[iOS] Always on VPN

donderdag 23 augustus 2018 13:55

Acties:

0 Henk 'm!

Topicstarter

Op mijn Iphone 7 heb ik een L2TP vpn profiel staan en als ik VPN inschakel dan werkt deze ook prima. Echter zou ik soms Always on of auto reconnect willen hebben. Echter kan ik dit in IOS niet instellen. Online kom ik wat dingen tegen van een profiel maken voor je iphone maar daar heb je een tool voor nodig. Ik kom ook dingen tegen als on-demand maar die setting zie ik er niet bij staan.

Is er een manier om dit te krijgen op ios? (Eventueel met een andere app?)

Device Iphone 7
IOS 11.4.1

[ Voor 8% gewijzigd door HKLM_ op 23-08-2018 13:57 ]

Cloud ☁️

vrijdag 16 november 2018 22:47

Vinales

Ik heb dit artikel gevonden maar weet nog niet hoe het te testen zonder mac...

https://thomas-witt.com/a...unknown-wifi-d1df8100c4ba

donderdag 23 augustus 2018 14:04

Acties:

+1 Henk 'm!

Meekoh

Je hebt een Mac nodig, daarop kun je de Apple configurator installeren.
Vervolgens kun je een profiel maken, waarin je VPN altijd aan hebt.
There is no other way.(ja alleen via grote MDM paketten)

[ Voor 9% gewijzigd door Meekoh op 23-08-2018 14:06 ]

Computer says no

vrijdag 16 november 2018 22:47

Acties:

Beste antwoord ✓
+2 Henk 'm!

Vinales

Ik heb dit artikel gevonden maar weet nog niet hoe het te testen zonder mac...

https://thomas-witt.com/a...unknown-wifi-d1df8100c4ba

zaterdag 17 november 2018 09:51

Acties:

0 Henk 'm!

WhatsappHack

Vinales schreef op vrijdag 16 november 2018 @ 22:47:
Ik heb dit artikel gevonden maar weet nog niet hoe het te testen zonder mac...

https://thomas-witt.com/a...unknown-wifi-d1df8100c4ba

Die kwam ik laatst ook tegen en ga ik een dezer dagen eens testen. Wil ook graag altijd VPN aan buitenshuis, maar op locatie zelf niet want dat voegt alleen maar overhead toe. Dat artikel heeft het over enkel op unknown network te kunnen activeren, dus ben benieuwd

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

zaterdag 17 november 2018 10:05

Acties:

+1 Henk 'm!

HKLM_

Topicstarter

Nice die ga ik binnenkort eens proberen

Cloud ☁️

zaterdag 17 november 2018 10:10

Acties:

0 Henk 'm!

Vinales

Ben zeer benieuwd naar je ervaring om dit te configureren.

zaterdag 17 november 2018 10:28

Acties:

0 Henk 'm!

Radiodurans

De betaalde VPN provider PureVPN heeft een app op iOS die dit ondersteund. Met het IKEv2 protocol (dit is beter geschikt voor wisselende verbindingen dan L2TP) en On Demand VPN is dit stabiel voor dagelijks gebruik, ik wissel zonder problemen van mijn thuis WiFi naar 4g van mijn telefoonprovider. Het kost ongeveer 2,5 euro per maand en je kunt betalen met veel verschillende methoden, o.a. anonieme gift cards. Snelheid en data is onbeperkt, ik merk in de praktijk niets van enige overhead.

Het gaat niet 100% altijd goed, bijv. met 'Wifi in de trein' of andere openbare WiFi verbindingen waarvoor je eerst akkoord moet gaan met voorwaarden. Verder heb ik heb ook niet gecontroleerd of er geen data leak is tijdens de overgang tussen WiFi naar 4g of andersom.Voor mij gaat het om privacy tegen massasurveillance en veiligheid bij het gebruik van openbare Wifi in het buitenland e.d., ik heb niet de illusie dat ik er iets tegen kan doen als er een inlichtingendienst mijn telefoon wil afluisteren.

[ Voor 5% gewijzigd door Radiodurans op 17-11-2018 10:32 ]

MYLR’23 | AVWC/AVEM/AVWS/VZLE/EN4C

zaterdag 17 november 2018 10:30

Acties:

0 Henk 'm!

WhatsappHack

Ik zit nog ff te kijken of dat profiel nog aangepast kan worden om ook enkel op bepaalde 4G-verbindingen de VPN niet always-on te hebben maar elders wel.

Ik vind het bijvoorbeeld niet erg om op 4G van KPN zonder VPN te werken, dat is nagenoeg even veilig als de VPN op m'n thuisverbinding gebruiken natuurlijk.

(Al kan je dan wel mooi het verkeer nog ff door je PiHole laten filteren... Moet ik ff overwegen

) Maar als ik ga roamen, dan wil ik dat de VPN op mobiele data wél altijd aan staat. Het verkeer gaat wel eerst naar Nederland, maar navraag bij KPN wijst uit dat dit geen (extra) beveiligde verbinding is omdat de overheid in dat land moet kunnen tappen als ze dat willen. Dus ff kijken of er ook een uitzondering voor KPN NL toegevoegd kan worden maar alle andere mobiele netwerken wél automatisch VPN inschakelen.

[ Voor 6% gewijzigd door WhatsappHack op 17-11-2018 10:30 ]

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

zaterdag 17 november 2018 10:51

Acties:

+1 Henk 'm!

HKLM_

Topicstarter

Radiodurans schreef op zaterdag 17 november 2018 @ 10:28:
De betaalde VPN provider PureVPN heeft een app op iOS die dit ondersteund. Met het IKEv2 protocol (dit is beter geschikt voor wisselende verbindingen dan L2TP) en On Demand VPN is dit stabiel voor dagelijks gebruik, ik wissel zonder problemen van mijn thuis WiFi naar 4g van mijn telefoonprovider. Het kost ongeveer 2,5 euro per maand en je kunt betalen met veel verschillende methoden, o.a. anonieme gift cards. Snelheid en data is onbeperkt, ik merk in de praktijk niets van enige overhead.

Het gaat niet 100% altijd goed, bijv. met 'Wifi in de trein' of andere openbare WiFi verbindingen waarvoor je eerst akkoord moet gaan met voorwaarden. Verder heb ik heb ook niet gecontroleerd of er geen data leak is tijdens de overgang tussen WiFi naar 4g of andersom.Voor mij gaat het om privacy tegen massasurveillance en veiligheid bij het gebruik van openbare Wifi in het buitenland e.d., ik heb niet de illusie dat ik er iets tegen kan doen als er een inlichtingendienst mijn telefoon wil afluisteren.

Maar met een VPN provider heb je wel vpn maar is mijn interne netwerk niet beschikbaar

* HKLM_ vertrouwd die vpn providers ook niet 100%

Cloud ☁️

zaterdag 17 november 2018 11:00

Acties:

+1 Henk 'm!

WhatsappHack

@HKLM_ Dat dus. Ik vind de een nog shadier dan de ander zegmaar. Snap t wel als mensen zoiets willen gebruiken voor torrents oid, maar om al je communicatie over te laten verlopen...? Ehhhh.

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

zaterdag 17 november 2018 11:04

Acties:

+1 Henk 'm!

Radiodurans

HKLM_ schreef op zaterdag 17 november 2018 @ 10:51:
Maar met een VPN provider heb je wel vpn maar is mijn interne netwerk niet beschikbaar

Hah, nee, als dat je wens is dan heb je inderdaad een andere oplossing nodig. Als PureVPN on demand VPN mogelijk kan maken met een iOS app dan moet er ook een app oplossing voor jouw usecase mogelijk zijn. Maar welke app?

En ja, of je meer kunt vertrouwen in je tel provider dan een vpn provider is een andere vraag. Mijn tel provider weet mijn NAW, mijn VPN provider niet...

