Automatische VPN Verbindung in fremden WLAN Netzen

Wer viel unterwegs ist, verbindet sich wahrscheinlich häufig mit fremden / öffentlichen WLAN Netzen – beispielsweise im Hotel, Café oder am Flughafen. Vielleicht hat man sich schonmal gefragt, ob es nicht eine Möglichkeit gibt wie man sich in diesen Netzen sicher bewegt. Denn in fremden Netzen muss man den Betreiber blind vertrauen, dass keine vertraulichen Daten abgegriffen werden. Je nach Konfiguration des Netzes besteht die Gefahr, dass andere Personen, die sich zeitgleich im Netz befinden, eure Daten gezielt ausspionieren.

Abhilfe schafft hierbei der Aufbau einer VPN Verbindung. Besitzer einer FRITZ!Box kennen hoffenlich diese Option und nutzen diese bereits. Bei einem iPhone / iPad gibt es aber das Problem, dass dieses eine normale VPN Verbindung irgendwann beendet. Beispielsweise, wenn ihr das Smartphone längere Zeit sperrt oder der Datenverkehr längere Zeit ausbleibt.

Die Lösung ist eine VPN On Demand Verbindung über ein installiertes Profil aufzubauen. Dieses baut die VPN Verbindung dauerhaft – bis die Vorgaben nicht mehr zutreffen – auf.

Wer sich jetzt denkt “Profil installieren, puh das hört sich kompliziert an” sollte diese Anleitung fertig lesen. Das Thema hört sich schwieriger an als es letztendlich ist.

In diesem Beitrag erkläre ich Schritt für Schritt, wie eine VPN On Demand Verbindung für ein iPhone / iPad zu einer FRITZ!Box erstellt, installiert und in der Praxis aufgebaut werden kann.

---

Voraussetzung

VPN Benutzer ist bereits in der FRITZ!Box angelegt. Anleitung gibt es direkt bei AVM. Die VPN Einstellungen des jeweiligen Benutzers sind hier zu finden System > FRITZ!Box-Benutzer > Benutzerkonto bearbeiten > VPN-Einstellungen anzeigen.

---

Grundlagen

Über die Anwendung “Apple Configurator” kann bereits der Grundcode erstellt werden. Dieser muss aber nachträglich mit einigen Zeilen ergänzt werden, da beim Typ “IPSec” die Felder für die Bedingungen nicht existieren. Deswegen könnt ihr auch direkt den untenstehenden Quellcode in einen Editor euer Wahl kopieren und passt die entsprechenden Stellen (markiert mit “HIER EINTRAGEN”) an.

Wichtig: Alle Daten bis auf “Shared Secret” werden als Klartext eingetragen. Shared Secret muss in BASE64 codiert sein. Hierzu könnt ihr z.B. diesen Generator benutzen https://www.base64decode.org.
Den fertigen Quellcode speichert ihr unter euer-Name.mobileconfig – wichtig ist die Endung.

