VPN-Anleitung: iPhone, FRITZ!Box und VPN-on-Demand
Freitagabend. Wir setzen einfach mal voraus, dass ihr noch etwas freie Zeit zum Basteln habt und knüpfen kurz an unseren iPhone-VPN-Artikel vom Donnerstag an. Der Tenor in den Kommentaren dort: Die einfache VPN-Verbindung zwischen iPhone und FRITZ!Box ist eine nette Sache, aber wenig attraktiv, wenn diese nicht automatisch aufgebaut wird. Anders formulier: Was nützt eine sichere Verbindung, wenn E-Mail-Apps und andere Hintergrundanwendungen, diese nicht automatisch einsetzen, sondern auf den manuellen Eingriff des Anwenders angewiesen sind.
Auch Apples Betriebssystem fing sich Kritik ein. So vergisst das iPhone anliegende VPN-Verbindungen sobald das Gerät einmal in den Ruhezustand abgetaucht ist. Lange Rede Kurzer Sinn: Hier müssen wir noch mal Hand anlegen.
VPN-on-Demand
Um den beschriebenen Anforderungen Gerecht zu werden, bietet sich die Nutzung der „VPN-on-Demand“-Option an. Das Feature, das sich mit wenigen Zeilen Code in einer iPhone-Profil-Datei definieren lässt, sorgt dafür, dass das iPhone die VPN-Verbindung von sich aus aufbaut und hält wenn bestimmte Kriterien erfüllt sind.
Schritt 1: Apple Configurator
Um uns die Konfiguration der VPN-Einstellung etwas zu erleichtern, greifen wir heute auf Apples Configurator zurück. Der kostenfreie Mac-Download bringt alle Werkzeuge mit, um eine Profildatei zu erstellen. Öffnet den Configurator und wählt im Menü > Ablage > Neues Profil.
Macht es einfacher: Apples Configurator
Gebt eurer Profil-Datei im Bereich „Allgemein“ einen Namen und wählt dann den Bereich „VPN“ aus. Hier werden die gleichen Daten eingetragen, die wir gestern noch von Hand auf dem iPhone eingetippt haben. Solltet ihr die Infos vergessen haben, könnt ihr euch die VPN-Einstellungen einfach noch mal auf der FRITZ!Box anzeigen lassen. Besucht dazu die FRITZ!Box und wählt System > FRITZ!Box-Benutzer > Benutzerkonto bearbeiten > VPN-Einstellungen anzeigen.
Sind die Daten eingetragen, dann sichert eure Profildatei und schließt den Apple Configurator.
Profil-Datei von Hand bearbeiten
Da der Apple Configurator keine Felder zum Setzen der VPN-on-Demand-Konfiguration mitbringt, müssen wir diese nun von Hand nachtragen. Alles kein Problem, denn bei der Profil-Datei handelt es sich um einen stinknormale Textdatei mit weniger als 100 Zeilen XML-Code.
Wir setzen zur Bearbeitung auf einen Text-Editor, können euch aber auch den Online-Editor jsPlistor ans Herz legen, der den Inhalt der Profil-Dateien hierarchisch nachvollziehbar präsentiert.
Wie auch immer: Öffnet die Profildatei in eurem Editor und schaut sie euch erst mal an. Apple bietet hier eine umfangreiche Dokumentation an, die euch die Bedeutung der einzelnen Felder und ihrer Werte erklärt.
VPN-aktiv, wenn nicht im eigenen WLAN
Hier können beliebige Regeln definiert werden. Ihr könnt etwa festlegen, dass sich die VPN-Verbindung immer nur dann aufbauen soll, wenn ihr die Webseite eurer Hausbank aufruft. Wir haben uns für eine strenge aber einfache Regel entschieden und wollen die VPN-Verbindung immer dann aktiv haben, wenn wir uns gerade nicht in einem WLAN-Netzwerk aufhalten, dem wir vertrauen. Anders gesagt: Nur im privaten WLAN-Netz verzichten wir auf die VPN.
Dementsprechend freuen wir uns über die Vorarbeit von Florian Knapp, der den für uns relevanten Code-Baustein, bereits in diesem Blogeintrag veröffentlicht hat.
Update vom 04.06.2016: Der folgende Code-Schnipsel wurde um zwei Optionen ergänzt. Die VPN-Verbindung ist im Mobilfunknetz jetzt nicht mehr grundsätzlich aktiv. Sobald jedoch eine lokale, also im Heimnetzwerk verortete URL aufgerufen wird (etwa um auf die FRITZ!Box selbst oder auf den Netzwerkspeicher zu Hause zuzugreifen) wird die VPN-Verbindung auch im Mobilfunknetz wieder aufgebaut. Ansonsten gilt nach wie vor: VPN wird bei allen WLAN-Netzen aktiviert, die nicht spezifisch im SSIDMatch-Bereiches des Codes ausgeklammert wurden.
Die VPN-on-Demand-Regeln sagen dem iPhone: Wenn du nicht in einem der beiden WLAN-Netzen „Name of my Home Network“ oder „Company WiFi“ eingebucht bist, dann baue eine VPN-Verbindung auf, ehe du auf das Internet zugreifst. Schnappt euch den Code-Block, editiert die Namen der WLAN-Netze und kopiert den gesamten Block in eure Profil-Datei.
Hier fügt ihr den Code direkt über der ersten „</dict>“-Zeile ein. Achtet auf den anführenden Schrägstrich, in unserem Fall hatten wir es mit Zeile 32 zu tun. Entsprechend sieht unsere Profil-Datei inklusive den Regeln für die VPN-on-Demand-Verbindungen nun so aus:
Schon fertig
Speichert die Profil-Datei und schickt diese entweder per E-Mail an euer iPhone oder nutzt den Configurator um das Profil direkt zu installieren. Auch ohne Signatur lässt sich die Datei jetzt auf dem iPhone installieren und kümmert sich fortan um den Aufbau einer sicheren VPN-Verbindung bei Bedarf.