MYLR’23 | AVWC/AVEM/AVWS/VZLE/EN4C

zaterdag 17 november 2018 11:04

Acties:

0 Henk 'm!

HKLM_

Topicstarter

WhatsappHack schreef op zaterdag 17 november 2018 @ 11:00:
@HKLM_ Dat dus. Ik vind de een nog shadier dan de ander zegmaar. Snap t wel als mensen zoiets willen gebruiken voor torrents oid, maar om al je communicatie over te laten verlopen...? Ehhhh.

Dat inderdaad kijk soms wel eens in het VPN topic en zie dan mensen die hen hele hebben en houwen over een VPN boer goeien van nog geen 10tje per maand. Niemand weet wat er aan de achterkant zit maar ze vinden het wel veilig....

Ben trouwens nu een profiel aan het maken via het html formulier: OS VPN Profile Generator by Kris Linquist Voor mij is auto connect op 4G voldoende aangezien ik nooit op Wifi zit thuis en op het werk. En aangezien ik het wifi netwerk op werk beheer vertrouw ik dat wel

[ Voor 11% gewijzigd door HKLM_ op 17-11-2018 11:05 ]

Cloud ☁️

zaterdag 17 november 2018 11:08

Acties:

0 Henk 'm!

CurlyMo

Ik heb thuis een OpenVPN server draaien waar ik verbinding mee maak. In de OpenVPN app kan ik aangeven dat hij continue de verbinding actief moet houden.

Sinds de 2 dagen regel reageer ik hier niet meer

zaterdag 17 november 2018 11:10

Acties:

0 Henk 'm!

HKLM_

Topicstarter

CurlyMo schreef op zaterdag 17 november 2018 @ 11:08:
Ik heb thuis een OpenVPN server draaien waar ik verbinding mee maak. In de OpenVPN app kan ik aangeven dat hij continue de verbinding actief moet houden.

Heb ik ook wel eens gehad maar heb nu mijn VPN direct op de router (Unifi USG) Apple moet gewoon niet zo moeilijk doen eigenlijk. Op mijn zakelijke android telefoon is het geen issue.

Config is gelukt en werkt perfect VPN altijd aan op 4G en Wifi behalve de uitgezonderde Wifi

code:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
  <key>PayloadContent</key>
  <array>        <dict>
      <key>UserDefinedName</key>
      <string>USG VPN Profile</string>
      <key>PayloadDisplayName</key>
      <string>USG VPN Profile</string>
      <key>PayloadIdentifier</key>
      <string>USG VPN Profile</string>
      <key>PayloadUUID</key>
      <string>8BEEC3FD-98F3-B0CA-2B3B-5053B2555B54</string>
      <key>VPNType</key>
      <string>L2TP</string>
      <key>IPSec</key>
      <dict>
        <key>AuthenticationMethod</key>
        <string>SharedSecret</string>
        <key>LocalIdentifierType</key>
        <string>KeyID</string>
        <key>SharedSecret</key>
        <string>Password</string>
      </dict>
      <key>PPP</key>
      <dict>
        <key>AuthName</key>
        <string>USername</string>
        <key>AuthPassword</key>
        <string>password</string>
        <key>CommRemoteAddress</key>
        <string>login.FQDN</string>
      </dict>
      <key>OnDemandEnabled</key>
   <integer>1</integer>
   <key>OnDemandRules</key>
          <array>
        <dict>
          <key>InterfaceTypeMatch</key>
          <string>WiFi</string>
          <key>SSIDMatch</key>
          <array>
 <string>Area51_nomap</string>
           </array>
          <key>Action</key>
          <string>Disconnect</string>
        </dict>
        <dict>
          <!-- VPN Default state -->
          <key>Action</key>
          <string>Connect</string>
        </dict>
          </array>
      <key>OverridePrimary</key>
      <true/>
      <key>IPv4</key>
      <dict>
        <key>OverridePrimary</key>
        <integer>1</integer>
      </dict>
      <key>PayloadType</key>
      <string>com.apple.vpn.managed</string>
      <key>PayloadVersion</key>
      <integer>1</integer>
    </dict>
</array>
  <key>PayloadDisplayName</key>
  <string>VPN Configurations</string>
  <key>PayloadIdentifier</key>
  <string>81E2C1C5-DAAA-7D56-FEFA-1D372EF682FF</string>
  <key>PayloadRemovalDisallowed</key>
  <false/>
  <key>PayloadType</key>
  <string>Configuration</string>
  <key>PayloadUUID</key>
  <string>41ED3643-3F82-3BCD-3B3D-8095A76799F3</string>
  <key>PayloadVersion</key>
  <integer>1</integer>
</dict>
</plist>

[ Voor 74% gewijzigd door HKLM_ op 17-11-2018 11:23 ]

Cloud ☁️

zaterdag 17 november 2018 11:25

Acties:

+1 Henk 'm!

WhatsappHack

HKLM_ schreef op zaterdag 17 november 2018 @ 11:04:
[...]
Ben trouwens nu een profiel aan het maken via het html formulier: OS VPN Profile Generator by Kris Linquist Voor mij is auto connect op 4G voldoende aangezien ik nooit op Wifi zit thuis en op het werk.

Thanks! Die heb ik ook meteen ff gebruikt

Scheelt wat geklooi.
Alleen nog ff kijken of je dus niet enkel SSID's kan uitsluiten maar ook KPN NL voor 4G.

En aangezien ik het wifi netwerk op werk beheer vertrouw ik dat wel

Je weet nooit wie er meeluistert he.

Tenzij je AP Isolation hebt I guess.

-edit-
Je kan blijkbaar niet een 4G netwerk uitsluiten met de regels. Wat je wel kan doen is een match voor "URLStringProbe". Als er dus iets is dat uitsluitend via het KPN 4G netwerk bereikbaar is maar nergens anders, dan zou dat werken. Maar ik zou niet weten wat dat zou moeten zijn.

[ Voor 18% gewijzigd door WhatsappHack op 17-11-2018 11:39 ]

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

zaterdag 17 november 2018 14:15

Acties:

0 Henk 'm!

WhatsappHack

Aight, het werkt hier ook Always-ON. Mooi man, fijn dat het werkt.

Mooi ook een bug in het modem gevonden, werd he-le-maal gek dat het ding weigerde van buitenaf te verbinden ondanks dat alles goed leek te staan. Nee blijkt dat er afgelopen Dinsdag een firmware update is gepushed waardoor "Sommige port forwarding regels mogelijk niet meer werken. Verwijder en voeg opnieuw toe om deze weer te laten werken". Uuuuughhh, lekker verhaal.

Anyway, vergeet niet om ook een profiel toe te voegen (gewoon handmatig in je telefoon kan prima) die dus niet always-on is.

Als je dan een keer hebt dat je op een onbekend WiFi-netwerk of op 4G zit en je wilt je VPN uit hebben: dan kan je in Instellingen -> VPN even het profiel veranderen naar je "Handmatig" en dan toggled ie wel uit. Daarna natuurlijk terugzetten op het Automatische profiel zodat ie wel weer (automatisch) verbinding maakt. Met het profiel van die generator kan je hem wel uitzetten maar dan toggle'd ie zichzelf doodleuk direct weer aan.

Dit ga je vooral nodig hebben als je een verbinding moet maken met een WiFi-netwerk waarbij je eerst nog zo'n splash-page moet doorlopen om te verbinden.

Ik heb daarom nu 3 profielen:
- Automatisch WiFi-only (Enkel op onbekende WiFi-netwerken, niet op 4G)
- Automatisch altijd (Op zowel onbekende WiFi als 4G)
- Handmatig (Om te kunnen "overrullen" zodat hij niet automatisch aangaat.)

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

zaterdag 17 november 2018 15:23

Acties:

0 Henk 'm!

FreshMaker

Pagina bookmarked, mijn aanbieder ( windscribe ) biedt alleen openvpn en ikev2 aan.
Maar zeker interessant om bij te houden ( desnoods een eigen L2TP server opzetten thuis, ipv ovpn )

zaterdag 17 november 2018 15:31

Acties:

0 Henk 'm!

Vorkie

Ik gebruik IkeV2 i.c.m. PFSense. Gebruikers van de Always-ON VPN hebben hun eigen user certificaat.

