VPN on demand - Zieladressen über FQDN nicht erreichbar, über hostname schon

[socrates]

<div class="bbWrapper">Hallo zusammen,<br /> <br /> vor kurzem habe ich von &quot;VPN on demand&quot; für mein iPhone gehört. Also dass das iPhone beim Aufruf bestimmter Adressen automatisch im Hintergrund eine VPN Verbindung aufbaut. Also genau dass, was ich für meine Home Automation haben möchte.<br /> <br /> Ich habe mehrere &quot;.mobileconfig&quot; Beispiele aus dem Internet ausprobiert, und mit dem unten stehenden funktioniert auch der Aufbau des VPN &quot;on demand&quot; automatisch.<br /> <br /> Jetzt komme ich jedoch nicht weiter:<br /> <br /> 1) Ich starte z.B. Safari und rufe <a href="http://myserver.lab.mydomain" target="_blank" class="link link--external" rel="nofollow ugc noopener">http://myserver.lab.mydomain</a> auf<br /> 2) Das iPhone baut im Hintergrund die VPN Verbindung auf<br /> 3) Safari sagt mir, dass die Seite nicht gefunden werden kann.<br /> 4) Rufe ich in Safari bei bereits aktiviertem VPN (Schritt 2) <a href="http://myserver" target="_blank" class="link link--external" rel="nofollow ugc noopener">http://myserver</a> auf, so funktioniert die Verbindung.<br /> <br /> - Ich brauche also den FQDN um über die .mobileconfig das VPN aufzubauen<br /> - der FQDN funktioniert aber nicht zur Namensauflösung im VPN, hier funktioniert nur der Hostname.<br /> <br /> Irgendwas mache ich doch falsch? <img class="smilie smilie--emoji" loading="lazy" alt="😟" title="Besorgtes Gesicht :worried:" src="https://cdn.jsdelivr.net/joypixels/assets/8.0/png/unicode/64/1f61f.png" data-shortname=":worried:" /><img class="smilie smilie--emoji" loading="lazy" alt="🤔" title="Nachdenkendes Gesicht :thinking:" src="https://cdn.jsdelivr.net/joypixels/assets/8.0/png/unicode/64/1f914.png" data-shortname=":thinking:" /><br /> <br /> Danke im Voraus und ein schönes Restwochenende <img src="/community/styles/apfeltalk/smilies/Wink.png" class="smilie" loading="lazy" alt=";)" title="Wink ;)" data-shortname=";)" /><br /> <br /> Soc<br /> <br /> <div class="bbCodeBlock bbCodeBlock--screenLimited bbCodeBlock--code"> <div class="bbCodeBlock-title"> XML: </div> <div class="bbCodeBlock-content" dir="ltr"> <pre class="bbCodeCode" dir="ltr" data-xf-init="code-block" data-lang="xml"><code>&lt;?xml version=&quot;1.0&quot; encoding=&quot;UTF-8&quot;?&gt; &lt;!DOCTYPE plist PUBLIC &quot;-//Apple//DTD PLIST 1.0//EN&quot; &quot;http://www.apple.com/DTDs/PropertyList-1.0.dtd&quot;&gt; &lt;plist version=&quot;1.0&quot;&gt; &lt;dict&gt; &lt;key&gt;PayloadContent&lt;/key&gt; &lt;array&gt; &lt;dict&gt; &lt;key&gt;IPSec&lt;/key&gt; &lt;dict&gt; &lt;key&gt;AuthenticationMethod&lt;/key&gt; &lt;string&gt;SharedSecret&lt;/string&gt; &lt;key&gt;LocalIdentifier&lt;/key&gt; &lt;!-- FRITZ!Box Benutzername --&gt; &lt;string&gt;[USERNAME]&lt;/string&gt; &lt;key&gt;LocalIdentifierType&lt;/key&gt; &lt;string&gt;KeyID&lt;/string&gt; &lt;key&gt;RemoteAddress&lt;/key&gt; &lt;!-- DDNS-URL der FRITZ!Box, z.B. xxxxxx.myfritz.net --&gt; &lt;string&gt;[DDNS-URL der FRITZ!Box]&lt;/string&gt; &lt;key&gt;SharedSecret&lt;/key&gt; &lt;!-- SharedSecret der FRITZ!Box --&gt; &lt;data&gt; [SHAREDSECRET] &lt;/data&gt; &lt;key&gt;XAuthEnabled&lt;/key&gt; &lt;integer&gt;1&lt;/integer&gt; &lt;key&gt;XAuthName&lt;/key&gt; &lt;!-- FRITZ!Box Benutzername --&gt; &lt;string&gt;[USERNAME]&lt;/string&gt; &lt;key&gt;XAuthPassword&lt;/key&gt; &lt;!-- FRITZ!Box Passwort des Benutzers --&gt; &lt;string&gt;[PASSWORD]&lt;/string&gt; &lt;!-- VPN-On-Demand Codeblock --&gt; &lt;key&gt;OnDemandEnabled&lt;/key&gt; &lt;!-- Die 1 im Folgenden bedeutet, dass VPN on Demand aktiviert wird --&gt; &lt;integer&gt;1&lt;/integer&gt; &lt;key&gt;OnDemandRules&lt;/key&gt; &lt;array&gt; &lt;!