• Der Fragesteller hat diesen Beitrag als gelöst markiert.
  • Geschlossen

VPN via IPsec und Group Authentication von iPhone zu Internet-Box 2

Cuno
Level 1
1 von 9

Hallo

 

Ich benutze auf meinem iPhone eine App (@Home), die lediglich VPN-Verbindungen vom Typ IPsec mit Group Authentication zulässt und habe dazu VPN wie folgt konfiguriert:

  • Server: mein dynDNS-Name (xxx.internet-box.ch)
  • Account: mein VPN Benutzername
  • Passwort: mein VPN Passwort
  • Gruppenname: mein VPN Benutzername
  • Shared Secret: mein VPN Shared Secret

Ich besitze eine Internet-Box 2 und habe dort VPN und DynDNS aktiviert. Was mich hier irritiert: Bei der Internet-Box 2 kann ich den Verbindungstyp nicht bestimmen und aktuell wird L2TP benutzt. 

 

Leider kann ich damit keine Verbindung zwischen dem iPhone und der Internett-Box 2 herstellen. Was muss ich ändern?

HILFREICHSTE ANTWORT1

Akzeptierte Lösungen
user109
Super User
2 von 9

@Cuno geht nur mit L2TP, sonst anderen Router (die Fritte) oder NAS (Synology) verwenden der IPsec kann.

Knowledge: Netzwerk Allgemein | Telekomunikation | Betriebssysteme| sonstiges
# Wenn ich geholfen habe, könnt ihr mir danken in dem ihr auf den Like klickt #
Knowledge: Netzwerk Allgemein | Telekomunikation | Betriebssysteme| sonstiges
# Wenn ich geholfen habe, könnt ihr mir danken in dem ihr auf den Like klickt #
8 Kommentare 8
user109
Super User
2 von 9

@Cuno geht nur mit L2TP, sonst anderen Router (die Fritte) oder NAS (Synology) verwenden der IPsec kann.

Knowledge: Netzwerk Allgemein | Telekomunikation | Betriebssysteme| sonstiges
# Wenn ich geholfen habe, könnt ihr mir danken in dem ihr auf den Like klickt #
Knowledge: Netzwerk Allgemein | Telekomunikation | Betriebssysteme| sonstiges
# Wenn ich geholfen habe, könnt ihr mir danken in dem ihr auf den Like klickt #
Cuno
Level 1
3 von 9

Hallo user109!

 

Danke für den Tipp.

 

Habe nun - wie empfohlen - ein Synology NAS beschafft.

 

Wie muss ich die beteiligten Komponenten konfigurieren, damit ich folgende Funktionalität erreiche:

- Internet Box 2 (192.168.1.1): Routing von jeglichem Verkehr sowohl im lokalen Netz als auch mit dem Internet  - jedoch mit einer Ausnahme: der VPN-Verkehr soll vom Synology NAS abgewickelt werden soll.

- Synology NAS (192.168.1.2): VPN-Routing (L2TP/IPsec mit Group Authentication) zwischen einer iPhone App (@Home) und einer HomeMatic Zentrale.

- HomeMatic Zentrale (192.168.1.3): gesteuert über die iPhone App (@Home) - sowohl direkt (über WLAN im lokalen Netz) als auch indirekt (über den VPN-Tunnel).

- iPhone (192.168.1.4 resp. beliebige IP-Adresse): mit App (@Home) zur Steuerung der HomeMatic Zentrale.

 

Als Dummy bedanke ich mich im Voraus für eine möglichst vollständige Anleitung.

 

Beste Grüsse,

Cuno

user109
Super User
4 von 9
Knowledge: Netzwerk Allgemein | Telekomunikation | Betriebssysteme| sonstiges
# Wenn ich geholfen habe, könnt ihr mir danken in dem ihr auf den Like klickt #
PowerMac
Super User
5 von 9

Hier scheint mir einiges nicht klar.

Erstens: was für eine App ist dieses @Home? Habe im App Store nichts gefunden, was genau so heisst, aber sehr vieles mit ähnlichem Namen.

Zweitens überrascht es mich, dass du eine L2TP-Verbindung innerhalb einer App definieren sollst. Im iOS ist auf Betriebssystemebene eine VPN-Funktionalität eingebaut, die sich direkt auf den VPN-Server der Internetbox verbinden kann. Diese findet man unter Einstellungen->Allgemein->VPN. Auf der Swisscom-Site findest du auch eine Anleitung zur Einrichtung.

Drittens wird beim Internetbox-VPN L2TP in Kombination mit IPsec eingesetzt, dh. die IB "kann" sehr wohl IPsec. Allein deswegen hättest du kein Synology kaufen müssen.

Da du letzteres aber offenbar bereits getan hast, würde ich dir empfehlen, auf das alternde L2TP/IPsec-VPN zu verzichten und stattdessen OpenVPN zu verwenden.

have you tried turning it off and on again?
have you tried turning it off and on again?
Cuno
Level 1
6 von 9

Hallo PowerMac

 

Danke für deinen Input. Gerne beantworte ich dir deine Fragen in der Hoffnung, dass du mir danach helfen kannst:

  1. Die @Home-App ist im App Store  aktuell nicht verfügbar, wie auf der Webseite des Entwicklers (http://www.athomeapp.de) informiert wird.
  2. Die @Home-App nutzt die VPN-Funktionalität des iOS, stellt jedoch in der App ein Frontend zur Verfügung, um die Verbindung zu definieren. Meines Wissens ist es bei dieser App nicht möglich, eine bereits direkt im iOS definierte VPN-Verbindung auszuwählen oder in der App einen anderen VPN-Typ als "IPsec" zu definieren. Bisher bin ich davon ausgegangen, dass mit "IPsec" effektiv "L2TP/IPsec" gemeint sei. Wie mir der Entwickler soeben geschrieben hat, unterstützt seine App jedoch IPsec ohne L2TP. Diese Art der VPN-Unterstützung sei auch der Grund, weshalb die App temporär aus dem App Store entfernt wurde.
    N. B.: Die von dir erwähnte Anleitung kenne ich und habe sie für eine andere App bereits erfolgreich umgesetzt.
  3. Deine Aussage, wonach die Internet-Box 2 sehr wohl "L2TP mit IPsec" unterstütze, steht im Widerspruch zur Aussage von user109 vom 24.11.2018, der meinte, dass die Internet-Box 2 lediglich "L2TP" (also ohne IPsec) beherrsche und mir deshalb zu einem anderen Router (u.a. NAS von Synology) geraten hat. Und nein: ich habe das NAS nicht deswegen gekauft 🙂
  4. Zu OpenVPN: WIe unter 2. beschrieben, kann ich in der @Home-App weder eine bereits im iOS definierte Verbindung noch einen spezifischen VPN-Typ wählen. In der App steht dazu unter VPN: "Es wird aktuell nur IPsec mit Group Authentication unterstützt". Aus diesem Grund hilft es nichts, wenn ich im NAS den VPN-Typ auf OpenVPN setze.

Da die @Home-App den VPN-Typ starr vorschreibt (IPsec ohne L2TP"), frage ich mich, ob die Internet-Box 2 flexibel ist und den VPN-Typ auswählen lässt. Falls ja, wie kann ich in der Internet-Box 2 einen VPN-Server definieren, der IPsec ohne L2TP versteht?

 

Nun hoffe ich, dass damit einiges klarer ist und ich nun auf Lösungsvorschläge hoffen darf...

 

Beste Grüsse,

Cuno

user109
Super User
7 von 9

@PowerMac ich kann keine VPN-Verbindung mit dem SHREW SOFT VPN CLIENT und der Internetbox aufbauen, aber mit der FB und dem Syno. Deshalb habe ich gesagt es funktioniert mit IPsec, weil dieser Client nur eine IPsec Verschlüsselung aufbaut ohne L2TP.

Knowledge: Netzwerk Allgemein | Telekomunikation | Betriebssysteme| sonstiges
# Wenn ich geholfen habe, könnt ihr mir danken in dem ihr auf den Like klickt #
Knowledge: Netzwerk Allgemein | Telekomunikation | Betriebssysteme| sonstiges
# Wenn ich geholfen habe, könnt ihr mir danken in dem ihr auf den Like klickt #
PowerMac
Super User
8 von 9

Als erstes würde ich dem Heimnetzwerk einen anderen Adressbereich zuweisen, also z.B. 192.168.123.xy statt die Standardeinstellung. Dies darum, da der 192.168.1.xy-Bereich von geschätzten 90% aller Router bereits verwendet wird, und es dadurch bei Nutzung von VPN zu doppelt belegten Netzwerkranges und damit zu Problemen kommen kann/wird.

Danke noch für die Präzisierungen zur IPsec-Implementation in dieser App, das macht es schon etwas klarer. Wobei ich immer noch nicht völlig verstehe, was die Motivation des Entwicklers für diese Vorgehensweise sein soll. Und eine Online-Dokumentation der App scheint auch nicht zu existieren. Funktioniert die App denn innerhalb deines LAN/WLAN? Falls ja, müsste es via aktives L2TP/IPsec-VPN zwischen iPhone und Internetbox genauso klappen, ohne dass du in der App irgendwas umstellst. Auch wenns banal klingt, aber hast du das bereits ausprobiert?

 

@user109: Danke für die Erläuterung. Wie hast du das Synology eingerichtet, dass damit IPsec ohne L2TP funktioniert?. Zumindest auf meinem Synology bietet der VPN-Server IPsec ausschliesslich in Kombination mit L2TP an. Ebenso in den von dir verlinkten Beiträgen habe ich nirgends etwas von IPsec-only-Verbindungen gefunden.

have you tried turning it off and on again?
have you tried turning it off and on again?
Werner
Super User
9 von 9

Vielleicht ist es ja nicht hilfreich, aber:

Eine App, die nicht unabhängig von der Art der eingesetzten VPN-Verbindung funktioniert?

 

Eigentlich widerspricht das jeder vernünftigen Netzwerk-Architektur-Überlegung.

Denn Netzwerkverbindungen, egal ob jetzt mit oder ohne VPN-Verbindung, sollten für alle Apps eigentlich immer transparent sein.

 

Also wenn diese App nicht irgendwie das absolute „Nirwana aller Wünsche“ repräsentiert, würde ich einfach auf die Installation dieses möglicherweise bereits gescheiterten  App-Entwicklungsversuch grundsätzlich verzichten...

Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Nach oben