Ik heb 1 profiel welke ik via de Apple Configurator 2 push naar het iOS device, dit profiel is met de hand nog aangepast om het naar Always-ON te zetten en de thuisWIFI uit te zonderen. Dit zorgt er nog voor dat ik OnDemand kan uitzetten, zonder dat deze zich weer inschakelt.

Als OnDemand / AlwaysON is ingeschakeld kan de iPhone zonder verbinding met VPN ook niet het internet op, precies wat ik wil.

zaterdag 17 november 2018 16:31

Acties:

+1 Henk 'm!

HKLM_

Topicstarter

Vorkie schreef op zaterdag 17 november 2018 @ 15:31:
Ik gebruik IkeV2 i.c.m. PFSense. Gebruikers van de Always-ON VPN hebben hun eigen user certificaat.

Ik heb 1 profiel welke ik via de Apple Configurator 2 push naar het iOS device, dit profiel is met de hand nog aangepast om het naar Always-ON te zetten en de thuisWIFI uit te zonderen. Dit zorgt er nog voor dat ik OnDemand kan uitzetten, zonder dat deze zich weer inschakelt.

Als OnDemand / AlwaysON is ingeschakeld kan de iPhone zonder verbinding met VPN ook niet het internet op, precies wat ik wil.

Dat is leuk maar het probleem was voornamelijk dat ik geen andere apple devices had en de Apple Configurator 2 niet werkt op windows

@WhatsappHack ik heb mijn oude config er ook in laten staan voor als ik het niet wil inderdaad. Daarnaast nog een cisco anyconnect profiel voor de zaak dus keuze voldoende

[ Voor 10% gewijzigd door HKLM_ op 17-11-2018 17:43 ]

Cloud ☁️

zaterdag 17 november 2018 18:21

Acties:

0 Henk 'm!

WhatsappHack

@HKLM_ Nice!

Het stomme is, ik heb het op de Mac zo staan dat als ik op een onbekend netwerk zit hij meteen alle verbindingen dichtzet tot ik de VPN activeer of handmatig het actieve firewall profiel wijzig. Ik dacht joh, dat is ook omslachtig: dat moet ie ook automatisch doen net als op die iPhone...

... Kan niet.

Ik hoop dat ik het met iets als ControlPlane voor elkaar krijg.

[ Voor 9% gewijzigd door WhatsappHack op 17-11-2018 18:22 ]

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

zaterdag 17 november 2018 18:44

Acties:

+1 Henk 'm!

HKLM_

Topicstarter

WhatsappHack schreef op zaterdag 17 november 2018 @ 18:21:
@HKLM_ Nice!
Het stomme is, ik heb het op de Mac zo staan dat als ik op een onbekend netwerk zit hij meteen alle verbindingen dichtzet tot ik de VPN activeer of handmatig het actieve firewall profiel wijzig. Ik dacht joh, dat is ook omslachtig: dat moet ie ook automatisch doen net als op die iPhone...

... Kan niet.
Ik hoop dat ik het met iets als ControlPlane voor elkaar krijg.

Jij had het script dan toch helemaal niet nodig als je een mac hebt

(Apple Configurator 2)

Cloud ☁️

zaterdag 17 november 2018 21:16

Acties:

+1 Henk 'm!

WhatsappHack

@HKLM_ Nee blijkbaar niet (kende die tool niet

), maar een scriptje genereren met een profiel dat ik zo naar de apparaten kan Airdroppen lijkt me eigenlijk toch een stuk fijner dan met zo’n gui moeten kloten en de devices er aan hangen

Moet je eerst weer leren hoe dat werkt.

* WhatsappHack vind werken via terminal/editor fijner waar mogelijk en redelijk

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

zondag 18 november 2018 00:39

Acties:

0 Henk 'm!

WhatsappHack

@HKLM_ Ben benieuwd naar je ervaring.

De VPN lijkt hier op 4G wat stabiliteitsproblemen te hebben als de telefoon lang standby staat

Misschien overstappen op IkeV2. Als ‘t bij jou wel prima blijft werken hoor ik ‘t graag, mot ik ff kijken of er ergens een time-out triggered.

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

zondag 18 november 2018 08:26

Acties:

+1 Henk 'm!

HKLM_

Topicstarter

WhatsappHack schreef op zondag 18 november 2018 @ 00:39:
@HKLM_ Ben benieuwd naar je ervaring. De VPN lijkt hier op 4G wat stabiliteitsproblemen te hebben als de telefoon lang standby staat Misschien overstappen op IkeV2. Als ‘t bij jou wel prima blijft werken hoor ik ‘t graag, mot ik ff kijken of er ergens een time-out triggered.

Ik zal dat eens in de gaten gaan houden voor je. Tot nu toe nog veel op de wifi gezeten thuis

Cloud ☁️

woensdag 21 november 2018 14:20

Acties:

0 Henk 'm!

HKLM_

Topicstarter

@WhatsappHack Na een paar dagen testen kan ik melden dat mijn VPN verbinding stabiel is en eigenlijk altijd up is. Wel gaat mijn iphone batterij zo hard leeg dat ik nog eens moet checken of het daar nu in zit of in een andere app

Cloud ☁️

woensdag 21 november 2018 14:37

Acties:

0 Henk 'm!

BernardV

WhatsappHack schreef op zaterdag 17 november 2018 @ 11:25:

Je kan blijkbaar niet een 4G netwerk uitsluiten met de regels. Wat je wel kan doen is een match voor "URLStringProbe". Als er dus iets is dat uitsluitend via het KPN 4G netwerk bereikbaar is maar nergens anders, dan zou dat werken. Maar ik zou niet weten wat dat zou moeten zijn.

Je zou misschien op een eigen servertje een pagina kunnen draaien die het aanvragende IP checkt en vergelijkt met de AS van KPN NL. Als het goed is een 200 terugsturen anders een 500.

//EDIT: Als de VPN uit blijft bij een 200 header en aan gaat bij alle anderen is het nog veilig ook, ligt je eigen server er uit heb je ook VPN op KPN.

[ Voor 11% gewijzigd door BernardV op 21-11-2018 14:38 ]

donderdag 22 november 2018 15:07

Acties:

+1 Henk 'm!

WhatsappHack

bernardV schreef op woensdag 21 november 2018 @ 14:37:
[...]
Je zou misschien op een eigen servertje een pagina kunnen draaien die het aanvragende IP checkt en vergelijkt met de AS van KPN NL. Als het goed is een 200 terugsturen anders een 500.

Zover ik het had begrepen probeert ie enkel te pollen naar die URL, maar maakt hij geen onderscheid in codes. Zal nog eens kijken. Als het inderdaad draait om een valid response (eg: 200) dan is dat inderdaad makkelijk af te vangen. Als de code niet uitmaakt maar enkel of er enige vorm van respons is dan wordt het toch weer net ietsjes lastiger.

HKLM_ schreef op woensdag 21 november 2018 @ 14:20:
@WhatsappHack Na een paar dagen testen kan ik melden dat mijn VPN verbinding stabiel is en eigenlijk altijd up is. Wel gaat mijn iphone batterij zo hard leeg dat ik nog eens moet checken of het daar nu in zit of in een andere app

Thanks!

Ik moet er nog eens naar kijken dan, raar dat het zo instabiel is. Op WiFi geen enkel probleem ongeacht de provider. Ziggo van de buren naar mijn KPN aansluiting draait als een tierelier en blijft zo lang stabiel als je wil, maar op 4G... Nope. *grom*

Heb net wel even in de APN-settings gekeken en het lijkt er op dat m'n iPhone op een APN bij KPN stond die zich nogal graag wilt bemoeien met de traffic. (O.a. voor compressie en driedubbele-NAT zal ook wel gezeik opleveren

) Nu een andere ingesteld en fingers crossed.
Had ook 'advancedinternet' kunnen instellen, maar dan expose je de telefoon echt rechtstreeks naar het internet; dat leek me dan weer een iets minder strak plan.

