort eine VPN-Verbindung hergestellt, sobald du versuchst auf die IP zuzugreifen, egal welchen Dienst oder App und welches Protokoll (http oder https) du nutzt.

      Grüße
      Jörg

  21. hallo liebe gemeinde… ich versuche das ganze nun auch gerade umzusetzen.. klappt alles wunderbar nach der echt tollen anleitung…

    leider habe ich aber ein kleines problemchen 🙁
    ich hab eine app in meinem fall join ( gerne auch eine andere sip app )
    diese soll sich wenn man sie startet ins heimische netz zur asterisk verbinden.. wenn man unterwegs ist eben mittels der vpn…

    jetzt klappt bei mir der aufbau wenn ich die ip im safari eingebe einwandfrei.. es wird sofort die vpn verbdindung aufgebaut..
    starte ich aber aber die join app ( auch schon 2 andere probiert UDP und TCP )
    ( hier ist als server die IP drinnen )
    dann passiert leider nichts 🙁 es baut sich keine verbindung auf..

    hat da jemand erfahrungen oder einen vorschlag?
    wäre euch wirklich sehr dankbar… 🙂

    besten dank!

  22. Ich habe das VPN on Demand jetzt schon ein paar Wochen laufen.
    Mit ist jetzt folgendes aufgefallen. Wenn ich im Auto via BT Spotify höre, schaltet sich VPN sporadisch zu. Nicht immer, aber definitiv nur im Auto wenn Spotify gehört wird. Hat jemand die gleiche Situation bzw ne Idee wie ich das beheben kann?

  23. Hier gibt es einen mobileconfig Generator, der in Ruby geschrieben ist und VoD Config-Profile für OpenVPN generiert. Evtl. könnte man das ja als Grundlage für eine “Fritzbox”-VPN Version nehmen.
    https://github.com/iphoting/ovpnmcgen.rb

    Hier gibt es so einen Generator in PERL. Allerdings ohne die VPN-Settings. :-/
    https://github.com/akkornel/Config-Apple-Profile

    1. Hallo,

      ganz herzlichen Dank für die Anleitung.

      habe auf Grundlage der Konfig hier einen Konfigurator in Excel gezimmert.

      Liegt auf diesem Portal:
      http://homematic-forum.de/forum/viewtopic.php?f=31&t=24765&start=50

  24. Ich habe nun auch die onDemand Verbindung eingerichtet.
    Jetzt habe ich aber ein mehr oder weniger großes Problem festgestellt.
    Wenn die onDemand Verbindung im Mobilfunknetz aufgebaut wird und ich in ein WLAN wechsle, wird der gesamte Datenverkehr weiterhin über die Mobilfunkverbindung geleitet, trotz aktivem WLAN. Dies kann dazu führen, dass wenn man dies nicht bemerkt man Ahnungslos das Mobile Datenvolumen ausreizt obowhl man rein optisch mit dem WLAN verbunden ist.
    Gibt es eine Möglichkeit, beim wechsel in ein WLAN die Verbindung zu unterbrechen, und dann bei einer erneuten Anfrage die onDemand Verbindung wieder herstellt?
    Das VPN bleibt bei mir auch im Ruhezustand des iPhones dauerhaft bestehen.

  25. Hallo,

    ich habe dein Skript etwas erweitert bzw. geändert. Über den Payload “Per-App VPN Payload” kann man die Bundle-ID einer App eintragen und so den gesamten Traffic einer App über das VPN leiten. Das ist zum Beispiel für die FritzFon App interessant. Die Bundle-ID hierfür lautet: de.avm.FRITZApp

    1. Hi Kai,
      danke für den Hinweis, das ist sicher für viele Anwender interessant.
      Könntest du – der Einfachheit halber – bitte mal einen entsprechenden Codeausschnitt posten, wie man das Config-File erweitert?

      Grüße
      Jörg

  26. Danke für die Anleitung, hat soweit wunderbar funktioniert.

    Aber ähnlich wie Elmar suche ich auch eine Lösung für “AlwaysOn” VPN.
    Apple beschreibt das ja hier.

    VPNType statt auf IPSec auf AlwaysOn stellen. Problem ist, dass man dann eine Gegenstelle benötigt, die zwingend IKEv2 kann – und die Fritzbox kann das soweit ich weiß heute noch nicht.

    Anwendungsfälle: Du möchtest in einem öffentliches WLAN lieber den gesamten Traffic verschlüsselt übertragen. Du kannst zwar händisch die VPN Verbindung aktivieren, sobald das iPhone aber in den Ruhemodus geht (Display aus), geht nach einer Weile auch die VPN Verbindung weg (vermutlich wegen dem Wechsel zurück ins Mobilfunknetz) – außer man hängt am Strom, dann bleibt es ewig.

    Auch ist es teilweise über das Mobilfunknetz sicherer, alle Daten über eine vermeintlich sichere Leitung zu schicken.

    VPN on Demand hilft mir jetzt auf mein NAS Zuhause zuzugreifen, ohne jedes mal 3-klicks zu machen.
    AlwaysOn VPN wäre halt cool, dann würde das noch schneller gehen und man hat alle Daten unterwegs verschlüsselt.

    1. Hi Thomas,
      da hast du natürlich grundsätzlich Recht. Direkt über die Fritz!Box ohne weitere Hardware sollte eine Alway-On VPN-Verbindung aber in der Tat nicht realisiert werden können. Weiterhin dürfte eine permanente VPN-Verbindung ganz schön auf den Akku des angebundenen Endgeräts gehen, ganz zu schweigen vom permanenten Datentransfer während der Verbindungszeit, der notwendig wird, um die Verbindung stabil aufrecht zu halten. Das lässt sich bereits bei VPN On-Demand ganz gut nachvollziehen, hier werden alle paar Sekunden entsprechende Datenpakete von bis zu einigen kB ausgetauscht, die sich in Summe ganz schön aufsummieren dürften, sofern eine permanente Verbindung besteht. Gerade für volumenbasierte Datentarife im Mobilfunknetz mit max. einigen GB/Monat ist dieser Umstand wahrscheinlich bereits alleine ein KO-Kriterium.

      Grüße
      Jörg

  27. Hi, super Anleitung. Funktioniert bei mir super zwischen Fritzbox 7490 (hinter Speedport Hybrid) und iPhone 6 + (iOS 8.3).
    Leider habe ich einen Congstar Vertrag und Facetime funktioniert nur über VPN.
    Das ist beim Raustelefonieren noch möglich (VPN Manuell an). Ankommende Anrufe schlagen aber fehl.
    Kennt jemand vielleicht die Domains, die ich unter EvaluateConnection eintragen könnte?
    Ich meine, damit könnte es doch funktionieren.

    Gruß

    Patryk

  28. Hallo Kai,

    wie findet man denn die Bundle-ID einer App heraus? Kannst du nochmal einen Code Schnipsel bitte posten…
    Würde gerne die Bundle ID der Loxone App herausfinden…

    Besten Dank vorab.

    Gruß,

    Timo

  29. Um eine meiner Fragen selbst zu beantworten.
    Hier findet man, wie man sich die Bundle ID einer App heraussucht:
    https://kb.acronis.com/content/39368

  30. Ich bekomme leider nur die Fehlermeldung “VPN-Server nicht gefunden” liegt das daran, dass die FRITZ!Box einen DS-Lite-Tunnel verwendet?

    Fritz!Box 6360 Cable, KabelBW, iPhone 6, IOS 8.3

    1. Ja. Lass deine Internet Anschluss auf ipv4 umstellen! und lass dich nicht abwimmeln 😀

  31. @Atilla:
    Mit DSL-Lite wirst du kein Glück haben. Die Provider machen ein NAT und tauchst “im” Internet mit deiner Fritzbox nur mit einer ipV6 Adresse auf. Das NATting kannst du nicht beeinflussen.

    @Kai
    Kannst du bitte nochmals deine Config inkl. “VPN per App” posten?

  32. Hi ist es auch möglich einen kompletten IP Block einzugeben ohne jede einzelne IP in die Config einzutragen?

    192.168.178.* …??

  33. Hallo Zusammen,
    die Anleitung funktioniert super mit meine iPad Air (iOS 8.3). Danke 🙂
    Leider geht mit meinem alten iPhone 4 (iOS 7.1.2) nicht nur die manuelle Verbindung, automatisch (bei Bedarf) macht er es leider nicht. Hat jemand einen Rat?
    Noch eine Frage: Ich habe in meiner Wohnung und bei meinen Eltern eine Fritzbox. Ich habe für beide VPN ein Profil erstellt. Leider funktioniert nur der VPN, bei welchem der Haken gesetzt ist. Ideal wäre, wenn er den Tunnel zu meinen Eltern aufbaut, wenn ich IP dort anwähle und in meiner Wohnung genau so. Die beiden Netze haben komplett unterschiedliche IP Bereiche. Jemand eine Idee, wie man je nach IP einen anderen Tunnel aufbaut?
    Nochmal Danke.
    Beste Grüße
    Thomas

    1. Hi Thomas,
      sofern du mehrere VPN-Profile nutzt, funktioniert der automatische Aufbau immer nur mit dem zuletzt verbundenen Profil. Das hab ich auch schon herausfinden müssen. Ob es hierzu eine Lösung gibt, bezweifle ich eigentlich. Ich habe das so gelöst, dass ich nur insgesamt ein VPN-Profil auf dem iPhone nutze und dann die gewünschten Fritzboxen direkt untereinander per VPN gekoppelt habe. In diesem einen VPN-Profil sind dann alle anzusprechenden IP-Adressen aller Endgeräte eingetragen, die sowohl direkt über die Fritzbox des VPN-Profils als auch über die entfernten per Fritz-Fritzbox-VPN angebunden Geräte angesprochen werden können. So tunnelt man dann zwar oftmals einen Knoten mehr als eigentlich notwendig, sofern das anzusprechende Endgerät an einer “externen” Fritzbox betrieben wird, das funktioniert aber auch im Dauerbetrieb absolut reibungslos.

      Grüße
      Jörg

    2. Hallo Jörg,

      hab Deinen Beitrag schon erfolgreich anwenden können, um mein Iphone 5 unter iOS 8 mit meiner Fritz!Box zu verbinden. Super Sache, vielen Dank für die tolle Aufbereitung des komplexen Themas!

      Mit einem Iphone 4 (iOS 7) funktioniert der automatische Verbindungsaufbau leider nicht. Scheint das selbe Phänomen zu sein, das Thomas beschrieben hat.

      Es ist nur ein VPN-Profil vorhanden und die Konfiguration ist bis auf die Credentials absolut identisch. Die manuelle Verbindung zum VPN-Server funktioniert auch.

      Hat jemand einen Rat? Vielen Dank!

      Viele Grüße

      Martin

    3. Hi,

      ich habe das gleiche Problem.
      VPN manuell geht. Nur eine VPN Verbindung auf dem iPhone.
      On demand geht leider nicht. ich habe zig Adressen eingetragen.

      Vielleicht hat jemand hier eine Lösung. Danke

      Gruß
      dirk

  34. Ein herzliches Dankeschön für die super dokumentierte Anleitung. Funktioniert perfekt. Habe die Konfiguration auch auf mein Macbook aufgespielt. auch hier funktioniert das VPN scheinbar on-Demand.

    Liebe Grüße

    Christian

  35. Hallo,

    erstmal vielen Dank für die Super-Anleitung. Ich komme jetzt schon mal problemlos in mein Heimnetz rein, sofern es benötigt wird.

    Da ja die Freifunk-Netzweke derzeit groß im kommen sind, wollte ich mal nachfragen, wenn man sich in ein solches Netzwerk befindet, ob man VPN immer dann aufbauen kann, wenn man irgendetwas macht, ob Safari oder Apps. Geht das schon ?

    Danke, Gruß David

  36. Hab gerade gelesen, dass mit iOS 9 eine spannende Funktion namens “Reliable Network Fallback” eingeführt wird. Sie bewirkt, dass bei “schlechter” WLan-Verbindung dynamisch das Mobilfunknetz als Failover genutzt wird, so dass die Verbindungsqualität verbessert wird. Details hier: http://www.iphoneblog.de/2015/06/28/reliable-network-fallback/

    Bin schon gespannt, wie sich diese Funktion auf die VPN-On-Demand-Funktion auswirkt, wenn als Regel definiert ist, dass bei einem bestimmten WLan-Netz ein VPN nicht gewünscht ist, diese WLan-Verbindung dann zwischenzeitlich aber nicht mehr zuverlässig funktioniert und auf Mobilfunk gewechselt werden muss, was wiederum eine VPN-Verbindung notwendig macht. Ob in diesem Fall dann tatsächlich eine VPN-On-Demand-Verbindung aufgebaut wird, zeigt sich dann spätestens in einigen Wochen mit Erscheinen von iOS 9…

  37. Mit der aktuellen Beta 3 bzw. Beta 4 von iOS9 funktioniert VPN On Demand so nicht mehr. Lt. Antwort vom Bug Report dürfen keine IP Adressen mehr verwendet werden.
    Eine Lösung dafür habe ich bis jetzt noch nicht gefunden.

  38. Hallo Jörg,
    super Anleitung. Danke
    Alledings habe ich aktuell noch ein Problem mit CalDAV und CardDav. Ich habe bei mir einen Yosemite Server am laufen und dieser soll auch die Kalender und Kontakte bereitstellen. Wenn ich auf dem iPhone/iPad die Kalender oder Kontakte App öffne, wird der VPN Tunnel nicht aufgebaut. Die IP-Adresse ist richtig eingetragen. Das konnte ich testen, da der Server noch mehr Dienste bereitstellt und bei diesen der VPN-Tunnel funktioniert. Hast du evtl. noch eine Idee woran das liegen könnte?

    Viele Grüße
    André

    1. Hi André,
      ehrlich gesagt habe ich spontan keine Ahnung, woran das liegen könnte, sorry. Alle meine Dienste funktionieren mit dem VPN-On-Demand wie am Schnürchen.

      Grüße und viel Erfolg bei der Problemlösung
      Jörg

    2. Hi André!

      Leider habe ich das gleiche Problem. VPN on demand funktioniert prima mit Weblinks, aber nicht mit CalDAV und CardDAV, d. h. eine Synchronisierung findet erst statt wenn das VPN bereits steht.

      Hast Du das Problem lösen können?

      Patrick

  39. Ich kann auch bestätigen, dass VPN on Demand unter iOS 9 nicht mehr funktioniert. Er baut die VPN Verbindung zwar auf aber errieche keinerlei IP’s im Netz und auch der Traffic wird nicht mehr durchgeroutet. Getestet auf meinem iPad 3

  40. @Tim: Kannst Du die .mobilconfig bitte mal posten. Bei mir wird mit der Beta 4 die Verbindung nicht einmal aufgebaut. Wenn ich die Verbindung manuell aufbaue, habe ich das gleich Verhalten. Sehr seltsam.

    Danke & Gruß
    Frank

  41. Bin mir gerade nicht sicher aber glaube habe noch die Beta 2. Also die aktuellste Beta die automatisch unter Softwareaktualisierung verfügbar ist. Wäre bei meinem iPad die 9.0 (13A4305g)
    Sobald ich zu Hause bin, kann ich dir config mal posten, nachdem ich sie anonymisiert habe 😉

    Gruss

  42. Hallo,

    hat es unter iOS 9 schon jemand ans Laufen bekommen?
    Profil wird bei mir installiert etc., aber “on demand” wird kein Tunnel aufgebaut.

    Viele Grüße
    Gregor

    1. funktioniert das bei Dir wenn du VPN manuell aktivierst?
      Geht bei mir auch nicht. Verbindung steht, aber es geht nichts durch.

  43. Hi Jörg,

    danke für die prima Vorbereitung der Files. Hab es genau nach Deiner Anleitung gemacht und es klappt prima.
    Nicht gefunden hab ich wie man die Zeit definieren kann nach der das VPN wieder abgebaut wird wenn man nicht mehr auf die entsprechende IP oder Domain zugreift.
    Im Moment wird es nach 3-4 Minuten abgebaut. Manchmal allerdings auch gar nicht (bzw. sehr lange nicht).

    Damit das VPN auch automatisch öffnet wenn man die Fritzbox Fon App öffnet hab ich im IP-Adressen Array noch “fritz.box” hinzugefügt. Klappt.

    Wenn jemand noch posten mag wie man per App noch einbindet, wäre super!

    iOS 9 beta:
    Es kam glaub ich grad eine Neue raus. Wenn da jemand wieder das VPN OnDemand testet wäre super. Ich hoffe ja nicht das Apple dieses sinnvolle Feature wieder killt.

    Cheers
    Seppm

    1. Danke Frank,

      weisst Du ob das mit den Zertifikaten geht? Allerdings wäre mir auch nicht klar ob das für privat ein gangbarer Weg ist, also sich solche Zertifikate zu besorgen und die Installation/Betrieb?

      Cheers Seppm

    2. Wenn man der Configuration Profile Reference von Apple glauben darf, sollte OnDemand auch in iOS9 weiterhin funktionieren. Ein Parameter zur Einstellung der Dauer bis zur Verbindungstrennung existiert darin jedoch nicht.

  44. Hallo Jörg,

    zunächst Danke für Deine Anleitung, habe es mit etwas probieren hinbekommen. Auf meinem iPhone tritt jedoch folgendes auf: während unter Safari eine angewählte Seite automatisch mit dem VPN verbunden wird, läuft sich Crome einen Wolf, ohne Erfolg. Hast Du dazu eine Idee?

    Und meine zweite Frage: Gibt es auch die Möglichkeit eines Auto-Disconnect’s? z.B. wenn die auslösende Seite / IP-Adresse geschlossen wird.

    Danke und Gruß
    wolfgang

  45. Ich kann das Problem mit Chrome zumindest bestätigen. Eine Erklärung dafür habe ich allerdings auch nicht. Meine Idee war, dass es möglicherweise an der Datenkomprimierung liegt. Aber das war’s auch nicht.

  46. Hallo,

    gibt es auch eine Möglichkeit, sobald sich in bestimmte WLAN-Netze z.B. auch der Telekom-Hotspot generell eine VPN-Verbindung on Demand aufbauen zu lassen? Kann man auch mehrere VPN-Profile im iPhone gleichzeitig nutzen?

  47. Wer mit dem iPhone-Konfigurationsprogramm arbeitet, kann sich auch dort ein Profil mit den VPN-Daten erstellen, dieses Exportieren und dann die beiden Keys (OnDemandEnabled und OnDemandRules) inkl. der nötigen Einstellungen einfügen. Ich habe diese zwischen dem Key AuthenticationMethod und LocalIdentifier eingefügt, es sollte aber auch an anderen Stellen klappen. Vorteil ist, dass die Daten auch wirklich an den richtigen Stellen stehen, und nur dort. Der Shared-Key hat z.B. nichts mit der Payload-UUID zu tun und muss auch nicht dort rein.

    Anbei noch die wichtige Passage für die automatische Aktivierung des VPN-Zugangs.

    …..
    AuthenticationMethod
    SharedSecret

    OnDemandEnabled
    1
    OnDemandRules

    InterfaceTypeMatch
    WiFi
    SSIDMatch

    Mein-WLAN

    Action
    Disconnect

    Action
    EvaluateConnection
    ActionParameters

    Domains

    192.168.xxx.xxx
    192.168.yyy.yyy
    Beispieldomain.com

    DomainAction
    ConnectIfNeeded

    LocalIdentifier
    …..

    1. Leider wird im Kommentar das Format der plist-Datei “verschluckt”. Der wichtige Teil, ist der, der im Bild des Artikels gelb und schwarz eingerahmt ist.

  48. Hi @all,

    nur zum Verständnis….bisher lief OnDemand unter IOS8 auch dank dieser tollen Anleitung auch bei mir 😉

    Jetzt bin ich auf die PublicBeta von IOS9 gewechselt…und da geht es eben nicht mehr. Manueller Aufbau funktioniert auch noch mit dem erstellten Profil.

    Nun meine Frage …läuft das schon bei jemandem unter IOS9 …

    Danke – Gruß CHRIS

  49. bei mir läuft es unter ios9 beta5 auch nicht manuell: verbindungsaufbau klappt problemlos, aber es kommen keine Daten durch. Hat jemand eine Idee??

  50. Vielen Dank für diese perfekte Anleitung. Anfangs hatte ich auch das Problem, dass ich per VPN zwar auf mein lokales Netz kam, aber nicht weiter ins Internet. Interessanterweise war dies nur ein Problem bei Verwendung des iPhones (iPhone 5, IOS 8.4.1), denn mit einem Android-Handy klappte der Zugriff auf’s Internet ohne Probleme. Und genaugenommen funktionierte auch auf dem iPhone der Internet-Zugang – ping auf IP-Adressen im Internet waren erfolgreich, aber die DNS-Auflösung scheiterte. Scheinbar bekam das iPhone beim Aufbau des VPNs keinen DNS-Server übergeben. Nachdem ich dann längere Zeit nach einer Lösung vergeblich gegoogelt hatte und auch die Anleitung auf der AVM-Seite keine Lösung brachte, führte ein Neustart der Fritzbox zum Erfolg.

  51. Falls es hier jemanden interessiert, auch unter IOS9 läuft jetzt VPN on demand. Ich habe lediglich die IP Adressen durch die Domain ersetzt.

    CAM1.fritz.box

    Verbindung baut sich auf und auch wieder ab.

    Gruß Chris

  52. @Chris:
    Baut sich die Verbindung nur auf oder gehen auch Daten durch? Nachdem ich mein iPad auf die neuste iOS 9 Pblic Beta geupdated habe, funktioniert dies nach wie vor nicht. VPn baut nur auf aber keinerlei Daten gehen durch. Weder Internet Traffic, noch erreiche ich meine Devices im Netz.
    Wofür steht das CAM1 in deiner Domain und wo hast du die IP durch die Domain ersetzt?

    Wäre super, wenn es bis zum morgigen Release von iOS 9 eine Rückmeldung geben könnte. 🙂
    Kannst du dazu etwas sagen, Jörg?

    Gruß und Danke
    Tim

  53. Hallo Tim,

    also Verbindung baut sich automatisch auf und auch wieder ab. Ging sowohl mit der GM und auch mit der jetzigen 9.1 Beta. Cam1 steht für die IP 192.168.178.34. In der FritzBox kannst du die Namen dafür vergeben. Geändert habe ich das in der mobileconfig. unter dem Punkt Domains siehe schwarze Umrandung…

    Das ganze läuft jetzt wieder einwandfrei 😉

    Gruß Chris

  54. Danke Chris für deine rasche Antwort. Das heist mit der IP deiner FritzBox unter Domains in der mobileconfig hatte es nicht funktioniert oder hast du den Eintrag zusätzlich gemacht? Wie sieht es mit anderen Zielen aus? Meine Liste ist dort etwas länger mit Zielen, wie QNAP etc. 😉
    Wird bei dir auch der Internet Traffic durchgeroutet? Dies bleibt bei mir nämlich aus. Weder Internet Traffic wird durch den Tunnel geroutet, noch sind meine anderen IP-Adressen wie NAS, Dreambox etc. erreichbar.

    Vielleicht müsste ich doch mal die neuste FritzBox Firmware einspielen. Nur muss ich dann wieder ein Freetz Image basteln und mit ein paar Einschränkungen was mein FHEM angeht leben…

    Gruß
    Tim

  55. Ich habe die devices alle mit einer Domain versehen. Genau mit der reinen IP hat es nicht funktioniert.

    Du benötigst kein Freetz , sondern du gehst einfach in die Heimnetzeinstellungen deiner FritzBox, und vergibst den dort aufgelisteten Devices eine Namen. Dann sollte das Ganze funktionieren…

    DeviceXYZ.fritz.box wobei dun in der Fritzbox nur DeviceXYZ eingibst. In der config dann noch .fritz.box hinten dran 😉

    ob *.fritz.box geht weiss ich nicht. * steht für alle Einträge in der Domain

  56. Okay, das meinst du. Wobei das nicht wirklich Einfluss auf die Ziele hat. Entscheidend ist viel mehr der Hostname des Zieles.
    Nichts desto trotz habe ich es damit versucht, ohne Erfolg. Der Internet Traffic wird nach wie vor nicht durch gerouted bei bestehender VPN Verbindung und die Endgeräte sind ebenfalls nicht erreichbar. Weder über IP-Adresse, noch Hostname oder Hostname.fritz.box noch sonst etwas.
    Kannst du deine Konfig mal posten?

    Gruß

  57. Vielleicht noch ergänzend: zumindest bei IOS8 kann man auch einfach die Domain “fritz.box” anstelle der einzelnen Hosts wie z.B. “CAM1.fritz.box” verwenden. Man sollte aber vorher mal schauen, ob die Namensauflösung der Fritzbox im LAN überhaupt funktioniert. Ich musste in der Fritzbox beim DNS Rebind Schutz “fritz.box” als Ausnahme eintragen. Aufgelöst werden dann alle Hostnamen, die unter Heimnetzwerk mit Namen aufgeführt sind.

    Gruß
    Peter

  58. Tja..habe auch mal den Tip ausprobiert. Leider bekomme ich auch keine Verbindung. Dann muss ich woh wieder manuell das VPN einschalten Damit klappt es wenigstens.
    SCHADE..
    Gruß Jürgen

  59. Alos , wie gesagt unter IO 9.1 Beta und der GoldenMAster funktioniert es…Ich kann nur das sagen und beschreiben, was ich gemacht habe…

    Sorry, dass es bei euch nicht funzt!

  60. Nach dem Update auf IOS 9.0 funktioniert bei mir das VPN nicht mehr. Ich habe in der iPhone-Config nur noch “fritz.box” als Domain aufgeführt. Wenn ich im iphone-Browser “fritz.box” als Adresse eingebe, wird der VPN-Tunnel zwar aufgefaut, ich kann dann aber nur pings ins Internet erfolgreich absetzen. Pings ins LAN und jeglicher Aufruf mit einer Domain (z.B. “host.fritz.box” oder “test.de”) schalgen fehl.

