Einmal erstellt, zig mal instaliert
Für die FRITZ!Box: VPN-Profil mit Apples Configurator erstellen
In dem Artikel zur kostenlosen VPN-Lösung „Proton“ haben wie unser persönliches VPN-Setup bereits kurz skizziert: Zum einen ist auf iPhone und iPad ein iOS-Profil installiert, das bei Bedarf eine Verbindung mit dem VPN-Server der zu Hause aufgestellten FRITZ!Box herstellt.
Bei Bedarf: Profil verbindet zur FRITZ!Box-VPN
Zum anderen zahlen wir jährlich für den Premiumdienst Freedome, nutzen diesen aber fast ausschließlich dazu Geo-Restriktionen von Mediatheken und Streaming-Seiten zu umgehen.
Zur Heimlösung mit der FRITZ!Box bzw. zu dem nur kurz im Text angerissenen Profil haben uns eine Handvoll Fragen erreicht, auf die wir jetzt eingehen wollen. Denn: Der VPN-Server auf den AVM-Routern ist durch seine kostenlose Dauerverfügbarkeit wirklich attraktiv.
Ist die Verbindung mit der persönlichen FRITZ!Box aufgebaut, lässt sich etwa auf Speichergeräte im heimnetzwerk zugreifen, ohne diese mit Portfreigaben nach außen hin zugänglich machen zu müssen. Zudem können vorsichtige Anwender so ihre Paranoia in Cafés und Airbnb-Unterkünften beruhigen. Immer wenn wir uns in WLAN-Netzen aufhalten, denen wir nicht trauen, werfen wir einfach die VPN-Verbindung nach Hause an und surfen anschließend auch auf unverschlüsselten Webseiten mit einem guten Bauchgefühl.
VPN-Profil mit Apples Configurator erstellen
Um uns die umständliche Eingabe der VPN-Zugangsdaten auf mehreren Geräten zu ersparen und gleichzeitig die Möglichkeit zu haben, den VPN-Zugang zur eigenen FRITZ!Box schnell mit guten Freunden teilen zu können, haben wir uns eine Profildatei angelegt, die sich innerhalb weniger Sekunden auf iPhone und iPad installieren lässt.
Die Profildatei lässt sich mit wenigen Mausklicks in Apples kostenloser Configurator-App erstellen und macht die manuelle Eingabe von Zugangsdaten und Account-Informationen überflüssig. Diesmal haben wir allerdings Abstand davon genommen eine intelligente Profil-Datei zu erstellen, die die Verbindung automatisch aufbaut – die Experimente der vergangenen Jahre haben geziegt, dass die Automatik im Alltag nicht zuverlässig genug arbeitet.
Habt ihr den VPN-Zugang in der FRITZ!Box angelegt, müsst ihr euch hier die Zugangsdaten anzeigen lassen (In den Einstellungen des FRITZ!Box-Benutzers auf „VPN-Einstellungen anzeigen“ klicken) und könnt anschließend Apples Configurator öffnen – iPhone oder iPad müssen dazu nicht an den Mac angeschlossen sein.
Erstellt ein neues Profil (CMD+N), gebt diesem im Bereich „Allgemein“ einen Namen und eine eindeutige Kennung und klickt euch in den Bereich VPN. Hier können alle Konfigurationsinfos eingetragen und das Passwort wahlweise gleich mit gesichert werden. Anschließend speichert ihr die Profildatei mit CMD+S. Fertig.
Die Profildatei lässt sich nun zum Beispiel per Mail auf die eigenen Geräte und an ausgesuchte Personen wie Partner oder besten Freund senden und sorgt dafür, dass die iPhone-Einstellungen um einen VPN-Schalter ergänzt werden. Eine deutlich angenehmere Variante als die Zugangsdaten auf allen Smartphones und Tablets im im eigenen Gerätepark per Hand einzugeben.
Hi! Tolle Idee! Nur: Die Fritzbox kann in den Einstellungen auch selbst ein VPN-Profil erstellen. Eure Anleitung ist im Vergleich komplizierter. Oder übersehe ich etwas?
Sorry, I get it. Manuelle Eingabe entfällt … Wer lesen kann ist klar im Vorteil ;)
Sobald man die mobileconfig-Datei aber einmal hat kann man die auch auf dem iPhone bearbeiten und somit direkt nutzen.
Jetzt wo ich so drüber nachdenke könnte man das auch mit der Kurzbefehle/ Shortcuts App hinbekommen, dass man dort die spezifischen Daten Angebot und Daraus das Profil erstellt wird…
*spezifischen Daten angibt
https://www.icloud.com/shortcuts/46121e1d462540f3a625b78fe36f9368
… ja, möglich. aber alles im klartext, auch das passwort. nicht ratsam.
Warum ist das nicht ratsam?
Ist es nicht so, dass nur Anfragen getunnelt werden, die in das Subnetz der FritzBox gehen?
Also nicht jeglicher Safari Traffic?
Nein, auch über Safari. Deswegen ist man abhängig von der Upload-Rate des Heimanschlusses. Also nicht immer streamfähig.