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

maandag 11 maart 2019 18:26

Acties:

0 Henk 'm!

Dreamvoid

@HKLM_ ben je inmiddels al iets verder hiermee? Ik pik dit na drie jaar ook weer eens op (always-on VPN op mijn mobiele devices en laptops richting mijn thuis netwerk), maar loop tegen de ietwat vervelende situatie aan dat er geen IKEv2+IPSec *server* bestaat voor macOS. De clients zijn er helemaal klaar voor: native support in Win10, in macOS, in iOS.

maandag 11 maart 2019 18:43

Acties:

0 Henk 'm!

HKLM_

Topicstarter

Ik gebruik het actief viahet profiel wat ik geinstalleerd heb. Een aantal wifi netwerken zijn toegestaan zonder en op 4G of een public netwerk staat deze altijd aan.

Cloud ☁️

dinsdag 12 maart 2019 00:53

Acties:

0 Henk 'm!

Dreamvoid

HKLM_ schreef op maandag 11 maart 2019 @ 18:43:
Ik gebruik het actief viahet profiel wat ik geinstalleerd heb. Een aantal wifi netwerken zijn toegestaan zonder en op 4G of een public netwerk staat deze altijd aan.

Wat draai je aan de serverkant qua VPN type?

zaterdag 23 maart 2019 00:14

Acties:

0 Henk 'm!

WhatsappHack

Iemand van jullie die zowel IKEv2 en L2TP getest hebben met iPhone? (Het liefst Always on dus

)
Zo ja, waren er merkbare verschillen in snelheid en stabiliteit?

[ Voor 9% gewijzigd door WhatsappHack op 23-03-2019 00:14 ]

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

maandag 25 maart 2019 16:27

Acties:

+1 Henk 'm!

Dreamvoid

WhatsappHack schreef op zaterdag 23 maart 2019 @ 00:14:
Iemand van jullie die zowel IKEv2 en L2TP getest hebben met iPhone? (Het liefst Always on dus )
Zo ja, waren er merkbare verschillen in snelheid en stabiliteit?

Zou ik ook willen weten ja - ik wil eigenlijk al twee jaar een IKEv2 VPN opzetten vanaf mn thuisserver naar mijn iPhones en laptops (die allemaal out-of-the-box IKEv2 client kunnen zijn), juist vanwege de veelgenoemde voordelen (willekeurige poorten mogelijk, stabielere/snellere reconnects, hogere snelheden) maar een IKEv2 server die ik op macOS kan draaien heb ik nog niet kunnen vinden. Het lijkt wellicht te kunnen als ik Strongswan zelf ga compilen voor macOS, maar dat gaat me toch een beetje te ver.

Je hebt met Googlen waarschijnlijk wel deze gevonden:
https://apple.stackexchan...ween-ikev2-l2tp-and-ipsec
https://superuser.com/que...-l2tp-ipsec/378591#378591
Dit geeft wel wat info maar geen harde benchmarks ofzo tussen de twee.

Erg hinderlijk is dat er een paar vergelijkingssites online staan waarbij L2TP/IKEv2/OpenVPN/PPTP worden vergeleken, maar waar anno 2019 nog niet is bijgewerkt dat IKEv2 inmiddels al jaren standaard ingebouwd zit in alle macOS, iOS en Windows clients - dat maakt nogal een verschil uit tov OpenVPN waar je bij elke client een 3rd party OpenVPN client moet installeren.

[ Voor 24% gewijzigd door Dreamvoid op 25-03-2019 16:34 ]

maandag 1 juli 2019 14:44

Acties:

+2 Henk 'm!

WhatsappHack

Kleine update/bugfix melding mochten anderen er eens tegenaan lopen: vergeet niet om je eigen persoonlijke hotspot toe te voegen aan de lijst met toegestane netwerken

Had het vandaag met een storing thuis dat ik m’n iPad maar niet aan de praat kreeg via hotspot van m’n iPhone. Kwam er na een tijdje klooien achter dat ie de VPN wou hebben die onbereikbaar was.

[ Voor 5% gewijzigd door WhatsappHack op 01-07-2019 14:45 ]

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

dinsdag 2 juli 2019 08:06

Acties:

0 Henk 'm!

Dreamvoid

Een leuke link van een tweaker met een IKEv2 server:
Atomstar's blog: StrongSwan IKEv2 VPN on Raspberry pi

woensdag 17 juli 2019 01:37

Acties:

0 Henk 'm!

WhatsappHack

@Dreamvoid Ik ben intussen over op IKEv2. Na een hoop gegodver omdat het profiel (mobileconfig) afwijkt en hij constant weigerde het profiel te installeren. Uiteindelijk eentje gegenereerd met Configurator 2 en aangepast om always-on te zijn op alles behalve het thuis WiFi-netwerk.

Eerste ervaring is dat het een stukje sneller is en de overgang van 4G naar WiFi of een ander WiFi netwerk uiterst stabiel is. Heb hem nu op 4G én WiFi Always-On staan (behalve eigen netwerk(en)) en dat lijkt okee te werken. Geen “server reageert niet” gelazer en seamless overpakken. Ik durf hem nu ook op 4G aan te zetten, dus dan is het verkeer op 4G ook beschermd door de PiHole en firewall.

Dat is een flinke added bonus zullen we maar zeggen.

Ga nu een paar dagen verder testen en zal ‘t laten weten.

Daarnaast zal ik een dezer dagen ff een mobileconfig posten hier voor de geïnteresseerden, hoeft men daar niet heel chagrijnig over te worden.

[ Voor 29% gewijzigd door WhatsappHack op 17-07-2019 02:02 ]

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

zondag 28 juli 2019 22:51

Acties:

+3 Henk 'm!

WhatsappHack

Zoals beloofd, automatisch always-on profielen voor IKEv2 VPN's. (In dit geval eentje die opgezet is met een (geldig, signed) certificaat (self-signed kan ook, maar dan moet je het certificaat op je iPhone installeren en vertrouwen) en gebruik maakt van EAP user/pass authenticatie.)
Ik kan het aanbevelen trouwens, het is echt enorm stabiel en een stuk sneller dan L2TP.
Met de profielen hieronder staat de VPN altijd aan, maar schakelt zichzelf uit zodra je je aanmeld op je eigen (thuis)WiFi-netwerk.

Voor VPN altijd aan op zowel 4G als WiFi :

code:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>PayloadContent</key>
    <array>
        <dict>
            <key>IKEv2</key>
            <dict>
                <key>AuthName</key>
                <string>USERNAME</string>
                <key>AuthPassword</key>
                <string>WACHTWOORD</string>
                <key>AuthenticationMethod</key>
                <string>Certificate</string>
                <key>ChildSecurityAssociationParameters</key>
                <dict>
                    <key>DiffieHellmanGroup</key>
                    <integer>14</integer>
                    <key>EncryptionAlgorithm</key>
                    <string>AES-256</string>
                    <key>IntegrityAlgorithm</key>
                    <string>SHA2-256</string>
                    <key>LifeTimeInMinutes</key>
                    <integer>1440</integer>
                </dict>
                <key>DeadPeerDetectionRate</key>
                <string>Medium</string>
                <key>DisableMOBIKE</key>
                <integer>0</integer>
                <key>DisableRedirect</key>
                <integer>0</integer>
                <key>EnableCertificateRevocationCheck</key>
                <integer>0</integer>
                <key>EnablePFS</key>
                <true/>
                <key>ExtendedAuthEnabled</key>
                <true/>
                <key>IKESecurityAssociationParameters</key>
                <dict>
                    <key>DiffieHellmanGroup</key>
                    <integer>14</integer>
                    <key>EncryptionAlgorithm</key>
                    <string>AES-256</string>
                    <key>IntegrityAlgorithm</key>
                    <string>SHA2-256</string>
                    <key>LifeTimeInMinutes</key>
                    <integer>1440</integer>
                </dict>
                <key>LocalIdentifier</key>
                <string>LOCALIDENTIFIER</string>
                <key>RemoteAddress</key>
                <string>SERVER.IP.OF.DOMEINNAAM</string>
                <key>RemoteIdentifier</key>
                <string>REMOTEIDENTIFIER</string>
                <key>UseConfigurationAttributeInternalIPSubnet</key>
                <integer>0</integer>
            </dict>
            <key>IPv4</key>
            <dict>
                <key>OverridePrimary</key>
                <integer>0</integer>
            </dict>
            <key>PayloadDescription</key>
            <string>VPN-instellingen configureren</string>
            <key>PayloadDisplayName</key>
            <string>VPN</string>
            <key>PayloadIdentifier</key>
            <string>com.apple.vpn.managed.e42eb17b-45ad-4d1e-9da5-7bc6f8766322</string>
            <key>PayloadType</key>
            <string>com.apple.vpn.managed</string>
            <key>PayloadUUID</key>
            <string>ad793b06-861b-45f2-8df0-55935270457b</string>
            <key>PayloadVersion</key>
            <integer>1</integer>
            <key>Proxies</key>
            <dict>
                <key>HTTPEnable</key>
                <integer>0</integer>
                <key>HTTPSEnable</key>
                <integer>0</integer>
            </dict>