    Kann es sein, dass erst mit IOS 9.1 alles wieder funktioniert?

  61. Nach dem update funktioniert bei mir VPN selber noch, nur kein on demand. Das heißt die Verbindung wird nicht aufgebaut. Ich habe keine hostnamen freigegeben, nur IP.

  62. @Sven: IP’s in der iphone-mobilconfig werden in IOS 9 nicht mehr unterstützt. Du musst also Hostnamen bzw. eine Domain angeben, damit das iPhone das VPN on demand aufbaut (und dann diese naürlich auch beim ersten Zugriff in der URL des Browsers verwenden).

  63. Ich hatte es gestern kurz nach dem Upgrade auf IOS ausprobiert. Zu dem Zeitpunkt hatte ich noch die IP-Adressen parallel zum Domainnamen in der Konfiguration. Mit der IP-Adresse konnte ich das VPN nicht aufbauen, aber mit der Domain.
    Du kannst ja in der Fritzbox den einzelnen Geräten einen Namen zuweisen und dann in den Settings der Apps statt der IP-Adresse “.fritz.box” eintragen.

    Nichtsdestotrotz habe ich aber (s.o.) das Problem, dass ich die Geräte im LAN nicht erreichen kann und damit vermutlich die DNS-Auflösung durch die Fritzbox nicht funktioniert.

  64. Hallo, inzwischen klappt es auch bei mir. Habe den gelb markierten Bereich gelöscht und nur die Domäne fritz.box eingetragen. Allerdings muss ich jetzt in meinen Apps anstatt der IP den FQDN eintragen. Ist ganz schön aufwendig. Aber zum Glück nur einmal nötig.
    Gruß
    Jürgen

  65. Ich finde es sehr verwirrend, dass es bei jedem so unterschiedlich ist.
    Was in meinem Fall sicher anders sein wird, ist der Provider. Ich bin bei Unitymedia und habe eine Cable FritzBox mit statischer IPv4 Adresse. (leider nur als Business Kunde möglich). Meine VPN Konfigurationsdatei ist also auf der Cable FritzBox vorhanden. Über LAN1 betreibe ich dann meine FirtzBox 7390 mit Freetz Image und Fhem.
    Ich musste in meiner *.mobileconfig noch folgende Zeilen einfügen, damit die Adressen aufgelöst werden konnten:
    RequiredDNSServers
    DNS Server/IP FritzBox

    In meinem Fall steht die IP-Adresse der FirtzBox Cable drin.
    Wie bereits erwähnt funktioniert unter iOS8 VPN On demand und das Routing des gesamten Internet Traffics. Sämtliche Devices, welche an meiner FirtzBox 7390 hängen sind über die IP-Adresse und den Hostnamen.fritz.box erreichbar.

    In meiner *.mobilconfig habe ich unter iOS 8 IP-Adressen eingetragen. Unter iOS9 habe ich nun meine Domain fritz.box und die IP-Adressen drin. Aber ich bekomme unter iOS9 mit der gleichen *.mobileconfig nur einen manuellen Aufbau des VPN’s hin. Ich kann aber keinerlei Geräte an meiner FirtzBox 7390 erreichen, weder über die IP-Adresse noch über name.fritz.box. Weiterhin kann ich auch keine externen URL’s mehr aufrufen. Also der gesamte Internet Traffic geht ebenfalls nicht mehr durch.

    Wer von euch hat exakt die gleichen Probleme?
    Aktuell verstehe ich hier eher einen mix. Beim Einen funktioniert nur der automatische VPN Aufbau nicht mehr, dafür aber das Routing des Internet Traffics und auch der Zugriff auf die Geräte im LAN. Beim Anderen sieht es wieder etwas anders aus.

    Es wäre super, wenn man wieder eine Lösung wie von Jörg für iOS8 oben im Artikel beschrieben hätte, wo wieder der Aufruf über IP-Adressen, Hostname und Routing des gesamten Traffics über VPN funktioniert.

    Hoffe sehr auf eine funktionierende Lösung, damit ich auch das iPhone updaten kann. Bin ziemlich auf VPN angewiesen. Mir würde erst mal schon das manuelle VPN wieder reichen, damit überhaupt etwas erreichbar ist.

    Gruß
    Tim

  66. @Tim:
    Sieht bei mir genauso aus. Einzige Ausnahme: ping ins Internet funktioniert. Könntest Du testweise mal eine ping-App (“Free Ping”) installieren und einen ping z.B. auf die 141.1.1.1 probieren. Ich bin zwar auch unitymedia Businesskunde, aber ich sehe hier eigentlich keine Ursache.
    Gruß
    Peter

  67. Mhh aber gut zu wissen, dass du auch bei UM bist!
    Ich werde mich gleich nach Hause bewegen und es auf dem iPad testen! Apps habe ich zur genüge drauf 😉
    Noch UM Kunden dabei, bei denen es funktioniert? Ich glaube nämlich doch fast, dass es daran liegt. Nur noch keine genaue Idee, wieso.

    Gruß

  68. Okay also pingen kann ich auch sämtliche Adressen. Es scheint wirklich so, als ob Ports geblockt werden oder irgendetwas mit der Namensauflösung nicht klappt oder beides.

  69. Hey Leute, bei mir sieht’s nach dem Update auf iOS9 wie folgt aus:
    Die VPN-Verbindung baut sich nicht mehr automatisch auf, egal welche IP ich aufrufe (habe nur IPs und keine Domains in meiner config). Beim manuellen Aktivieren der VPN-Verbindung komme ich ganz normal in mein Netzwerk und kann alle Geräte erreichen. Auch Internettraffic wird über den VPN-Tunnel geroutet. Beim Einloggen in mein WLAN wird die VPN-Verbindung auch wieder automatisch deaktiviert.

    Somit funktioniert bei mir nur der automatische Aufbau nicht, der Rest geht. Ich werde es später mal mit Domainnamen versuchen.

  70. Hi,

    bei mir ebenfalls. Manuell mit fritz.box geht. Tippe ich in Safari fritz.box baut sofort der VPN auf.
    On demand nichts zu machen.
    Bin ebenfalls bei UM und zum Glück noch mit IPv4 an der Fritz 🙂

    Hat jemand bereits VPN per App hinbekommen ? Ich les mir hier nen Wolf.
    Hätte dies gerne bei den Synology Apps.

  71. Ich habe sondie Befürchtung, dass nur die UM Kunden die Probleme haben. Habe noch versucht die DNS Server von UM mit in die config einzutragen aber auch kein Erfolg…

  72. Wie oben bereits mehrfach geschrieben… Funktionierte es bei mir mit 9.0 und der jetzigen 9.1beta.
    Auch VPN on demand via App funzt…. Die IP in den Apps durch Domain ersetzt….

  73. Config geht gerade nicht, da ich nicht am Mac bin sondern über das iPhone schreibe….

    Ich habe lediglich in der mobileconfig ( schwarzer Kasten Beispielconfig ) die IP durch fritz.box ersetzt.

    Dann in der fritzbox unter Heimnetz den IPs einen Namen vergeben. Auch ich nutze eine Syno NAS. Diese ist zu erreichen unter Diskstation.fritz.box. Genau diesen Namen habe ich in den Syno Apps eingetragen unter dem Punkt IP/Hostname….. Das wars….. Mehr habe ich nicht gemacht.
    Versteh nicht, warum es bei euch nicht funzt…

  74. mhhh. gibt es ja nicht. So hab ich das eingetragen
    fritz.box
    iPhone-6.fritz.box
    Synology.fritz.box

    Allerdings gehen die Synp Apps auf meine spdns Adresse. Muss diese dann zusätzlich oder nur neben der fritz.box eingetragen werden.

    Ich glaube ne neue Anleitung zum download wäre mal gut 🙂

  75. So gehts bei mir:
    Mobile config:
    Domains

    fritz.box
    NAS.fritz.box
    ….

    Aufruf dann mit
    http://fritz.box
    https://NAS.fritz.box:5001/webman/index.cgi

  76. Meiner Meinung reicht es völlig aus, bei Domains nur “fritz.box” einzutragen. Ich habe es gerade noch mal ausprobiert: das VPN wird immer aufgebaut, egal was ich als Hostname vor “fritz.box” in der URL angebe.

    Zum Problem mit der Verbindung – hier meine “Forschungs”ergebnisse:

    – Gleiches mobilconfig-File auf iPhone (IOS 9) und iPad (IOS 8.x) -> VPN auf dem iPHone funktioniert nicht, auf dem iPad alles ok.

    – Trace auf der Fritzbox:
    Die Fritzbox empfängt nach dem Aufbau des VPNs DNS-Requests vom iPhone und beantwortet diese auch richtig, sowohl bei DNS-Anfragen für Hosts im Internet als auch im LAN. Allerdings wird in der Fritzbox vermutlich an einen Punkt getraced, an dem das VPN bereits terminiert ist (andernfalls könnte ich die Requests ja gar nicht lesen). Es könnte also sein, dass die Fritzbox die DNS-Antworten nicht durch den Tunnel schiebt.
    Nach dem DNS-Request und DNS-Antwort sehe ich dann aber nicht, dass das iPhone auch die TCP bzw. HTTP-Verbindung zu dem Host mit der angefragten IP-Adresse aufbaut – vermutlich erreicht die DNS-Antwort nicht das iPHone.

  77. Kurz meine Beobachtungen:
    Die VPN-Verbindung wird mit der alten Konfiguration auf meinem iOS9-iPad nicht automatisch aufgebaut. Wenn man sie manuell aufbaut, läuft aber der Datenverkehr normal. Zugriff auf Geräte im Heimnetz und auch Internet. Ich bin nicht bei UM.

  78. @Tim: Ich bin auch bei Unitymedia mit einem Cisco Kabelmodem 3208 und ipV4 Adresse. Dahinter ist eine Fritzbox 7490. Den VPN Tunnel vom iPhone (iOS9) zur Fritzbox bekomme ich aufgebaut, aber damit erreiche ich in meinem LAN gar keine Geräte mehr. Weder über IP noch über Hostnamen. Internetseiten per ebenfalls nicht per Name/IP erreichen (z.B. www.heise.de). Aus irgendeinem Grund kann ich aber den Google DNS 8.8.8.8 anpingen. Evtl. weil er bei mir in der Fritzbox konfiguriert ist.

  79. Nächste Beobachtung:
    Wenn ich bei meinen Clients (Apps oder Browser) .fritz.box eingebe, funktioniert alles wie gewohnt. Automatischer VPN-Aufbau und ich erreiche meine Geräte im Heimnetz.
    iOS9 auf einem iPad Mini.

  80. Also laut der aktuellen Config Profile Referenz von Apple besteht wohl wirklich nur noch die option mit Domains zu arbeiten. Vor einigen Wochen war auch explizit die Möglichkeit aufgeführt, IPs in das Array aufzunehmen. Nun nicht mehr, scheint also tatsächlich gewollt zu sein.

    Ich habe nun den Eintrag *.fritz.box hinzugefügt und kann damit wieder automatisch in mein Netz, egal welches Gerät ich gerade aufrufe.

  81. Okay. Das ist plausibel. Habe auch die Apple Refs mal durchforstet und konnte gleiches feststellen. Nun haben also vermeintlich diejenigen ein Problem, die bei Unitymedia sind. Eventuell auch weitere Nutzer bei einem Kabelanbieter.

    Nun gilt es herauszufinden, was bei der Namensauflösung bei UM Usern nicht korrekt funktioniert. Danke dir Peter J. für das erste Troubleshooting. Hat einer eine Idee, wo wir Unterstützung dafür bekommen könnten? Ich will zwar versuchen da auch noch mal Zeit zum Investigieren reinzustecken aber vielleicht hat Jörg das Gleiche Problem oder jemand schon eine Idee woran es liegen könnte?

    Ich denke man kann festhalten, dass das Problem nur bei Kabel Benutzern (aktuell auch nur Unitymedia) besteht, oder?

    Gruß
    Tim

    1. Kurzes Update von mir, da ich ja durch iOS9 auch an der Config-Datei nachbessern musste. Ich habe alle Netzwerkadressen rausgeschmissen und nutze derzeitig nur noch “fritz.box” als einzige Domain:

      <key>Domains</key>
      <array>
      <string>fritz.box</string>
      </array>
      <key>DomainAction</key>

      Dann habe ich entsprechend die Domainnamen meiner Devices in den Netzwerkeinstellungen meiner Fritzbox 7490 (1&1-Anschluss über Telekom) angepasst und greife dann bspw. per QFile-App über die Adresse qnap.fritz.box auf mein NAS zu. Der Aufbau per LTE klappt dann automatisch (mit iOS9 gefühlt sogar schneller als noch bei iOS8) und auch im WLAN kann ich problemlos ohne VPN zugreifen.
      Aktuell habe ich nur noch das Problem, dass einige Geräte im LAN gar nicht über deren eigentlich vergebenen Domainnamen (z.B. Loxone Miniserver per loxone.fritz.box) erreichbar sind – nichtmal ohne VPN direkt im LAN bzw. WLAN.
      Eine Fritzbox 6490 mit Unitymedia-Anschluss hätte ich auch noch zum Verfügung, getestet habe ich es damit aber noch nicht.

      Grüße
      Jörg

  82. Ich habe heute mal ein Ticket beim AVM-Support aufgemacht. Auf den ersten Blick sieht das Problem ja zunächst nach einem IOS-Fehler aus, da der Fehler ja aber scheinbar nur bei Unitymedia-Kunden auftaucht, könnte es auch an der speziellen Fritzbox-Firmware bzw. dem Fritzbox-Typ (Kabel-FB) liegen. Falls ich vom Support etwas Hilfreiches erfahre, werde ich es Euch wissen lassen.
    Ich habe mich heute dann aber doch entschieden, beim iPhone einen Downgrade auf IOS 8.4.1 durchzuführen, da mich neben dem VPN-Problem noch das ein oder andere an der 9er Version störte.

    Gruß
    Peter

  83. Danke Peter für die Info. Allerdings glaube ich nicht, dass es ein Firmware Problem in der Cable FritzBox ist, da ein Leser des Blogs einen Cisco Kabelmodem von UM verwendet. :-/
    Ich wollte soeben einen Thread im IP-Phone-Forum eröffnen, habe mich aber dann dem bereits Bestehenden des Lesers angeschlossen.

    Siehe hier

    Vielleicht finden wir hier noch Unterstützung.

    Gruß
    Tim

    1. Ich habe mich nun auch mal an die Unitymedia Business Hotline gewandt und muss wie immer feststellen, dass dort Kunden Service nicht gerade groß geschrieben wird.

      Problem geschildert, mit allen hier aufgeführten Hinweisen, dass es zwar ein neues iOS 9 gibt und es Nahe liegt, dass genau das das Problem ist aber gleiche Konfigurationen mit anderen Providern etc. funktioniert.

      Der gute Mann von UM hat zunächst gar nicht auf das Problem eingehen wollen und gesagt es liegt nicht an uns, sondern an Apple und dem neuen iOS 9, da es immer so war.

      Es ist meiner Meinung nach allerdings nicht zu viel vom Kunden verlangt zu erwarten, dass solche Sachen getestet werden und ggf. intern geprüft wird, ob man das Problem selbst beheben kann. Daraufhin wurde mir versichert, dass dies getan wird. Unter anderem gab es bei Windows 10 ähnliche Probleme.

      Also habe ich schlussendlich die Aussage bekommen, dass das Problem bei Unitymedia bekannt ist und man daran arbeitet, soweit man es aufgrund von Änderungen bei Apple überhaupt lösen kann. Ob dies nur eine Aussage des Mitarbeiters war, weil er einfach keine Lust mehr hat, ist fraglich. Aber er meinte auch, dass es immer Probleme gibt, wenn Apple neue Updates rausbringt. Klar…Thats IT…

      Seine Aussage, dass Apple der Hauptschuldige ist kann ich einerseits verstehen. Aber in der IT Welt gehören immer zwei Parteien dazu und wenn etwas nicht funktioniert, weil eine Partei etwas ändert, verlange ich zumindest, dass die andere Partei eine Ursachenforschung vornimmt und ggf. sein Produkt daraufhin anpasst, wenn dies nötig ist. Ich wollte lediglich, dass das Problem aufgenommen, entsprechend die Erfahrungen und Auskünfte weitergeleitet und man als Kunde über den Stand der Problemfindung informiert wird.
      Pustekuchen…
      Dies kann man bei Unitymedia nicht. Weder darf der gute Mann ein Ticket eröffnen, noch kann er die Informationen weiterleiten. Da frage ich mich manchmal echt, wie manche Firmen überhaupt bestehen können…

      Ich hoffe dieses leidige Thema hat bald ein Ende…Die Hoffnung stirbt zuletzt.

    2. Hey Tim,
      danke für dein Engagement!
      Ich denke wir “Poweruser”, die VPN-OnDemand einsetzen, machen wohl insgesamt weniger als 0,01% aller Nutzer aus. Somit ist die Wahrscheinlichkeit recht hoch, dass das Problem erst mal unter dem Radar der Anbieter verschwindet. Warum sollte man die Probleme solcher Freaks auch priorisiert angehen? Was solche Unternehmen dabei aber nicht verstehen, ist die Tatsache, dass gerade wir oftmals auch Meinungsbildner für Normalo-Anwender sind und sich unsere Zufriedenheit über kurz oder lang per Multiplikatoreffekt auch auf die breite Masse auswirken kann. Ich würde an deren Stelle jedenfalls auf Poweruser hören, gerade wenn sie sich schon aktiv bei mir melden und mir schon einen Teil der Arbeit abnehmen. Aber dazu bedarf es wohl auch etwas (technischer) Weitsicht und nicht nur die BWL-optimierte Sicht aufs Folgequartal… 🙂

  84. Vielen Dank an dieser Stelle an alle, die im Vorfeld mit iOS 9 rumprobiert und damit auch mir die Umstellung erleichert haben.
    Ich habe dem Blogpost gerade mal ein entsprechendes Update verpasst. Falls ich irgendetwas vergessen haben sollte, bitte kurz Bescheid geben.

    Cheers
    Jörg

  85. Mal ein andere Frage: Wie bekommt Ihr unter iOS9 den das Profil auf das Gerät. Bisher habe ich es mir per Mail aufs iPhone geschickt und dann einfach installiert. Das scheint unter iOS9 ja so nicht mehr zu funktionieren. Wenn ich auf die .mobileconfig klicke, wird mir lediglich der Inhalt der Datei angezeigt. Ein längerer Klick öffnet zwar weitere Möglichkeiten, aber nicht, das Profil zu installieren.

    1. Ja, habe ich auch gerade herausgefunden. Die “einfachere” Möglichkeit, sich die Datei einfach per Mail zuzuschicken und dann auf dem iPhone selbst zu installieren, scheint mit iOS9 weggefallen zu sein. Na ja, dann eben so.

    2. naja. ich finde das mit dem Configurator weitaus einfacher.
      Ich habe inzwischen 3 Profile erstellt.
      So kann ich verschiedene Einstellungen schnell testen. Ist ruckzuck auf dem iPhone 🙂

    3. Ich hab mir die Config-Datei einfach per E-Mail an mein iPhone mit iOS 9 schicken und von dort – wie bisher auch – als Anhang installieren können.

  86. Das Versenden des Profils per Mail finde ich eigentlich nicht gerade sicher. Wenn man schon IPSec verwenden will, sollte man den Key dafür nicht einfach in einer lesbaren Datei mailen (auch wenn man noch das Passwort kennen müsste, um auf einem fremden iPhone den Zugang zu installieren).

    Ich habe die mobileconfig-Datei auf einem lokalen Weberver installiert, der von außen nicht zugänglich ist. Ich rufe dann im Browser (Safari) des iPhones die “Webseite” http://serveradresse/iphone.mobileconfig. Das iPhone lädt/startet dann das config-File, wie man es (früher) bei der Mailversion auch machte. Wer keinen dedizierten Webserver zu Hause hat, kann auch einen der einfachen Webserver (z.b. Xampp) auf dem PC installieren und die Datei dann per http://serveradresse/iphone.mobileconfig installieren.

    Gruß
    Peter

    1. Für die meisten User wird das Versenden per Mail wohl die einfachste Möglichkeit bzw. praktiabelste Lösung darstellen. Man müsste ja schließlich noch Passwort UND Benutzername erraten, was wohl gewöhnlich genügend Schutz bietet. Ein Webserver ist aber natürlich auch eine Möglichkeit, danke für den Hinweis!

  87. Das soll mal jemand verstehen. Jetzt konnte ich die Datei ganz normal über eMail installieren. Weiß der Geier warum das vorhin mehrmals und bei anderen nicht ginge….

    1. Was soll ich sagen? Bei mir funktioniert es auf einmal auch wieder auf dem iPhone aus Mail heraus. Ich bin verwirrt…

  88. Auch habe als Unitymedia-Kunde das Problem, dass ich zwar noch eine VPN-Verbindung über meine FRITZ!Box 6490 Cable aufgebaut bekomme, aber keinen Zugriff mehr auf meine lokalen IPs erhalte. Habe Unitymedia diesbezüglich mal eine Email geschrieben und um Klärung des Problems gebeten. Bin gespannt.

    Übrigens bin ich Privatkunde, allerdings mit fester IP4-Adresse.

  89. Das senden der Config per Mail funktioniert auch unter iOS9 problemlos. Das geschilderte Problem hatte ein Bekannter von mir auch, lag an einer veralteten Version des iPhone-Konfigurationsprogramms. Ich nutze Version 3.5. Diese ist bei Apple aber nicht mehr zu laden. Mit meiner klappt es wunderbar.

  90. Noch mal zurück zum Problem der nicht unterstützten VPN-Verbindung für Unitymedia-Kunden. Meine FRITZ!Box 6490 Cable hat immer noch die Firmware 6.24 installiert, obwohl es seit Wochen bereits die 6.30 von AVM gibt. Könnte es sein, dass das Problem ggf. durch ein Firmware-Update behoben ist, oder funktioniert es bei einigen auch mit der 6.24?

  91. Hi Tilo,

    hängst Du auch an Unitymedia (ich nicht)?
    Wenn ja, kann man dann sagen das folgendes der Fall ist?

    a) bei Unitymedia Kunden geht mit iOS9 zwar das VPN manuell zu starten, aber es geht kein Traffic drüber

    b) das automatische Öffnen des Tunnels basierend auf IP Adressen geht nicht mehr, man muss dazu in der Fritzbox bei den Netzwerk Einstellungen bei den Geräten die Domain Namen verwenden (siehe oben)

    Situation bei mir (kein Unity Media Kunde, IPV4 dynamisch) ist das ich bei iOS8 die Vorlage von Jörg mit IP Adressen benutzte und das prima mit dem automatischen Aufbau klappte.
    Seit iOS9 geht das VPN mit den IP Adressen nicht mehr automatisch aufzubauen ABER manuell kann ich es starten und ich kann sowohl lokale Seiten als auch web-Seiten aufrufen. Das mit den Domains hab ich schon versucht aber da hab ich wohl noch einen Fehler drin, muss ich noch basteln.

    Wäre nur neugierig ob es “nur” bei den Unitymedia Kunden mit dem Traffic Probleme macht oder auch bei anderen und
    welches FritzOS! auf den entsprechenden Fritzboxen ist.

    Auf meiner 7390 ist 6.30 vom Provider (KMS cablesurf München) installiert worden (nachdem ich noch vor iOS9 einen anderen Effekt, der nichts mit VPN zu tun hatte, meldete und das bemängelte).

    Cheers Seppm

    1. Hi Seppm,

      ja ich hänge an Unitymedia mit einer FB 6360. Der automatisch Aufbau klappt da ich bereits meine Geräte mit Domainnamen eingetragen hatte. Ich sehe auch die aufgebaute Verbindung in der Fritzbox.

      Gruß Tilo

  92. Bin auch Unitymediakunde mit Cisco Kabelmodem IPv4 und einer pfSense Firewall.
    Seit iOS weder IPsec noch OpenVPN möglich. Verbindung wird aufgebaut, auch die LAN IPs werden von der Firewall geroutet und durchgelassen, die Datenübertragung klappt allerdings nicht.
    Ich denke es liegt auf dem Rückweg das Problem bei Unitymedia. Nur wieso erst seit iOS 9?

    Hat mal wer einen Tunnel innerhalb des UM Netzes getestet?

    Ich tunnel von einem Telekomanschluss auf meine Firewall ins Unitymedia Netz.

    Kann man wieder auf iOS 8 zurück? Ohne JB…

  93. Hi,

    noch kann man wohl auf iOS8 zurück. Hier eine Info wie es geht:
    http://www.netzwelt.de/news/154842-ios-9-so-gelingt-downgrade-ios-8.html

    Ein Auszug aus dem Text dort:
    “wechselt ihr zurück auf die neueste Version von iOS 8 das ist iOS 8 4.1. Allerdings solltet ihr schnell sein. Der Wechsel zurück auf iOS geht nur solange, wie Apple dies noch zulässt. Signiert Apple die ältere iOS-Version nicht mehr, so ist auch das Downgrade auf iOS 8 nicht mehr möglich.”

    Wenn ich mich recht erinnere sind es oft 2 Wochen wo man noch zurück kann, aber wer weiss das schon.

    cheers Seppm

  94. Hallo zusammen,
    ich habe mal wieder einige Tests gemacht und die Ergebnisse auf Anfrage auch an den AVM-Support geschickt. Meine Beobachtungen in Kürze:

    (1) VPN zwischen IOS 9 Client und Fritzbox über Unitymedia funktioniert nicht. Es sind nur Pings ins Internet möglich.
    (2) VPN zwischen IOS 9 Client und Fritzbox über lokales WLAN funktioniert einwandfrei (config so geändert, dass auch bei WLAN das VPN aufgemacht wird).
    (3) VPN zwischen IOS 8.4.1 Client und Fritzbox über Unitymedia funktioniert einwandfrei.

