Wie verwende ich openVPN auf iOS?

[Busta2]

Ich habe mich gerade durch die Threads zum Thema openVPN mit der iOS-App gearbeitet und stehe jetzt vor dem Problem, dass die Aussagen da teilweise widersprüchlich sind, da Synology anscheinend etwas am DSM verändert hat, damit man die openVPN iOS App leichter verwenden kann. Was ist denn die momentan beste Lösung um openVPN unter iOS einzurichten?

Es wäre sicher für sehr viele hilfreich, wenn jemand mit Ahnung das dann auch ins Wiki schreiben könnte oder als Wichtig markieren. Vielen Dank euch.

 

[Steini]

Von OpenVPN lass' am besten die Finger (aus verschiedenen Gründen). Richte dir auf der Synology das Paket "VPN-Server" mit der Option "L2TP/IPSec" ein, dann bist du sorglos unterwegs. Auf dem iPhone selbst brauchst du keine externe App: Eine VPN-Verbindung lässt sich mit Bordmitteln erstellen. Du benötigst außerdem einen DynDNS-Provider - habe mich für die Synology-eigene Lösung entschieden, damit fahre ich bis dato am besten.

Im VPN-Server musst du zuvor einem User die Rechte zur Nutzung (Privileg) erteilen. Dann geht's ans Eingemachte:

• Als dynamische Adresse wählst du einen unbelegten Adressbereich, damit Clients eine freie IP zugewiesen werden kann. 10.2.0.0/16 wäre eine Option.
• Maximale Anzahl an Verbindungen bleibt dir überlassen, bedeutet: Wie viele Clients dürfen sich gleichzeitig zu deinem VPN-Server verbinden.
• MS-CHAP2 als IdentCheck einstellen.
• MTU belässt du auf dem eingestellten Wert.
• Manuelles DNS besteht aus den ersten drei Oktetts, mit denen du dein NAS aus dem internen Netz ansprichst plus der 1 als Viertes.
• Als Schlüssel gibst du eine frei wählbare Zeichenkette ein (je länger, umso besser).
• Übernehmen und fertig.

Kommen wir zum iPhone:

• Zu "Einstellungen > Allgemein > VPN > VPN hinzufügen" wechseln.
• L2TP auswählen.
• Eine beliebige Beschreibung für die Verbindung eintragen.
• Als Server trägst du die DynDNS-Adresse ein, unter der dein NAS vom Internet zu erreichen ist.
• Unter Account wird der zuvor auf dem NAS von dir privilegierte Benutzername eingetragen.
• Die Option RSA-SecurID bleibt deaktiviert.
• Das Kennwort ist das des privilegierten Users (also das, mit dem er sich auch auf dem NAS anmeldet).
• Das Shared Secret ist der Schlüssel, den du im VPN-Server (Schritt 6 oben) hinterlegt hast.
• Option "Für alle Daten" aktivieren.
• Proxy bleibt deaktiviert.
• Fertig.

Wenn alles korrekt eingetragen wurde, solltest du nun im iPhone eine VPN-Verbindung über dein NAS aufbauen können. Wenn nicht, korrigieren.

Viel Spaß!

 

[Busta2]

Danke für deine Antwort.

"Von OpenVPN lass' am besten die Finger (aus verschiedenen Gründen)."

Allerdings würden mich diese Gründe dann doch interessieren, da openVPN imho den Alternativen zumindest theoretisch überlegen ist.
Ich weiß, wie man ein VPN konfiguriert, auf meinem Mac läuft openVPN problemlos. Probleme habe ich nur bei iOS. (Stimmt, da wären die OpenVPN Alternativen einfacher zu konfigurieren.)

 

[schmadde]

Von OpenVPN lass' am besten die Finger (aus verschiedenen Gründen).

Warum das denn? Ich würde genau das Gegenteil vorschlagen: Lass die Finger von dem proprietären Pseudo-Standard L2TP was ausserhalb M$ und Cisco kaum jemand unterstützt und nimm lieber OpenVPN.

 

[famjak]

@Schmadde. Wenn Du openVPN hier so anpreist (womit Du sicherlich recht hast) dann wäre es schön wenn Du uns erklärst wie man es unter IOS7 einrichtet.
famjak

 

[Steini]

Sooooooooooorry, das lag wohl an der Uhrzeit und dem fehlenden Morgenkaffee. Meinte natürlich PPTP, nicht OpenVPN. Shit! Dennoch behält mein obiger Beitrag Gültigkeit, da es ein Krampf ist, OpenVPN mit den Äpfeln zu "verheiraten".

[...] Lass die Finger von dem proprietären Pseudo-Standard L2TP was ausserhalb M$ und Cisco kaum jemand unterstützt und nimm lieber OpenVPN.

Wie kommst du denn darauf?!

 

[DrHasen]

http://www.synology-forum.de/showth...-nutzen-wollen&p=332499&viewfull=1#post332499

nach dieser Anleitung bin ich vorgegangen....funktioniert.....


sollte es Probleme bei der Verbindung geben, kann es an den unterschiedlichen Verschlüsselungsverfahren von Server und Client liegen

http://www.synology-forum.de/showth...S-Client-keine-Verbindung&p=363753#post363753

 

[Busta2]

Danke, ich probiere das morgen gleich mal aus. "Etwas" kompliziert sieht es schon noch aus.. :/

 

[fpo4711]

Hallo,

openVPN hat sogar mehrere Vorteile gegenüber PPTP und L2TP. Das Sicherheitsproblem bei PPTP sollte wohl hinlänglich bekannt sein. Und bei L2TP besteht eine Schwierigkeit beim NAT.

All diese Probleme gibt es bei OpenVPN nicht. Die größte Hürde ist nur der Krampf bei der Einrichtung. Der muß aber nur einmal durchgekaut werden. Mal Simpel ausgedrückt nur die Zertifikatserstellung wie hier beschrieben bzw. ist das auch in dem oben beschriebenen Thread verlinkt. Und danach nur folgende Config für den Clienten nutzen:

dev tun
tls-client
remote deine.ddns.com 1194
pull
proto udp
script-security 2
comp-lzo
reneg-sec 8640000
auth-user-pass
setenv CLIENT_CERT 0

<ca>
-----BEGIN CERTIFICATE-----
.....
-----END CERTIFICATE-----
</ca>

<cert>
-----BEGIN CERTIFICATE-----
.....
-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN RSA PRIVATE KEY-----
.....
-----END RSA PRIVATE KEY-----
</key>

Die Rot markierten Stellen sind anzupassen. Also nur die DDNS-Adresse eingeben und die erstellten Zertifikate reinzukopieren. Und als letzten Schritt noch die erstellten Zertifikate in die passenden Ordner ist ja wie hier bzw. auch oben verlinkt beschrieben.

Und zu guter Letzt die Portfreigabe UDP Port 1194 im Router nicht vergessen.

So klingt das doch halb so tragisch.

Gruß Frank