MS/onboarding/ios/vpnconfig: Unterschied zwischen den Versionen

← Zum vorherigen Versionsunterschied

Aktuelle Version vom 4. Dezember 2020, 10:36 Uhr

Einbinden von individuellen openVPN-Profilen in iOS

Neu:

Neuer Artikel

Letzte Anpassung: 12.2020

Vorbereitung & Auswahl

Es gibt mehrere Wege eine individuelle OpenVPN-Konfiguration zu importieren:

einen Konfigurationsordner mit allen benötigten Dateien
eine .mobilconfig-Datei als Konfigurationsprofil

Beide Wege werden im Folgenden beschrieben.

Konfigurationsordner

1. Es muss ein neuer Ordner erstellt werden
2. Der Ordner muss folgende Dateien enthalten:

Certificate Authority ca.crt
Client Zertifikat client.crt
Client Zertifikat Private Key client.key
Konfigurationsdatei config.ovpn
(optional) Passwortdatei pass.txt

3. Der Ordner muss als .zip komprimiert werden

Der Ordner und die Dateien können frei benannt werden, lediglich die Konfigurationsdatei benötigt die Endung .ovpn.

Templates

Im Folgenden finden sich Templates für alle benötigten Dateien:

Template für Certificate Authority ca.crt

Template für Client Zertifikat Private Key client.key

Template für Client Zertifikat Private Key client.key

Template für Konfigurationsdatei config.ovpn


remote {your.server.com} 443 tcp
route {ip to route into tunnel} 255.255.255.255 vpn_gateway
dhcp-option DNS 192.168.123.1

dev tun
cipher AES-128-CBC
auth SHA256
tun-mtu 1500
persist-key

Template für Passwortdatei pass.txt (optional)

username
password

Konfigurationsordner

über iCloud

Finder auf dem Mac öffnen und kopieren der erstellten .zip-Datei in den iCloud-Ordner.
In der Securepoint Mobile Security App: Öffnen des Menüs Profile und klicken auf das „Plus“ Symbol
Auswahl der .zip-Datei im iCloud-Ordner

(Die .zip Datei kann direkt importiert werden, ohne diese vorher zu entpacken.)

über den Apple Configurator 2

Verbinden des Gerätes mit einem Kabel an einen Mac
Öffnen des Apple Configurator 2
Bewegen der erstellten .zip-Datei mit der Maus auf das angezeigte Gerät im Apple Configurator 2
Wählen des Ordners Securepoint VPN Client
In der Securepoint Mobile Security App: Öffnen des Menüs Profile und klicken auf das „Plus“ Symbol
Auswahl der .zip-Datei im Securepoint VPN Client Ordner

(Die .zip Datei kann direkt importiert werden, ohne diese vorher zu entpacken.)

.mobileconfig-Datei

Im folgenden Template müssen die Platzhalter {...} mit den individuell relevanten Informationen ersetzt werden. Anschließend wird diese Datei in das Gerät importiert.