    Der Punkt (2) zeigt eigentlich, dass ein IOS9-Gerät prinzipiell mit dem IPSec-Stack der Fritzbox kommunizieren kann. Das Problem taucht also erst dann auf, wenn die WAN-Seite der Fritzbox und die unitymedia-Strecke mit ins Spiel kommt. Am wahrscheinlichsten sehe ich momentan, dass bei Unitymedia irgendwelche NAT-Devices nach dem Aufbau des Tunnels nicht mit der Payload klarkommen – aber das sind nur Vermutungen.

    In der ganzen Strecke zwischen iPhone und Fritzbox liegt ja nicht nur Unitymedia, sondern auch ein Mobilfunknetz. Ich werde mal in den nächsten Tagen mein iPAD mit IOS9 an entfernter Stelle per WLAN einbuchen, und dann versuchen auf meine Fritzbox zu kommen. In diesem Fall hätte ich dann kein Mobilfunknetz dazwischen und könnte das Problem vielleicht weiter eingrenzen. Alternativ könnten wir auch zusammen eine Tabelle aufstellen mit den “Spalten”: geht/geht nicht – Internet-Provider – Mobildfunkprovider.

    Gruß
    Peter

    Gruß
    Peter

  95. Ich kann bestätigen, dass es alleine mit den IP-Adressen als Trigger für den VPN-Aufbau nicht mehr funktioniert, das Hinzufügen der FQDNs und die Umstellung der Apps sodass anstelle der IPs die FQDNs verwendet werden bringt das VPN wieder on-demand hoch und lässt mich über meine Fritzbox auf alle Server dahinter zugreifen.

    Bisher hatte ich in der mobileconfig sowas in der Art stehen:

    Domains

    10.0.0.1
    10.0.0.2
    10.0.0.3

    DomainAction
    ConnectIfNeeded

    Jetzt habe ich das erweitert auf die FQDNs:

    Domains

    10.0.0.1
    fritz.box
    10.0.0.2
    server1.fritz.box
    10.0.0.3
    server2.fritz.box

    DomainAction
    ConnectIfNeeded

    In den Apps auf dem iPhone muss dann leider statt der IP-Adressen die FQDNs eingetragen werden (also fritz.box, server1.fritz.box, etc.) aber das ist zu verschmerzen.

    VG,
    Dustpuppy

    1. Kannst du mir sagen wie du das neue Profil unter IOS9 installiert bekommen hast?
      iOS9 öffnet die mobileconfig bei mir nur noch wie ein pdf, installiert es aber nicht?!

    2. Leider funktioniert VPN on Demand mit diesem Fix bei mir nicht!
      VPN selbst ist meiner Meinung nach nicht das Problem, wenn ich die VPN-Verbindung manuell aufbaue funktioniert alles Einwandfrei.

      Ich bin komplett bei der Telekom.

      Da VPN grundsätzlich funktioniert, nur eben nicht mehr “on-Demand” bin ich mir eigentlich sicher das es an iOS9 liegt!

      Wenn noch jemand einen anderen Vorschlag hat außer den FQDN, immer her damit!
      Ohne VPN-on-Demand bin ich recht aufgeschmissen… 🙁

  96. Ich hatte es in meiner mobileconfig ebenfalls mit der gleichzeitigen Verwendung von Domainnamen und IP-Adressen versucht, bin aber trotzdem nicht durch gekommen. Daher die Frage an dustpuppy, ob Du auch Unitymedia-Kunde bist?

  97. @dtp Nein, ich bin Kabel Deutschland Kunde, aber da das Triggern der VPN Verbindung erstmal rein lokal am iPhone passiert und das iPhone erst mal versuchen muss die VPN Verbindung aufzubauen, sobald auf eine IP oder FQDN aus der VPN Domain zugegriffen wird, sollte das Thema “on demand” vom Provider unabhängig sein.

    Wichtig ist, den vollen FQDN einzutragen und nicht nur den Hostnamen. Also server1.fritz.box und nicht nur server1.

  98. Also, bei mir klappt es ohne Probleme. Kabel Deutschland ist mein Provider. Die Domains dürfen auch keine Zahlen enthalten. Ist hatte bei meinem Sat Receiver VUduo2 im Router eingetragen, das ginge nicht. Erst als ich die 2 entfernte, also nur VUduo, ginge es.

  99. Bei mir funktioniert es jetzt wieder mit VPN-on-Demand (Telekom).

    Wichtig ist scheinbar die IPs und FQDN exakt so in die mobileconfig einzutragen wie Dustpuppy es im Beispiel getan hat.

    IP und FQDN müssen sich abwechseln.
    Nur FQDN funktioniert nicht.

    Zahlen in der Domain sind bei mir allerdings kein Problem.

  100. Ich kann das so nicht bestätigen. Bei mir steht in der Konfiguration nur
    fritz.box,
    keine IP-Adressen und keine Subdomains.

    Wenn ich in der URL-Zeile des Browsers “fritz.box” oder “wasauchimmer.fritz.box” eingebe, wird das VPN aufgebaut. IN IOS9 werden meines Wissens die IP-Adressen sowieso nicht mehr beachtet. Bei älteren IOS-Versionen kann man durch Hinzufügen von IP-Adressen ermöglichen, dass man einen Host im LAN zusätzlich auch über die IP-Adresse erreichen kann (oder genauer gesagt, dass VPN für die IP-Adresse des Hosts aufmachen kann).

    1. Exakt dasselbe Verhalten bei mir. In der .mobileconfig nur fritz.box als Domain, in den Clients geraet.fritz.box und alles läuft.

  101. Danke OlliSp, es scheint so, als ob mein Beispiel mit server1, server2, etc. schlecht gewählt war. Offenbar matcht IOS9 auf Zahlen in den Domain-Einträgen und ignoriert diese geflissentlich.
    Da der on-demand-Mechanismus ja tatsächlich von der Idee her mit (Sub-)Domains arbeitet statt mit Hostnames oder FQDNs sollte es auch wirklich ausreichen, einen einzigen Eintrag mit fritz.box als Domain zu haben.

    Klingt doch alles schon übersichtlicher allmählich 🙂

  102. Vielen Dank für die gute und ausführliche Anleitung.

    Auf der Fritz habe ich mir seinerzeit auch die passende Config erstellt und importiert. Auf den ersten Blick würde ich sagen es sieht zu meiner Lösung sehr ähnlich aus.

    Auf iOS habe ich aber eine VPN IPSec Configuration über den “Neue VPN Verbindung” Dialog eingerichtet (nach Umstellung auf IPSec bekommt dieser ein Cisco am oberen Rand). Diese Konfiguration funktionierte seit iOS 6 bis zu iOS 8.4.1

    Seit iOS 9 ist wie ihr beschrieben habt Feierabend. Ich werde also mal den Weg über die mobileconfig versuchen, wenn mir UM nicht noch einen weiteren Stein in den Weg schmeißt.

    1. Ich bin mir dessen bewusst, dass ich den VPN manuell hergestellt habe. Mit der VPNonDemand Variante funktioniert der Tunnelaufbau automatisch, aber das Ergebnis bleibt trotz angepasster Config (Domains: fritz.box) identisch. Kein Datenverkehr.

      Ja, Unitymedia Kunde. IPv4 wegen Altkunden-Bestandsschutz!

      Zeit für iOS 8.4.1 …

  103. Seit gestern gibt es IOS 9.0.1.
    Damit soll auch die DNS Auflösung bei einigen VPN Verbindungen gefixt worden sein.
    Siehe hier: http://www.heise.de/newsticker/meldung/iOS-9-Bug-sorgt-fuer-VPN-Probleme-2823133.html
    und hier: http://www.heise.de/newsticker/meldung/iOS-9-Erstes-Update-soll-Fehler-beseitigen-2824504.html?wt_mc=nl.ho.2015-09-24

    Evtl. kann jemand gegen einen Unitymedia Anschluß testen und hier berichten, ob das Routing wieder funktioniert.

  104. Habe soeben auf die aktuelle iOS 9.1 Public Beta 2 aktualisiert und das Problem besteht weiterhin. Aber zumindest konnte die Ursache gefunden werden. Jetzt ist die Frage, wer das Problem beheben wird, UM oder Apple und wann…

    Aber ich habe noch eine Frage. Da mit iOS 9 ja nur noch Domain Namen funktionieren um VPN on Demand überhaupt aufzubauen. Wie erreiche ich meine zweite FritzBox 7390 hinter meiner Cable Fritz per FQDN?
    Leider klappt weder name.fitz.box noch der Name, welchen ich unter Heimnetz –> FritzBox Name eingetragen habe über http://NameDer2.Fritz

    Leider brauche ich dies, um meine Fhem Mobile App unter iOS weiter nutzen zu können…

    1. UM lässt sich ebensogut zur Kundenfreundlichkeit bewegen, wie man ein schwarzes Loch mit einem Lasso vom Kurs abbringen kann.

      IMHO kann man nur auf Apple hoffen oder so schnell wie möglich zurück auf 8.4.1 wechseln. Die Änderungen in den Paketen betreibt Unitymedia seit über 7 Jahren …

  105. Die Ursache für das Problem scheint wohl lokalisiert worden zu sein.

    Es liegt wohl an den ECN-Bits (Explicit Congestion Notification) 0x03, die Apple seit iOS 9 den VPN-Paketen hinzufügt, die aber von Unitymedia konsequent blockiert werden.

    Unitymedia hat – wenn man den Thread weiter liest – auch sehr positiv reagiert. Es bleibt aber abzuwarten, ob Unitymedia seine Konfiguration entsprechend anpassen oder den schwarzen Peter an Apple übergeben wird. Letztlich haben hier wohl beide nicht ganz optimale Einstellungen gewählt. Apple wird sicherlich nicht reagieren, da es ja mit fast allen anderen Providern keinerlei Probleme zu geben scheint.

    1. Ausführlich und englisch unter:
      https://forums.developer.apple.com/thread/16699
      von salamihawk am Sep 24, 2015 3:24 AM

    2. Ich habe nur eine typische Standard-NULL-Antwort bekommen:

      “… vielen Dank für diese nützlichen Infos. Wir haben diese einmal an unsere Kollegen weitergeleitet. Unsere Fachabteilung ist dran, hier eine Lösung zu finden. Wir können nur um Geduld bitten. Herzliche Grüße …”

    3. Unitymedia:
      “Sehr geehrter Kunde, Ihre Störung kann durch einen Werksreset des Modems behoben werden. Eine Anleitung finden Sie unter … Ihr Unitymedia Team”

      Bullshit!

  106. Was seitens Apple ja auch absolut richtig ist und ein Fehler von Unitymedia das ECN 0x03 bei sämtlichen Paketen mit zusenden. Seit 7 Jahren ist es bei Unitymedia bekannt und genau deshalb glaube ich nicht, dass sie sich als erstes bewegen werden…

  107. Bin kein UM Kunde, aber vlt. solltet ihr Euch da mal zusammen tun und geschlossen kündigen bzw. es androhen. Manchmal geht Vernunft ja über Armut. Wollte hier den Blog aber nicht dazu missbrauchen. Aber wenn da schon jemand dran ist könnte er ja einen Link einstellen wo man sich zum UM Thema speziell austauscht. Ich wär froh drüber wäre ich UM Kunde.
    just my 2.5 ct

    1. Primär müssten UM-Business-Kunden druck machen, aber dortige Administratoren (die der UM-Business-Kunden) werden wohl auch nur sagen “Liegt an eurem Sch*** System (iOS + OS X El Capitan)”

  108. Nun ja. Das Kündigen meines UM-Vertrags würde ziemlich weitreichende Änderungen bzgl. DSL, Kabel-TV und IP-Telefonie zur Folge haben. Zudem würde ich dadurch ziemlich sicher meine IPv4-Adresse als Privatkunde verlieren. Und die Folgen wären deutlich weitreichender, als die zur Zeit nicht funktionierende VPN-Verbindung.

    Ich hoffe so ein wenig, dass UM sich der Sache vielleicht doch annehmen und Konformität zu den Apple-Vorgaben schaffen wird. Wenn sich da keine Änderung abzeichnen sollte, würde ich aber vermutlich eher von iOS Abstand nehmen und zu Windows Phone oder Android wechseln in der Hoffnung, dass VPN damit noch funktioniert. Andererseits würde es mir aber schon sehr schwer fallen, auf mein iPhone zu verzichten, da auf diesem einige Apps laufen, die es bisher noch nicht unter den anderen mobilen OS gibt.

    1. Bei mir ist es ähnlich, würde die IPv4 verlieren, müsste alles umbauen und noch viel schlimmer mit 6MBit auskommen (down wohlgemerkt), da es hier keinen sonstigen Breitbandausbau gibt.

      Bin nun mit allen Geräten zurück zu iOS 8.4.1, leider mit dem Mangel, dass die Hörbücher in dieser Version so überhaupt nicht richtig funktionieren, seit diese in iBooks gewandert sind. Diese höre ich zur Zeit mit WindowsPhone, Android mag mir nicht gefallen. Leider wird es für iOS 8.4.1 sicher keine Updates mehr geben. Auch für iOS 6.1.3 gab es für iOS 7 fähige Geräte keine Updates mehr, auch wenn es noch 6.1.6 gab, die den GotoFail-Bug behoben haben.

      Ich bin seit fast 30 Jahren mit Apple zufrieden gewesen, aber seit iOS 7 und OS X 10.10 wächst meine Frustration permanent …

      Unitymedia-Störungs-Support empfiehlt mir allen Ernstes einen Werksreset der Fritz!Box zur Behebung des VPN Problems, wieder nicht zugehört und nichts gelesen oder verstanden …

  109. Hallo,
    ich habe iOS 9.0.2
    Habe alles nach Anleitung installiert.

    Diesen String habe ich auch eingesetzt.

    Domains

    fritz.box

    DomainAction

    Es kommt trotzdem noch die Meldung:
    Authentifizierung fehlgeschlagen…
    Das Passwort habe ich aber schon mehrfach geändert…
    Leider ohne Erfolg…

    Kann mir das jemand helfen??

  110. Ich hab meine mobileconfig mit dem Apple Configurator erstellt, und wollte dann die OnDemandRules mit dem SSIDMatch manuell einfügen. Ich benutzte statt IPSec Open VPN auf einem Asus Router also sieht meine Config etwas anders aus aber den OnDemandEnabled Eintrag gibt es trotzdem und dahinter hab ich das ganze eingefügt. Leider funktioniert die VPN Verbindung danach generell nicht mehr. Das Profil direkt aus dem Configurator läuft wie es soll. Wo muss das ganze dann hin?
    Im Configurator selbst kann man das SSIDMatch ja nicht einstellen, oder?

  111. Tja, jetzt hatte ich schon Hoffnung, dass sich etwas mit iOS 9.1 bessern könnte, aber diese wurde leider wieder zerschlagen. Mein aktueller Workaround ist daher, dass ich auf meiner DiskStation den VPN-Server mit PPTP laufen lasse, um über den frei gegebenen Port 1723 vom iPhone darauf zuzugreifen. Das funktioniert dann nämlich ohne zusätzliche App auch unter iOS 9.0. Leider mit dem Nachteil, dass diese VPN-Verbindung nicht zu den sichersten gehört. Aber ansonsten sehe ich derzeit Schwarz, eine VPN-Verbindung über iOS 9 und einem Unitymedia-Netz herzustellen. Unitymedia wird hier wohl auch nicht tätig werden, da sie die Schuld eindeutig bei Apple sehen. Und ob Apple reagiert, bleibt abzuwarten. Ich befürchte, wir werden uns als UM-Kunden IPSec für einen längeren Zeitraum abschminken können. Hatte übrigens auch noch mal L2TP/IPSec auf meiner DiskStation aktiviert, aber damit gab es das bereits seit längerer Zeit bekannte Problem, dass der VPN-Server trotz der freigeschalteten UDP-Ports 1701, 500 und 4500 einfach nicht gefunden werden kann. Was für ein Mist.

  112. Hallo,

    ohne jetzt alle Kommentare zu dem Unitymedia Problem durchzulesen…
    Ich habe 1. Unitymedia mit DS-Lite (nur IPv6) mit Fritzbox, 2. iOS 9.0.2 und komme ohne Probleme über OPEN VPN in meinen Netzwerk rein (Manuell).

    Da ich von Anfang das “IPv6 Problem” hatte. Habe ich das ganze über “IPv6 Portmapper” (5€ im Jahr) realisiert gekriegt.
    Zuhause läuft noch ein RaspberryPi als OPEN VPN Server über welches ich dann ins Heimnetz gelange.

    Das ganze ist mit relativ wenig Aufwand zu bewerkstelligen.
    Die glücklichen Unitymedia Kunden hier die noch eine IPv4 Anschluss haben, brauchen natürlich kein “IPv6 Portmapper”. Aber warum dann die OPEN VPN Lösung nicht funktionert?… Liegt vielleicht an der Fritzbox.
    Wie gesagt mit RaspberryPi hinter der Fritzbox funktioniert es ohne Probleme.
    Falls jemand dazu mehr Informationen haben will, meldet euch.

    Gruß

  113. also ich habe jetzt mal 2 VPNs aufgebaut, eines für das iPad und eines für das iPhone.
    Alles hat wunderbar geklappt, werden in der Fritzbox angzeigt und verbunden ebenso auf dem iPhone und dem iPad.
    Aber…
    Ich komme auf keines meiner Geräte so z.B. auf meinen fhem-server.fritz.box da sagt er mir in Safari “Die Seite kann nicht aufgebaut werden.
    Aktuelle iOS ist bei mir 9.0.2 auf beiden Geräten.
    Was muss ich noch beachten, oder was habe ich vergessen..?

    1. Hallo Jörg hatte ich bisher noch gar nicht probiert, aber es funktioniert auch nicht..! 🙁
      Es gibt ja in der Fritzbox Einträge unter Heimnetz die sind als Link hinterlegt und die meisten aber eben nicht, der Fhem Server ist – ohne Link. Aber in der Adresszeile des Browsers eingegeben geht eben nicht

  114. @arestant:
    OpenVPN ist ein SSL VPN. In der hier beschriebenen Anleitung geht es um IPSec VPN. Wenn du die Kommentare liest, wirst du erkennen wo das Problem ist 🙂

    @René:
    Genau dein Problem haben alle UM Kunden auch. Siehe Kommentare oder hier.
    Für OS X EL Capitan gibt es einen Workaround. Für jailbreaked iPhones scheinbar auch (da gleicher Kernel von OS X in iOS verwendet wird). Details siehe IP-Phone-Forum. Problem kann nur durch UM oder Apple dauerhaft behoben werde.

  115. Das Problem liegt nicht an AVM, sondern an einem Datenstau-Flag, dass Unitymedia in jedes Datenpaket setzt mit dem Apple Implementierung von IPSec nicht zurecht kommt.

    Infos hier und folgend!

  116. Einen Work-Around für OS X gibt es. Für iOS nur mit einem JB, soweit ich es getestet habe geht es sogar. Leider räumt Apple der Behebung wohl keine hohe Brisanz und Priorität ein.

  117. Servus,

    bin kein Unitymedia Kunde, kann mein VPN zur Fritz manuell aufbauen und es nutzen.

    Die eingetragenen Domains gehen aber nur teils, bin sicher ist ein KnowHow Problem aber Google war noch nicht mein Freund.

    OnDemand geht zB wenn ich am iPhone in Safari fritz.box ansurfe – VPN geht automatisch auf und die Konfigseite der Fritzbox kommt. Perfekt.

    Was ich nicht schaffe ist das ich was früher
    https://192.168.1.62:92 (also Port 92, da ist ein Webfrontend dahinter) war auf
    auf
    https://website.fritz.box:92
    zum laufen zu bringen. Geht schon Lokal nicht, natürlich dann auch nicht über VPN.

    Mag er da evtl kein https? Vorher mit iOS8 ging es mit onDemand problemlos VM

    Kann mir bitte jemand sagen was ich falsch mache an meinem Domain Aufruf?

    Vielen Dank
    Sepp

    1. Hi Sepp,
      das selbe Problem hab ich auch mit einigen Geräten im Netzwerk (z.B. Loxone Miniserver), die nur direkt über die IP angesprochen werden können. Hatte das auch bereits oben im Artikel kurz angesprochen. Ich hoffe mal, dass jemand mit mehr Ahnung den entscheidenden Tipp geben kann.

      Grüße
      Jörg

    2. Hallo Jörg,
      auch ich bin dank Deiner Anleitung weit gekommen, so dass sogar mehrere Äpfel parallel die VPN aufbauen, sobald man auf ein Gerät.fritz.box zugreifen will und außerhalb des eigenen WLans ist. In meinem Fall handelt es sich um eine DiskStation. Natürlich muss man den Äpfeln verschiedene Namen und IPs in der FB config verpassen. Aber auch ich bin schließlich über das Auflösungsproblem gestolpert. Da hat AVM einen schönen Bug zwischen den Kontakten stecken. Ich bin dann über https://marcowue.wordpress.com/2012/07/29/abhilfe-fritzbox-dns-lost-lokale-namen-falsch-auf/ und http://www.router-forum.de/board-avm-fritz/thread-fritz-box-7270-loest-adresse-von-homeserver-nicht-richtig-auf-53781-page-1.html gestolpert. Nachdem ich also der DS den Haken “immer die gleiche Adresse zuweisen” gesetzt habe und den DHCP Bereich einmal hin und einmal hergewechselt habe, hat die Auflösung plötzlich funktioniert. Ich hoffe nun inständig, dass dies anhält. Kann diesen Lösungsansatz jemand bestätigen?
      Gruß – Chris

  118. Work-Around für iOS 9.0 bis 9.0.2 mit Jailbreak verfügbar:
    http://www.ip-phone-forum.de/showthread.php?t=281439&page=15&p=2123143&viewfull=1#post2123143

    Work-Around für OS X „El Capitan“. Da es nicht auf meinen Mist gewachsen ist hier nur der Link: http://www.ip-phone-forum.de/showthread.php?t=281439&page=12&p=2122457&viewfull=1#post2122457

    Getestet und positiv verifiziert. Einmal nach jedem Reboot oder in /etc/sysctl.conf

  119. Hi Elv,

    na ja, ein Jailbreak wäre aus Sicherheitsgründen jetzt irgendwie absurd um VPN Sicherheit zu erreichen.
    Man macht sich mit einem Jailbreak soviel unklare Hintertüren auf, dann kannst auch Deinen Router daheim offen lassen. Dann ist weniger zu konfigurieren und sparst den Jailbreak.

    cheers Sepp

  120. Was hat der JB auf einem iPad mit der Sicherheit meines Routers zu tun?

    Habe auch die 9.2PB1 bekommen. Ich kann damit über ein Vodafone- und ein O2-Netz eine VPN Verbindung aufbauen und dort ist auch eine Datenübertragung möglich, die nach erstem Augenschein auch sehr zügig funktioniert. Es ist die Konstellation, über die zuvor keine Datentransfer möglich war. Also gefixet? Zu finden ist in der Release-Doku nichts.

    Also: Ich habe hier ein iPad 4 mit iOS 9.2 (JB aber deaktiviertem LaunchDaemon => net.inet.ipsec.ecn=0) und ein iPad mini 9.2Beta1 hier liegen! Beide sind parallel über den selben Accesspoint verbunden.
    – iOS 9.0.2 Verbindungsaufbau, aber kein Datenverkehr
    – iOS 9.2b1 Verbindungsaufbau UND auch Datenverkehr

    OS X 10.11.2 beta ist auch raus und ZU HOFFEN, dass es dort auch wieder OK ist!

    Was ich noch mal genauer gucken muss. Mir scheint das VPNonDemand nicht mehr zu funktionieren, aber da muss ich wie gesagt noch mal genauer gucken, ob nicht in meinem Umfeld was falsch ist.

  121. hallo zusammen

    Ein Key welcher länger als 40 Zeichen ist, wird seitens Fritzbox nicht erkannt und es wird per Fehlermeldung abgebrochen

  122. Moin, moin,
    ich hatte auch das Problem das Geräte über name.fritz.box nicht erreichbar waren.
    Bei mir war das Problem eine feste IP (nicht über DHCP vergeben) und Gerät nur über WLAN erreichbar.
    Jetzt hab die die IP vom DHCP Server vergeben lassen (bei Bedarf immer die selbe vergeben lassen) und schwups klappt die Namensauflösung auch bei Geräten die nicht per Kabel angebunden sind.
    Vielleicht hilft mein kleiner Tipp ja dem Einen oder Anderen.
    Gruß S.

  123. Kann man eigentlich die FritzBox selbst in die Liste der VPN on Demand Geräte aufnehmen, so dass beim Aufruf von fritz.box der Tunnel aufgebaut wird?

  124. Ja, dazu fritz.box eintragen.
    Da geht auch die FritzApp durch wenn die FB dort auch so eingetragen ist.
    Ob es sicher wieder abbaut hab ich nicht abgewartet.
    cheers Seppm

  125. Jetzt geht es wieder. :-))

    Gestern meine FB 6360 neu gestartet,den Verkehr gecaptured und mit wireshark versucht schlau zu werden. Und tatsächlich ist ecn nun 0x00.
    Mein Ipad Air auf iOS 9.1 upgedated und mit O2 eine VPN (on demand) Verbindung aufgebaut. Und alles flutscht ohne Probleme. Heute das iPhone 5s nachgezogen, läuft auch ohne Problem.

    Gruß Tilo

  126. Einige haben ja schon gefragt, ob es eine Möglichkeit gibt, dass die VPN Verbindung automatisch hergestellt wird, sobald man sich z.B. in einem öffentlichen WLAN befindet.

    Könnte man das nicht evtl. hiermit bewältigen?

    —————————————————-

    Action
    Connect
    InterfaceTypeMatch
    WiFi
    SSIDMatch

    REPLACE_UNSECURE_PUBLIC_SSID

    —————————————————-

    Kann man anstatt der SSID nicht einfach ein * setzen? Bei welchen WLAN´s er nicht verbinden soll wird ja im “gelben” Bereich festgelegt und so würde evtl. bei allen anderen WLANS dann automatisch die Verbindung hergestellt. Hat das jemand schon mal getestet?