  <key>OnDemandEnabled</key>
   <integer>1</integer>
   <key>OnDemandRules</key>
          <array>
        <dict>
          <key>InterfaceTypeMatch</key>
          <string>WiFi</string>
          <key>SSIDMatch</key>
          <array>
 <string>JE-WIFI-SSID-HIER</string>
 <string>HIER-EVENTUEEL-NOG-EEN-SSID</string>
           </array>
          <key>Action</key>
          <string>Disconnect</string>
        </dict>
        <dict>
          <key>InterfaceTypeMatch</key>
          <string>WiFi</string>
          <key>Action</key>
          <string>Connect</string>
        </dict>
        <dict>
          <!-- VPN Default state -->
          <key>Action</key>
          <string>Connect</string>
        </dict>
          </array>


            <key>UserDefinedName</key>
            <string>Automagisch WiFi+4G</string>
            <key>VPNType</key>
            <string>IKEv2</string>
        </dict>
    </array>
    <key>PayloadDisplayName</key>
    <string>Automagisch WiFi+4G</string>
    <key>PayloadIdentifier</key>
    <string>2b70f8eb-f4e5-4d3a-ba76-1d888f652967</string>
    <key>PayloadRemovalDisallowed</key>
    <false/>
    <key>PayloadType</key>
    <string>Configuration</string>
    <key>PayloadUUID</key>
    <string>76c2ad55-10a2-4533-8eca-18cae5a8e3e5</string>
    <key>PayloadVersion</key>
    <integer>1</integer>
</dict>
</plist>

En voor enkel op WiFi en *niet* op 4G:

code:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>PayloadContent</key>
    <array>
        <dict>
            <key>IKEv2</key>
            <dict>
                <key>AuthName</key>
                <string>USERNAME</string>
                <key>AuthPassword</key>
                <string>WACHTWOORD</string>
                <key>AuthenticationMethod</key>
                <string>Certificate</string>
                <key>ChildSecurityAssociationParameters</key>
                <dict>
                    <key>DiffieHellmanGroup</key>
                    <integer>14</integer>
                    <key>EncryptionAlgorithm</key>
                    <string>AES-256</string>
                    <key>IntegrityAlgorithm</key>
                    <string>SHA2-256</string>
                    <key>LifeTimeInMinutes</key>
                    <integer>1440</integer>
                </dict>
                <key>DeadPeerDetectionRate</key>
                <string>Medium</string>
                <key>DisableMOBIKE</key>
                <integer>0</integer>
                <key>DisableRedirect</key>
                <integer>0</integer>
                <key>EnableCertificateRevocationCheck</key>
                <integer>0</integer>
                <key>EnablePFS</key>
                <true/>
                <key>ExtendedAuthEnabled</key>
                <true/>
                <key>IKESecurityAssociationParameters</key>
                <dict>
                    <key>DiffieHellmanGroup</key>
                    <integer>14</integer>
                    <key>EncryptionAlgorithm</key>
                    <string>AES-256</string>
                    <key>IntegrityAlgorithm</key>
                    <string>SHA2-256</string>
                    <key>LifeTimeInMinutes</key>
                    <integer>1440</integer>
                </dict>
                <key>LocalIdentifier</key>
                <string>LOCALIDENTIFIER</string>
                <key>RemoteAddress</key>
                <string>SERVER.IP.OF.DOMEINNAAM</string>
                <key>RemoteIdentifier</key>
                <string>REMOTEIDENTIFIER</string>
                <key>UseConfigurationAttributeInternalIPSubnet</key>
                <integer>0</integer>
            </dict>
            <key>IPv4</key>
            <dict>
                <key>OverridePrimary</key>
                <integer>0</integer>
            </dict>
            <key>PayloadDescription</key>
            <string>VPN-instellingen configureren</string>
            <key>PayloadDisplayName</key>
            <string>VPN</string>
            <key>PayloadIdentifier</key>
            <string>com.apple.vpn.managed.e0acfdf1-eb40-4922-b791-09b35da07ffa</string>
            <key>PayloadType</key>
            <string>com.apple.vpn.managed</string>
            <key>PayloadUUID</key>
            <string>8f442ce5-5ad3-4b3b-b965-1be5d08b155d</string>
            <key>PayloadVersion</key>
            <integer>1</integer>
            <key>Proxies</key>
            <dict>
                <key>HTTPEnable</key>
                <integer>0</integer>
                <key>HTTPSEnable</key>
                <integer>0</integer>
            </dict>

  <key>OnDemandEnabled</key>
   <integer>1</integer>
   <key>OnDemandRules</key>
          <array>
        <dict>
          <key>InterfaceTypeMatch</key>
          <string>WiFi</string>
          <key>SSIDMatch</key>
          <array>
 <string>JE-WIFI-SSID-HIER</string>
 <string>HIER-EVENTUEEL-NOG-EEN-SSID</string>
           </array>
          <key>Action</key>
          <string>Disconnect</string>
        </dict>
        <dict>
          <key>InterfaceTypeMatch</key>
          <string>WiFi</string>
          <key>Action</key>
          <string>Connect</string>
        </dict>
        <dict>
          <!-- VPN Default state -->
          <key>Action</key>
          <string>Disconnect</string>
        </dict>
          </array>


            <key>UserDefinedName</key>
            <string>Automagisch alleen WiFi</string>
            <key>VPNType</key>
            <string>IKEv2</string>
        </dict>
    </array>
    <key>PayloadDisplayName</key>
    <string>Automagisch alleen WiFi</string>
    <key>PayloadIdentifier</key>
    <string>com.apple.vpn.managed.2920dbd3-0c2a-43ed-9246-48eb930b6258</string>
    <key>PayloadRemovalDisallowed</key>
    <false/>
    <key>PayloadType</key>
    <string>Configuration</string>
    <key>PayloadUUID</key>
    <string>d67993c6-bddf-4cd9-98e5-42c8a45259ad</string>
    <key>PayloadVersion</key>
    <integer>1</integer>
</dict>
</plist>

Zelf doen: code plakken naar een .mobileconfig bestand. (Eg: ikev2-4GenWiFi.mobileconfig)
Zelf vervangen:
- Eventueel UUID's (uuidgen). (LET OP: ik heb unieke UUID's per profiel aangemaakt. Wil je een derde profiel, dan *moet* je de UUID's in dat profiel aanpassen omdat anders een eerdere versie wordt overschreven (update).)
- Eventueel de naam van het profiel (PayloadDisplayName en UserDefinedName)
- USERNAME
- WACHTWOORD
- LOCALIDENTIFIER (die is optioneel en mogelijk niet noodzakelijk of zelfs ongewenst)
- SERVER.IP.OF.DOMEINNAAM
- REMOTEIDENTIFIER (deze is wel verplicht en kan je vinden in je VPN-server instellingen)
- JE-WIFI-SSID-HIER
- HIER-EVENTUEEL-NOG-EEN-SSID
Je kan overigens zoveel <string>SSID</string> toevoegen als je wilt in dat stukje. Of verwijderen als je maar één SSID wilt whitelisten.