-- VPN beim Zugriff auf Heimnetz-Adressen aufbauen --&gt; &lt;dict&gt; &lt;key&gt;Action&lt;/key&gt; &lt;string&gt;EvaluateConnection&lt;/string&gt; &lt;key&gt;ActionParameters&lt;/key&gt; &lt;array&gt; &lt;dict&gt; &lt;key&gt;Domains&lt;/key&gt; &lt;array&gt; &lt;string&gt;*.local&lt;/string&gt; &lt;string&gt;*.fritz.box&lt;/string&gt; &lt;string&gt;fritz.box&lt;/string&gt; &lt;string&gt;.lab.mydomain&lt;/string&gt; &lt;/array&gt; &lt;key&gt;DomainAction&lt;/key&gt; &lt;string&gt;ConnectIfNeeded&lt;/string&gt; &lt;key&gt;RequiredDNSServers&lt;/key&gt; &lt;array&gt; &lt;string&gt;192.168.0.3&lt;/string&gt; &lt;string&gt;192.168.0.4&lt;/string&gt; &lt;/array&gt; &lt;/dict&gt; &lt;/array&gt; &lt;/dict&gt; &lt;dict&gt; &lt;!-- VPN bei einzelnen WLAN-Netzwerken deaktivieren --&gt; &lt;key&gt;Action&lt;/key&gt; &lt;string&gt;Disconnect&lt;/string&gt; &lt;key&gt;InterfaceTypeMatch&lt;/key&gt; &lt;string&gt;WiFi&lt;/string&gt; &lt;key&gt;SSIDMatch&lt;/key&gt; &lt;array&gt; &lt;string&gt;Fritzbox1&lt;/string&gt; &lt;string&gt;Fritzbox2&lt;/string&gt; &lt;/array&gt; &lt;/dict&gt; &lt;dict&gt; &lt;!-- VPN bei aktiver WLAN-Verbindung aktivieren --&gt; &lt;key&gt;Action&lt;/key&gt; &lt;string&gt;Connect&lt;/string&gt; &lt;key&gt;InterfaceTypeMatch&lt;/key&gt; &lt;string&gt;WiFi&lt;/string&gt; &lt;/dict&gt; &lt;dict&gt; &lt;!-- VPN im Mobilfunknetz nicht aktivieren - falls eine Verbindung auch beim Mobilfunk gewünscht ist, dann muss hier die Action auf &quot;Connect&quot; geändert werden --&gt; &lt;key&gt;Action&lt;/key&gt; &lt;string&gt;Disconnect&lt;/string&gt; &lt;key&gt;InterfaceTypeMatch&lt;/key&gt; &lt;string&gt;Cellular&lt;/string&gt; &lt;/dict&gt; &lt;dict&gt; &lt;!-- VPN Default state --&gt; &lt;key&gt;Action&lt;/key&gt; &lt;string&gt;Ignore&lt;/string&gt; &lt;/dict&gt; &lt;/array&gt; &lt;!-- VPN-On-Demand Codeblock ENDE--&gt; &lt;/dict&gt; &lt;key&gt;IPv4&lt;/key&gt; &lt;dict&gt; &lt;key&gt;OverridePrimary&lt;/key&gt; &lt;integer&gt;1&lt;/integer&gt; &lt;/dict&gt; &lt;key&gt;PayloadDescription&lt;/key&gt; &lt;string&gt;Configures VPN settings&lt;/string&gt; &lt;key&gt;PayloadDisplayName&lt;/key&gt; &lt;!-- Bezeichnung, z.B. FRITZ!Box-VPN --&gt; &lt;string&gt;[VPN-BEZEICHNUNG]&lt;/string&gt; &lt;key&gt;PayloadIdentifier&lt;/key&gt; &lt;!-- Hier könnt ihr einfach die myfritz-Adresse hinterlegen, z.B. xxxxxx.myfritz.net --&gt; &lt;string&gt;[DDNS-URL der FRITZ!Box]&lt;/string&gt; &lt;key&gt;PayloadType&lt;/key&gt; &lt;string&gt;com.apple.vpn.managed&lt;/string&gt; &lt;key&gt;PayloadUUID&lt;/key&gt; &lt;!-- PayloadUUID, hier könnt ihr einfach die myfritz-Adresse hinterlegen, z.B. xxxxxx.myfritz.net --&gt; &lt;string&gt;[DDNS-URL der FRITZ!Box]&lt;/string&gt; &lt;key&gt;PayloadVersion&lt;/key&gt; &lt;real&gt;1&lt;/real&gt; &lt;key&gt;Proxies&lt;/key&gt; &lt;dict&gt; &lt;key&gt;HTTPEnable&lt;/key&gt; &lt;integer&gt;0&lt;/integer&gt; &lt;key&gt;HTTPSEnable&lt;/key&gt; &lt;integer&gt;0&lt;/integer&gt; &lt;/dict&gt; &lt;key&gt;UserDefinedName&lt;/key&gt; &lt;!-- Name des VPNs auf dem iPhone, z.B. FRITZ!Box-VPN --&gt; &lt;string&gt;[VPN-NAME]&lt;/string&gt; &lt;key&gt;VPNType&lt;/key&gt; &lt;string&gt;IPSec&lt;/string&gt; &lt;/dict&gt; &lt;/array&gt; &lt;key&gt;PayloadDisplayName&lt;/key&gt; &lt;!-- Name des VPN Profils, z.B. &quot;VPN on Demand-Profil&quot; --&gt; &lt;string&gt;[PROFILNAME]&lt;/string&gt; &lt;key&gt;PayloadIdentifier&lt;/key&gt; &lt;!-- PayloadIdentifier, Hier könnt ihr einfach die myfritz-Adresse hinterlegen, z.B. xxxxxx.myfritz.net --&gt; &lt;string&gt;[DDNS-URL der FRITZ!Box]&lt;/string&gt; &lt;key&gt;PayloadRemovalDisallowed&lt;/key&gt; &lt;false/&gt; &lt;key&gt;PayloadType&lt;/key&gt; &lt;string&gt;Configuration&lt;/string&gt; &lt;key&gt;PayloadUUID&lt;/key&gt; &lt;!-- PayloadUUID, Hier könnt ihr einfach die myfritz-Adresse hinterlegen, z.B. xxxxxx.myfritz.net --&gt; &lt;string&gt;[DDNS-URL der FRITZ!Box]&lt;/string&gt; &lt;key&gt;PayloadVersion&lt;/key&gt; &lt;integer&gt;1&lt;/integer&gt; &lt;/dict&gt; &lt;/plist&gt;</code></pre> </div> </div></div>