  127. Hallo zusammen,

    super Seite, klappt allerdings mit einer Einschränkung:
    Wenn ich Safari, Firefox, Chrome etc. verwende, um die OnDemand-URL einzugeben, wird sofort das VPN aufgebaut.
    Benutze ich allerdings eine andere App (z.B. RDP-Client, irgendein Ping-Utility oder sonst eine Drittherstellersoftware) die nicht ein Webbrowser ist, funktioniert der automatische Aufbau nicht.
    Ich bin davon ausgegangen, dass eine beliebige App den FQHN an das OS übergibt und das OS dann aufgrund der OnDemand-Einstellung alles Weitere regelt. Aber offenbar scheint das nicht der Fall zu sein.
    Komischerweise finde ich aber keine Posts von irgendwem, der ds Thema auch hat. Ist aber bei einem Kollegen am iOS 9.1/9.2 exakt dasselbe Problem wie bei mir auch. So ist das Ganze ja nicht wirklich sinnvoll einsetzbar.

    Danke für Euere Erfahrungen damit und für einen Hinweis, wie man das systemweit hinbekommt

    Gruß
    Udo

  128. Also ich nutze diverse Drittanbieter Apps. Unter anderem von QNAP QFile, QManager, FHEM Mobile, Backbox (Drrambox), dreamote u.v.m
    Auch mein Banking 4i baut automatisch nach Start das VPN und synchronisiert die Sicherung auf meinem NAS über WebDAV.
    Also das funktioniert schon mit Aufruf FQHN.fritz.box!

  129. Hi Tim,

    könntest Du mal kurz die “Ping-Network reachability test”- App auf dem aktuellen iOS installieren, die an erster Stelle im AppStore ist, wenn Du “Ping-Test” suchst und das gegentesten? Und was bei mir auch nicht geht, ist “Microsoft Remote Desktop” (einfach RDP eintippen).

    Die beiden machen’s bei mir definitiv nicht.

    Wäre toll, wenn Du das kurz querprüfen könntest, um das Ganze einzugrenzen und auszuschließen, dass bei meiner Konfig etwas nicht ok ist.

    Danke Dir!

  130. Hallo Jörg,
    dein Blog ist wirklich sehr interessant.
    Mich würde allerdings ein etwas anderer Zustand interessieren:
    Ist es möglich eine derartige Konfiguration zu realisieren, das bei jeglichem Datenverkehr des Telefones eine sicher VPN-Verbindung mit einer Fritzbox aufgebaut werden kann ohne eine entsprechende Domain oder IP vorher festzulegen?

    Mit freundlichem Gruß

  131. Hallo,

    ich habe folgendes Szenario.

    Ich habe die Einrichtung wie oben geschrieben gemacht. Das Profil ist erfolgreich auf dem iPhone und auch auf der Fritzbox wurde alles konfiguriert. Die VPN Verbindung funktioniert auch.

    Nun zum Problem:
    Sobald eine Verbindung mit dem VPN besteht, geht weder der Intranet, noch der Internetzugriff. Selbst ein ping von intern auf die IP des iPhones funktioniert nicht. Ein ping vom iPhone auf ein internes Gerät oder externe Adresse ebenso wenig.

    Ist am iPhone kein VPN aktiv und ich öffne eine interne Adresse (http://raspberrypi.fritz.box oder http://IP.fritz.box) wird eine VPN Verbindung automatisch aufgebaut, also wie gewünscht. Nur die Seite wird eben nicht geöffnet.

    Von intern kann ich http://raspberrypi.fritz.box problemlos aufrufen, nur http://IP.fritz.box nicht.
    Den FHEM Server kann ich auch nicht erreichen. Jede Portangabe wird abgeblockt bzw. ins Internet weitergeleitet.

    Ich denke das Hauptproblem ist, dass das Routing nicht passt. Ich kann das iPhone trotz aktiver VPN Verbindung netzwerktechnisch nicht erreichen.
    Hat einer eine Idee, woran es liegen könnte?

    Freundliche Grüße
    TWART016

    1. Hallo Twart016,

      ich habe genau das gleiche Problem. VPN zwischen iPhone (iOS 9.1) und FritzBox (FritzOS 6.50) wird tadellos aufgebaut. OnDemand oder manuell. Danach kann ich aber keinen meiner Server oder die FritzBox im Webbrowser über fritz.box oder server.fritz.box erreichen. Es kommt immer die gleiche Meldung “Server ist nicht erreichbar…”

      Wenn ich nach der VPN Verbindung die lokale IP Adresse 192.168.178.102 eingebe, klappt der Aufruf. Ein Wechsel von statischen IP Adressen zurück zu DHCP hat leider nicht geholfen. Es scheint an der DNS Auflösung für den VPN User zu liegen. Habe mal bei AVM eine Anfrage gestartet.

      Gruß
      Peter

  132. Hallo Jörg,

    ich lese Dein Blog schon länger und an dieser Stelle Danke für die vielen hilfreichen Tips.

    Wie es aussieht, ist das Problem mit dem DNS bei VPN on Demand in Kombination mit Fritzbox noch nicht gelöst. Ich habe das gestern bei mir konfiguriert, und wollte nur die Ergebnisse teilen, damit das Debugging leichter wird:

    – VPN on Demand nach Deiner Anleitung mit Fritzbox ist eingerichtet. Eigentlich wollte ich es auf meinem QNAP NAS einrichten, leider unterstützt QNAP aber nur L2TP/IPSec und fällt damit aus.

    Da ich auf dem QNAP mit nslookup/host auch interne Server auflösen kann würde sich das Problem wahrscheinlich so lösen lassen. Aber ich schaffe es nicht, die mobileconfig auf L2TP umzubauen :/

    Wenn ich mich auf die FB per IPSec connecte, kann ich alle Server – intern wie extern – per IP Adresse erreichen (also auch den RPI mit FHEM). Lediglich die Namenauflösung verweigert die FB konsequent.

    Nachdem IP mit VPN an sich funktioniert, liegt es aus meiner Sicht 100% am DNS der FB und nicht wie in anderen Foren behauptet am Provider, etc.

    Nach viel Lektüre habe ich auch versucht, den DNS-Rebind der FB zu verwenden – bringt nur leider gar nix. Ich habe auf einer offiziellen Domain (kein DDNS) einen lokalen Eintrag mit 192.168.178.1 vorgenommen und versucht, diese Domain über DNS-Rebind freizugeben. Führt zum selben Ergebnis.

    Die einzige Lösung, die ich wirklich sehe ist der Betrieb eines VPN Servers auf einem anderen Gerät als der FB. Diese greift dann intern per DNS auf die FB zu. Da QNAP ausfällt, werde ich es wahrscheinlich auf meinem rpi versuchen…

    Ich muss mir das die Tage mal ansehen. IPSec hatte ich bisher noch nie “from scratch” auf einem Linux System aufgesetzt. Falls Du einen Link hast, wo das erklärt ist, teste ich gerne und poste die Ergebnisse hier.

    Wenn Du weisst, wie man die mobileconfig für L2TP/IPsec aufsetzen muss kann ich auch das gerne testen.

    Freue mich über alle Ideen 😉

    Gruß
    Peter H.

    1. Hi Peter,
      spontan kann ich dir wohl leider nicht weiterhelfen, sorry. Ich lese mich auch immer nur punktuell in die Thematik ein, wenn ich ein spezielles Problem lösen möchte. Mit L2TP/IPsec kenne ich mich leider nicht gut genug aus. Vielleicht kann ja jemand anderes dabei helfen, der mehr Ahnung davon hat…

      Grüße
      Jörg

    2. Servus Peter,

      leider hast Du mich KnowHow mässig schon lang abgehängt, aber emotional bin ich voll da 🙂

      Weil es mich nämlich auch tödlich nervt, dass ich VPN on demand nicht mehr auf mein IP-Symcon über “lokaleIP:Port” aufgebaut bekomme. Auch das Eintragen eines Hostnamen in der FB als zB “NUC123” und dann eben NUC123:88 geht ja auch nicht weil man bei DNS keinen Port mitgeben kann.

      Ich würde mich also auch sehr freuen wenn Dir für Dein FHEM was einfällt wie das wieder zum Laufen zu bekommen ist. Manchmal ist es schon echt ärgerlich wenn Apple alte Zöpfe (oder was der Grund war) abschneidet und vorher Einfaches plötzlich nicht mehr geht.

      Cheers Seppm

  133. Also bei mir läuft nach den Anpassungen von AVM und Unitymedia alles einwandfrei. VPN on demand bei Aufruf des DNS.fritz.box
    Ich könnte Jörg mal per Email meine mobileconfig zukommen lassen, damit er dies ggf. leserlich im Blog posten kann. Hier wird es leider blöd dargstellt.

    Gruß Tim

    1. Hi Tim,
      danke nochmal für deine Mail! Bin leider noch nicht dazu gekommen den Blogpost zu aktualisieren. Werde das hoffentlich in Kürze nachholen können.

      Grüße
      Jörg

    2. Hi Tim,

      ja, das wäre interessant, evtl. hast Du ja was anderes gemacht das hilft.

      Ansonsten on Demand geht bei mir mit zB fritz.box auch, ABER nicht klappen will es wenn man auch einen bestimmten Port übergeben muss, das geht bei DNS Namen nicht, bzw. weiss ich nicht wie (Reverse Proxy hab ich mal gehört könnte helfen, aber da hab ich leider keine Ahnung von).
      Es hat übrigens auch nicht geholfen mein IP-Symcon auf Port 80 zu betreiben. Auch den Port 80 muss ich angeben.

      Ich denke wir sprechen hier von 2 Problemen
      a) Unitymedia – das ist offenbar gelöst – gut
      b) DNS wenn man Port übergeben muss (was ich vorher beschrieb)

      Cheers Seppm

  134. Hallo zusammen,
    Frage an die Leute mit den Zugriffsproblemen:

    – habt Ihr Eure iPhones alle auf IOS 9.2 upgegradet?
    – Seid Ihr bei unitymedia?

  135. Oookay… Ich habe mal StrongSwan auf meinen RPI installiert (ist nicht schwer). Jetzt kann ich mich per iPhone mit IPSec PSK verbinden und voila – DNS funktioniert sauber. War ja auch nicht anders zu erwarten 😉

    Leider funktioniert jetzt das VPN on demand Profil nicht mehr. @Joerg: Hast Lust das mit mir zu debuggen? Wenn das funktioniert, haben wir für Alle eine hoffentlich dauerhaft funktionierende Lösung 🙂

    Kurz zu den einzelnen Schritten, die zur Konfiguration von StrongSwan notwendig sind:

    1) Nachdem StrongSwan in der “normalen” RPI Distribution nach meiner Recherche angreifbar ist, muss man auf die jessie Distribution zurückgreifen. Hierzu muss in der /etc/apt/sources.list als Superuser folgende Zeile temporär hinzugefügt werden:

    deb http://mirrordirector.raspbian.org/raspbian/ jessie main contrib non-free rip

    Danach die Datei speichern.

    2) Jetzt sind folgende Befehle auszuführen:

    apt-get update
    apt-get install -t jessie strongswan
    apt-get install -t jessie libcharon-extra-plugins

    Alle Rückfragen sind mit “J” zu bestätigen.

    3) Als nächstes sind in der Datei /etc/ipsec.conf folgende Zeilen hinzuzufügen:

    config setup
    cachecrls=yes
    uniqueids=yes

    conn ios
    keyexchange=ikev1
    authby=xauthpsk
    xauth=server
    left=%defaultroute
    leftsubnet=0.0.0.0/0
    leftfirewall=yes
    right=%any
    rightsubnet=10.0.0.0/24
    rightsourceip=10.0.0.2/24
    rightdns=4.2.2.1
    auto=add

    Dabei müsst ihr das rightsubnet, die rightsourceip und das rightdns nach eueren Bedürfnissen konfigurieren. Ich verwende (da FritzBox) das Netz 192.168.178.0/24.

    Dieses ist bei rightsubnet einzutragen. Bei rightsourceip gebt ihr einfach die Adresse an, welche euch als VPN Adresse zugeteilt werden soll, z.B. 192.168.178.250/24. Last but not least müsst ihr bei rightdns noch die Adresse euerer FritzBox angeben (in der Regel 192.168.178.1).

    Jetzt die Datei einfach speichern.

    4) Jetzt müsst ihr die Datei /etc/ipsec.secrets editieren und folgende Zeilen am Ende hinzufügen:

    YOUR MACHINES IP ADDRESS %any : PSK “YOUR PRE-SHARED KEY HERE”
    user1 : XAUTH “YOUR PASSWORD HERE”

    Bei der IP Adresse gebt bitte die IP Adresse eueres RPI an und NICHT die der FritzBOX. Bei Your PSK Key das was Jörg in BLAU umrahmt hat. Der user1 entspricht Jörgs GRÜNER, das Password der GRAUEN Umrandung.

    Wenn ihr weitere Benutzer hinzufügen wollt, könnt ihr die letzte Zeile einfach kopieren und die Daten des zweiten Benutzers angeben. Am Schluss einfach die Datei speichern.

    5) Im nächsten Schritt müsst ihr die Datei /etc/sysctl.conf editieren. Hier sucht ihr nach folgenden Zeilen:

    # Uncomment the next line to enable packet forwarding for IPv4
    # net.ipv4.ip_forward=1

    und nehmt das # vor der zweiten Zeile raus. Damit aktiviert ihr die Paketweiterleitung.

    6) Jetzt ist folgender Befehl auszuführen:

    sysctl -p

    Den Output könnt ihr getrost ignorieren, hier gibt er euch die aktuelle Konfiguration zurück.

    7) Editiert die Datei /etc/rc.local und fügt folgende Zeilen am Ende der Datei ein. Sollte die Datei mit “exit 0” enden, so müssen die Zeilen direkt VOR dieser Zeile eingefügt werden.

    # VPN NAT
    /sbin/iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth0 -j MASQUERADE

    Hier schreibt ihr statt der 10.0.0.0/8 wie im Schritt 3) 192.168.178.0/24 oder den entsprechenden Eintrag für euer Netz. Danach könnt ihr auch diese Datei speichern.

    8) Jetzt müsst ihr noch zwei Kommandos ausführen:

    update-rc.d -f ipsec remove
    update-rc.d -f ipsec start 41 2 3 4 5 . stop 91 1 . start 34 0 6 .

    Achtung: Der Punkt am Ende der zweiten Zeile gehört zum Kommando.

    9) Als Letztes nehmt ihr jetzt noch die im Schritt 1) in der Datei /etc/apt/sources.list hinzugefügte Zeile wieder raus und führt nach dem Speichern nochmals folgendes Kommando aus:

    apt-get update

    10) Jetzt könnt ihr eueren RPI rebooten. Nach dem Reboot führt folgendes Kommando aus, um zu testen ob das VPN nach dem Reboot aktiv ist:

    ps ax | grep ipsec

    Wenn dann in etwa folgendes zurückkommt hat alles geklappt:

    2141 ? Ss 0:00 /usr/lib/ipsec/starter –daemon charon
    2142 ? Ssl 0:00 /usr/lib/ipsec/charon –use-syslog
    2296 pts/0 S+ 0:00 grep –color=auto ipsec

    Zum Testen könnt ihr auf dem iPhone manuell ein VPN konfigurieren. Hierbei ist IPSec auszuwählen. Nach erfolgreichem Connect solltet ihr dann eueren FHEM Server auch als FQDN erreichen. Bei mir connecte ich mit FHEM Control auf raspberrypi.fritz.box und sehe alle meine angebundenen Devices.

    Wie gesagt, es IST definitiv ein DNS Problem von AVM und ich glaube auch ehrlich gesagt nicht, dass es irgendwas mit Unitymedia zu tun hat. Würde mich trotzdem freuen, wenn ihr das mal testen könntet und mir kurz Feedback gebt.

    Jetzt muss nur noch das On Demand mit der mobileconfig wieder funktionieren und ich bin happy. Mal sehen, ob Jörg Zeit und Lust hat mich da zu unterstützen 🙂

    All the best!
    Peter H

  136. Ach ja, ihr müsst auch noch 3 Ports in euerer FB auf den RPI weiterleiten:

    Port 500 UDP
    Port 4500 UDP
    ESP (braucht keinen Port)

    Diese werden für das IPSec VPN benötigt.

    Das macht ihr in der FB unter Internet -> Freigaben -> Portfreigaben.

    Gruß,
    Peter H

  137. Hat schon jemand VPN-on-demand im Zusammenhang mit der iOS 9.3 BETA ausprobiert? Bei mir dauerte der Aufbau der Verbindung teilweise über zehn Sekunden. Bin dann wieder zurück auf 9.2.1. Seitdem geht der Verbindungsaufbau wieder innerhalb einer Sekunde.

    1. Wah, mein VPN kann gerade nichtmal mehr manuell aufgebaut werden… iOS 9.2.1 und aktuelles Fritz!OS 06.50 mit 1&1 VDSL (Telekom-Anschluss).
      Bekomme immer nach einigen Sekunden die Mitteilung “Der VPN Server antwortet nicht” angezeigt.

      Habe in letzter Zeit nichts an meinen Settings geändert. *Grml*

    2. Habe das Problem gerade durch Zufall gelöst. Ich musste nur einmal in der FritzBox-Oberfläche mein VPN-Profil unter “Internet” -> “Freigabe” -> “VPN” kurz deaktivieren und wieder aktivieren.

      Puh 🙂 Evtl. hilft das ja jemanden, der in den selben “Der VPN Server antwortet nicht”-Fehler gelaufen ist.

  138. Ich hatte meine FB zwischenzeitlich auch auf 6.50 gezogen. Aber daran hatte es wohl nicht gelegen.
    FritzOS 5.30 -> iOS 9.2 = 1 Sekunde
    FritzOS 5.30 -> iOS 9.3 = 10 Sekunden
    FritzOS 5.50 -> iOS 9.3 = 10 Sekunden
    FritzOS 5.50 -> iOS 9.2.1 = 1 Sekunde

    1. Kann ich auch bei mir bestätigen! Geht echt eine Ewigkeit…vorher innerhalb von 1Sekunde aufgebaut…naja hoffen wir mal , dass ich einer nächsten Beta wieder etwas in Sachen Geschwindigkeit tut…

  139. Bei mir kriege ich mit iOS 9.2.1 und FB 7490 V.6.50 leider immer “Authentifizierung fehlgeschlagen”.

    Passwörter mit und ohne Sonderzeichen habe ich alle durch.

    Hat einer eine Idee oder ähnliche Erfahrungen?

    Vielen Dank!

    1. Ich war unachtsam und habe auf dem Iphone beim Laden des Profils statt des Benutzernamens und Passwortes 2x das Passwort eingegeben. Das min. 10x Und dabei ist es in der Anleitung schon extra fett…

  140. Vielen lieben Dank für das SUPER todo!!! 🙂

    Gibt es auch eine Möglichkeit, dass nur in einem fremden WIFI ein VPN aufgebaut wird, aber im normalen Cellular (O2 LTE) nicht?
    Was muss ich der config mitgeben?

    Vielen Dank im Voraus.

    1. Ich antworte mir mal selbst: Ja, ich! Leider keine Veränderung. Der Aufbau der VPN-Verbindung dauert immer noch ewig.

    1. Hi Axel,
      eigentlich reicht es, wenn die Fritzbox über eine von außen ansprechbare IP (fix oder dynamisch per DNS-Dienst) erreichbar ist. Habe das auch schon mehrfach mit verschiedenen Mobilfunkprovidern (u.A. T-Mobile) versucht, bin aber bisher auch jedes Mal kläglich gescheitert.
      Die VPN-Verbindung konnte nie aufgebaut werden, nichtmal zwischen zwei Fritzboxen, eine per VDSL, die andere per Mobilfunk.
      Ich vermute einfach mal, dass entsprechende Ports bei den Mobilfunkprovidern gesperrt sind, die für das VPN benötigt werden. Aber vielleicht weiss es ja jemand besser und kann einen Tipp beisteuern.

      Grüße
      Jörg

  141. Normalerweise sind die mobilen Datennetze so eingerichtet, dass man keine Datenverbindungen *zu* einem mobilen Endgerät (in diesem Fall dann Deine Fritzbox LTE) aufbauen kann. Die Verbindung muss immer von dem Endgerät aus aufgebaut werden. Daher vermute ich, dass es nicht funktionieren wird.
    Gruß
    Peter

  142. Ich würde gerne die config so umbauen, dass zusätzlich VPN noch in einem Fremd Wifi aktiviert wird.
    Mit der oben genannten config funktioniert es wunderbar, wenn ich z.B. die Fritz Fon App öffne, dann wird VPN aufgebaut.
    Ein Traum wäre die zusätzliche Geschichte mit dem Fremd Wifi.

    1. Das ist in dieser Form wohl leider nicht wirklich vorgesehen. Bräuchte man evtl. eine Art Dummy-App, die im Hintergrund immer kurz mal “fritz.box” anpingt (und damit das VPN aufbaut), sobald sich das iPhone in ein definiertes WLan einbucht. 🙂

    2. Danke für die Info.
      Ich habe es schon mit zwei configs versucht. Das geht theoretisch, nur muss man immer eine config als aktiv wählen. Also auch nicht wirklich eine Lösung. 🙁
      Mit dieser config bekomme ich es hin, dass immer in einem Fremd Wifi VPN aktiviert wird:
      http://blog.wenzlaff.de/?p=4899
      Man müsste nur wissen, wie man die beiden configs zu Einer umbastelt.

  143. Hallo Jörg,

    zuerst einmal vielen Dank für die Bereitstellung der beiden Scripte. Leider habe ich ein Problem die Iphone-Datei auf dem Handy zu öffnen. Bearbeitet habe ich die Datei mit Notepad++ und nach dem speichern, diese per web.de als Mail zugeschickt. Ich bekomme die Datei zwar geöffnet, bekomme aber nur den Quellcode angezeigt. Hast du eine Idee was ich falsch mache?

    1. Hi Andre,
      sorry, habe keine Ahnung, was da bei dir genau falsch läuft. Ich habe das Profil jetzt schon x Mal erfolgreich auf diesem Weg (iPhone, iPad) einspielen können. Vielleicht verändert dein Editor ja nur die Dateiendung, sodass es das iOS-Device nicht mehr intepretieren kann?!

      Grüße
      Jörg

    2. Möglicherweise wurde die Dateiendung beim bearbeiten mit Notepad ++ auf .txt geändert. Sie muss aber mit .mobileconfig enden damit es funktioniert. Anhalt: ein Icon mit dem bekannte Zahnrad, dann ist es OK.

  144. Was muss ich in der Froitzbox.cfg ändern, dass in der FritzBox unter lokaler IP Adresse nicht nur 0.0.0.0 steht sondern die tatsächliche lokale Adresse….funktioniert das?

    Grüße

  145. Nur zur Info. Mit der aktuellen iOS 9.3 Beta 4 funktioniert VPN on demand wieder einwandfrei. Die Verbindung steht innerhalb einer Sekunde.

  146. Also ich habe auch das Problem, dass die VPN Verbindung zwar sauber aufgebaut wird aber per “NAME”.fritz.box auf kein Gerät komme.
    Nach dem Aufbau der VPN Verbindung funktioniert der direkte Aaufruf per IP tadellos.

    Gibt es dafür inzwischen eine Lösung?

    LG

  147. Kommst Du innerhalb deines lokalen Netzwerkes (von einem anderen Rechner aus) per “.fritz.box” auf den Host ?
    Ist der Host auf der Fritzbox unter “Heimnetz->Netzwerk” in der Liste mit aufgeführt?

    Ich vermute, dass die Fritzbox die DNS-Auflösung für den Host nicht hinbekommt.

    Gruß
    Peter

  148. Uups, beim Posten hier geht Text verloren, der in spitzen Klammern geschrieben wurde.
    Es sollte heißen:
    “Kommst Du innerhalb deines lokalen Netzwerkes (von einem anderen Rechner aus) per “name.fritz.box” auf den Host name?”

  149. Erstmal Danke für die tolle Anleitung! Habe sie in einem etwas anderen Fall mit unserem Uni-Netzwerk (auch IPSEC mit PSK) ans Laufen bekommen. Beim Ansurfen von Seiten in Safari klappt es wunderbar. Nur beim Abruf der Mails vom internen Server nicht. Ich habe probeweise mal ein RequiredURLStringProbe mit einer internen URL bei den ActionParameters ergänzt. Damit klappt es jetzt auch beim Mail-Server 🙂 Habe allerdings nicht ganz verstanden weshalb.

    Davon abgesehen: Wie / wann wird die on-demand Verbindung eigentlich wieder beendet? Wenn ich eine andere Webseite (google.de o.ä.) lade bleibt sie bestehen. Derzeit muss ich sie händisch beenden oder sie geht beim nächsten Down der Netzwerkverbindung. Aber von selbst irgendwie nie. Probeweise hatte ich auch mal einen Disconnect-Block ohne Bedingungen hinter der EvaluateConnection Block gesetzt (wurde irgendwo mal als “Catch All” Default-Fall genannt). Aber der scheint nichts zu bewirken. Weder verhindert er den Aufbau noch führt er zum Abbau der Verbindung. Will aber halt nicht ewig im Institutsnetz hängen nur weil einmal Mails abgerufen werden… Any suggestions?