- Eventueel zaken als EnableCertificateRevocationCheck en DisableRedirect naar wens aanpassen, dit is een werkend voorbeeld profiel, maar persoonlijke voorkeuren kunnen er altijd zijn en daar moet je het profiel dan een klein beetje op tweaken.

Als je dat gedaan hebt kan je het profiel gewoon naar je telefoon AirDrop'en of mailen of wat je ook wilt.
(Al zou ik met mailen oppassen gezien je wachtwoord erin staat.)
Gebruik natuurlijk op eigen risico. Er kan vrij weinig (kan eigenlijk niets bedenken) misgaan, maar dan nog.

Ik zou ze allebei toevoegen en dan ook een "Handmatig" profiel maken. Mocht je dan een keer je VPN uit willen zetten terwijl je op een onbekend netwerk zit, dan schakel je gewoon naar het "Handmatig" profiel. Deze profielen hierboven schakelen namelijk de VPN verplicht in. (Dat is noodzakelijk om te voorkomen dat er enig verkeer buiten je (veilige) VPN omgaat.) Die voor 4G is ook zwaar relaxed als je buiten de EU bent trouwens, alle diensten blijven dan netjes werken zoals het zou werken als je in NL bent.

-edit- nasty typo fixed in het profiel.

[ Voor 4% gewijzigd door WhatsappHack op 03-08-2019 02:11 ]

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

vrijdag 2 augustus 2019 10:40

Acties:

0 Henk 'm!

Dreamvoid

Is dit enkel IPv4 of ook IPv6?

zaterdag 3 augustus 2019 02:07

Acties:

0 Henk 'm!

WhatsappHack

@Dreamvoid Naar mijn weten moet het 't allebei ondersteunen, afhankelijk van je netwerk en instellingen natuurlijk. Ik ben nog te lui geweest om er in te duiken en de configuraties aan te passen. (Aan de kant van de VPN, er zijn wat extra configuraties nodig voor IPv6; maar zodra de server het kan: dan kan de telefoon het ook via de VPN. Tenzij je telefoon op een netwerk zit dat geen IPv6 ondersteund natuurlijk; zoals meestal het geval is op 4G en nog op heel veel internetaansluitingen in Nederland helaas. Al is het mogelijk om IPv6 over IPv4 te laten forwarden, maar dan moet je het wel zo opzetten allemaal.) Ik ga er denk ik volgende week eens naar kijken en zal het dan laten weten. Zie niet waarom 't niet zou werken, via L2TP werkte het ook en Strongswan/Libreswan hebben niet voor niets IPv6-ondersteuning lijkt me.

Er stond trouwens een tikfoutje in het profiel bij een van de SSID's zag ik net. /string> in plaats van </string>

Fixed. Mocht iemand ze dus uitgeprobeerd hebben en je kreeg ze niet geïnstalleerd ("Sla op in bestanden" ipv "Profiel gedownload"), my bad - sorry!

[ Voor 19% gewijzigd door WhatsappHack op 03-08-2019 02:34 ]

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

zaterdag 3 augustus 2019 02:43

Acties:

+1 Henk 'm!

PhilipsFan

Wat je ook nog kunt proberen is WireGuard. Dit is een vrij nieuw VPN-protocol, lichtgewicht en snel. Het draait op Linux (ik heb het zelf op een Raspberry Pi draaien, al was dat wel wat extra werk omdat je het zelf moet compilen) en er is een erg goede iOS-app die native on-demand ondersteunt (je kunt ook instellen dat hij op bepaalde ssid's je VPN uit laat). Sinds ik WireGuard heb ingericht, heb ik OpenVPN niet meer gebruikt.

Nadeel is dat het vrij nieuw is en dus sommige dingen nog niet goed werken (al heb ik daar geen last van), dat het mogelijk veiligheidslekken bevat omdat er nog geen code audit is gedaan, en dat het op dit moment nog een beetje bewerkelijk is om in te richten. Maar je zou het eens kunnen proberen. Ik ben er heel blij mee!

Linkje met een guide om WireGuard op een Raspberry Pi te installeren, het kan blijkbaar ook zonder te compileren maar dan moet je een unstable repo toevoegen...

[ Voor 16% gewijzigd door PhilipsFan op 03-08-2019 02:46 ]

zaterdag 3 augustus 2019 03:23

Acties:

0 Henk 'm!

WhatsappHack

@Dreamvoid IPv6 werkt hier intussen. Normaal dan, ik heb nog geen config gemaakt om op netwerken zonder IPv6 de boel over v4 te raggen. Alles op z'n tijd.

@PhilipsFan WireGuard is behoorlijk prima inderdaad. Ik zelf heb er op het moment geen interesse in omdat het nergens (behalve redelijk recente linux kernels dan) native ondersteund wordt. En ik heb er de schurft aan als ik extra software moet installeren/apps die op de achtergrond moeten blijven draaien.

Liever dat de telefoon het zelf fixt.

[ Voor 52% gewijzigd door WhatsappHack op 03-08-2019 03:24 ]

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

zaterdag 3 augustus 2019 15:31

Acties:

0 Henk 'm!

Dreamvoid

Idd, Wireguard is nogal bleeding edge.

Wel lastig bij veel VPN tutorials op het web is dat vooral wat oudere nog met iptables uitleggen, wat inmiddels verouderd is en rap aan het verdwijnen is in moderne Linux distros.

zondag 4 augustus 2019 01:28

Acties:

0 Henk 'm!

WhatsappHack

@Dreamvoid:
Deze is denk ik wel goed te doen, snel lezend lijkt alles te kloppen:
https://www.howtoforge.co...-letsencrypt-on-centos-7/
Maakt gebruik van firewall-cmd. Ik heb overigens ipv LetsEncrypt gewoon een certificaat voor 3 jaar besteld, geen zin om http(s) poorten open te zetten en die paar euro: lekker boeiend. En self-signed wil ik niet, want 1) moeite doen om cert + root cert te installeren en vertrouwen op elk apparaat, 2) als je uit nood ergens vandaan je VPN op wil heb je kans dat ‘t simpelweg niet werkt zonder te kloten met de lokale config. Voor die €12.50 voor een certificaatje de moeite niet waard

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

dinsdag 10 december 2019 03:05

Acties:

0 Henk 'm!

Puller

Ik heb dit door zitten lezen. Ik ben geen expert maar kan dit “always on” ook met openvpn?
Heb hier een pfsense router met openvpnserver en een iPhone 11 werkend.
Anders moet ik maar eens proberen om ikev2 werkend te krijgen.

[ Voor 16% gewijzigd door Puller op 10-12-2019 03:07 ]

dinsdag 10 december 2019 14:40

Acties:

0 Henk 'm!

WhatsappHack

Puller schreef op dinsdag 10 december 2019 @ 03:05:
Ik heb dit door zitten lezen. Ik ben geen expert maar kan dit “always on” ook met openvpn?
Heb hier een pfsense router met openvpnserver en een iPhone 11 werkend.
Anders moet ik maar eens proberen om ikev2 werkend te krijgen.

Naar mijn weten is ‘t niet mogelijk met OpenVPN, dat moet hun eigen app regelen en die kan dat niet. Die kan weliswaar opnieuw verbinden na een sleep enzo, maar daar houdt ‘t volgens mij op. IKEv2 is sowieso veel beter dan OpenVPN op de moeilijkheidsgraad van de eerste setup na misschien, dus wat dat betreft weinig te verliezen met een overstap.