Das beste ist aber, wenn man die Fritzbox VPN configuration mit „on demand“ erweitert, d.h. VPN Verbindung über die Fritzbox wird bei allen fremden WLANs (=nicht in der Whitelist) automatisch aufgebaut, ohne das man etwas tun muss. So surft man sicher auch über unbekannte oder unsichere Hotspots (Starbucks, Bahn, Telekom, McDonalds usw)
Das habe ich auch so gemacht. Im Artikel steht ja, dass das zu fehleranfällig ist. Das finde ich aber nicht.
Ich habe allerdings Probleme, wenn mehrere Verbindungen über die selben Zugangsdaten hergestellt werden. Deshalb habe ich für jedes Gerät eigene Zugangsdaten und ein eigenes Profil erstellt.
Habe auch eine OnDemand-Verbindung konfiguriert, allerdings das ganze manuell. Läuft problemlos und zuverlässig.
Brauche ich dafür unbedingt einen Mac?
Ich würde das gerne nutzen.
Ich selbst könnte das VPN noch manuell starten und beenden … aber in der Familie klappt das nicht so gut.
Den Apple Configurator 2 gibt es m.W. nur für den Mac. Den 1er gab es auch für Windows. Such dir jemanden mit einem Mac, der Dir eine „saubere“ .mobileconfig Datei erstellt. Den Rest machst du mit einem Texteditor.
Das OnDemand hat lange bei mir tadellos Funktioniert. Seit ca. März kommt bei mir die Fehlermeldung „#VPNxyz# wird nicht mit dem aktuellen Netzwerk verbunden.“ Das Meldung erhalte ich Wlan Netzen als auch im Mobilfunknetz. Den Schalter bei Bedarf verbinden deaktiviert und schon funktioniert es. Bin noch nicht dahinter gesticken was hier der Fehler sein soll.
Ich vermisse bei ios einen „Schalter“ im Kontrollzentrum oder auf m Homebildschirm, der mir das auf Knopfdruck verbindet?!?
Geht sowas?
Nee, geht leider bis heute nicht. Apple hat beschlossen, dass wir Benutzer keine schnelle Möglichkeit brauchen, „mal eben“ ein VPN aufzubauen (mich nervt das abgrundtief) und erlaubt das nach wie vor nur über einen Sprung in die Systemeinstellungen.
Ich hab keine Ahnung, ob man das über einen Kurzbefehl realisieren könnte, müsste ich glatt mal ausprobieren, bin aber irgendwie pessimistisch…
Ergänzung: nach kurzem Recherchieren behaupte ich: nee, geht auch nicht über die Kurzbefehle :-(
Hatte ich auch mal fertig gemacht um überall automatisch VPN zu nutzen, bin ich wo im WLAN. Leider haben alle Bekannte auch eine Fritz und da kann ich in einem GastWLAN kein VPN nutzen.
Du musst die IP deiner eigenen Fritzbox auf eine einstellen, die sonst keiner verwendet. Dann gibt es auch keine Konflikte in Netzwerken fremder Fritzboxen.
Das klappt nicht. Die Göstenetze eine Fritzbox unterbinden VPN-Verbindungen aktiv. Da muss der Box-Besitzer die Einstellung in seiner Fritz ändern. Das ist neu seit OS 7, glaube ich. Zumindest, dass diese Einstellung standardmäßig aktiv ist.
ok, die haben nie gäste, die mal eben auf firmenresourcen zugreifen müssen…?
Meine Gäste nicht. Wer arbeiten will, kann das tun aber nicht bei mir, denn dann brauch er mich nicht besuchen
Kann man das nicht auch für andere Boxen als nur die FritzBox nutzen? Hauptsache man hat einen VPN Server zuhause… Oder sehe ich das falsch?
richtig. das beschriebene iOS-profil macht nur die zugangsdaten zur vpn-kiste.
Kann mir jemand sagen warum genau auf Freedom zurückgegriffen wird? wenn es die Fritz!Box kostenlos macht? Macht Freedom und Fritzbox nicht das selbe?
Freedome nutzt auf Wunsch einen Server in Finnland, Schweden, Großbritanien, Frankreich, USA, Canada .. ect. Dies kann die Fritz nicht.
Vielen Dank!
Steht das nicht auch im Text? Um Ländersperren zu umgehen
Hallo leider hilft das vpn einschalten für die Hotspot Freigabe nicht, d.h. alle weiteren Geräte müssen auch einzeln per vpn verbunden werden!
Ist das immer noch der IPSec Mist bei AVM ?
Oder kann die jetzt auch L2TP over IPsec ?
L2TP bleibt bei mir grundsätzlich für mehrere Tage aufgebaut.
IPsec zur Fritzbox wurde immer im Bildschirm-Sperr-Modus wieder abgebaut und blieb aus und noch viel schlimmer, bei Wechsel ins WLAN wurden die ersten Sekunden immer ohne aufgebauten Tunnel schon Daten (unverschlüsselt) übertragen.
WER KENNT DA DEN AKTUELLEN STAND ?
Es geht nach wie vor nur IPsec.