Template

<dict>
   <key>PayloadContent</key>
   <array>
     <dict>
       <key>IPv4</key>
       <dict>
         <key>OverridePrimary</key>
         <integer>0</integer>
       </dict>
       <key>PayloadDescription</key>
       <string>Configures VPN settings</string>
       <key>PayloadDisplayName</key>
       <string>VPN</string>
       <key>PayloadIdentifier</key>
       <string>com.apple.vpn.managed.5313ec66-a3c0-422c-932d-ef4d4ebb3b18</string>
       <key>PayloadType</key>
       <string>com.apple.vpn.managed</string>
       <key>PayloadUUID</key>
       <string>5313ec66-a3c0-422c-932d-ef4d4ebb3b18</string>
       <key>PayloadVersion</key>
       <integer>1</integer>
       <key>Proxies</key>
       <dict>
         <key>HTTPEnable</key>
         <integer>0</integer>
         <key>HTTPSEnable</key>
         <integer>0</integer>
       </dict>
       <key>UserDefinedName</key>
       <string>{Insert any identifier}</string>
       <key>VPN</key>
       <dict>
         <key>AuthenticationMethod</key>
         <string>Certificate</string>
         <key>PayloadCertificateUUID</key>
         <string>5e2de92b-4b5f-4bfd-8074-47bad6c64183</string>
         <key>DisconnectOnIdle</key>
         <integer>0</integer>
         <key>OnDemandEnabled</key>
         <integer>1</integer>
         <key>OnDemandRules</key>
         <array>
           <dict>
             <key>Action</key>
             <string>Connect</string>
           </dict>
         </array>
         <key>RemoteAddress</key>
         <string>DEFAULT</string>
       </dict>
       <key>VPNSubType</key>
       <string>de.securepoint.ms.agent</string>
       <key>VPNType</key>
       <string>VPN</string>
       <key>VendorConfig</key>
       <dict id="vendorConfig">
         <key>auth-user-pass</key>
         <string>{username}\n{{c|{password}|r]]</string>
         <key>ca</key>
         <string>-----BEGIN CERTIFICATE-----\n{MIIEKTCCAxGgAwIBAgIBAD.... The CA certificate which signed the VPN server Certificate ....0y24V6nS/L9/g==}\n-----END CERTIFICATE-----\n</string>
         <key>remote.1</key>
         <string>{VPN server hostname} {VPN server port}</string> 
         <key>proto.1</key>
         <string>{VPN server protocol (udp or tcp)}</string>
         <key>redirect-gateway</key>
         <string>def1</string>
         <key>dev</key>
         <string>tun</string>
         <key>cipher</key>
         <string>AES-128-CBC</string>
         <key>auth</key>
         <string>SHA256</string>
         <key>tun-mtu</key>
         <string>1500</string>
       </dict>
     </dict>
     <dict>
       <key>PayloadCertificateFileName</key>
       <string>Client Certificate</string>
       <key>PayloadContent</key>
       <data>{MIIPsQIBAzCCD... Client Certificate in PKCS12 format ...pLfEEheyrqcCAwGGoA==}</data>
       <key>PayloadDisplayName</key>
       <string>Client Certificate</string>
       <key>PayloadIdentifier</key>
       <string>Client Certificate</string>
       <key>PayloadType</key>
       <string>com.apple.security.pkcs12</string>
       <key>PayloadUUID</key>
       <string>5e2de92b-4b5f-4bfd-8074-47bad6c64183</string>
       <key>PayloadVersion</key>
       <integer>1</integer>
       <key>Password</key>
       <string>{Password to access the PKCS12 container}</string>
       <key>PayloadDescription</key>
       <string>Adds a PKCS12-formatted certificate</string>
     </dict>
   </array>
   <key>PayloadDisplayName</key>
   <string>{Identifier in IOS settings for the certificate}</string>
   <key>PayloadIdentifier</key>
   <string>vpn.configuration</string>
   <key>PayloadType</key>
   <string>Configuration</string>
   <key>PayloadUUID</key>
   <string>a4d7f358-f9a3-42e2-8083-5b26cccab6e2</string>
   <key>PayloadVersion</key>
   <integer>1</integer>
 </dict>
</plist>

Import einer .mobileconfig-Datei

über iCloud

Finder auf dem Mac öffnen und kopieren der erstellten .mobileconfig-Datei in den iCloud-Ordner.
Öffnen des iCloud-Ordners auf dem Gerät und importieren der .mobileconfig-Datei.

über den Apple Configurator 2

Verbinden des Gerätes mit einem Kabel an einen Mac
Öffnen des Apple Configurator 2
Bewegen der erstellten .mobileconfig-Datei mit der Maus auf das angezeigte Gerät im Apple Configurator 2
Die Konfiguration wird automatisch umgesetzt

über einen MDM-Server

Dieser Vorgang unterscheidet sich abhängig vom MDM-Hersteller. Hierfür ist die entsprechende Dokumentation zu prüfen.