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

dinsdag 10 december 2019 15:23

Acties:

0 Henk 'm!

Donstil

IKEv2 “sowieso” veel beter noemen dan OpenVPN zou ik persoonlijk niet direct durven. Volgens mij is dat niet iets wat breed gedragen wordt

My thirsty wanted whiskey. But my hunger needed beans

dinsdag 10 december 2019 16:08

Acties:

0 Henk 'm!

WhatsappHack

Donstil schreef op dinsdag 10 december 2019 @ 15:23:
IKEv2 “sowieso” veel beter noemen dan OpenVPN zou ik persoonlijk niet direct durven. Volgens mij is dat niet iets wat breed gedragen wordt

Jawel hoor, zeker als we het over voor mobiele apparaten hebben; daar is OpenVPN een lachertje vergeleken met de mogelijkheden en stabiliteit van IKEv2. Als je alle pros en cons van de twee tegenover elkaar gaat zetten, dan krijgt IKEv2 duidelijk een stuk hogere score en valt er weinig aan af te dingen dat het duidelijk beter is. Maar natuurlijk met een caveat, er zullen wat situaties zijn waarbij je wellicht toch liever voor OpenVPN kiest. Ik kan er eigenlijk maar 2 bedenken: 1.) Je heb weinig kennis van de materie, dan is OpenVPN wat makkelijker voor elkaar te krijgen omdat de configuratie simpeler is, 2.) je hebt te maken met een agressieve firewall met outbound filter die IKE en/of IPSEC tegenhoudt, waar je zelf geen controle over hebt en geen medewerking krijgt: dan *kan* OpenVPN meer kans van slagen geven. (Doch is dat ook twijfelachtig als de fw echt agressief staat afgesteld en detectie mogelijkheden heeft).

In overige gevallen kan ik zo 1,2,3 eigenlijk niet bedenken waarom je voor OpenVPN zou kiezen i.p.v. IKEv2 of zelfs L2TP - ware het niet dat die laatste wat vraagtekens heeft over de veiligheid.

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

dinsdag 10 december 2019 16:41

Acties:

0 Henk 'm!

MRE-Inc

Copa Mundial de Fútbol de 1982

Maak gebruik van een Edge Router Lite die ook als VPN server dient, namelijk L2TP/IkeV2 icm een iPhone 7 en een iPad. Beide op de laatste iOS versie.

Probleem wat ik heb is dat wanneer beide toestellen een tijdje niet gebruikt zijn, dan het laden van webpagina's bv erg lang duurt omdat waarschijnlijk de VPN een connection time out heeft. Dan zie je in Safari bv dat die aan het laden is en dan zie je op zowel de iPhone als iPad het vpn icoontje naast de tijd/wifi icoontje en battery indicator verdwijnen. Luttele tellen later verschijnt het vpn icoontje weer en is de verbinding opnieuw opgezet en wordt de webpagina geladen.

Ik meen mij te herinneren dat hier ik hier nooit last van had met iOS12 en dat dit alleen is sinds iOS13, maar ik kan me natuurlijk vergissen.

Hoe ervaren jullie dit ?

Wellicht dat ik nog even naar de IKE vpn versie ga kijken. Nu gebruik ik nog een L2TP als Type als ik kijk op de iDevices. Een guide kan dan wel van pas komen

XBL: MRE Inc

dinsdag 10 december 2019 16:44

Acties:

+1 Henk 'm!

Dreamvoid

Donstil schreef op dinsdag 10 december 2019 @ 15:23:
IKEv2 “sowieso” veel beter noemen dan OpenVPN zou ik persoonlijk niet direct durven. Volgens mij is dat niet iets wat breed gedragen wordt

Ik denk dat voor mobile devices dit toch wel vrij wijd verspreid de consensus is? Zeker door de betere reconnect bij het switchen tussen WiFi/mobiel en lagere overhead.

L2TP is inderdaad niet echt beter dan OpenVPN, maar IKEv2 is een heel ander verhaal.

[ Voor 9% gewijzigd door Dreamvoid op 10-12-2019 16:45 ]

dinsdag 10 december 2019 17:26

Acties:

0 Henk 'm!

Donstil

Aah ja gaat het alleen over de permanente verbinding op een mobiel dan is dat wel een voordeel van IKEv2 inderdaad.

Had het gelezen alsof het meer in de algemene zin bedoelt werd.

My thirsty wanted whiskey. But my hunger needed beans

dinsdag 10 december 2019 18:22

Acties:

0 Henk 'm!

Puller

Ok dus voor mij nu stap 1/ drempel 1 is Ikev2 aan de gang krijgen op de pfsense router.

dinsdag 10 december 2019 20:36

Acties:

0 Henk 'm!

WhatsappHack

@MRE-Inc “ Maak gebruik van een Edge Router Lite die ook als VPN server dient, namelijk L2TP/IkeV2 icm een iPhone 7 en een iPad. Beide op de laatste iOS versie”

Ja wat is ‘t nou, L2TP of IKEv2?

Bij L2TP herken ik je klachten, die leverde hier ook problemen op na standby en bij wisselen van netwerk. IKEv2 is er juist op gebouwd om dat goed op te kunnen vangen, dus daar moet je stabiliteit wel flink door verhoogd worden.

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

dinsdag 10 december 2019 21:48

Acties:

0 Henk 'm!

MRE-Inc

Copa Mundial de Fútbol de 1982

WhatsappHack schreef op dinsdag 10 december 2019 @ 20:36:
@MRE-Inc “ Maak gebruik van een Edge Router Lite die ook als VPN server dient, namelijk L2TP/IkeV2 icm een iPhone 7 en een iPad. Beide op de laatste iOS versie”

Ja wat is ‘t nou, L2TP of IKEv2?
Bij L2TP herken ik je klachten, die leverde hier ook problemen op na standby en bij wisselen van netwerk. IKEv2 is er juist op gebouwd om dat goed op te kunnen vangen, dus daar moet je stabiliteit wel flink door verhoogd worden.

Haha, ja net even gekeken, maar het is l2tp. Ga me eens verdiepen in ikev2.
iOS projectje nummer 2. Wil ook nog de woning app werkend krijgen via vpn, maar vrees dat zoiets niet gast lukken.

XBL: MRE Inc

dinsdag 10 december 2019 21:52

Acties:

0 Henk 'm!

Donstil

MRE-Inc schreef op dinsdag 10 december 2019 @ 21:48:
[...]

Haha, ja net even gekeken, maar het is l2tp. Ga me eens verdiepen in ikev2.
iOS projectje nummer 2. Wil ook nog de woning app werkend krijgen via vpn, maar vrees dat zoiets niet gast lukken.

Maar voor de woning app hoef je al niet in je eigen netwerk te zijn toch? Of bedoel je wat anders?

My thirsty wanted whiskey. But my hunger needed beans

dinsdag 10 december 2019 22:08

Acties:

0 Henk 'm!

MRE-Inc

Copa Mundial de Fútbol de 1982

Donstil schreef op dinsdag 10 december 2019 @ 21:52:
[...]

Maar voor de woning app hoef je al niet in je eigen netwerk te zijn toch? Of bedoel je wat anders?

Normaal gesproken moet je een AppleTV of iPad hebben als hub om onderweg een Hey Siri, zet de lampen aan uit te voeren. Ik heb voor m’n media een Xbox en geen Apple TV. M’n iPad neem ik altijd mee naar het werk, dus dacht ik dat het misschien via vpn wel zou werken omdat je dan eigenlijk op je eigen netwerk zit. Maar zo eenvoudig is het niet ben ik achter gekomen. Werkt allemaal via bonjour als ik het goed begrepen heb en dat wordt via vpn niet ondersteund. Maar wellicht zie ik iets over het hoofd. Vind het wel leuk om uit te zoeken.

Eerst maar eens die always on vpn overzetten naar ikev2 al zie ik nog niet veel bruikbare info ivm een edge router lite 3.

XBL: MRE Inc

dinsdag 10 december 2019 23:19

Acties:

0 Henk 'm!

Donstil

Aah zo. Nee dat werkt niet idd. Je hebt een Home Hub (of hoe heet dat ook al weer) nodig in je woning inderdaad.