    1. Hi Martin,
      wo und wie baut man das “RequiredURLStringProbe” ein? Evtl. bekomm ich damit auch mein IP-Symcon Problem gelöst.
      Danke Sepp

  150. Vielen Dank für den hervorragenden Beitrag
    Alles funktioniert prima, aber leider muss ich jedesmal wenn sich die VPN Verbindung aufbaut den Accountnamen und das Passwort eingeben. Dies ist natürlich sehr lästig, wenn ich von WIFI auf LTE umschalte, also jedesmal wenn ich die Wohnung verlasse. Gibt es eine Möglichkeit ein automatisches Einloggen zu ermöglichen. Wenn ich die XAuth Befehle von der Seite arnaudfeld.de in Ihr Script einfüge bekomme ich leider die Meldung, dass ein ungültiges Profil vorliegt. Übrigens konnte ich unter Windows Ihr Script nur unter Wordpad, nicht aber mit dem Editor bearbeiten.
    Mfg
    Peter

    1. Hi Peter,
      kann es sein das Umlaute im Passwort oder Usernamen sind? Da hab ich von solchen Problemen schon gehört.
      cheers Sepp

  151. mal noch eine frage:
    wie sieht das denn aus wenn man mehreree Wlans zu hause hat?
    trägt man die einfach ein oder muss man zusätzlich was ändern

    InterfaceTypeMatch
    WiFi
    SSIDMatch

    wlanid1
    wlanid2

    Action
    Disconnect

  152. Hallo, danke für die Anleitung! Der automatische Verbindungsaufbau funktioniert aber es werden keine Daten übertragen. Weder mit Domainnamen noch wenn ich nach dem Aufbau eine IP Adresse eingebe.

    Hat jemand eine Lösung für das Problem?
    Gruß
    Martin

  153. Hallo Martin
    so spontan fällt mir die eingegebene ip ein in der fritz vpn zeile 33 und 35
    ich hatte bei einer anderen vpn mal das gleiche problem
    die ip die ich nutzte wurde im netz schon benutzt

    1. Hallo Frank, Du meinst die Adresse für das iPhone? Das kann ich eigentlich ausschliessen, habe schon mehrere ausserhalb des DHCP Bereichs probiert.
      Danke und Gruß
      Martin

    1. Hallo Frank,
      ich bin erst jetzt wieder dazu gekommen…nein Ping geht leider auch nicht 🙁
      Gruß
      Martin

    2. Hallo Frank,
      gute Nachricht…jetzt geht es…ich habe in der Fritzbox die Verbindung gelöscht und noch mal über die Fritzbox eine mit dem User eingerichtet. Ging dann natürlich nicht wegen falschen Shared secret. Diese VPN Verbindung wieder gelöscht und das Skript importiert. Jetzt funktioniert es…
      Grüße
      Martin

  154. Moin,

    Danke für die sehr hilfreiche Beschreibung, dieses hilft wirklich weiter. 🙂

    Ich laß in einigen Kommentaren beim Wenzlaff Blog, daß eine VPN Verbindung automatisch aufgebaut wurde, obwohl sich das Gerät im Mobilfunknetz befindet. Kannst du dieses bestätigen oder weißt dazu mehr?

    Der Mailverkehr läuft dann doch auch über VPN?

    Danke + Gruß

  155. @lars
    ich habe die vpn on demand seit 3-4 wochen am laufen.
    ich habe festgestellt, dass sich vpn verbindungen – wenn die entsprechenden apps im hintergrund geöffnet sind – öfters aufbaut.
    es sei denn ich bin in meinem wlan.
    meines wissens läuft dann der ganze internet traffic über die vpn

  156. @ frank:

    Danke, die VPN Verbindung zur Fritzbox steht, es gehen aber außer im Mobilfunknetz keine Daten über die Leitung. In 3 verschiedenen WLAN getestet, als wenn ich die Datenverbindung/WLAN ausgeschaltet hätte. Hat jemand eine Idee?

    Danke

    1. was hast du denn in der gelbumrandenden config fürs iphone eingetragen?
      bei mir geht es mit genau dieser konfig

  157. Hallo.

    Erstmal danke für das tolle Script!

    Ich hatte das vor 1-2 Jahren schonmal eingerichtet auf mehreren Geräten, damals mit einer FB an einem T-DSL Anschluss, da funktionierte das problemlos.

    Jetzt habe ich einen KD Anschluss und da ich VPN in letzter Zeit recht selten genutzt hatte, hatte ich das nur herkömmlich für manuelle Verbindung konfiguriert, da klappte das.

    Vorhin bin ich dann wieder über Dein Script gestolpert und wollte das gleich wieder nutzen. Die VPN Verbindung klappt, wird auch als verbunden angezeigt in der FB. Nur ich kann auf kein Gerät zugreifen, weder über xxxx.fritz.box, noch über die IP. Schalte ich im iOS Gerät auf die alte normale manuelle Verbindung um und aktiviere die, kann ich auf alle Geräte zugreifen.
    In der FB sieht das (bis auf unterschiedliche IP) in beiden Fällen aber gleich aus.
    Hab beide Config Dateien auch schon mehrfach komplett wieder gelöscht und neu angelegt, das Problem besteht aber immer noch.

    Hast Du eventuell eine Idee, wie ich das Problem lösen könnte?

    Gruss Nico

    1. Hi Nico,
      würde dir gerne helfen, bei solchen Problemen ist es aber natürlich schwierig. Hatte dieses Phänomen noch nicht und kann deswegen auch nichts dazu sagen, sorry.

  158. Hallo Jörg,
    danke für die Antwort!
    Habe das Problem heute Nacht schon selber gelöst. Irgendwie scheint die Firmware der KabelD Fritzbox nicht mit der Config Datei klar zu kommen, sie wird zwar installiert, aber im Gegensatz zu einer anderen getesteten FB 7490 (TK Anschluss) ist damit kein echter Zugriff möglich, nur die Verbindung kommt zustande.
    Habe jetzt in der FB manuell einen VPN Account angelegt und Usernamen, Passwort und SharedSecret davon einfach in Deine “.mobileconfig” Datei fürs iOS Gerät eingesetzt. Jetzt geht das problemlos.
    Man muss übrigens in dieser Datei nicht alle Geräte einzeln aufführen, das genügt, wenn man da “fritz.box”, “*.local” und “*.fritz.box” einträgt. So schaltet sich VPN an, wenn man auf alle Geräte im Heimnetz zugreift, eine direkte IP geht ja seit iOS9 eh nicht mehr.
    Gruss Nico

  159. Ich bin mittlerweile am verzweifeln, ich bekomme nichtmal die Verbindung mit den Einstellungen hin. Hab iOS 9.3.2 sowie die aktuelle Firmware der 7490.
    Als Fehlermeldung taucht VPN-Server wurde nicht gefunden.
    Dabei bin ich mittlerweile mehrmals strikt nach Anleitung vorgegangen…

    🙁

    Mache ich etwas Grundlegendes falsch?

    Muss die IPAdresse der Fritzbox geändert werden?

    1. Hi Adam,
      seit einer Weile, könnte mit 9.3.2. zusammen hängen, hab ich ebenfalls das Problem das beim ersten händischen Anwahlversuch eigentlich immer der erste Versuch mit “VPN Verbindung: Kommunikation mit VPN-Server fehlgeschlagen”. Wenn ich das bestätige und nochmal verbinde geht es sofort.
      Mit 9.3 ging das definitiv besser, 9.3.1 kann ich mich nicht mehr erinnern.
      Cheers Sepp

    2. Ich hab das so gelöst:

      Nutzer in der FB angelegt und VPN aktiviert, dann würden die VPN Daten angezeigt.
      Diese Daten hab ich in die 2. Datei für iOS eingetragen.
      Diese Datei dann aufs iPhone geschickt und als Profil installiert.
      Das funktioniert super auch unter dem aktuellen iOS.
      Die Datei für die FB braucht es also gar nicht.
      Die machte bei mir eh schon länger Probleme. Angeblich war die Verbindung zum VPN Server damit fehlgeschlagen. Oder aber die Verbindung kam zustande, aber es war kein Datenverkehr damit möglich.

  160. Ich habe gestern Abend eigentlich aus Verzweiflung geschrieben. Danke für die netten und hilfreichen Antworten. Hätte ich nicht erwartet.

    @Nico, Danke, in die Richtung hatte ich auch schon gedacht und das war aufjedenfall der richtige Weg. Ein VPN-Tunnel wird vom iPhone zügig aufgebaut.
    Jedoch bleibt die Verbindung nicht ondemand, sondern trennt sich nach kurzer Zeit, z.B. ausschalten des Gerätes wieder. Eine Idee wo der Fehler liegen könnte?

    Habe es jetzt einen VPN Nutzer in der FB angelegt und die Werte in die config. eingetragen. Hat jetzt aber bisher keinen Mehrwert zum VPN-Tunnel wie AVM ihn vorschlägt, da die Verbindung flöten geht 🙁

  161. Und was ich wohl auch noch nicht verstanden habe, über den Tunnel kann ich zwar meine FB nutzen, jedoch laufen keine Internetseite, Email etc.!

    1. Hi,
      du musst einen erneuten Interneteintritt in der Fritzbox erlauben. Hier gibt es einen Haken der gesetzt werden musst, sonst kommst du nur bis zur Box, aber nicht mehr raus.

  162. Hi,

    was bringt mir der Domain Eintrag *.lokal den ich teilweise in anderen Scripten gefunden habe? Der Rest so funktioniert, eigentlich würde ich aber eine ständige VPN Verbindung ins Heimnetzwerk haben, das hier ist aber schon einmal ein großer Schritt in Sachen Komfort.

  163. Ich komme mittlerweile auch raus, aber ondemand ist es noch nicht. VPN trennt sich nach kurzer Zeit… ich tüftel aber weiter 🙁

    1. Hi,
      Das ist aber leider auch richtig so. Wenn du Allwayson haben möchtest (wie ich auch) brauchst du einen PI und einen VPN Dienst Server der auch Ikev2 unterstützt. Dann mit dem IPhone Configurator und einem
      Mac ein VPN Profil basteln und dann klappt das auch.

    2. Hi,
      Das ist richtig, aber so der einzige Weg. Sollte auch klar sein wenn die ganze Zeit ein Dienst läuft das der Akku warm wird. Wie das mit dem Traffic ist kann ich aber nicht sagen..

  164. Hallo vielen Dank für die Anleitung,

    ich habe die VPN-Verbindung endlich eingerichtet bekommen jedoch ein großes Problem. Sobald ich in der Fritzbox die Datei eingefügt habe, bin ich zwar noch auf dem Iphone mit meinem Netzwerk verbunden, habe jedoch keinen Internetzugriff mehr. Der Zugriff auf die Fritzbox funktioniert jedoch noch. Jemand ne Idee?

  165. Dank dieser Anleitung war es mir möglich ohne Probleme ein VPN on-Demand auf dem iPhone einzurichten. Alles funktioniert bestens, bis auf eine kleine Sache. Wie du ja weißt kann man bei dem iPhone nun keine IPs mehr im Profil hinterlegen (um zu sagen wann eine VPN verbindung aufgebaut werden soll). Nun ist es bei mir so, dass ich meine FB und die FB meiner Eltern per VPN miteinander verbunden habe. Hinter jeder FB ist ein NAS (von Synology).
    Um eine VPN verbindung aufzubauen muss ich ja nun z.B. synology.fritz.box eingeben. Das funktioniert auch wunderbar und ich lande auf meiner Syno zu Hause. Wenn ich aber nun auf die meiner Eltern zugreifen will geht synology2.fritz.box natürlich nicht, weil meine FB ja nicht synology2 kennt (ist logischerweise ja auch nicht in der Geräteliste). Sobald aber eine VPN Verbindung besteht kann ich mit der IP der zweiten Synology direkt darauf zugreifen (was ja auch logisch ist, denn bei bestehender VPN Verbindung bin ich ja in meinem Netz).
    Also dachte ich mir ich bin klever und schreibe einfach zwei Profile. Eins für die FB bei mir und eins für die FB bei meinen Eltern (je nach dem welche Domain eben aufgerufen wird greift entweder das eine oder das andere Skript). Jetzt ist aber das Problem, dass ich auf dem iPhone immer nur ein Profil wählen kann und das andere somit nicht greift.
    Nun zur eigentlichen Frage ;-): Kann man in dem Skript auch zwei VPN onDemand einrichten, sodass dieses entscheidet welches aufgebaut wird? Oder gibt es eine Möglichkeit das entfernte NAS (also das jeweils andere als das, welches eh schon an der FB angeschlossen ist), i-wie in die Geräteliste der FB zu integrieren?

    Ich weiß, eine etwas ungewöhnliche Konstellation – aber es wäre toll, wenn jemand eine Lösung kennen würde 🙂

    1. Du bist mit Deinem Problem nicht allein. Ich habe exakt dieselbe Konstellation und habe bisher noch keine Lösung gefunden.

      Oli

    2. Die kann man ändern im Menü der Fritzbox.
      Wenn man den Namen der FB ändert, dann ändert sich sich das. Leider ändert die FB im selben schritt auch den Namen des WLAN, aber den kann man ja wieder manuell zurück ändern.

    3. Man kann den Namen der Fritzbox tasächlich ändern. Dadurch ändert sich aber nach meiner Erfahrung nicht die Domain.

    4. Laut Beschreibung sollte das zumindest gehen.
      Das ist das selbe wie das Ändern des Namens eines Fritz Repeaters.
      Der ist dann auch nicht mehr unter fritz.repeater erreichbar, sondern über NAME.fritz.box

    1. Wieso sollte es dann gehen?
      Das Problem ist ja dann noch nach wie vor, dass ich keine 2 Profile auf dem iPhone haben kann. Oder geht das doch?
      Momentan habe ich nämlich 2 Profile drauf und es reagiert immer nur das ausgewählte (mit dem Haken davor).

    2. na du hättest z.b syntolegie.ricardo.box in deinem netz
      und syntolegie.eltern.box als vpn von dir zu eltern.
      deine fritzbox weiß dann das sie zu deinen eltern muss

      ich habe rdp lite auf dem iphone und wenn ich eine vpn habe routet er sofort in das entsprechende netz mit vpn von der fritzbox aus

    3. Okay, interessanter Ansatz.
      Das werde ich am Wochenende mal testen.
      Das heißt ich muss lediglich den Namen der FB ändern?

    4. voraussetzung ist allerdings das man den domänennamen in der fb ändern kann
      was ich eben bei avm angefragt habe und noch keine antwort habe
      bei dem vpn netz bei mir hat das gegenüberliegende netz einen eigenen MS DNS
      Service und nutzt nicht den der fb

  166. Frank, magst Du das bitte einmal genauer erklären, auch wie das funktioniert und einzustellen ist?

    Du verbindest Dich per VPN mit Deinem Heimnetz, also Deiner Fritzbox und die Fritzbox merkt dann selbständig, dass sie sich per VPN mit einem anderen Heimnetz und dessen FB verbinden soll, wenn man auf bestimmte Netzwerkgeräte zugreift?

    1. also
      ich habe in meiner fpb 4 vpn tunnel
      fb1 vpn netz 192.168.1.0
      fb2 vpn netz 192.168.2.0
      fb3 vpn netz 192.168.3.0
      IPHONE

      diese tunnel habe ich mit der fritzsoftware erstellt
      dann habe ich iphone wie hier beschrieben configuriert.
      wenn ich jetzt eine vpn verbindung habe und eine eine adresse von
      fb1 aufrufe baut meine fb den tunnel dort hin auf
      gleiches bei 2 und 3

    2. Meine FB ist ja wie alle FB ein Router
      router wissen ja wo sie hinmüssen durch ihre routingtabellen

  167. Also ich verstehe das so:
    meine erste fitzbox nenne ich z.B. “zuhause” und das andere “eltern”.
    dann sind die geräte über “gerät.zuhause.box” bzw. “gerät.eltern.box” erreichbar.
    Im Profil füge ich dann in den Regeln beide adressen “zuhause.box” & “eltern.box” hinzu.
    Anschließend sollte das VPN dann immer automatisch aktiviert werden und wenn dann die anfrage mit “gerät.eltern.box” kommt weiß meine FB, dass sie mich weiterleiten soll und daher geht das.

    Stimmt das soweit?

  168. Guten Tag Herr Frank Klein,

    vielen Dank für Ihre Anfrage an den AVM-Support.

    Das Ändern des Domainnamens ist derzeit nicht möglich. Ich nehme Ihre Anfrage deshalb gerne als Verbesserungsvorschlag auf.

    Wie Sie aber eine VPN-Verbindung zwischen zwei FRITZ!Box-Netzwerken erstellen haben wir in einer Anleitung zusammengefasst:

  169. wenn ihr jetzt alle ein ticket macht mit der frage der domänen änderung und dns,
    haben wie mehr chancen, dass sie es umsetzen 🙂

  170. Ich habe es versucht auch bei mir soweit einzustellen.
    Es funktioniert auch tadellos, bis auf eine kleinigkeit: Im fremden WLAN baut er automatisch kein VPN auf. Wenn ich es manuell aktiviere geht es.
    In den Kommentaren hab ich gelesen, dass es an der Reihenfolge lliegen kann. Auf einer anderen Seite hieß es:
    “Und was soll ich sagen – es funktioniert alles 🙂
    Die Blöcke habe ich nun so angeordnet:
    VPN bei ausgewählten WLAN-Netzen deaktivieren
    VPN bei aktiver WLAN-Verbindung aktivieren
    VPN beim Zugriff auf Heimnetz-Adressen aufbauen
    VPN im Mobilfunknetz nicht aktivieren ”

    Ich habe mittlerweile Zeile für Zeile schon durchgeschaut, finde aber den Fehler nicht 🙁

    Hier ist mein Profil:
    ——————————————————————————————————

    ConsentText

    default

    XXXXX

    PayloadContent

    IPSec

    AuthenticationMethod
    SharedSecret
    LocalIdentifier
    Benutzername
    LocalIdentifierType
    KeyID
    RemoteAddress
    DieDomainÜberDieDieFritzboxErreichbarIst
    SharedSecret

    TiZzVlBWT261TXFnYlRHVw==

    XAuthEnabled
    1
    XAuthName
    Benutzername
    XAuthPassword
    Benutzerpasswort
    OnDemandEnabled
    1
    OnDemandRules

    Action
    EvaluateConnection
    ActionParameters

    InterfaceTypeMatch
    WiFi
    SSIDMatch


    WLANzuHAUSE
    WLANbeiFREUNDIN
    WLANbeiELTERN

    Action
    Disconnect

    InterfaceTypeMatch
    WiFi
    Action
    Connect

    Domains


    *.local
    *.fritz.box
    fritz.box

    DomainAction
    ConnectIfNeeded

    InterfaceTypeMatch
    Cellular
    Action
    Disconnect

    Action
    Disconnect

    IPv4

    OverridePrimary
    1

    PayloadDescription
    VPN-Einstellungen konfigurieren
    PayloadDisplayName
    VPN
    PayloadIdentifier
    com.apple.vpn.managed.XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
    PayloadType
    com.apple.vpn.managed
    PayloadUUID
    XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
    PayloadVersion
    1
    Proxies

    HTTPEnable
    0
    HTTPSEnable
    0

    UserDefinedName

    VPN
    VPNType
    IPSec

    PayloadDescription

    Dieses Profil erstellt eine VPN_onDemand Verbindung zu dem Host XXXXXX.de
    PayloadDisplayName
    VPN_onDemand
    PayloadIdentifier
    VPN_onDemand
    PayloadOrganization
    xxx
    PayloadRemovalDisallowed

    PayloadType
    Configuration
    PayloadUUID
    XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
    PayloadVersion
    1

    1. okay, der Code sieht hier etwas komisch aus.
      Hier ist er etwas übersichtlicher gepostet:
      http://pastebin.com/sYKqajAA

  171. Hallo!

    Wird durch obiges eine VPN Verbindung auch im iPhone-Standby (Bildschirm aus) gehalten und jeglicher Traffic darüber abgewickelt (Mails checken etc) oder ist da VPN aus und alles läuft ohne VPN?

    Dass das iPhone im Standby VPN nicht hält, erkläre ich persönlich so, dass dann bestimmte WLAN-Stromsparmodes nicht funktionieren und man ansonsten wie früher mit gerooteten iOS Geräten und der App “Insomnia”, die kein echtes Standby zulässt und Programme mit ausgeschaltetem Bildschirm weiterlaufen lässt, einen leicht erhöhten Stromverbrauch hätte, was man verhindern möchte!

    Gruss

  172. Hallo,

    ist es möglich, mit nur einer mobileconfig in Abhängigkeit der aufgerufenen Dömäne (Gerät.fritz.box bwz anderesGerät.fritz1.box) zu unterschiedlichen Fritzboxen eine VPN Verbindung zu erstellen? Falls ja, was much ich in der mobileconfig ändern (Beispiel wäre super).

    Danke Wolfgang

  173. Hallo Wolfgang
    wie du in ein paar Kommentaren über deinem sehen kannst ist dies leider nicht möglich, da man den Namen der Fritzbox nicht ändern kann.
    Sehr gerne kannst du aber den Support von AVM diesbezüglich kontaktieren in der Hoffnung, dass sie dies mit dem nächsten Update ermöglichen.
    Einige von uns haben es auch schon gemacht (je mehr umso wahrscheinlicher).
    Freundliche Grüße

    1. Hi David,
      danke für die Info. Habe das Problem gelöst, der Download der Datei sollte wieder funktionieren.

      Grüße
      Jörg

      PS: Kurzes Feedback, ob es jetzt klappt, wäre nett.

  174. Hallo, ist es auch möglich, dass man das Profil soweit anpasst, dass nur eine VPN Verbindung aufgebaut wird wenn eine bestimmte App geöffnet wird? Und ist es auch möglich, dass die VPN sich nach dem schließen der App wieder trennt?

    Ich habe hier gelesen, dass wenn man mit LTE im Internet ist und die VPN Verbindung über das Profil aufgebaut wurde, und man dann wieder mit einem WLAN Verbunden war, dass die VPN Verbindung trotzdem über die LTE Verbindung weiter läuft, ist das noch immer so? Danke sehr!

    1. du hast ja in der config die parameter ActionParameters wo du jetzt die namen der ip eintagen musst.
      dadurch baut das iphone die vpn dann auf wenn zb eine app den namen anfordert
      wenn du die app schließt ist die vpn nach einer gewissen zeit auch wieder weg.

      du kannst auch ein wlan einrichten bei dem keine vpn aufgebaut wird
      InterfaceTypeMatch
      WiFi
      SSIDMatch

      Apfel

      Action
      Disconnect

    1. mit neuem fritz os gehts auf jeden fall noch
      mein ipohne hatte ich noch nicht auf das neuste ios upgedatet da der aufbau der vpn 10 sec dauerte

      vpn wird auf jeden fall noch funktionieren

  175. Danke für die Info. Auf der Fritzbox hab ich die Konfig schon eingespielt. Am iPhone bring ich das nicht zusammen. Habs mir per Mail geschickt aber mit dem tut sich dann nichts, wenn ichs anwähle. Braucht das ein bestimmtes Format/ Filenamen?

    1. so nun ist es vollbracht und das iphone baut brav die -on demand- vpn verbinung auf. (wirklich sehr sehr geil, dass das geht! danke für die anleitung!!)
      leider ist hier dann aber schluss. ich kann mich auf kein gerät connecten. also weder loxone.fritz.box noch die anderen in der heimnetzliste definierten geräte kann ich ansprechen. vom computer aus geht das (im eigenen netz, ohne vpn)
      ich vermute/hoffe, dass das nur eine kleinigkeit ist…

  176. Das selbe Problem hatte ich auch.
    Verbindung per VPN steht, aber ich konnte auf nichts zugreufen, nichtmal auf die Fritzbox.
    Habe das dann folgendermaßen gelöst:
    Beide Profile auf iOS Gerät und FB wieder gelöscht, VPN Zugang ganz normal an der FB eingerichtet wie sonst auch, diese Daten in die Datei fürs iOS Gerät von hier eingesetzt, Datei installiert auf dem iOS Gerät und schwups funktionierte das.

    1. mit der anleitung hats funktioniert. wies funktioniert ->>> KEINE AHNUNG 🙂
      da verwendet man keine fritzbox config.
      https://arnaudfeld.de/2015/03/19/howto-vpnondemand-zusammen-mit-der-fritzbox/

  177. Hi Jörg,

    danke!! Das ist genau die Funktion, nach der ich gesucht habe! Wenn das wirklich so läuft, wäre das eine große Erleichterung für meinen Fernzugriff auf fhem.
    Du hörst in meinem Wortlaut aber schon das “wäre” – bei mir gibt es nämlich ein Problem. Die Einrichtung hat super funktioniert, sowohl in der Fritz!box als auch im iPhone ist das VPN bekannt und lässt sich manuell sehr schön verbinden. Auch kann ich auf mein fhem dahinter zugreifen. Problem: die automatische Verbindung klappt nicht! Sei es beim Aufruf über Safari oder über eine App – kein automatischer Aufbau. Ich muss immer erst manuell verbinden.
    Eine Idee was da nicht stimmt? Die Skripte habe ich zweimal überprüft, die sind fehlerfrei und in sich konsistent (muss ja, sonst würde ja die VPN-Verbindung gar nicht funktionieren – oder?!)

    Weißt Du einen Rat oder hatte jemand anders schon mal das gleiche Problem?

    Viele Grüße,
    Martin

    1. Servus Martin,

      probiers mal mit der Anleitung die ich 2 posts vor deinem verlinkt habe. Damit hats dann bei mir geklappt.

      LG

    2. Guten morgen Martin
      ich hatte genau das selbe Problem wie du. Dachte auch anfangs, dass meine Skripte fehlerfrei sind. Wie sich dann aber herausgestellt hat, waren zwei Zeilen vertauscht und deshalb ging der automatische Verbindungsaufbau auch nicht.
      Manuell hat es jederzeit funktioniert.
      Als ich den Fehler behoben habe ging es wunderbar.
      Sowohl auf dem iPhone als auch auf dem iPad und Macbook

      Freundliche Grüße

    3. Hi Martin,
      da kann ich dem Tipp von Ricardo nur beipflichten. Am besten die Reihenfolge kontrollieren und exakt an die Vorgabe halten, dann sollte es klappen. Nutze das hier vorgestellte Szenario mittlerweile seit geraumer Zeit ohne jegliche Probleme.