@@ Zeile 1: / Zeile 1: @@
-{{DISPLAYTITLE:Einbinden von individuellen openVPN-Profilen in iOS}}
+{{Set_lang}}
-== Informationen ==
-Es gibt mehrere Wege eine individuelle openVPN-Konfig zu importieren
-* einen .tblk-Ordner mit allen benötigten Dateien
-* eine .mobilconfig-Datei für den Import in das Konfigurationsporfil von iOS
-<br>
-Beide Wege werden im Folgenden beschrieben.
-== Einen .tlbk-Ordner erstellen ==
+{{#vardefine:headerIcon|spicon-mobile-security}}
-. Erstellen eines Ordners $foo.tblk <br>
-. Der Ordner muss folgende Dateien enthalten:
-* ca.crt
-* client.crt
-* client.key
-* config.ovpn
-* (optional) pass.txt
-Der Ordner kann frei benannt werden, die enthaltenen Dateien müssen aber ihre hier beschriebenen Dateinamen behalten.
+{{:MS/onboarding/ios/vpnconfig.lang}}
-=== Template für ca.crt ===
+</div>{{DISPLAYTITLE:{{#var:display}} }}{{Select_lang}}{{TOC2}}
+'''{{#var:head}}'''
+{{cl| {{#var:neu}} | {{#var:neu--Artikel}} }}
+{{#var:ver-d}} '''12.2020'''
+<div class="h3"> {{#var:Vorbemerkung}} </div>
+{{#var:Vorbemerkung--desc}}
+=== {{#var:Konfigurationsordner}} ===
+{{#var:Konfigurationsordner--desc}}
+<li class="list--element__alert list--element__hint">{{#var:Konfigurationsordner--Hinweis}}</li>
+==== {{#var:Templates}} ====
+{{#var:Templates--desc}}
+<div class="Einrücken">
+{{h5 | {{#var:Certificate Authority}} | {{#var:Certificate Authority-h5}} }}
 <pre>
@@ Zeile 30: / Zeile 42: @@
 </pre>
-=== Template für client.crt ===
+{{h5 | {{#var:Client Zertifikat}} | {{#var:Client Zertifikat-h5}} }}
 <pre>
@@ Zeile 42: / Zeile 54: @@
 </pre>
-=== Template für client.key ===
+{{h5| {{#var:Client Zertifikat}} | {{#var:Client Zertifikat-h5}} }}
 <pre>
@@ Zeile 53: / Zeile 65: @@
 </pre>
-=== Template für config.ovpn ===
+{{h5| {{#var:Konfigurationsdatei}} | {{#var:Konfigurationsdatei-h5}} }}
 <pre>
-remote your.server.com 443 tcp
+remote {your.server.com} 443 tcp
-route {ip to exclude from vpn} 255.255.255.255 net_gateway
+route {ip to route into tunnel} 255.255.255.255 vpn_gateway
 dhcp-option DNS 192.168.123.1
@@ Zeile 68: / Zeile 80: @@
 </pre>
-=== Template für pass.txt ===
+{{h5| {{#var:Passwortdatei}} | {{#var:Passwortdatei-h5 }} }}
 <pre>
@@ Zeile 75: / Zeile 87: @@
 </pre>
+</div>
+===== {{#var:Konfigurationsordner}} =====
+<div class="Einrücken">
+===== {{#var:Import--iCloud}} =====
+<div class="Einrücken">
+{{#var:Import--iCloud--desc}}
+<li class="list--element__alert list--element__positiv">{{#var:Import--Hinweis}}</li>
+</div>
+===== {{#var:Import--Configurator}} =====
+<div class="Einrücken">
-=== Import eines .tblk-Ordners ===
+{{#var:Import--Configurator--desc}}
-* Öffnen Sie den Finder auf Ihrem Mac und kopieren Sie den erstellten .tblk-Ordner in Ihren iCloud-Ordner.
+<li class="list--element__alert list--element__positiv">{{#var:Import--Hinweis}}</li>
-** Die Dateiendung des Ordners .tblk ist wichtig, sodass iOS den Ordner als einzelne Datei (Konfigurationspaket) erkennt.
+</div>
-** Wenn Sie die iCloud-Webapp nutzen, wird aus dem Ordner eine .zip-Datei generiert. Der Import von .zip-Dateien wird aktuell nicht unterstützt. <br>
-** Wenn Sie sich den Ordner per E-Mail schicken achten Sie bitte darauf, dass ihr Anbieter dies ebenfalls nicht tut (GMail-Webapp z.B.).
-* In der Securepoint Mobile Security App öffnen Sie die 'VPN Status' Seite und klicken auf "Add config"
+</div>
-* Gehen Sie in der Menüführung einen Eintrag zurück  zu "Profile Management" und wählen Sie das Profil aus.
+----
-* Nun können Sie das VPN starten.
-== Setup einer .mobileconfig-Datei ==
+=== {{#var:mobileconfig-Datei}} ===
-Benutzen Sie das folgende Template und ersetzen Sie den Platzhaltern '''{...}''' mit dennen für Sie relvanten Informationen.
