Probleme mit Erstellung iOS mobileconfig für openVPN

Status
Für weitere Antworten geschlossen.

Diablo_Vmax1200

Benutzer
Mitglied seit
30. Nov 2017
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

ich habe problemlos mit der openVPN App eine Verbindung mit meinem Synology Server herstellen können. Nun möchte ich aber die VPN on demand Option nutzen und muss daher ein mobileconfig File erstellen.

Hier habe ich das Problem, dass dieses nicht funktioniert. Hat jemand eine Idee woran es liegt?

Config File
Rich (BBCode):
dev tun
tls-client
remote DOMAIN PORT
redirect-gateway def1
dhcp-option DNS 192.168.1.1
pull
proto tcp-client
script-security 2
comp-lzo
reneg-sec 0
cipher BF-CBC
auth SHA1
auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
xxxxxx
-----END CERTIFICATE-----
</ca>

und hier das zugehörige von mir erstellte und nicht funktionierende mobileconfig File. Noch ohne VPN on demand
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>ConsentText</key>
<dict>
<key>default</key>
<string>VPN on Demand Zugang zum Heimnetz.</string>
</dict>
<key>PayloadContent</key>
<array>
<dict>
<key>IPv4</key>
<dict>
<key>OverridePrimary</key>
<integer>0</integer>
</dict>
<key>PayloadDescription</key>
<string>VPN-Einstellungen konfigurieren</string>
<key>PayloadDisplayName</key>
<string>VPN</string>
<key>PayloadIdentifier</key>
<string>com.apple.vpn.managed.60286514-CFAF-49EE-9FAF-5339F56F92C5</string>
<key>PayloadType</key>
<string>com.apple.vpn.managed</string>
<key>PayloadUUID</key>
<string>60286514-CFAF-49EE-9FAF-5339F56F92C5</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>Proxies</key>
<dict>
<key>HTTPEnable</key>
<integer>0</integer>
<key>HTTPSEnable</key>
<integer>0</integer>
</dict>
<key>UserDefinedName</key>
<string>Heim VPN</string>
<key>VPN</key>
<dict>
<key>AuthName</key>
<string>hoimelig</string>
<key>AuthenticationMethod</key>
<string>Password</string>
<key>DisconnectOnIdle</key>
<integer>0</integer>
<key>OnDemandEnabled</key>
<integer>1</integer>
<key>RemoteAddress</key>
<string>firtz.box</string>
</dict>
<key>VPNSubType</key>
<string>net.openvpn.OpenVPN-Connect.vpnplugin</string>
<key>VPNType</key>
<string>VPN</string>
<key>VendorConfig</key>
<dict>
<key>auth</key>
<string>SHA1</string>
<key>auth-user-pass</key>
<string>USERNAME\nPASSWORD</string>
<key>ca</key>
<string>-----BEGIN CERTIFICATE-----\nxxxx\n-----END CERTIFICATE-----\n</string>
<key>cipher</key>
<string>BF-CBC</string>
<key>comp-lzo</key>
<string>NOARGS</string>
<key>dev</key>
<string>tun</string>
<key>dhcp-option</key>
<string>DNS 192.168.1.1</string>
<key>nobind</key>
<string>NOARGS</string>
<key>persist-key</key>
<string>NOARGS</string>
<key>persist-tun</key>
<string>NOARGS</string>
<key>proto</key>
<string>tcp-client</string>
<key>pull</key>
<string>NOARGS</string>
<key>remote</key>
<string>DOMAIN PORT</string>
<key>reneg-sec</key>
<string>0</string>
<key>resolv-retry</key>
<string>infinite</string>
<key>script-security</key>
<string>2</string>
</dict>
</dict>
</array>
<key>PayloadDisplayName</key>
<string>Hoimelig VPN Zugang</string>
<key>PayloadIdentifier</key>
<string>Michaels-MacBook-Pro.D5436157-FBB2-470E-A0A9-B8BDDBCFFED7</string>
<key>PayloadRemovalDisallowed</key>
<false/>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadUUID</key>
<string>04C0ED19-90B4-4108-A75E-A05FE659F342</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</plist>

Wäre schön wenn jemand mir sagen könnte was ich noch anders machen könnte.
Danke!

Viele Grüße
Michael
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Hey, gibt es irgendwelche Logs?
Nachdem die OpenVPN generell ja klappt, wahrscheinlich mit der openVPN App (?), liegt es dann wohl am VPN on demand.

Ggf. einfach mal in den Logs schauen bzw. bietet das Iphone dafür ein Diagnosetool soweit ich das noch im Kopf habe.
Wenn du bis zum OpenVPN Server kommst, die Konfig aber noch fehlerhaft ist, sollte im Serverlog schon stehen, warum die Verbindung nicht aufgebaut wurde.
Kommst du gar nicht bis zum Server, musst du dir am Client die Logs ansehen, bzw. überlegen, was bzw. wo die Probleme davor sein könnten (wobei das anscheinend ja schon klappt).
 