      Grüße
      Jörg

    4. Hallo Jörg, Ricardo und Herbert,

      Danke für eure Tipps – es hat jetzt tatsächlich funktioniert!
      Ich habe die Profile nochmal ganz genau nach Anleitung eingerichtet. Trotzdem wollte es anfangs nicht funktionieren. Der Schlüssel des Ganzen war dann aber nicht die Einrichtung, sondern der Seitenaufruf. Ich habe mein fhem weiterhin versucht über die IP anzusprechen, was aber fehlschlägt – erst wenn ich konkret raspberry.fritz.box aufrufe, klappt der automatische Aufbau. Das ging für mich aus dem Text nicht so wirklich hervor.

      Sonst funktioniert die Anleitung tadellos, danke nochmal fürs Veröffentlichen und die schnelle Hilfestellung!

      Viele Grüße,
      Martin

    5. Hi Martin,
      super, dass es jetzt bei dir klappt.
      Dachte eigentlich, dass ich den Knackpunkt mit den Domainnamen im Punkt “Update vom 19.09.2015” mit dem Beispiel “brother.fritz.box” erschlagen habe. Wenn du einen Verbesserungsvorschlag hast, wie man das besser machen kann, immer gerne her damit.

      Grüße
      Jörg

  178. Hallo
    okay, das ist jetzt etwas off-topic, aber vielleicht kann mir dennoch einer helfen.
    Alles funktioniert wie es laut Artikel soll.
    Mein Anliegen: Kann ich jetzt noch etwas in das Profil einfügen, dass er Bluetooth aktiviert, sobald ich in einem bestimmten W-Lan bin?

    Der Hintergrund: Ich habe mir ein Apple Express ins Auto gebaut der auch ein WLAN erzeugt. Es wäre nett, wenn das iPhone dann auch immer Bluetooth aktiviert, damit es sich mit meiner Freisprecheinrichtung verbindet.
    Danke im voraus
    Freundliche Grüße

  179. Hi,
    bei mir schlägt der Import der VPN config auf die Fritzbox fehl?
    hab die Datei so abgeändert wie beschrieben und den namen der datei geändert.
    sonst nix.
    muss ich auf der fritzbox noch was einstellen? hab ne Fritzbox 7490
    danke
    Mit freundlichen Grüßen
    martin

    1. Hi Martin,
      versuch doch mal die von mir bereitgestellte Datei 1:1 zu importieren. Wenn das klappt, ändere die Werte in der Config Schritte für Schritt ab und versuch den Import nach jeder Änderung erneut. Die bestehende Config wird dabei einfach überschrieben, sofern der Name der VPN-Connection gleich bleibt. So solltest du recht schnell herausfinden, woran das Problem liegt.

      Würde ich freuen, wenn du deine Erkenntnisse hier teilst. Davon profitieren sicherlich auch andere Anwender, die bei der Anpassung in ähnliche Probleme laufen.

      Grüße
      Jörg

  180. Hallo Jörg,
    danke für den Tipp.
    hab so gemacht und direkt bei der ersten änderung funktionierts nicht.
    ich hab erst die original datei eingespielt. hat funktioniert.
    dann habe ich den namen geändert, aus jay_iphone wurde martin_iphone.
    und dann hat der import schon nicht mehr funktioniert…
    hab den namen dann wieder auf jay_iphone geändert und der import funktioniert wieder nicht.
    kann das sein, dass beim abspeichern der datei irgendwas schief läuft?
    bearbeite die mit textedit auf nem macbook.
    ich gehe über “Ablage” auf “sichern” um meine änderungen zu speichern.

    ne idee was da schief läuft?

  181. ich denke es hat irgendwas mit dem datei format zu tun.
    muss die datei ein .cfg am ende haben?
    kann es sein, dass textedit da etwas anderes draus macht?

    1. Die FritzBox-Datei hat die Dateiendung .cfg
      Die iOS-Datei hat die Dateiendung .mobileconfig
      Genau so, wie sie zum Download bereitgestellt sind (vorher natürlich entpacken).

      Je nachdem, wie der Texteditor konfiguriert ist, kann es natürlich vorkommen, dass die Dateiendung verändert wird. Dann bekommt man Probleme beim Import.

      Grüße
      Jörg

  182. hab das problem gefunden…
    textedit ändert die vorderen anführungszeichen beim Namen wenn man den anpasst.
    textedit setzt die nach unten und kursiv. musste ich manuell auf die anführungszeichen oben und normal ändern… (copy/paste von den hinteren).
    danke für den denkanstoss!

    Mit freundlichen Grüßen
    martin

  183. hallo Jörg,
    hab nochmal ne frage.
    die einrichtung usw hat bisher geklappt. die verbindung kommt auch zustande, allerdings nur wenn ich sie manuell aufbaue.
    ich wollte den VPN nutzen um auf mein Fibaro HC2 zuzugreifen.
    wenn ich ausserhalb vom WLAN die Fibaro App öffne baut sich keine VPN Verbindung auf.
    ich habe auch 2 WLAN Netze zuhause die ich ausschliessen wollte… hab ich das so richtig eingetragen?

    InterfaceTypeMatch
    WiFi
    SSIDMatch

    FlashGordon
    SledgeHammer

    Action
    Disconnect

    wenn ich die HC2 ansprechen möchte, muss ich den kompletten namen hier angeben?

    Domains

    XXXXXXXXXXXXX.fritz.box

    DomainAction
    ConnectIfNeeded

    nur fritz.box reicht nicht?

    danke
    Mit freundlichen Grüßen
    martin

    1. Hi Martin,
      die Syntax sollte bei dir so aussehen:

      <dict>
      <key>InterfaceTypeMatch</key>
      <string>WiFi</string>
      <key>SSIDMatch</key>
      <array>
      <string>FlashGordon</string>
      <string>SledgeHammer</string>
      </array>
      <key>Action</key>
      <string>Disconnect</string>
      </dict>

      Der Blog schmeisst Sonderzeichen wie < und > in den Kommentaren übrigens komplett raus. Damit es im Kommentar klappt, musst du stattdessen den passenden HTML-Code aus dieser Liste benutzen.

      Beim iOS-Device sollte es klappen mit:

      <key>Domains</key>
      <array>
      <string>fritz.box</string>
      </array>
      <key>DomainAction</key>

      Dann funktionieren alle Devices mit VPN On-Demand, die auch im LAN mit xyz.fritz.box erreichbar sind (so wie im Blogpost erklärt).

      Grüße und viel Erfolg
      Jörg

  184. Hi Jörg,
    habs jetzt so angpasst wie oben.
    Wlans hatte ich schon so. hab dann noch die ios Datei angepasst.
    aber leider funktioniert es noch nicht.

    der automatische verbindungsaufbau funktioniert nicht. wenn ich manuell die verbindung starte klappt es. zumindest sagt die Fritzbox die VPN Verbindung wäre aufgebaut.

    irgendwo hab ich noch nen fehler drin…

    Mit freundlichen Grüßen
    martin

  185. Hallo Frank,
    Jörg schreibt oben da müsste nur “fritz.box” rein?
    hatte voher aber auch schonmal name.fritz.box drin und das hat auch nicht funktioniert.

    1. Glaub das wurde in den unzähligen Kommentaren zwar schon behandelt, aber hier nochmal:
      “fritz.box” -> ALLE Geräte, die auch im LAN per “nas.fritz.box”, “vuplus.fritz.box” oder “rpi.fritz.box” erreicht werden können, werden für das VPN On-Demand berücksichtigt.

      Wenn man das VPN On-Demand dagegen nur für spezielle Geräte aufbauen möchte, schreibt man STATT “fritz.box” die jeweiligen Geräte rein, also z.B:

      <key>Domains</key>
      <array>
      <string>nas.fritz.box</string>
      <string>vuplus.fritz.box</string>
      <string>rpi.fritz.box</string>
      </array>
      <key>DomainAction</key>

      Hoffe damit wird es verständlicher.

      Grüße
      Jörg

      PS: Wenn “fritz.box” nicht funktioniert, klappt “name.fritz.box” sicherlich auch nicht. Dann ist etwas anderes falsch konfiguriert.

    2. Und wenn du eine neue Config einspielst, starte am besten dein iOS-Gerät mal komplett neu. Ein Neustart der FritzBox kann natürlich auch nicht schaden.

    3. ich meinte in der app vom telefon wie auch immer die heißt
      ich muss in meiner loxone app auch loxone.fritz.box eintragen sonst baut er auch hier keine vpn verbindung auf

  186. mmh ok. ich nutze die fibaro app und möchte auf mein HC2 über den VPN zugreifen.
    hatte schon im fibaro forum (die als anleitung hierauf verlinken) nachgefragt, aber anscheinend muss man bei fibaro nichts besonderes einstellen.
    aber ich kläre das da nochmal ab.
    dachte halt hab evtl. was falsch eingetragen.
    irgendwie kriegt er ja auch nicht die verbindung zur HC2 hin, da ja ansonsten der VPN automatisch aufgebaut warden sollte

    danke
    mfg
    martin

  187. Super Anleitung. Hat alles soweit geklappt. Ich komme per VPN auf mein Synology NAS und auf meine Heizungsanlage. Nur die ios-App Fritz!Fon geht leider nicht. Hier kommt der Hinweis Fritz!Box nicht erreichbar. An was könnte das liegen?

    Danke vorab.
    MfG

    1. Hallo
      Hast du in der App bei Adresse “fritz.box” eingegeben?
      Falls nicht, dann startet auch nicht das VPN automatisch
      Grüße

    1. Okay.
      Das Problem ist, dass sich VPN nicht aktiviert, wenn du die IP verwendest

      Eine Frage:
      Geht fritz.box, wenn du es an deinem PC im Browser eingibst?

  188. Ja fritz.box funktioniert auch am notebook im wlan-heimnetzwerk. Auch die fritz fon app funktioniert mit fritz.box im wlan-heimnetzwerk

    Auch die blackbox app funktioniert nur mit eingabe der ip (für zugriff auf vu+).

  189. Hi,

    ich habe mal eine simple Frage 🙂

    Wie installiere ich die .mobileconfig unter iOS 10. Habe mir die .mobileconfig per Mail geschickt aber eine Option zum installieren wird mir nicht angeboten 🙁

    1. Hi renee,

      einfach die mobileconfig-Datei anklicken, rechts oben “Installieren” wählen und den Anweisungen folgen. Gerade nochmal erfolgreich mit der aktuellen iOS 10.0.2 auf einem iPhone 6s Plus getestet. Evtl. hat dein Textexditor aus der .mobileconfig fälschlicherweise eine .mobileconfig.txt gemacht… Du kannst zum Testen ja mal die hier zur Verfügung gestellte Datei 1:1 versuchen zu installieren. Dann kannst du den Fehler vielleicht besser eingrenzen.

      Grüße und viel Erfolg
      Jörg

  190. Hallo Jörg,

    ich habe es auch mit .mobileconfig aus dem ZIP von hier getestet jedoch das gleiche. Ich kann es an Mail, Whatsapp usw. weiterleiten oder in die iCloud aber bekomme keine Option es zu installieren. Die Datei ist auch mit einem Zahnradsymbol als Config-File erkenntlich und dennoch geht es nicht. Vielleicht eine iOS Einstellungsgeschichte?

    Hätte ja gern einen ScreenShot hier gepostet aber geht ja leider nicht.

    Danke und Gruß
    Renee

    1. Ok, hmm… Du schickst dir die entpackte mobileconfig-Datei an deine E-Mail-Adresse und öffnest diese durch einen einfachen Klick auf die Datei in der nativen iOS-Mail-App, richtig?
      Wenn das nicht klappt, kann ich nur noch den Tipp geben einen Neustart zu versuchen…

  191. Hatte das gleich Problem. Versuche bitte ein anderes Mail-Programm. Bei mir ging es z.B.mit “Spark” nicht. Mit dem vorinstallierten Mail-Programm ging es dann.
    Vielleicht hilft es dir.
    Gruß Martin

  192. Hallo Martin,

    danke für den Tipp. Ich habe den iphone configurator unter Windows danke dem Tipp hier

    No need to install “iTunes 12.1 for Windows (64-bit — for older video cards)”. Just open regedit and copy keys “InstallDir” and “Version” from “HKLM\SOFTWARE\Apple Inc.\Apple Mobile Device Support” to “HKLM\SOFTWARE\Wow6432Node\Apple Inc.\Apple Mobile Device Support”, then fix “InstallDir” value to “Program Files (x86)”.

    zum laufen bekommen und damit dann das KonfigurationsProfil komplett neu erstellt, anschließen bearbeitet und es funktioniert zumindest wenn ich im Safari Fritz.Box aufrufe – dann wird die VPN-Verbindung automatisch gestartet und aufgebaut – TOP

    Wozu ich es eigentlich nutzen wollte ist die Innogy app für Smarthome – hier muss man für den Mobilen Zugriff extra zahlen und mittels VPN gehts aber auch. Nur baut sich hier das VPN nicht automatisch auf wenn ich die Innogy App starte und das für dann logischer Weise zur Fehlermeldung “kein mobiler Zugriff”

    Hat jemand eine Idee wie ich das vielleicht gelöst bekomme – wäre super.

    Danke schonmal!
    Gruß Renee

  193. Hallo zusammen,
    ich habe nun beide Files (eine auf die FB und die andere auf mein iPhone) übertragen. Wenn ich nun in Safari “ccu2.local” oder “ccu2.fritz.box” aufrufe, wird VPN aktiviert, jedoch öffnet er die Seite nicht. Bei der CCU2 handelt es sich um Homematic.
    Unter “Netzwerkverbindung” in der FB habe ich als Namen “CCU2” drin stehen. Dann sollte es doch funktionieren oder habe ich etwas übersehen?
    Als Domains in der mobileconfig habe ich eingefügt
    *.local
    *.fritz.box
    fritz.box

    Viele Grüße
    Martin

    1. Nachtrag: Nach weiterem Testen hat sich herausgestellt, dass das Problem mit der Homematic das einzige ist, was bei mir nicht funktioniert. Ob CAMs oder Zugriff auf die NAS – es funktioniert zu 100%. Hat einer eine Homematic CCU2 und kommt mit VPN on demand Zugriff drauf?
      Viele Grüße
      Martin

  194. Hallo Frank,
    du hattest mir am 30.08. schon den tipp mit dem namen in der app gegeben.
    habs grade erst gelesen… und was soll ich sagen… es funktioniert 🙂
    danke dafür
    muss man erstmal drauf kommen, anstelle der IP addresse auf die man verbinden möchte, den Namen einzugeben…
    Bei mir gings hier um die Fibaro App, nur falls jemand das mal genauso sucht wie ich 🙂

    Mit freundlichen Grüßen
    martin

  195. Hallo,
    die freude währte nur kurz. seit heute funktioniert die verbindung auf meine HC2 wieder nicht. das VPN wird aufgebaut, aber die Verbindung zur HC2 funktioniert nicht.
    wenn ich in der app den namen wieder auf die IP adresse ändere, funktioniert der zugriff ohne probleme.
    der name und die IP sind gleich geblieben. hab das so eingestellt, dass die HC2 immer die gleich IP Adresse bekommt.

    jemand ne idee?

    1. na spntan,

      trage den namen der hc2 den du unter heimnetz in der fritzbox siehst
      aber cool das bei dir noch ip geht
      hast du noch ios8 oder so?

  196. ich nehme den namen der in der fritzbox steht. dann gehts nicht.
    mit der IP funktioniert der zugriff, aber eben nicht über VPN. funktioniert dann nur über den fernzugriff über die server von fibaro. das möchte ich halt vermeiden.
    hab ios 10.1.1

    was mich halt stutzig macht ist, dass es 2 tage funktioniert hat und dann einmal nicht mehr. ohne das ich änderungen gemacht hätte…
    mysteriös…

  197. hab jetzt grade einfach mal den namen des geräts in der fritzbox geändert. das ganze dann auch in der app so gemacht und schon funktionierts wieder…
    mal gucken wie lange…

    Mit freundlichen Grüßen
    martin

  198. Hallo,

    vielen Dank erst einmal für die Informationen. Beruhend darauf, läuft mein VPN on Demand sehr gut. In vielen WLANs klappt es steht’s sofort, die VPN Verbindung zu meiner FritzBox aufzubauen.
    Ein Problem habe ich aber, vielleicht hat hier aber jemand eine Lösung dafür. Ich nutze unterwegs auch die HotSpots der Telekom. Ich habe festgestellt, wenn ich VPN on Demand – bei Bedarf eingeschaltet lasse, was der Normalzustand ja ist, und es wird ein Telekom HotSpot gefunden, wird sich mit diesem versucht zu verbinden, das Login schlägt aber fehl, da das VPN sich sofort versucht einzuschalten. Das Ergebnis ist, ein WLAN ist aufgebaut, ich habe aber kein Internetzugriff, weil das Login fehlschlug. Lasse ich VPN bei Bedarf aus, verbinde mich mit dem HotSpot und warte das Login noch ab – bedeutet ich prüfe ob ich wirklich eine Internetverbindung habe – und schaltet anschließend das VPN an, das klappt auch das VPN zu meiner FritzBox. Man bräuchte wie eine Zeitverzögerung oder eine Prüfung der Verbindung, ob VPN eingeschaltet werden kann oder nicht. Ich würde aber meinen, die Regeln bilden so etwas nicht ab, oder hätte da jemand eine Idee?
    Die einzige Alternative die mir einfällt ist, das ich die Telekom SSID mit in die Liste der WLANs eintrage, wo kein VPN aufgebaut wird, dann aber gezwungen bin, es immer manuell einzuschalten.

  199. Hallo Jörg und alle anderen,

    ich habe da nochmal eine Frage dazu. Ich nutze das VPN on demand hauptsächlich dafür, dass ich für meine Hausautomatisierung über locative die Standort-Lokalisierung mache. Das funktioniert konkret so, dass ich mit locative (ehemals geofancy) einen geofence um meine Wohnung gezogen habe. Betrete oder verlasse ich nun den geofence, soll die App über einen gesicherten Zugriff auf mein Fhem das entsprechende Ereignis posten. Das soll natürlich auch funktionieren, wenn das Handy in meiner Hosentasche im Standby ist. Und da liegt das Problem: mal klappt das wie gewünscht, mal ist die VPN Verbindung erst nach einigen Minuten aufgebaut und manchmal auch gar nicht. Hat jemand eine Idee, warum das nur unzuverlässig klappt und wie ich das optimieren kann? Ziel soll ja sein, dass meine devices daheim reagieren, wenn ich die Wohnung verlassen habe und nicht erst irgendwann nach einer halben Stunde (oder gar nicht)

    Abgesehen davon funktioniert das Feature super und immer zuverlässig wenn ich das Handy benutze! Bin immer noch froh, auf den Artikel hier gestoßen zu sein.

    1. Hallo zusammen,

      ich habe mir das nochmal angeschaut. Das Problem ist einfach, dass iOS manchmal einfach nicht aus dem Standby heraus in der Lage ist, die VPN-Verbindung korrekt aufzubauen – keine Ahnung warum. Wenn ich mir jetzt mal die .mobileconf Datei ansehe, frage ich mich ob es nicht die Möglichkeit gibt, einen passenden Befehl einzuschleusen. Sowas alá “forceOnStandby = 1”, schreibe ich jetzt mal in meiner Laien-Programmiersprache. Hat damit schon jemand Erfahrungen machen können?
      Ich habe gelesen, dass es wohl auch eine Variante mit einem per-App-VPN in iOS gibt, aber das erfordert ein sehr tiefes Einsteigen in die Software und ist eigentlich auch eher für Firmen gedacht.

  200. Auch wenn das Deine Frage nicht beantwortet. Warum machst du die Anwesenheitserkennung in FHEM nicht über das Presence Modul und Bluetooth? Läuft bei uns seit Jahren mit unseren iPhones absolut zuverlässig.

    1. Hi Oli,

      danke für dein Antwort, das hat mehrere Gründe. Zum einen habe ich nicht immer Bluetooth am iPhone an, zum anderen möchte ich nicht nur in unmittelbarer Umgebung meiner Wohnung die Anwesenheit erkennen lassen. In der Fhem-Referenz zum Thema Anwesenheitserkennung stehen einige Gedanken zu presence vs. bluetooth vs. perlcode vs. geofencing und das spiegelt auch ziemlich gut meine Meinung wider. Geofencing ist für mich einfach die Methode der Wahl.
      Eine andere Methode für einen einwandfreien Zugriff wäre ein Reverse Proxy – damit kenne ich mich aber gar nicht aus und außerdem fühle ich mich unwohl einen Port auf meiner Fritzbox freizugeben. Daher möchte ich alles versuchen, das mittels VPN on demand ans Laufen zu bringen.

      Sorry übrigens für die verspätete Antwort – ich komme gerade nur unregelmäßig zum Basteln.

  201. Hochinteressant und faszininierend, auf welche Niveau ihr hier das Thema “VPN on demand” diskutiert; da staune ich als Laie nur, bin jedoch gleichzeitig hoffnungslos überfordert. Habe heute gerade erst geschafft, eine VPN-Verbindungen von meinen iOS devices (iPhone und iPad, beide unter iOS 10+) über die Fritz!Box (FB) 7490 herzustellen, die auch funktioniert, und zwar mit DDNS. Versuche mit *cfg-Konfigurationsdateien in der Art wie sie beim hier beschriebenen Weg verwendet werden, sind mir alle missglückt. Bestimmt wäre es mit der hier präsentierten Variante gelaufen, aber ich habe diese zu spät entdeckt. Mein Weg war schlussendlich ein sehr einfacher: Gemäss der AVM-Anleitung https://avm.de/service/vpn/tipps-tricks/vpn-verbindung-zur-fritzbox-unter-apple-ios-zb-iphone-einrichten/ auf der FB einen Fritz!Box-Benutzer einrichten und mit VPN-Berechtigung versehen. Dies bewirkt automatisch das Generieren von (ausdruckbaren) Einstellungen, die man bei den iOS-Geräten unter >Einstellungen >Allgemein >VPN dann machen muss. Et voilà, es funktioniert für alles, was ich damit machen möchte: Im Netz sicher surfen, auf die FB sowie auf meine Synology NAS und die darauf liegenden Dateien zugreifen (inkl. Musik, Fotos, Videos, Hörbücher), auch mittels spezieller iOS-Apps von Synology, Mail etc. Auf beiden iOS devices gebe ich die von der FB generierten Angaben ein, wobei der VPN-Zugriff via den in der FB definierten berechtigen Benutzer “Username” erfolgt. Irgendwie hat die Fritz!Box sicher auch eine Konfigurationsdatei erstellt, aber ich weiss nicht, was drin steht. Sie kann jedenfalls keine individuellen Regelungen für IP-Adressen etc. der beiden iOS Geräte enthalten; habe nichts dergleichen erfasst: Ich habe auf der iOS-Seite bei beiden Geräten die gleichen Einstellungen vorgenommen für Server (DDNS), Account, Kennwort, Shared Secret etc. Mein VPN-berechtigter Nutzer ist unter >Internet >Freigaben >VPN als aktive VPN-Verbindung mit seinem Namen “Username” aufgeführt. Mein “FB-internes-Erstellen-einer-VPN-Verbindung” hat den gleichen Nachteil wie die hier diskutierte Lösung (ohne VPN on demand) auch: Mann muss VPN laufend wieder manuell einschalten.

    Kaum läuft also etwas, will ich natürlich mehr, nämlich VPN on Demand! Auch als absoluter Laie auf dem Gebiet der Syntax von Konfigurationsdateien und iPhone-Profilen, und weit weg davon, zu verstehen, was damit genau passiert. Meine Frau sagt, ich nehme mir immer etwas wieder Sachen vor, die meine Möglichkeiten übersteigen. Mag sein, aber das hält mich soweit fit! Meine Wunschvorstellung dabei, den Weg mit der Fritz!Box-eigenen Konfiguration weiterzuführen und quasi nur auf der iPhone-Seite das VPN on Demand noch draufzupacken. Keinesfalls möchte ich nochmals von vorne anfangen und eine eigene, z. B. auf der hier diskutierten Variante beruhende FB-Konfigurationsdatei importieren; sonst läuft alles bisherige nicht mehr. Sieht da jemand von euch eine Chance, mich dabei zu unterstützen, allenfalls auch ausserhalb dieses Blogs, z.B. per Mail; weil so “dumme” User wie ich tummeln sich hier wohl selten und mein Weg “System AVM” ist schon ein wenig anders. Wäre super!

    1. Hallo Peter
      leider etwas spät, weil ich deinen Post erst eben gelesen habe, aber ich würde dir sehr gerne helfen.
      Besteht noch Interesse?

    2. Aber sicher, Ricardo, ist das noch aktuell. Herzlichen Dank für dein Hilfe-Angebot. Meine VPN-Verbindung mit iOS-Geräten funktioniert noch immer wie in meinem Blog-Eintrag vom 7.3.2017 beschrieben. Ergänzung dazu: Auch über das iPhone meiner Frau (anderer Apple-account) funktioniert es. Und – war nicht so beschrieben bei AVM – mailen kann ich ausserhalb des heimischen WLAN nur noch via VPN. Dies, und alles andere, was ausserhalb des Heimnetzes via Internet gemacht wird, soll gemäss meinen Vorstellungen von “VPN on demand” durchaus via VPN erfolgen, aber eben ohne dass dieses auf dem Apple device immer manuell eingeschaltet werden muss. Ich habe gar keine Probleme damit, alles via VPN zu machen, sondern möchte dies explizit. Die Geheimdienste aller Welt erfahren eh noch genug g über unsere Aktivitäten. Gehe ich richtig in der Annahme, dass man bei dem von mir gewählten “VPN gemäss AVM” dazu auf der Fritz!Box eigentlich nichts ändern muss, sondern lediglich die Konfiguration der iOS-Geräte anzupassen ist. Aber wie? Ich weiss ja nicht mal, was da aktuell genau drin steht.

    3. Guten Abend Peter.
      Okay, sehr gerne können wir mal darüber reden. Bei mir läuft soweit alles perfekt. Ich bin mir sicher, dass wir dein Problem sehr schnell lösen können, sodass alles danach funktioniert.