Und ja, es baut sich wieder ab, ich hab aber nie getestet, nach wie vielen Minuten Sperrbildschirm das passiert. Bin mir auch nicht sicher, ob AVM daran „schuld“ ist, oder doch eher iOS. Ich hab ne Zeit lang auch eine VPN Verbindung zu meinem NAS via L2TP/IPsec genutzt, da verhielt sich das gleich.
Seit ich auf dem NAS OpenVPN verwende, klappt das besser, allerdings braucht’s dazu dann eine eigene iOS App, da Apple OVPN nicht direkt unterstützt.
Ok, das ist bei mir schonmal anders – bei L2TP baut sich bei durchgehenden Empfang nichts ab – nur aus LTE wechselt der dann nicht mehr von alleine zurück ins WLAN und Akku/Daten schmolzen dann so dahin.
Die 6490 hatte auch nicht genug Prozessorpower um die 20 MBits Upload durchs VPN zu rechnen – die 6590 schafft ne VPN mit 20 MBits aber gut.
… und wo kriegt man den Apple Configurator wenn man kein MacBook hat?
Den Apple Configurator 2 gibt es m.W. nur für den Mac. Den 1er gab es auch für Windows. Such dir jemanden mit einem Mac, der Dir eine „saubere“ .mobileconfig Datei erstellt. Den Rest machst du mit einem Texteditor.
Schlecht. Ich kenne niemanden mit einem MacBook. Und von diesem Configurator lese ich so oft das ich ihn mir gerne mal angesehen hätte. Gibt es denn da nichts?
VM mit MacOs
Bei mir kommt immer „VPN-Server wurde nicht gefunden“. Jemand eine Idee, woran das liegen kann?
ping
ping // von myfritz
nslookup
Danke dir, mit der IP funktioniert es!
Hallo, kannstdu das mal bitte näher erläutern. . Ping 77 von MyFRITZ,
Bei mir fehlt nämlich auch die Server adresse
IPV6?
Danke dir, mit der IP funktioniert es.
Ja, IPV6
Welche Möglichkeiten haben Vodafone Kabel Kunden mit der gestellten Fritzbox?
Die gleichen. Gibt keine Einschränkung, lediglich DSLite könnte zu einem Problem werden, solltest du einen Kabel-Internetanschluss von Vodafone und keine Umstellung auf IPv4 beantragt haben. Bei Vf DSL oder Kabel-Internet mit IPv4 gibt es keinerlei Einschränkungen.
Bei mir reichte ein Anruf bei der Kundenhotline. Noch während des Telefongespräches wurde der Anschluss auf IP4 umgestellt.
Funktioniert seit Jahren und war sogar nach einem Umzug innerhalb von Berlin sofort wieder funktionsfähig. Durch den VPN Zugang habe ich den vollen Zugriff auf mein Heimnetzwerk und zum Beispiel auch auf meine Sicherheitskameras.
Wer kann mir sagen, wie man die VPN Configuration mit „on demand“ erweitert?
In Zeiten wo SSL mittlerweile Standard ist braucht man auch keine VPN IMO
naja, beim surfen in manchen hotels oder in einigen gegenden (zb. vereinigte arabische emirate oder volksrepublik china) sind manche ports und adressen gesperrt. kann man mit dem tunneln nachhause umgehen.
Naja, SSL ist aber auch sehr leicht auszuhebeln. Wenn einfach ein Proxy dazwischen geschaltet ist und das SSL Protokoll aufspaltet (Man in the middle), dann ist der Paketstream auch les- und manipulierbar. Weiß du was der Anbieter eines öffentlichen WLANs für eine Technik im Hintergrund am laufen hat oder ob sich jemand mit nen stärkeren WLAN als der öffentliche aus gibt und die Daten abfängt, aufschlüsselt und dann erst zum eigentlichen öffentlichen WLAN weitergibt ? Ist alles schon vorgekommen. ;-)
Ich für mein Teil meide öffentliche WLANs und wenn dann nur über meinen eigenen VPN Zugang.
Lieber einmal zu viel vorsichtig sein als hinterher die Scherben aufzusammeln.
Das funktioniert aber nur, wenn auf dem Endgerät das (Root-)Zertifikat des MitM installiert ist, sonst wird die Verbindung als nicht vertrauenswürdig eingstuft und es gibt entsprechende Fehlermeldungen.
Das tatsächliche Problem sehe ich in irgendwelchen Apps, bei denen man nicht sehen kann, dass sie eine unverschlüsselte Verbindung aufbauen oder die Zertifikate nicht richtig prüfen bzw. keine Fehler ausgeben.
Da gab es auch schon Untersuchungen zu (Link habe ich leider nicht parat, könnte sogar hier ein Artikel gewesen sein).
Und mit SSL komme ich von Außen wie in mein Heimnetz?
Schade, der Apple Configurator 2 lässt sich nur auf Mojave downloaden. Da hab ich mit High Sierra auf nem iMac late 2011 leider Pech gehabt, oder hat jemand eine Idee wo ich einen lauffähigen Configurator her bekomme?