+{{#var:mobileconfig-Datei--desc}}
-Use the following template and replace all occurrences of {...} with the relevant information of your VPN setup.
-<pre>
+==== Template ====
-<dict>
+<div class="Einrücken">
+ <dict>
      <key>PayloadContent</key>
      <array>
@@ Zeile 120: / Zeile 142: @@
          </dict>
          <key>UserDefinedName</key>
-         <string>{Insert any identifier}</string>
+         <string>{{c|{Insert any identifier}|r}}</string>
          <key>VPN</key>
          <dict>
@@ Zeile 148: / Zeile 170: @@
          <dict id="vendorConfig">
            <key>auth-user-pass</key>
-           <string>{username}\n{password}</string>
+           <string>{{c|{username}|r}}\n{{c|{password}|r]]</string>
            <key>ca</key>
-           <string>-----BEGIN CERTIFICATE-----\nMIIEKTCCAxGgAwIBAgIBADANBgkqhkiG9w0BAQsFADCBrjELMAkGA1....{ The CA certificate which signed the VPN server Certificate }....hj/AA+dCIFEzp2EtIuK3K6Jtu\nlEAa+0y24V6nS/L9/g==\n-----END CERTIFICATE-----\n</string>
+           <string>-----BEGIN CERTIFICATE-----\n{{c|{MIIEKTCCAxGgAwIBAgIBAD.... The CA certificate which signed the VPN server Certificate ....0y24V6nS/L9/g&#61;&#61;}|r}}\n-----END CERTIFICATE-----\n</string>
            <key>remote.1</key>
-           <string>{VPN server hostname} {VPN server port}</string>
+           <string>{{c|{VPN server hostname} {VPN server port}|r}}</string>
            <key>proto.1</key>
-           <string>{VPN server protocol (udp or tcp)}</string>
+           <string>{{c|{VPN server protocol (udp or tcp)}|r}}</string>
            <key>redirect-gateway</key>
            <string>def1</string>
@@ Zeile 171: / Zeile 193: @@
          <string>Client Certificate</string>
          <key>PayloadContent</key>
-         <data>MIIPsQIBAzCCD2oGCSqGSIb3DQEHAaCCD1sE{ Client Certificate in PKCS12 format }BgUrDgMCGgUABBSHgcVUxAYiLs91uoElN78YtI0rIwQU3/s72Orxrvp86coUpLfEEheyrqcCAwGGoA==</data>
+         <data&gt;{{c|{MIIPsQIBAzCCD... Client Certificate in PKCS12 format ...pLfEEheyrqcCAwGGoA&#61;&#61;}|r}}</data&gt;
          <key>PayloadDisplayName</key>
          <string>Client Certificate</string>
@@ Zeile 183: / Zeile 205: @@
          <integer>1</integer>
          <key>Password</key>
-         <string>{Password to access the PKCS12 container}</string>
+         <string>{{c|{Password to access the PKCS12 container}|r}}</string>
          <key>PayloadDescription</key>
          <string>Adds a PKCS12-formatted certificate</string>
@@ Zeile 189: / Zeile 211: @@
      </array>
      <key>PayloadDisplayName</key>
-     <string>{Identifier in IOS settings for the certificate}</string>
+     <string>{{c|{Identifier in IOS settings for the certificate}|r}}</string>
      <key>PayloadIdentifier</key>
      <string>vpn.configuration</string>
@@ Zeile 199: / Zeile 221: @@
      <integer>1</integer>
    </dict>
-</plist>
+ </plist>
-</pre>
+</div>
+==== {{#var:mobileconfig-Datei--Import}} ====
+<div class="Einrücken">
+===== {{#var:Import--iCloud}}=====
+<div class="Einrücken">
+{{#var:mobileconfig-Datei--Import--icloud--desc}}
+</div>
+===== {{#var:Import--Configurator}} =====
+<div class="Einrücken">
+{{#var:mobileconfig-Datei--Import--Configurator--desc}}
+</div>
+===== {{#var:mobileconfig-Datei--Import--MDM}} =====
-=== Importmöglichkeiten einer .mobileconfig-Datei ===
+<div class="Einrücken">
-* Ausrollen mithilfe eines MDM-Servers
+{{#var:mobileconfig-Datei--Import--MDM--desc}}
-* Hinzufügen zu einem Konfigurationsprofil mit Hilfe des 'Apple Configuratior 2'
+</div>
-* Download aus der iCloud
+</div>
-** Wenn die Datei aus der iCloud heruntergeladen wird, muss sie anschließend im Filebrowser ausgewählt und in das System importiert werden.