Quellcode

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
	<key>PayloadContent</key>
	<array>
		<dict>
			<key>IPSec</key>
			<dict>
				<key>AuthenticationMethod</key>
				<string>SharedSecret</string>
				<key>LocalIdentifier</key>
				<!-- FRITZ!Box Benutzername -->
				<string>HIER EINTRAGEN</string>
				<key>LocalIdentifierType</key>
				<string>KeyID</string>
				<key>RemoteAddress</key>
				<!-- DDNS-URL der FRITZ!Box, z.B. xxxxxx.myfritz.net --> 
				<string>HIER EINTRAGEN.myfritz.net</string>
				<key>SharedSecret</key>
				<!-- SharedSecret der FRITZ!Box --> 
				<data>
				HIER EINTRAGEN
				</data>
				<key>XAuthEnabled</key>
				<integer>1</integer>
				<key>XAuthName</key>
				<!-- FRITZ!Box Benutzername -->
				<string>HIER EINTRAGEN</string>
				<key>XAuthPassword</key>
				<!-- FRITZ!Box Passwort des Benutzers -->
				<string>HIER EINTRAGEN</string>
				<!-- VPN-On-Demand Codeblock -->
                <key>OnDemandEnabled</key>
                <!-- Die 1 im Folgenden bedeutet, dass VPN on Demand aktiviert wird -->
                <integer>1</integer>
                <key>OnDemandRules</key>
                <array>
                     <dict>
                        <!-- VPN bei einzelnen WLAN-Netzwerken deaktivieren -->
                        <key>Action</key>
                        <string>Disconnect</string>
                        <key>InterfaceTypeMatch</key>
                        <string>WiFi</string>
                        <key>SSIDMatch</key>
                        <array>
                            <!-- Für jedes WLAN eine Zeile erstellen, Vorlage für 2 WLAN Netze -->
                            <string>NETZ 1 HIER EINTRAGEN</string>
                            <string>NETZ 2 HIER EINTRAGEN</string>
                        </array>
                    </dict>
                    <dict>
                        <!-- VPN bei aktiver WLAN-Verbindung aktivieren -->
                        <key>Action</key>
                        <string>Connect</string>
                        <key>InterfaceTypeMatch</key>
                        <string>WiFi</string>
                    </dict>
                    <dict>
                        <!-- VPN im Mobilfunknetz nicht aktivieren - falls eine Verbindung auch beim Mobilfunk gewünscht ist, dann muss hier die Action auf "Connect" geändert werden -->
                        <key>Action</key>
                        <string>Disconnect</string>
                        <key>InterfaceTypeMatch</key>
                        <string>Cellular</string>
                    </dict>
                    <dict>
                        <!-- VPN Default state -->
                        <key>Action</key>
                        <string>Ignore</string>
                    </dict>
                </array>
                <!-- VPN-On-Demand Codeblock ENDE-->
			</dict>
			<key>IPv4</key>
            <dict>
                <key>OverridePrimary</key>
                <integer>1</integer>
            </dict>
			<key>PayloadDescription</key>
			<string>Konfiguriert VPN-Einstellungen</string>
			<key>PayloadDisplayName</key>
			<!-- Bezeichnung, z.B. FRITZ!Box-VPN -->
			<string>VPN</string>
			<key>PayloadIdentifier</key>
			<!-- Hier könnt ihr einfach die myfritz-Adresse hinterlegen, z.B. xxxxxx.myfritz.net -->
			<string>HIER EINTRAGEN.fritzbox</string>
			<key>PayloadType</key>
			<string>com.apple.vpn.managed</string>
			<key>PayloadUUID</key>
			<!-- PayloadUUID, hier könnt ihr einfach die myfritz-Adresse hinterlegen, z.B. xxxxxx.myfritz.net -->
			<string>HIER EINTRAGEN.fritzbox</string>
			<key>PayloadVersion</key>
			<integer>1</integer>
			<key>Proxies</key>
			<dict>
				<key>HTTPEnable</key>
				<integer>0</integer>
				<key>HTTPSEnable</key>
				<integer>0</integer>
			</dict>
			<key>UserDefinedName</key>
			<!-- Name des VPNs auf dem iPhone, z.B. FRITZ!Box-VPN -->
			<string>HIER EINTRAGEN</string>
			<key>VPNType</key>
			<string>IPSec</string>
		</dict>
	</array>
	<key>PayloadDisplayName</key>
	<!-- Name des VPN Profils, z.B. "VPN on Demand-Profil" -->
	<string>HIER EINTRAGEN</string>
	<key>PayloadIdentifier</key>
	<!-- PayloadIdentifier, Hier könnt ihr einfach die myfritz-Adresse hinterlegen, z.B. xxxxxx.myfritz.net -->
	<string>HIER EINTRAGEN.fritzbox</string>
	<key>PayloadRemovalDisallowed</key>
	<false/>
	<key>PayloadType</key>
	<string>Configuration</string>
	<key>PayloadUUID</key>
	<!-- PayloadUUID, Hier könnt ihr einfach die myfritz-Adresse hinterlegen, z.B. xxxxxx.myfritz.net -->
	<string>HIER EINTRAGEN.fritzbox</string>
	<key>PayloadVersion</key>
	<integer>1</integer>
</dict>
</plist>

Quelle: https://www.computerbase.de/forum/threads/anleitung-einrichtung-vpn-on-demand-zur-fritz-box.1923144/

Nachdem ihr euren Code ergänzt und die .mobileconfig Datei erstellt habt, ist der letzte Schritt die Installation des Profils auf dem Endgerät iPhone / iPad.

---

VPN-Profil auf iPhone installieren

Für die Installation eines Profils auf dem iPhone / iPad gibt es viele Wege. Am einfachsten ist es die Datei per AirDrop auf das Gerät zu senden oder schickt euch diese per E-Mail selbst zu.

Nun sind es nur noch wenige Schritte. Das Profil aufrufen und Installieren > Code eingeben > Installieren > Installieren > Fertig.