      Vielleicht kann sich hier ein Admin einschalten und i-wie einen Kontakt herstellen? Ich möchte ehrlich gesagt meine E-Mail Adresse nicht hier nicht öffentlich rein schreiben. Aber sie ist ja hinterlegt…

    4. Ja, Ricardo. Würde ich auch gerne so machen. Hoffen wir, dass wir mit unserem Wunsch erhört werden.

  202. Hallo,
    kann ich die hier beschriebene Variante auch zur Erstellung einer VPN On-Demand Verbindung über L2TP auf eine Synology NAS nutzen?
    hat das jemand am laufen?
    möchte gerne dass die Verbindung über VPN am Iphone automatisch aufgebaut wird, sobald eine Synology App gestartet wird (oder eine andere App die auf mein Heimnetz zugreift).

    danke
    Mit freundlichen Grüßen
    martin

  203. hallo,
    habe versucht das IPSec in der Config Datei durch L2TP zu ersetzen, hat leider nicht funktioniert.
    die config datei konnte ich nicht installieren. das iphone fragt dann auch kein passwort für die verbindung ab. nur den user name.
    kann mir jemand dabei helfen?
    danke
    martin

  204. Hallo,

    erstmal tausend Dank für die Anleitung. Nutze es mit einer FB 6490 und meinen Apple Geräten unter iOS 10. Primär nur um den Zugriff direkt auf die FritzBox zu ermöglichen (Anrufbeantworter, Fax, etc.) sowie zusätzlich noch auf meinem VU+ Receiver.

    Die Installation hat wunderbar geklappt, solang meine Geräte im heimischen WLAN sind, wird das VPN ignoriert, bin ich außerhalb meines WLANs und wird irgendeine Domain mit *.fritz.box aufgerufen, verbindet sich das VPN. Probleme mit PW hatte ich auch nicht – habe keine Sonderzeichen verwendet, sondern dafür zwei 24stellige zufällige PW mit Zahlen / Groß- und Kleinbuchstaben-Kombination.

    Einziges Problem: Steht einmal die VPN Verbindung, beendet sie sich nicht mehr, auch wenn die App die für die Verbindung ursächlich war, bereits vollständig beendet ist. Ist das so gewollt, dass man eine einmalig erstellte VPN-Verbindung nur manuell beenden kann?

    1. Hallo Daniel
      Nein, das ist nicht normal, aber das VPN wird nicht sofort beendet, wenn du es nicht mehr brauchst.
      Wie lange hast du denn gewartet?
      Bist du dir ganz sicher, dass keine Verbindung mehr zur FB besteht?
      Freundliche Grüße

    2. Hallo Ricardo,

      Die Verbindung besteht nicht mehr, da auch VPN aktiv bleibt, wenn ich die App vollständig beende (auch Multitasking beende). Also ich vermute zumindest, dass die Verbindung dadurch auch beendet ist. Kann ich das sonst noch wie überprüfen?

      Solange das iPhone aktiv ist, bleibt dann auch VPN aktiv. Habe es vorhin mal 15min an gelassen, auch da war VPN noch aktiv. Sobald ich das iPhone in den Standby schicke, wird nach 20-30 Sekunden auch die VPN Verbindung getrennt und bleibt getrennt bis ich sie wieder benötige.

      Von daher kann ich damit gut leben.

    3. Hallo Daniel.
      ich habe es auch anders gemeint.
      Nur eine Vermutung meinerseits:
      Angenommen du hast eine Synology und nutzt die App DSPhoto – da kann man einstellen, dass er die Bilder automatisch sichert, aber nur wenn man im heimischen WLAN ist. Nun könnte es ja sein, dass diese App i-wo im Hintergrund läuft. Du startest eine andere App, VPN geht an. DS Photo denkt er ist zu hause und beginnt automatisch im Hintergrund die Bilder zu sichern. Du selbst brauchst vielleicht gar kein VPN mehr und hast auch die App geschlossen mit der es eingeschaltet wurde, aber jetzt wo es läuft nutzt es eine andere app.
      Verstanden wie ich es meine.

      Aber das was du jetzt beschreibst scheint mir ganz normal zu sein. Soweit ich weiß bleibt VPN immer aktiv, solange auch das telefon aktiv ist. Erst wenn man das Display ausschaltet, wird das VPN ggf. mit deaktiviert.
      Also von dem her hast du es so wie wir alle auch. So ist es ja auch in Ordnung.
      Liebe Grüße

    4. Kenne es nur aus unserem Firmen-VPN, da verbindet es sich bei immer nur für den Abruf des Exchange-Servers und dann trennt sich das VPN gleich wieder, auch wenn die App noch läuft. Ist aber auch eine andere Technik (Tunnel)

      Aber schön zu hören, dass es bei mir läuft wie es soll. Endlich kann ich die Portforwards deaktivieren.

      Danke für die Hilfe!

  205. Hallo zusammen,
    super interessant !!!
    Kann denn jemand mal die aktuell notwendigen Dateien einstellen die man benötigt für die Fritzbox und das iphone ?
    Ich steige nicht mehr durch was wo eingetragen werden sollte…
    Bis vor den Eintrag vom 18.09.2015 komme ich noch klar – dann hörts auf….
    Wäre super danke Euch
    Gruß
    Frank

    1. Hi Frank,
      die im Blogpost zur Verfügung gestellten Dateien funktionieren nach wie vor – auch mit dem neuesten FRITZ!OS 06.86 und iOS 10.3.3. Etwas Einarbeitung in die Thematik wird dir jedoch nicht erspart bleiben…

      Grüße und viel Erfolg
      Jörg

    2. Hallo Frank
      Wenn du Hilfe brauchst kannst du dich gerne bei mir melden.
      Das bekommen wir schon hin

  206. Hallo Jörg,
    Danke dir erstmal. Werde das mal in Angriff nehmen und hoffentlich die richtigen FB Werte in den Platzhaltern eintragen….)
    Ich gebe dann mal Info ob s geklappt hat oder ob nicht – dann mit Rückfrage.
    Danke nochmal
    Gruß
    Frank

  207. Hallo Jörg und Ricardo,
    … da bin ich wieder ….
    Habe die Dateien alle (hoffentlich richtig) ausgefüllt. Versand an Fritzbox soweit ok denke ich. Beim Emailversand an das Iphone meldet das Programm:”die Dateiendung mobileconfig wird aktuell nicht unterstützt”.
    Habt Ihr eine Ahnung was zu tun ist ? Möglicherweise am iphone eine Einstellung vornehmen ?
    Gruß
    Frank

  208. …so, alles hochgeladen etc.
    auf die Fritzbox komme ich drauf. Aber mit der Homematic App gehts nicht. Er baut keine Verbindung auf.
    In der iphone Datei habe ich nur fritz.box eingegeben.
    Domains

    fritz.box

    DomainAction
    ConnectIfNeeded
    Oder muss ich hier noch etwas für die homematic-ccu2 ergänzen ?

    IN der Fritz.box Datei habe ich folgendes eingegeben:
    remoteip = 0.0.0.0;
    remote_virtualip = 192.168.178.201;
    remoteid {
    – obwohl in der Fritzbox steht das Adressen von .20-.200 vergeben werden. sollte ich hier nur .1 eingeben (die Homematic hat die feste ip: .50

    Ich denke, dass hier irgendwo der Fehler sein müsste. das Iphone zeigt auch nicht das VPN-Kästchen an, obwohl ich mit der fritzbox app auf die fritzbox zugreifen konnte. WLan ist natürlich aus.

    Hoffe das einer von euch eine idee hat.
    Dank und Gruss
    Frank

    1. Guten Morgen Frank
      Wie versuchst du denn dich innerhalb der homematicapp mit dem Heimnetzwerk zu verbinden?
      Wenn du die IP verwendest, dann kann ich dir gleich sagen, dass es daran liegt.
      Die direkte IP wird vom iOS nicht mehr unterstützt.
      Du hast die Option in der Fritz!Box den Geräten auch Namen zu geben, da diese auch quasi ein DNS-Server ist. Wenn du deiner Homematic (das Gerät mit der .50 am Ende) einen Namen gegeben hast, wie z.B. “homem”, dann kannst du diese auch im internen Netz über “homem.fritz.box” aufrufen (statt der IP mit der 50 am Ende).
      Damit du jetzt ein VPN von außerhalb aufbauen kannst musst du an der Stelle im Skript für das iPhone, wo du schon korrekter Weise die Domain “Fritz.box” eingefügt hast, “*.fritz.box” einfügen.
      Damit wird immer ein VPN aufgerufen, wenn vor dem Fritz.box noch etwas steht.

      Das sollte die Lösung sein 🙂
      Viel Erfolg

  209. Hallo Ricardo,
    für die Homematic CCU ist auf der Fritzbox eine feste IP hinterlegt. die mit der .50. Das muss wohl so sein damit er die überhaupt findet. Die gleiche ist in der Homematic App eingetragen. Diese IP Adresse liest die Homematic App automatisch aus der CCU aus und ist auf der Homematic App hinterlegt. Das ist auch nicht änderbar. Die CCU hat natürlich auch einen Namen in der Fritzbox. In der Iphone Datei habe ich keine extra IP für die CCU hinterlegt ( das müsste ja dann die App im zweiten Schritt erledigen wenn der Zugang über die FB mal da ist – zumindest verstehe ich das so. in der FP Datei ist die .201 angegeben – wobei in der Fritzbox selbst angegeben ist das hier die Plätze .20 bis .200 bereitgestellt werden.
    In der Iphone Datei ist die .50 nicht hinterlegt. Sondern nur die Fritz.box als Namen. Beim öffnen der Homematic App erkennt die Fritzbox wohl wo ich hin will und lenkt mich auf die CCU. Das klappt auch wenn ich über das Iphone manuel die VPN-Verbindung aufbaue- also kann es theoretisch ja nicht an dem Sternchen vor Fritz.box liegen – sonst würde es ja bei manueller Verbindungsherstellung auch nicht gehen, oder?. Über VPN on demand kriege ich keine Verbindung, aber komme nicht auf die CCU durch. Bei manueller Betätigung der Verbindung geht es sofort ( VPN-Zeichen sofort im Display)
    Auf die Fritzbox komme ich über einen zweiten VPN Zugang, der in der FB-App hinterlegt ist jederzeit auf die FB drauf wen deren App aufrufe. das Iphone zeigt mit zwar keine VPN-Verbindung an- aber ich komme über die FB-App auch bis zur CCU durch.
    Habe es gerade nochmal ausprobiert. Bei manueller VPN Verbindung habe ich sofort Zufriff auf die CCU über die Homematic App. (in der Homematic APP gibt es auch VPN-Einstellungsmöglichkeiten- die scheinen aber nur für den “meineHomematic.de” -Zugang zu sein, den ich ja nicht nutze. Hier ist überall nichts eingetragen – daran kann es also nicht liegen.

    1. Nicht so wahrscheinlich: Könnte also daran liegen, wie du schreibst, dass ich mal “*.fritz.box” eingebe. Dann lässt mich die Fritzbox vielleicht durch auf die CCU. Obwohl- bei manueller Verbindung klappt es ja – wird daran wohl nicht liegen

    2. Das “on Demand” funktioniert nicht – irgendwo hier müsste der Fehler sein. Manuel geht es ja über den gleichen VPN Zugang.

    Ich mache mal folgendes:
    a. ergänze das “*.'” vor Fritz.Box in der Iphone Datei
    b. ergänze neben “*.fritz.box” mal noch den Homematic-Namen wie auf der FB eingetragen ( stehe da aber nur als “homematic-ccu” – muss das “fritz.box” dennoch dahinter geschrieben werden )
    c. schau mir die “on Demand” funktion nochmal genau an – hier müsste m.E. der Fehler zu finden sein. Funzt ja manuel auch mit gleichem VPN-Tunnel….
    Melde mich wenn ich News habe.
    Vielen Dank schonmal für die Hilfe.

    Gruß
    Frank

    1. Hi Frank,

      stör dich nicht an der “.201”-er Adresse. Das muss einfach eine freie Adresse sein, die im Idealfall nicht im DHCP-Adressbereich (gewöhnlich .20-.200) liegt.

      Weiterhin kann dein Vorhaben nur funktionieren, wenn die HomeMatic-App den “Friendly Name” deiner CCU anfragt. Wenn dort nur die IP hinterlegt ist und man das auch nicht ändern kann, wird das nicht klappen, egal was du sonst noch rumprobierst. Also ist deine einzige Chance in das Adressefeld der App irgendwie CCU.fritz.box (oder wie auch immer deine CCU im Netzwerk heisst) reinzubekommen.

      Grüße
      Jörg

      PS: Benutze bitte künftig die “Antworten”-Funktion beim dazugehörigen Kommentar, dann hängt die Unterhaltung zusammen.

    2. Hi Jörg,
      ok. Ich probiere das mal aus.
      Ist aber doch seltsam, das es bei manueller Verbindung über VPN klappt – bei on demand aber nicht. Aber da liegt wohl die Besonderheit der on demand Verbindung.
      Dann macht das natürlich Sinn und wird das erste sein das ich ausprobiere.
      Dank schonmal
      Gruß
      Frank

    3. Hallo Frank
      nein, das ist überhaupt nicht seltsam und der Fehler liegt definitiv daran, dass du versucht VPN mit einer IP aufzubauen.
      Ich versuche es dir mal zu erklären:
      Also, dein iPhone ist außerhalb deines LANs und du hast das entsprechende VPN-Profil installiert.
      Sobald du in irgendeiner weise eine Verbindung nach außen aufbaust schaut das iOS erstmal in dem Profil nach ob diese Adresse hier hinterlegt ist. Falls ja, dann baut es ein VPN auf, wenn nicht, dann gehst du direkt auf die von dir gewünschte Seite.
      Das bedeutet also -> wenn du in Safari deines Smartphones auf die seite fritz.box gehst wird sich ein VPN aufbauen. Gibst du allerdings die IP ein, dann steht diese nicht im Profil und er versucht sich direkt damit zu verbinden. Was logischerweise nicht klappt, weil du ja nicht im LAN bist.
      Logische Folgerung wäre es also die IP in das Profil einzutragen. Das hat bis vor ein paar iOS-Versionen auch super geklappt. Allerdings untersagte Apple dies dann i-wann.
      Die Lösung hierbei ist es, dass du die IP umgehst indem man dem Gerät einen Namen gibt. Glücklicherweise bietet die Fritz!Box genau eine solche Funktion. Du gibst dann dem Gerät einfach einen beliebigen Namen (sagen wir z.B.”CCU”). Innerhalb deines Netzwerks musst du dir jetzt also keine IPs mehr merken, sondern du kannst auch die Geräte über “CCU.fritz.box” aufrufen. Diesen Namen kannst du jetzt auch in das Profil eintragen. Damit wäre es schon erledigt. Es könnte aber nun sein, dass du in ein paar Tagen / Monate / Jahre noch auf ein weiteres Gerät zugreifen möchtest. In der IT steht ein “*” für alle.
      Also machst du in deinem Profil den Eintrag “*.fritz.box”. Solltest du nun mal eine NAS oder was auch immer noch einbinden wollen kannst du diese ja dann mit “NAS.fritz.box” aufrufen.
      Soweit zur Theorie.
      Gehen wir nochmal zur Ausgangssituation. Dein Profil ist aktualisiert und du bist wieder außerhalb deines Netzwerks.
      Wenn du nun statt der IP in der entsprechenden App den Namen.fritz.box eingibst, wird er den Eintrag mit dem Stern erkennen und ein VPN aufbauen.

      So wie du es beschreibst hast du meiner Meinung nach schon 95% der Aufgabe erledigt.
      Letztlich musst du “nur” noch folgende 2 Punkte machen:
      – Profil um den Eintrag “*.fritz.box” erweitern
      – In der HomeMatic-App den Namen, statt der IP eintragen
      THAT’S IT 🙂

      Ich hoffe der theoretische Hintergrund hilft dir etwas, das Problem besser zu verstehen.

      Freundliche Grüße,
      Ricardo

    4. Hi Ricardo,
      vielen Dank für die coole Erklärung. So in etwas hatte ich mir das gedacht. Werde mal berichten ob es geht.
      INteressanterweise habe ich parallel über den Support der homematic App mal die Lage gecheckt weil man dort wenigstens drei verschiedene VPN-Kanäle anlegen kann. Einmal für “meine-Homematic.de” ( zielt wohl auf den WLan-Zugang), einmal eine VPN Verbindung ( normal) und zuletzt noch eine VPN(Betaversion) die auf die on demand -Ausführung zielt. Wenn es mir ausreicht diese beiden von dir genannten Punkte zu erledigen werde ich die Möglichkeiten in der App sicher nicht ausprobieren. Aber für euch “Spezialisten” vielleicht ganz interessant das diese App das anbietet, wenn ich auch nicht weiß wie es funktioniert (Dateneingabe klar – aber wie kommen die Daten zur FB und zum Iphone)
      Dank nochmal – ich berichte
      Gruß
      Frank

    5. Hallo Frank
      Wie schon erwähnt kenne ich die App leider nicht. Wollte es mir mal genauer anschauen, aber es gibt mehrere “homematic-Apps” im AppStore.
      Welche davon hast du denn? Dann lade ich sie mal
      Grüße

    6. Hi Ricardo,
      also klappt es beim manuellen Aufbau der VPN weil der Kanal ja eben schon auf ist und damit klar vorgegeben ist diesen zu nutzen während wenn der Kanal noch nicht auf ist die App immer noch die IP sucht, aber daraus nicht ableitet den VPN auf zu machen (was es bei dem Namen der CCU machen wird) ?
      ist das technisch so richtig beschrieben ?
      Gruß
      Frank

    7. Hallo Frank
      Ja, das ist korrekt.
      Letztlich ist es ja auch logisch.
      Du hast immer eine IP. Wenn nicht vom eigenen Router, dann von deinem Mobilfunkanbieter.
      Die IPs sind letztlich ja auch nur Namen. Sie dienen zur Identifikation von Geräten. Wenn du nun außerhalb deines Netzwerks nach einer internen IP suchst wird diese Anfrage Fehlschlagen, da sie nicht bekannt ist.

      Dir viel Erfolg – falls noch Fragen offen sind, kannst du dich gerne melden 🙂

    8. Hi Ricardo und Jörg,
      habe jetzt den ganzen Abend mein Glück probiert.
      1. die korrigierte Datei hochgeladen mit *.fritz.box
      2. Die IP Adresse in der App durch den Namen des Netzwerkgerät + .fritz.box ergänzt (“homematic-ccu2.fritz.box”)
      Funktionierte erst gar nicht. Habe es dann noch mit der FB Bezeichnung des Geräts versucht (Homematic.fritz.box)- ging auch nicht. Wieder zurück…
      Jetzt scheint es zu gehen – aber sehr zögerlich und langsam und mit Unterbrechungen. Obs am fast leeren Akku des Iphone liegt ? oder am Sonderzeichen im Namen des Netzwerkgeräts ? oder habe ich hier einfach schlechten Empfang ? Keine Ahnung. Checke morgen früh nochmal die Lage und gebe euch INfo.
      @Ricardo: die App ist die HomeControl (HC). Habe aber bis jetzt nicht raus bekommen wie die verschiedenen “Zugangsdaten Fernzugriff” zu handhaben sind, wofür diese gut sind und auch keine Anleitung gefunden. hier gibt es drei Eingabemöglichkeiten:
      1. Meine Homematic Zugangsdaten
      hier geht gar nichts. wenn ich meine richtigen Daten eingebe, meldet er immer wieder das eine VPN Verbindung nicht möglich ist. habe aber auch keine Ahnung ob er die ID der CCU oder den System Sicherheitsschlüssel meint. sehr seltsam
      2. Benutzerdefinierter Netzwerkzugang
      überhaupt keine Ahnung was die App hier wissen will
      3. VPN Einstellungen (BETA)
      soweit klar

      schönen Abend noch

  210. Guten Abend Frank
    das hört sich doch schonmal sehr gut an. Natürlich richtet sich deine Geschwindigkeit immer nach der langsamsten Verbindung. Wenn du mit dem iPhone im Wald stehst und nur Edge hast kannst du nicht erwarten, dass alles so schnell ist wie im heimischen WLAN.
    Ich habe auch nach der App geschaut. Die kostet 5€ – sorry, aber da ich keine Verwendung dafür habe lade ich diese auch nicht. Du kannst mir aber gerne Screenshots der Einstellungen zukommen lassen, falls du willst, dass ich es mir mal anschaue.
    Aber egal wie – dadurch wird es mit der Geschwindigkeit nicht besser, denn die richtet sich wie gesagt immer nach der langsamsten Verbindung.

    Wenn ich dich aber richtig verstanden habe, klappt nun alles, oder?

    Freundliche Grüße

    1. Hi Ricardo,
      vielen Dank für deinen Einsatz für mich.
      Gestern Abend war ich schon am verzweifeln und habe dann abgebrochen. Ergebnis heute:
      VPN on demand wird vom iphone aufgebaut. Soweit kann ich das sehen. Leider habe ich hier heute so gut wie kein Netz. Zeigt nur E an. Das reicht wohl nicht um über VPN was zu machen. Dauert ewig bzw. geht gar nicht. Aber VPN wird aufgebaut. Probiere das Heute, Morgen oder … nochmal aus wenn wieder Netz da ist.
      Interessanterweise hatte die FB offensichtlich von selbst bei den System/Benutzern jeweils das untere Häkchen für VPN Zugang rausgenommen. Keine Ahnung wie – bin aber sicher das die Haken vorher gesetzt waren.
      Wg. der App. Sorry, da habe ich nicht dran gedacht. Habe da auch Infos gefunden.
      1. ist für die Anmeldung etc. beim kostenpflichtigen Anbieter myHomematic.de über die man VPN, Pushnachrichten etc. erledigen lassen kann. Nicht interessant für mich.
      2. ist für die Einstellung des Netzwerkzugangs. Offensichtlich kann man hier die Einstellungen vornehmen die man im Handy sonst eingibt.
      3. ist der interessante Teil. Hier soll automatisch eine on-demand-VPN Verbindung auf dem Iphone eingerichtet werden. Frage mich nur, wie die FB die INfos dazu bekommt. Aber das probiere ich bei Gelegenheit mal aus ob das so einfach funktioniert. Wäre technisch ja interessant. M.E. müsste die App dann ja die Einstellungen am Iphone selbständig vornehmen und eine Datei für die FB zur Verfügung stellen…..
      Habe die suport Seiten der App mal angeschrieben. Bin gespannt was die Schreiben und wenn euch das interessiert, trage ich das gerne mal hier ein.

      Also, ich gebe nochmal Info wenn ich mehr weiß. Kann mir nicht vorstellen, dass ich eine VPN on demand habe und die Homematic nicht ansteuern kann. Hat ja vorher bei besserem Netz mit manuellem VPN ZUgang auch funktioniert (Manuel geht momentan auch nicht).
      Dank und Gruß
      Frank

    2. Hi Ricardo,
      nee- geht nicht. Nach wie vor das gleiche. Über den manuellen Zugang der anderen VPN Leitung gehts. über die “on demand” nicht.
      Habe alle Daten in beiden Dateien für Iphone und FB nochmal genau gecheckt. Alles richtig. Habe beide Dateien und Einträge gelöscht und nochmal neu installiert. Ergebnis auch null.
      Dann folgendes:
      1. in den Myfritz freigaben hat die CCU zwei Namen. Einmal Netzwerkgerät (“homematic-ccu2”) und zweitens Bezeichnung (“Homematic”)
      Der Name der Portfreigabe ist wieder ein anderer (“MyFRITZ! Homematic”)
      Habe alle drei mall in die iphone Datei geschrieben und mit “.fritz.box” ergänzt – um auf Nummer sicher zu gehen. Gleiches dann nacheinander In der APP Einstellung “IP-Adresse”. hier alle drei Namen mit und ohne Endung .fritz.box ausprobiert.

      Die FB zeigt mir an, dass beide VPN Kanäle nacheinnander mit ihr verbunden sind. Das geht manuel als auch on demand. Verbindung ist also da – nur komme ich zur Homematic offensichtlich mit der on demand Verbindung nicht durch. bei dem anderen Kanal mit exakt den gleichen Einstellungen zeigt mit die App sofort an wenn ich nur die Terrassentüre öffne. Reagiert also sofort.

      Ist mir schon klar, dass die Versuche mit den Namensänderungen ipAdresse wenig Sinn machen, aber es ging darum alles einfache also zuerst mal aus zu schliessen.

      Ergebnis insgesamt:
      Verbindung über VPN klappt über beide Kanäle – mit oder ohne on demand.
      Der neue Kanal kommt über manuel oder on demand nicht zur Homematic durch obwohl die gleiche Daten eingetragen sind.
      Ergo, müsste der Fehler in einer der beiden Dateien sein. Diese habe ich jetzt x mal gecheckt auf Fehler – keinen gefunden. FB Einstellungen sind bei beiden Kanälen gleich. Keine Ahnung was es jetzt noch sein kann.
      Am wahrscheinlichsten an der Iphone Datei mit dem *.fritz.box, Aber da habe ich alle drei Namensmöglichkeiten ergänzt.

      Mein Latein ist am Ende.

      Wenn du noch was weisst.. gerne. Der VPN Aufbau über die funktion der App geht gar nicht. Vom Support kommt auch keine Info wie das zu handeln ist.

      Dank und Gruß
      Frank

    1. Hallo Lilavirus,
      ich habe damals Peter geholfen das VPN einzurichten. Das war aber nichts spezielles. Haben es genau so gemacht wie es in der Anleitung beschrieben wurde und 5 Minuten später lief alles

      Grüße und viel Erfolg

  211. Hallo zusammen,
    Hier nochmal eine Rückmeldung von mir.
    Habe das zwar mit der VPN on demand mit eurer Hilfe nicht hingekriegt aber das denke ich liegt an der Homematic App. Über deren Support hat es dann geklappt.
    Trotzdem nochmal vielen Dank an euch. Ihr seid super. Werde euch gerne empfehlen. Lasst es euch gutgehen.
    Gruß
    Frank

  212. Moin zusammen!

    Sehr geniale Beschreibung. Danke dafür!