 

[socrates]

<div class="bbWrapper">ok, da konnte mir auch wirklich niemand helfen ...<img class="smilie smilie--emoji" loading="lazy" alt="🤷‍♂️" title="Achselzuckender Mann :man_shrugging:" src="https://cdn.jsdelivr.net/joypixels/assets/8.0/png/unicode/64/1f937-2642.png" data-shortname=":man_shrugging:" /><br /> <br /> das Problem lag nicht in der .mobileconifg, sondern in der Fritzbox. Ich habe mit mit der Software iMazing die Konsolenausgabe des iPhones angesehen, während ich das VPN aufgebaut habe. Dann nach IP's aus meinem lokalen Netz gefiltert.<br /> Und siehe da: die Fritzbox übergibt sich selbst als DNS Server, auch wenn der DNS Server extern ist. Diese Einstellung kann offenbar auch nicht geändert werden, aber es gibt einen workaround:<br /> <br /> In der Fritzbox:<br /> 1) Unter <b>Internet → Zugangsdaten → DNS-Server</b> die eigenen, lokalen DNS Server eintragen (die auch lokal die Namensauflösung machen)<br /> <br /> 2) Unter <b>Heimnetz → Netzwerk → Netzwerkeinstellungen</b> den &quot;<b>DNS-Rebind-Schutz&quot; </b> aktivieren, bzw. in das Textfeld darunter die lokale Domäne eintragen. Bei mir in o.g. .mobileconfig z.B. <b>lab.mydomain.</b><br /> <br /> 3) die Fritzbox neu starten. <br /> <br /> Dann funktioniert es &quot;endlich&quot;.<br /> <br /> Hoffe, das hilft ggf. noch jemand anderem...</div>

 

[Ijon Tichy]

<div class="bbWrapper">Kleiner Hinweis an dieser Stelle noch:<br /> <br /> Laut Doku gibt man die Domains ohne * an – ich hatte das bisher auch so, und es funktioniert auch, aber eigentlich ist das nicht korrekt.<br /> <br /> Bei dir ist es gemischt. <img src="/community/styles/apfeltalk/smilies/SmilingCheeks.png" class="smilie" loading="lazy" alt=":)" title="Smile :)" data-shortname=":)" /></div>