My thirsty wanted whiskey. But my hunger needed beans

woensdag 11 december 2019 08:49

Acties:

0 Henk 'm!

Dreamvoid

Bonjour werkt niet als de devices op verschillende subnetten zitten, maar je kan met een mDNS reflector (draaiend op de VPN server) dit wel overbruggen. Het is alweer een tijdje terug dat ik hiermee heb gespeeld (ik wilde mijn iPhone met iTunes thuis laten syncen over internet) maar het kan wel.

woensdag 11 december 2019 09:34

Acties:

0 Henk 'm!

MRE-Inc

Copa Mundial de Fútbol de 1982

Dreamvoid schreef op woensdag 11 december 2019 @ 08:49:
Bonjour werkt niet als de devices op verschillende subnetten zitten, maar je kan met een mDNS reflector (draaiend op de VPN server) dit wel overbruggen. Het is alweer een tijdje terug dat ik hiermee heb gespeeld (ik wilde mijn iPhone met iTunes thuis laten syncen over internet) maar het kan wel.

Dat had ik ook gelezen, echter mijn ik heb thuis gewoon 1 subnet, namelijk /24. De DHCP range als ik thuis op wifi zit loopt van x.y.1.100 tot x.y.1.150. De VPN clients hebben hun eigen DHCP scope welke loopt van x.y.1.160 tot x.y.1.170. KOrtom ze zitten dus allemaal in het zelfde subnet. Echter zal er via vpn wel weer iets anders zijn waar ik verder geen verstand van heb. Netwerken zijn me niet vreemd, maar ben niet een netwerk engineer.

Verder allemaal met dezelfde instellingen zoals DNS (via Pi Hole) en default gateway. Op de ERL3 kan ik wel een mDNS reflector en repeater instellen, maar ik denk dat dit niet veel nut heeft tenzij ik een 2e subnet apart voor mijn VPN clients maak.

Om terug te komen op de Always On VPN voor iOS, voor een Edge Router Lite 3 kom ik alleen maar site-to-site IKEv2 guides tegen, geen client/server vpn op basis van IKEv2.

[ Voor 14% gewijzigd door MRE-Inc op 11-12-2019 09:38 ]

XBL: MRE Inc

donderdag 12 december 2019 14:40

Acties:

0 Henk 'm!

Puller

@WhatsappHack
Ik heb op mijn pfsense router de IKEv2 server geinstalleerd met een self signed certificaat,
Deze op de iphone gezet.
En ik kan netjes via de IKEv2 VPN inloggen en gebruiken.
Nu heb ik jouw script met mijn instellingen op de iphone gezet (wifi+4G).
Maar hij doet het niet.
In de pfsense log krijg ik:

Dec 12 14:26:58 charon 01[ENC] <bypasslan|87> generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Dec 12 14:26:58 charon 01[NET] <bypasslan|87> sending packet: from EENIP[4500] to 192.168.10.115[4500] (80 bytes)
Dec 12 14:26:58 charon 01[IKE] <bypasslan|87> IKE_SA bypasslan[87] state change: CONNECTING => DESTROYING

iets met auth.
Kan iemand me verder helpen

donderdag 12 december 2019 15:45

Acties:

0 Henk 'm!

WhatsappHack

@Puller Ik heb hetzelfde gezeik gehad met self-signed certificaten op de iPhone en heb uiteindelijk besloten dat ik te lui was om het te troubleshooten en het m'n tijd niet waard was gezien een 3-jarig DV-certificaatje slechts €12 kost wat nog geen 34 cent per maand is.

(En eventueel kan je zelfs LetsEncrypt gebruiken met een paar cron jobs) Ik kan er dus helaas niet mee helpen behalve het simpele advies: spendeer die paar euro aan zo'n certificaatje en call it a day. Je kan eventueel ook een certificaat gebruiken dat je al hebt, moet je alleen wat paremeters in je config veranderen voor de ID.

[ Voor 15% gewijzigd door WhatsappHack op 12-12-2019 15:48 ]

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

donderdag 12 december 2019 16:58

Acties:

0 Henk 'm!

Puller

@WhatsappHack
Waar heb je dat DV cert vandaan?
Is wel goedkoop volgens mij.
Hoe krijg ik het in pfsense.

[ Voor 102% gewijzigd door Puller op 12-12-2019 19:09 ]

donderdag 12 december 2019 20:19

Acties:

0 Henk 'm!

WhatsappHack

Puller schreef op donderdag 12 december 2019 @ 16:58:
@WhatsappHack
Waar heb je dat DV cert vandaan?
Is wel goedkoop volgens mij.
Hoe krijg ik het in pfsense.

Van een toko als https://cheapsslsecurity.com/

Gebruik meerdere van die diensten in een jaar hehe

De ene keer is de een goedkoper dan de ander.

Geen idee, ik gebruik geen pfsense. Als het Linux is dan moet je gewoon een tutorial zoeken over het genereren van een CSR en de installatie van je certificaat, zijn er tig van.

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

donderdag 12 december 2019 22:16

Acties:

0 Henk 'm!

Puller

Snap niet veel van dat certificaat gedoe. Was al blij dat ik het aan de gang kreeg met IKEv2. Dus ff in de ijskast en bedenken what to do.

donderdag 12 december 2019 22:37

Acties:

0 Henk 'm!

WhatsappHack

Puller schreef op donderdag 12 december 2019 @ 22:16:
Snap niet veel van dat certificaat gedoe. Was al blij dat ik het aan de gang kreeg met IKEv2. Dus ff in de ijskast en bedenken what to do.

Staat toch ook in de handleiding?
https://docs.netgate.com/...rtificate-management.html
Zo te zien kan ‘t moeilijkste deel gewoon grotendeels in de UI geregeld worden.

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

woensdag 18 december 2019 17:47

Acties:

0 Henk 'm!

Puller

DV cert aangeschaft en aan de gang gekregen.
Kan vanaf mijn iPhone connectie maken met de IKEv2 server.

Na installeren allways-on script gaat het wederom fout, dezelfde fout.
Dec 12 14:26:58 charon 01[ENC] <bypasslan|87> generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]

Geen idee.

[ Voor 78% gewijzigd door Puller op 19-12-2019 02:38 ]

donderdag 19 december 2019 12:38

Acties:

0 Henk 'm!

WhatsappHack

Puller schreef op woensdag 18 december 2019 @ 17:47:
DV cert aangeschaft en aan de gang gekregen.
Kan vanaf mijn iPhone connectie maken met de IKEv2 server.

Na installeren allways-on script gaat het wederom fout, dezelfde fout.
Dec 12 14:26:58 charon 01[ENC] <bypasslan|87> generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]

Geen idee.

Dan heb je waarschijnlijk ergens een typo in je config?
De config slaat enkel wat variabelen op en vertelt de iPhone wat die moet doen. Als je iPhone wel kan verbinden vanuit de instellingen maar een auth failure krijgt vanuit het mobile config/provision profiel: dan moet daar iets fout in staan.

Als daar alles klopt: het zou misschien ook kunnen dat je wat moeite hebt met speciale karakters in het wachtwoord. Maak voor de lol eens een extra user aan met een super simpel wachtwoord en kijk of het daarmee wel wil. Dan heb je je antwoord.

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

donderdag 19 december 2019 15:36

Acties:

0 Henk 'm!

Puller

@WhatsappHack Dank je voor de reply.
Dan ga ik daar vanavond eens naar zoeken..

=> Het is inmiddels gelukt, eindelijk, was geen Typo.
In het script de encryptie delen AES-256 vervangen door 3DES, SHA2-256 vervangen door SHA1 en DiffieHellmanGroup van 14 naar 2

[ Voor 116% gewijzigd door Puller op 20-12-2019 10:04 ]

zaterdag 21 december 2019 14:28

Acties:

0 Henk 'm!

WhatsappHack

@Puller Dat zou ik andersom doen... Niet het profiel veranderen naar achterhaalde protocollen, maar de server beter instellen om moderne ciphers en hashing algoritmes te gebruiken.

Je gebruikt nu stokoude gebroken instellingen voor je VPN.

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

zaterdag 21 december 2019 17:16

Acties:

0 Henk 'm!

Puller

[ Voor 128% gewijzigd door Puller op 21-12-2019 21:37 . Reden: Verwijder bericht ]

Vraag

Beste antwoord (via HKLM_ op 17-11-2018 11:23)

Alle reacties