    Ich hatte bisher nur das Standard-VPN über die FritzBox eingerichtet und wollte jetzt endlich mal On-Demand haben.
    Nach ewigem Probieren hab’ ich
    1. erkannt, daß ich an einer Stelle den VPN-Key und das Paßwort verwechselt hatte
    2. den Verbindungsnamen an einer Stelle vergessen gehabt.
    Jetzt klappt alles bestens – bis auf die Verbindung zu meiner FritzBox übers VPN. Mit fritz.box komme ich nicht hin – mit der vorherigen VPN-Verbindung hat’s geklappt. Ich weiß jetzt nicht mehr so recht, wo ich suchen soll – habe auch so ziemlich alle Kommentare hier durchgelesen.

    FritzBox 7490 mit letztem Firmwarestand, iOS 10.3.3

    Schon mal danke und Grüße,
    Didi

    1. Hmm,
      vermutlich schlummert da noch noch irgendwo ein kleiner Fehler, den du übersiehst. Mit dem Vorgehen hier habe ich das VPN On-Deamdn schon mehrfach erfolgreich einrichten können…

  213. Hi,
    meine FritzBox kann die Namen nicht auflösen.
    Z.B. in der FritzBox heisst das gerät nur loxone.
    Im netzwerk ist der Namen nicht auflösbar, weder loxone noch loxone.fritz.box.

    VG

    1. Habe das Problem auch manchmal, wenn die IP des jeweiligen Geräts per DHCP durch die Fritzbox automatisch vergeben wird. Bei manueller IP-Vergabe hatte ich bisher noch keine Schwierigkeiten. Vielleich hilft dir die Info ja weiter…

      Grüße und viel Erfolg
      Jörg

  214. Nach dem iOS 11.2 Update bleibt nun die VPN Verbindung – ohne irgendein Script – mit den Standardeinstellungen dauerhaft zur Fritzbox verbunden…endlich! 🙂

  215. Hallo Jörg,
    vielen Dank erst mal für die tolle Anleitung!
    ich habe ein Problem womit ich nicht weiterkomme.
    Die VPN Verbindung wird nicht automatisch aufgebaut. Ich muss immer noch unter Einstellung, VPN auf verbinden klicken! “Bei Bedarf verbinden” ist aktiviert.
    Wenn Die VPN Verbindung besteht läuft alles wie gewollt.
    Das Update vom 19.09.2015 habe ich berücksichtigt.
    Leider habe ich von der Materie nicht viel Ahnung und weis nicht wo ich ansetzen kann um den Fehler zu finden.

    Tobias

    1. Hi Tobias,
      echt gute Frage. Habe das jetzt schon recht oft genau so wie hier beschrieben umgesetzt. Bisher immer mit Erfolg. Wo es bei dir hakt, kann ich deshalb leider nicht wirklich sagen. Schon komisch, gerade wenn das manuelle Verbindung klappt. Mal ne blöde Frage: Hast du einmal mal nen Neustart von Fritzbox und iPhone gemacht?

      Grüße
      Jörg

    1. hallo jörg,
      danke für die antwort. habe jetzt mehrmals die dateien kontrolliert mit meinen persönlichen angaben. habe auch wie beschrieben das Profil einmal manuel aktiviert. wenn ich dann eine ip aus meinem netztwerk öffnen will über safari wird leider nicht automatisch einen vpn verbindung geöffnet.
      wenn ich die das vpn profil manuel aktiviere funktioniert meine Anwendung.

      ich weiß nicht mehr wo noch ein fehler sein könnte, hast du noch einen typ für mich?
      lg
      ralph

    2. hi jörg,

      hatte ganz übersehen dass davor jemand schon die gleiche frage gestellt hat.
      habe die fritz-box und das iphone neu gestartet ohne änderung. zwischenzeitig habe ich noch mal eine neue vpn client eingerichtet nach der vorlage von “iphone-ticker.de”.
      auch dieses script funktioniert leider nicht. manuel funktioniert deine wie auch die andere anleitung.
      bin echt am ende mit meinem wissen und stelle mir gerade die frage ob “apfel” da wieder was an den richtlinien geändert hat.
      lg
      ralph

    3. Hi Ralph,
      mit den IP-Adressen funktioniert es nicht mehr, wie im Blogpost beschrieben. Stattdessen musst du den Bereich im Script anpssen und statt den IP-Adressen “fritz.box” eintragen (ohne Anführungszeichen). Wenn du dann ausserhalb deines W-Lan auf ein in der Fritzbox angemeldetes Gerät im Format geraetename.fritz.box zugreifst, wird das VPN-On-Demand-Profil automatisch zum Verbindungsaufbau genutzt. Habe ich erst wieder vor ein paar Tagen mit einem neuen iPad und iOS 12 erfolgreich eingerichtet.

      Grüße und viel Erfolg
      Jörg

    4. Hallo Ralph
      also ich habe bei der Erstellung des Skriptes schon einigen Leuten geholfen und erst gestern wieder eins für mich erstellt, da ich den Router gewechselt habe und nun keine FB mehr besitze. Dort war es etwas komplizierter, aber dennoch funktioniert die Lösung.
      Auch wenn du das jetzt vermutlich nicht gerne hören wirst, aber der Fehler liegt vermutlich an dir.
      Das XML reagiert extrem empfindlich und es kann sehr gut sein, dass selbst der kleinste Fehler dazu führt, dass nicht das gewünschte Ergebnis eintritt.
      (Das habe ich auch schon in einem Kommentar am August 16th, 2016 geschrieben)
      Gehe einfach noch einmal Zeile für Zeile den Code durch.
      Falls dies nicht klappen sollte kann ich es mir gerne mal anschauen.

    5. Hallo nochmal.
      Ich habe nicht gesehen, dass du direkt vor mir einen Beitrag verfasst hast.
      Ich glaube ich muss dich aber etwas korrigieren, Jörg.
      Soweit ich weiß kann man mit dem Eintrag “fritz.box” tatsächlich nur die Fritzbox erreichen. Korrekt wäre “*.fritz.box”. Der Stern ist das wichtige hierbei, weil er für alle gerätenamen im Netzwerk steht. Dann sollte man in der Tat über den gerätenamen wie er in der FB auftaucht und dem zusatz eine VPN verbindung aufbauen können
      Also bspw. diskstation.fritz.box

  216. hallo zusammen,
    wie ich schon geschrieben habe funktioniert der verbindungsaufbau manuel, ich kann auch auf den server zugreifen sowie die web applikation (port 8081). bei den einstellungen steht übrigens “fritz.box”.
    die Problematik mit dem automatischem verbindungsaufbau muss sich bei mir anderswo eingeschlichen haben. inzwischen habe ich das skript bestimmt sieben mal neu zusammen gestellt. wahrscheinlich ist da von mir was nicht verstanden worden und mache immer wieder den gleichen fehler, schreibfehler schließe ich jetzt mal aus bei sieben versuchen ….
    leider kann ich hier keine bilder posten, sonst würde ich von meinem skripten mal ein bild posten …. aber vielleicht ist ja einer von euch so lieb und sieht sich mein skript mal an.

    lg
    ralph

    1. Hallo Ralf
      Klar, ich kann mir die Datei gerne mal anschauen.
      Da ich hier eine E-Mail hinterlege kann der Admin sie dir sicherlich zukommen lassen. Das hat bei einem anderen auch schon geklappt.
      Sobald du diese hast kannst du mir ja privat eine Mail schreiben

      * Danke an den admin für die Weiterleitung! 🙂

  217. Hallo Ricardo,
    Guten Abend,
    ich hätte gern die Lösung von “Peter 3.März 17” erfahren, da ich die gleiche Ausgangslage besitze ?

    Hallo Lilavirus,
    ich habe damals Peter geholfen das VPN einzurichten. Das war aber nichts spezielles. Haben es genau so gemacht wie es in der Anleitung beschrieben wurde und 5 Minuten später lief alles

    …so nun bin ich soweit und möchte es angehen…könntest Du mich dabei unterstützen Ricardo?

    Günstig wäre es über privat zu kommunizieren da ich Null Ahnung habe.

  218. Hallo Lilavirus
    Ja, ich bin noch hier. Klar, du kannst mich gerne kontaktieren. Dazu soll Jörn mir einfach deine Adresse geben oder anders herum. Mir ist das egal.
    Mittlerweile habe ich zwar auch keine Fritzbox mehr weil ich 2017 umgestiegen bin, aber ich denke wir bekommen das dennoch hin. Ein Template das funktioniert müsste ich noch i-wo abgelegt haben.
    Viele Grüße

    1. Hallo
      Das liegt nicht an mir, jetzt muss Jörn aktiv werden. Ich kann deine Adresse nämlich nicht so ohne weiteres sehen.
      Sollte er sich nicht melden können wir auch ein Zeitfenster ausmachen wo ich eine temporäre Mailadresse erstelle, die wir für den Erstkontakt verwenden können.
      Viele Grüße

    1. Hallo Lilavirus,
      auch hier kann ich dir nur sagen, dass sich Jörg melden muss um einem von uns die Kontaktdaten des anderen zukommen zu lassen.
      Ich denke am Ende wird es auf eine TeamViewer Session hinaus laufen.

      Viele Grüße
      Ricardo

  219. Hi Zusammen,
    habt ihr mittlerweile rausfinden können woran das mit dem Autoconnect liegt?
    Bekomme den manuellen Connect einwandfrei hin, aber autoconnect vom iPhone aus funktioniert leider nicht..

    Danke und Gruß,

    Claus

    1. Hallo Claus
      es liegt an dem fehlerhaften Script. Es ist einfach bei jedem so dem ich helfe. Vermutlich wurde die XML Struktur nicht genau eingehalten oder es fehlt eine Information.
      Viele Grüße

  220. Hi Ricardo,

    danke für die Info!
    Ich gehe davon aus, dass es an der cfg fürs iPhone liegt da die ja das auto connect auslöst?

    Ich habe nun nochmal die Dateien die im Blog zum Download stehen mit meinen vergleichen. Bis auf die Werte an sich (Key, SSID, usw.) sind die Dateien identisch.
    Wenn es also an der Config liegt, passen die Ursprungsdateien schon nicht.
    Kannst Du mir zum Vergleich eine funktionierende Config zuschicken (natürlich ohne die richtigen Werte)?

    Danke und Gruß,

    Claus

    1. Hi Claus,
      ich hab die hier hochgeladenen Dateien schon x mal erfolgreich bei Freunden verwendet. Am besten erstmal versuchen, ob die VPN-Verbindung manuell aufgebaut werden kann… Vielleicht ist die DNS-Adresse schon falsch…

    2. Hallo Claus
      ich habe mir eigene Templatedateien erstellt die ich verteile (mit kommentaren) und nachdem ich mit den Leuten gesprochen habe hat es danach immer funktioniert (insofern die Daten richtig eingegeben wurden).
      Gerne kann ich es dir zukommen lassen. Dafür müsste mir der Admin aber deine Adresse zukommen lassen
      @Jörg – du bist wieder am Zug 😉

      Viele Grüße

    3. Wenn ich dir ne Mail schicken will, erhalte ich eine Fehlermail mit “Der Posteingang des Empfängers ist voll”.

      Grüße
      Jörg

    4. Hi Jörg

      manuelle Verbindung funktioniert einwandfrei. Daher bin ich ja so ratlos..
      Habe Ricardo eine Mail gesendet, danke Dir!

  221. Hi Jörg,

    mit Namen.fritz.box komme ich auf alle Geräte im Netzwerk. Allerdings würde mich interessieren, woher die App weiß, dass sie statt der IP den Namen verwenden soll? Muss das in der App irgendwo konfiguriert werden bzw. in der Loxone Config?

    Danke und Gruß,

    Claus

    1. Hallo ihr beiden
      sorry, über die Weihnachtsfeiertage ist mein Spamfach wohl übergelaufen. Ab jetzt kann ich auch wieder Mails empfangen. Also @Claus, bitte nochmal eine schreiben. ich melde mich dann bei dir
      Sorry für die Umstände
      Viele Grüße

    2. Hi zusammen,

      habe Ricardos Skript installiert. Wenn ich im Smartphone-Browser fritz.box eingebe funktioniert der Autoconnect nun wie gedacht automatisch!

      Mit der Loxone App funktioniert es allerdings leider nach wie vor nicht.
      Ich habe den Server auch mal entfernt und neu nur mit Name.Fritz.Box ohne IP eingefügt, das bringt aber nichts. Er zieht sich dann die IP und es funktioniert wieder nicht. Ich verwende die aktuelle iOS Version.

      Habt Ihr eine Idee wie ich das Lösen kann?

      Danke und Gruß,

      Claus

    3. Hallo Claus
      So ganz verstehe ich dein Problem noch nicht. Ich versuche es aber noch einmal zu erklären.

      Action
      EvaluateConnection
      ActionParameters

      Domains

      *.local
      *.fritz.box
      fritz.box

      DomainAction
      ConnectIfNeeded

      Bei diesem Part gibst du an wo genau das VPN aktiviert werden soll (in dem Domains Array). Hier kann man seit einer bestimmten iOS Version (ich meine es war 9) keine IPs mehr eintragen. Deshalb wird das mit *.fritz.box gelöst. Das bedeutet egal was vor dem .fritz.box steht wird eine VPN Verbindung aufbauen.

      Wenn du sagst, dass es funktioniert sobald du im Browser fritz.box eingibst ist das ja schonmal top.

      Dann vermute ich, dass du dich in der App vielleicht noch die IP des Servers eingetragen hast und nicht den DNS namen wie beispielsweise Loxone.fritz.box. Solange du noch mit IPs arbeitest wird es nicht automatisch funktionieren.

      Viele Grüße
      Ricardo

  222. Hi Ricardo,

    hab die Lösung im Loxone Kurs gefunden, hatte ich damals beim ersten Durchgang gar nicht gesehen 🙂
    Danke Dir trotzdem!

    Gruß,

    Claus

  223. Hallo,
    vielen Dank erst mal für die Anleitungen…
    Also, ich habe das Profil runtergeladen und auf dem iPhone installiert. Hat auch geklappt. Leider funktioniert „Bei Bedarf verbinden“ nicht.
    Es ist alles so, wie bei der manuellen VPN Installation. Man muss immer manuell einschalten. Nach einiger Zeit wird die Verbindung abgebrochen aber nicht wieder aufgebaut.
    Was kann das sein?
    Danke
    Gruß

    Holger

    1. Hallo Holger
      wenn ich es richtig verstehe hast du genau das selbe Problem wie
      Claus am Dezember 31st, 2019, oder?
      Es war wie ich bereits geschrieben habe: Ein Fehler in der Config Datei. XML ist einfach super empfindlich – ein Fehler (falsche Klammer oder was auch immer) und schon geht nichts mehr. Ich habe wirklich schon vielen Leuten hier geholfen und es war immer genau das. Daher kann ich dir nur den Rat geben das Skript noch einmal ganz genau durch zu gehen und den Fehler zu finden. Wenn es nicht klappt kann ich dir gerne mein Template zukommen lassen. Da sind auch Kommentare dabei.
      @Jörg: Könnte man das hier vielleicht veröffentlichen? Mittlerweile haben ja echt schon einige angefragt.

      Viele Grüße und viel Erfolg
      Ricardo

  224. Hallo,
    vielen Dank für das Skript und die Erläuterungen. Ich habe das für mich angepasst und es läuft prima.
    Gern würde ich das Skript aber so erweitern, dass die VPN-On-Demand-Verbindung auch im Mobilfunknetz anspringt (Hintergrund ist, dass ich eine App – AIO Remote – nutze, die nur über eine VPN-Verbindung funktioniert. Also hätte ich gern, dass auch Mobilfunkverbindungen über den On-Demand-Zugang laufen.
    Ich habe den folgenden Code-Schnipsel eingefügt:

    Action
    Connect
    InterfaceTypeMatch
    Cellular

    Action
    Disconnect

    Dennoch kommt keine automatische VPN-Verbindung im Mobilfunknetz zustande.
    Hast Du einen Hinweis, woran es liegen könnte?
    Vielen Dank schon jetzt.

    1. Hallo Markus,
      ich glaube du hast da was falsch verstanden oder noch nicht richtig konfiguriert.
      Bei dem Bild ganz oben ( https://meintechblog.de/wordpress/wp-content/uploads/2015/02/iPhone-VPNONDEMAND-Oehringen.jpg ) ist ein schwarzer Kasten in dem die IPs eingetragen sind. Das geht ja mittlerweile nicht mehr und man muss die namen DNSnamen eintragen. Also sowas wie “nas.fritz.box” oder wie auch immer.
      Wenn du alles richtig gemacht hast, dann wir das VPN auch im Mobilfunknetz automatisch aktiviert sobald du diese Adresse aufrufst.
      Es macht ja mobil keinen Sinn permanentes VPN zu haben (es sei denn du nutzt so etwas wie PiHole etc), daher ist das temporäre VPN richtig.

  225. Hallo Ricardo,
    vielen Dank für die schnelle Rückmeldung. Das mit den DNS-Namen ist mir klar. Die Sache funktioniert bei mir ja auch in fremden WLAN-Netzen problemlos. Ich möchte die VPN-Aktivierung aber wie beschrieben auch in Mobilfunknetz, weil tatsächlich ohne VPN zur Fritzbox eine bestimmte App nicht funktioniert.
    Ich habe mal ein Bild hochgeladen, auf dem meine Konfiguration zu sehen ist: https://www.dropbox.com/s/3210gww132yvq6e/2020-05-12%2017_14_09-SuperEdi%20-%20%5Bvpn7.mobileconfig%5D-.png?dl=0

    Der grün umrandete Block enthält wenn ich das richtig verstanden habe den Befehl für die Wifi-Einschaltung. Diesen Block habe ich quasi dupliziert und “WiFi” durch “Cellular” ersetzt (roter Block). Da in fremden WLANs die automatische Aktivierung funktioniert, scheint der grüne Block zu funktionieren.
    Hast Du aber eine Erklärung, warum der rote Block nicht ausgeführt wird? Muss ich ihn an eine andere Stelle verschieben? Oder wird an anderer Stelle im Skript noch ein Verweis benötigt?
    Vielen Dank schon jetzt dafür, dass Du mal drüberschaust!

  226. Hallo allerseits,
    ich glaube, mein Problem selbst gelöst zu haben. Hier meine Erkenntnisse für die Allgemeinheit (falls jemals nochmals diese Problemstellung haben sollte):
    Es war fehlerhaft, den gesamten Code-Schnipsel zu duplizieren bzw. zu ergänzen.
    Erforderlich ist es, wieder einen Array zu bilden: https://www.dropbox.com/s/sq95it4gwkxaf0t/2020-05-12%2017_53_25-SuperEdi%20-%20%5Bvpn8.mobileconfig%5D.png?dl=0

    In diesen Array ergänzt man neben dem String “WiFi” den String “Cellular”, dann wird er auch korrekt abgearbeitet. Zweimal den kompletten Befehl mag der Apfel scheinbar nicht.
    Also mein Problem ist damit gelöst und da VPN bei mir nun auch im Mobilfunknetz aufgebaut wird, greift meine App (AIO Remote) nun auch aus dem Mobilfunknetz auf die FritzBox zu. Bin insoweit glücklich.
    Vielen Dank Ricardo und vielen Dank den Betreibern der Seite für die vielen nützlichen Tipps!

  227. Hallo Jörg,

    vielen Dank für Deine Anleitung. Die Konfigurationen klappen prima, manuell und auch on demand im Safari-Browser. Leider meldet sich die Loxone-App nicht automatisch in der VPN an. Habe nun schon die DNS Adressen eingetragen, leider ohne Erfolg.

    Hast Du ne Idee, die ich hier überlesen habe? (iOS 13.6.1, iPhone 8)

    Beste Grüße, Tom

    1. Hallo Tom
      also IPs kannst du in den Apps nicht verwenden, aber du schreibst ja schon, dass du die DNS adresse eingegeben hast.
      Hast du das auch in der Datei berücksichtigt? Du kannst entweder explizit die DNS adresse eintragen, oder eben mit “*” arbeiten.
      Ist das gemacht?
      Also wenn beispielsweise dein gerät den Eintrag “loxone.fritz.box” hat, dann muss eben genau diese Adresse in die Datei oder halt *.fritz.box

      Viele Grüße

  228. Hallo Ricardo,

    vielen Dank für Deine schnelle Rückmeldung und entschuldige bitte, dass ich erst jetzt antworte.

    Ich habe die DNS Adressen nun gelöscht und durch *.fritz.box ersetzt. Gleiches Spiel. Kein automatisches Aufbauen der VPN bei Öffnen der App. Nur über die DNS Adresse im Safari Browser.

    Muss ich in der Loxone App noch etwas ändern?

    Beste Grüße, Tom

  229. Hallo!
    Irgendwie bin ich zu dusselig, dass ganze zum Laufen zu bekommen.
    Iphone 6s plus mit iOS 14.4.1

    Die Anleitung ist super geschrieben, aber es klappt nicht. 🙁

    Ich habe irgendwie immer das falsche Passwort, welches zur Installation am iPhone benötige.
    Ich habe alle Passwörter ausprobiert, keins wird vom iPhone zur Installation akzeptiert.

    1. Hallo Erik
      Interessant, dass du dieses Phänomen hast. Ich habe seit ein paar Monaten genau das selbe Problem, mich aber noch nicht damit befasst, weil ich dachte ich hätte ein Fehler in der Datei.
      Wenn du das Problem aber auch hast geht das nun vielleicht nicht mehr mit der iOS Version
      @Jörg: weißt du da was?
      Viele Grüße

    2. Hi ihr beiden!
      Gerade mal mit der neuesten iOS-Version getestet. VPN-Profil lässt sich 1a installieren. Der “Code”, der vom iPhone vor der Installation des VPN-Profils abgefragt wird, ist schlicht der Entsperrcode vom iPhone selbst – hat an dieser Stelle also noch nichts mit dem VPN-Passwort o.Ä. zu tun. Vielleicht hilft euch das ja…

      Viele Grüße
      Jörg

  230. Danke Jörg,
    hat auch fast auf Anhieb geklappt mit der VPN.
    gescheitert war ich anfangs mit deinpersoenlicherkey und deinpersoenlichespasswort:-)
    aber läuft unter IOS 15.0.2

  231. und dann gleich die nächste frage:-)
    trage ich in de loxone app den dnsnamen des miniservers ein funktioniert die vpn genau 1 x
    dann steht in der app wieder die ip des miniservers und vpn geht nicht mehr auf.
    alle anderen geräte funktionieren wenn ich die mit dem dns namen anspreche.
    nur loxone app hat beim zweiten start wieder ip drinne

    1. Huch,
      kommt jetzt etwas zeitverzögert meine Antwort – aber besser spät als nie… 😀

      In der Loxone Config wird beim Miniserver als “Externe Adresse” einfach “namedesminiservers.fritz.box” eingetragen. In Meinem Fall “hall.fritz.box”, da unter “Bezeichnung” “Hall” (eben der Name des Miniservers) eingetragen ist.

      Wenn die Loxone App auf dem Smartphone dann einmal neu lädt und die neuen Settings erhält, klappt es auch mit dem automatischen Aufbau des VPN…

      Viele Grüße
      Jörg

    1. Naja,
      schwierig ist es ja nicht so wirklich. Sind halt einige Schritte, um ans Ziel zu gelangen. Nutze die oben vorgestellte Variante aber immer noch ohne jedes Problem. Und mittlerweile ist die Lösung auch im Freundeskreis zum Standard geworden. 🙂

    2. Ja, gibt es. Ich hatte auch immer schwierigkeiten mit der Anleitung.

      Im neusten Fritz-Box ist es super einfach über Wireguard einzurichten, per QR-Code.

  232. Hallo und vielen Dank für den Code. Ich weiß es ist schon einige Zeit vergangen.
    Bin aber erst durch meine Suche darauf aufmerksam geworden.
    Gibt es eine Möglichkeit die VPN Verbindung durch eine APP zu starten?
    ZB. für mein NAS DSM Mobile oder IOBroker.
    viele Grüße Heiko

  233. Ich krieg das nicht hin, das es mit WireGuard nur eine Verbindung aufbaut, wenn sie wirklich benötigt wird.
    Es wird mir immer oder nie eine VPN Verbindung aufgebaut.
    Bei mir läuft immer noch das oben beschriebene.

    1. Wieso willst du “nur eine Verbindung aufbauen, wenn sie benötigt wird”? Wer oder was entscheidet das? Und wieso ist es ein Problem, eine Wireguard-Verbindung einfach offenzuhalten? die paar Pakete pro Minute stören nun wirklich niemanden, und selbst die braucht man nur mit dynamischer IP-Adresse.

  234. Das ist erst einmal generell richtig.
    Aber der gesamte Beitrag geht doch eigentlich darum, das VPN bei bestimmten Situationen einzuschalten und bei anderen eben nicht.
    Ich für meinen Fall möchte aus diversen Gründen auch nicht das es permanent eingeschaltet ist. Hinzu kommt eine Teilweise schlechte Verbindung, wo es sowieso getrennt wird.

    1. Halte das für grundsätzlich total unkritisch.

      Manche Apps (z.B. Loxone) bauen bei mir automatisch eine VPN-Verbindung nach Hause auf – und dann bleibt die Verbindung eben eine gewisse Zeit lang aufgebaut. Wenn das Handy dann wieder im Standby ist, wird die Verbindung auch wieder automatisch gekappt, sofern der Zugriff nicht mehr benötigt wird.

      Und beim nächsten automatischen Verbindungsaufbau beim öffnen der Apps, die das VPN triggern, geht der Spaß wieder von vorne los…

      Wirklich “permanent” bleibt die Verbindung also nur dann aufgebaut, wenn sie benötigt wird bzw. das Mobilfunknetz es verbindungstechnisch zulässt. Bei schlechtem Empfang wird die Verbindung sowieso relativ schnell gekappt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Das könnte dir auch gefallen