Diablo_Vmax1200

Benutzer
Mitglied seit
30. Nov 2017
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Hi,

Danke mit dem "Apple Configurator 2" kann man tatsächlich die Ausgabe auf der Konsole sehen:

Dec 6 21:14:35 iPhone Preferences(VPNPreferences)[303] <Notice>: +[VPNBundleController networkingIsDisabled]: Airplane mode: 0, WiFi Enabled: 1
Dec 6 21:14:35 iPhone nesessionmanager(NetworkExtension)[186] <Notice>: -[NESMSession handleCommand:fr:393 NESMVPNSession[Hoimelig VPN:6A6D7F23-4F2C-4ED8-9F89-ED16FE57975E]: Received a start command from Preferences[303]
Dec 6 21:14:35 iPhone nesessionmanager(NetworkExtension)[186] <Notice>: -[NESMSession setStatus:]:755 NESMVPNSession[Hoimelig VPN:6A6D7F23-4F2C-4ED8-9F89-ED16FE57975E]: status changed to connecting
Dec 6 21:14:35 iPhone neagent[311] <Notice>: VPNTunnelInit
Dec 6 21:14:35 iPhone neagent[311] <Notice>: VPNTunnelInit: tun sock=4
Dec 6 21:14:35 iPhone neagent[311] <Notice>: VPNTunnelInit: Service ID = 6A6D7F23-4F2C-4ED8-9F89-ED16FE57975E
Dec 6 21:14:35 iPhone neagent[311] <Notice>: OpenVPNCoreThread service_id=6A6D7F23-4F2C-4ED8-9F89-ED16FE57975E tun_sock=4
Dec 6 21:14:35 iPhone neagent[311] <Notice>: VPNTunnelConnect
Dec 6 21:14:35 iPhone neagent[311] <Notice>: VPNTunnelConnect: OpenVPN VoD config error: CertificateRef undefined
Dec 6 21:14:35 iPhone neagent[311] <Notice>: OpenVPNCoreThread disconnect
Dec 6 21:14:40 iPhone nesessionmanager(NetworkExtension)[186] <Notice>: -[NESMSession setStatus:]:755 NESMVPNSession[Hoimelig VPN:6A6D7F23-4F2C-4ED8-9F89-ED16FE57975E]: status changed to disconnecting
Dec 6 21:14:40 iPhone neagent[311] <Notice>: VPNTunnelDispose
Dec 6 21:14:40 iPhone neagent[311] <Notice>: OpenVPNCoreThread destructor
Dec 6 21:14:40 iPhone nesessionmanager(NetworkExtension)[186] <Notice>: -[NESMSession setStatus:]:753 NESMVPNSession[Hoimelig VPN:6A6D7F23-4F2C-4ED8-9F89-ED16FE57975E]: status changed to disconnected, last stop reason Plugin initiated

Es fehlt laut dem openVPN Forum ein [FONT=&quot]PKCS#12 file[/FONT] Re: VPN-On-Demand configuration error: CertificateRef undefi :
[FONT=&quot]For VPN-On-Demand (VoD) connections, [/FONT]CertificateRef undefined[FONT=&quot] means that the VoD profile is missing a bundled certificate/private-key. When making a VoD profile, be sure to bundle a PKCS#12 file with client certificate and key.[/FONT]

[FONT=&quot]James[/FONT]

Ist nur die Frage wie komme ich solch ein File? Die Diskstation bietet es nicht im VPN Konfig Paket mit an dort gibt es lediglich ein "ca.crt" was wohl aber etwas anderes ist.

Ich habe auch mal alternativ mit der Option ohne OnDemandEnabled versucht:
<key>OnDemandEnabled</key>
<integer>0</integer>

Das brachte auch keine Besserung - macht ja eigentlich keinen Sinn. Ich dachte nur ob eventuell iOS bei OnDemand diese File haben möchte.


Noch etwas Suche brachte diese Info: http://www.nw-software.com/2013/01/ios-vpn-on-demand-vod-mittels-openvpn/

Wenn ich das richtig verstehe komme ich um dieses File nicht herum. Wie bringe ich nun den VPN Server auf der Diskstation dazu das File zu erzeugen. So wie ich es verstehe ich die eingerichtete Verschlüsselung so wie diese aktuell ist auch schwächer als das was man heutzutage so macht.

Hast du eventuell einen Tipp?

Viele Grüße
Michael
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Hey, sorry für die späte Antwort. Viel los so kurz vor den Feiertagen.

Naja, das mit den PKCS#12 Dateien und anderer Verschlüsselung ist nicht so schwierig.
Ich betreibe meine Syno auch mit Openvpn und Client Certs.

Hier ist die Anleitung dazu ;)
 

Diablo_Vmax1200

Benutzer
Mitglied seit
30. Nov 2017
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Hi,

danke! Werde ich mir gleich die Tage mal ansehen!

Grüße
Michael
 

AgentMax

Benutzer
Mitglied seit
20. Apr 2013
Beiträge
48
Punkte für Reaktionen
0
Punkte
0
Zuletzt bearbeitet von einem Moderator:

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Das mit pkcs12 läuft etwas anders.
Jaleider hat meine Anleitung den Foren-Verschiebe-Threads etc. Nicht überstanden.

Daher kann ich dich nur aufs englische Syno Forum verweisen, dort findest du im vpn Server Subforum die Anleitung
 

AgentMax

Benutzer
Mitglied seit
20. Apr 2013
Beiträge
48
Punkte für Reaktionen
0
Punkte
0
Puh. Komplizierter als gedacht. Ich wollte damit einfach probieren ob die VPN Abstürze bei dauerhafter Verbindung per IPsec weg sind. Denn sobald ich die dauerhafte Verbindung per Profil auf dem iPhone aktiviere geht nach ein paar Minuten kein Traffic mehr durch und das iPhone versucht dauerhaft neu zu verbinden was nicht funktioniert. Dachte es liegt eventuell am Protokoll.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat