Einwahl eines iPhone über einen IPSec-VPN Tunnel
auf eine Digitalisierungsbox Standard / Premium
Voraussetzungen
Voraussetzung ist eine bestehende Konfiguration wie sie von einem durchlaufenen Schnellstartassistenten angelegt wird. Auf der Digitalisierungsbox Standard / Premium befindet sich die BOSS-Version V.10.1 Rev 3 (Patch 11) oder höher.
Die BOSS Version Ihrer Digitalisierungsbox können Sie unter Systemverwaltung Status überprüfen
Der Workshop ist in drei Schritten aufgebaut:
1. Anlegen des Einwahlprofils über den Assistenten
2. Anlegen / Änderung der iPhone spezifischen Parametern
3. Anlegen des Einwahlprofils auf dem iPhone
1. Anlegen des Einwahlprofils über den Assistenten
3
Bitte Wählen Sie Assistenten VPN -> Neu Einwahl eines einzelnen Clients
Im darauffolgenden Fenster vergeben Sie bitte sowohl bei Beschreibung als auch bei Entfernte IPSec ID einen Namen und wählen bei IP-Adresspool auswählen DHCP Adressbereich intern. Die Lokale IPSec ID lassen Sie bitte unverändert.
Bestätigen Sie anschließend mit OK
2. Anlegen / Änderung der iPhone spezifischen Parameter
4
Das iPhone benötigt spezielle IPSec Einstellungen sowie ein XAUTH-Profil. Bitte ändern Sie zuerst die Ansicht der Digitalisierungsbox auf Vollzugriff Anschließend wählen Sie bitte VPN IPSec XAUTH-Profile Neu
Als Rolle wählen Sie Server
Als Modus Lokal
Bei Benutzer legen Sie bitte einen Benutzer an, den Namen können Sie frei wählen. Zur späteren besseren Unterscheidung zwischen dem Namen beim IPSec Peer wurde hier iPhone_xauth gewählt.
2. Anlegen / Änderung der iPhone spezifischen Parameter
5
Im nächsten Schritt muss nun bei Phase-2-Profile der Punkt wz_ipsec_1 mit Hilfe des Schraubenschlüssels angepasst werden.
2. Anlegen / Änderung der iPhone spezifischen Parameter
6
Bitte wählen Sie bei Proposals als Authentifizierung SHA1 (wichtig: nicht SHA2!) und entfernen Sie den Haken bei PFS-Gruppe
verwenden
Bestätigen Sie anschließend mit OK
2. Anlegen / Änderung der iPhone spezifischen Parameter
7
Nun muss auch das Phase-1-Profile wz_ike_1 anpasst werden
2. Anlegen / Änderung der iPhone spezifischen Parameter
8
Bitte wählen Sie wieder bei Proposals als Authentifizierung SHA1 (auch hier wichtig: nicht SHA2) und setzen Sie die DH-Gruppe auf 2 (1024 Bit).
In den Erweiterten Einstellungen wählen Sie bei Erreichbarkeitsprüfung: Dead Peer Detection (Idle)
2. Anlegen / Änderung der iPhone spezifischen Parameter
9
Anschließend wird der IPSec-Peer noch angepasst, wählen Sie wieder über den Schraubenschlüssel den IPSec Peer aus:
2. Anlegen / Änderung der iPhone spezifischen Parameter
10
Bei Peer-ID ist nun der vorhandene Wert Fully Qualified Domain Name (FQDN) über das Drop-Down Menü in Schlüssel-ID zu ändern.
2. Anlegen / Änderung der iPhone spezifischen Parameter
11
In den Erweiterten Einstellungen überprüfen Sie bitte ob die folgenden Werte ausgewählt sind
Phase-1-Profil: wz_ike_1
Phase-2-Profil: wz_ipsec_1,
XAUTH-Profile das von Ihnen anfangs angelegte XAUTH-Profil, im Beispiel XAUTH-Pool
Außerdem wählen Sie bitte bei den Erweiterten IP-Optionen beim Punkt IPv4 Proxy ARP den Punkt Nur aktiv aus
Bestätigen Sie die Änderungen mit OK
2. Anlegen / Änderung der iPhone spezifischen Parameter
12
Abschließend muss nun noch im DHCP-Pool ein explizierter DNS-Server angegeben werden, da sonst das iPhone keine DNS-Auflösung vornimmt. Dazu gehen Sie bitte zu Lokale Dienste DHCP-Server Schraubenschlüssel und geben bei DNS-Server zumindest einen Primären an. Normalerweise handelt es sich dabei um die IP-Adresse der Digitalisierungsbox, Standardmäßig die 192.168.2.1
3. Anlegen es Einwahlprofils auf dem iPhone
13
Im letzen Schritt wird nun das IPSec Profil auf dem iPhone angelegt. Wählen Sie dazu Einstellungen VPN VPN hinzufügen
Typ IPSec
Server: Ihre feste öffentliche IP-Adresse oder DynDNS
Account: Der Name des Benutzers, den Sie im XAUTH-Profil erstellt haben
Passwort: Passwort des XAUTH Profil-Users
Gruppenname: Name des IPSec Peers, den Sie unter IPSec Peers erstellt haben
Shared Secret: Passwort, dass Sie im IPSec Peer verwendet haben.