Profile Manager Einstellungen für VPN
Verwenden Sie dieses Payload, um die VPN-Einstellungen für die Verbindung zu Ihrem Netzwerk festzulegen. Die von Ihnen im Konfigurationsprofil definierten Einstellungen können vom Benutzer nicht geändert werden.
Hinweis: Verwenden Sie das VPN-Payload für alle Konfigurationsprofile. Weitere Informationen finden Sie unter Profile und Payloads und Payload-Verwendungsmöglichkeiten.
Allgemeine Einstellungen
Zum Konfigurieren von Aruba VIA, Check Point Mobile VPN, Cisco AnyConnect, F5 SSL, Juniper SSL oder SonicWALL Mobile Connect wählen Sie die entsprechende Option aus dem Einblendmenü für den Verbindungstyp aus. Vergewissern Sie sich, dass die Werte für „Realm“ und „Funktion“ (Juniper) bzw. „Gruppe“ (Cisco) mit den Werten übereinstimmen, die auf dem VPN-Server festgelegt sind. Benutzer müssen sowohl das Konfigurationsprofil als auch die jeweilige App für die Authentifizierung installieren. Die Apps „F5 BIG-IP Edge Client“, „Junos Pulse“, „Cisco AnyConnect“ und „Aruba Network VIA“ sind im App Store erhältlich.
Setzen Sie sich, wenn Sie eine andere SSL VPN-Lösung verwenden, mit dem jeweiligen Anbieter in Verbindung um zu erfahren, ob eine spezifische App im App Store angeboten wird. Wählen Sie, wenn dies der Fall ist, „Benutzerdefiniert (SSL)“ aus dem Einblendmenü „Verbindungstyp“ aus und geben Sie die Konfigurationsinformationen ein, die Sie von Ihrem Anbieter erhalten haben. Vergewissern Sie sich, dass die angegebene Identifizierung mit der Identifizierung übereinstimmt, die durch die VPN-App Ihres Anbieters vorgegeben ist und im „Reverse DNS“-Format vorliegt (zum Beispiel „com.example.myvpn“). Um die Verbindung zu Ihrem Netzwerk herzustellen, müssen Benutzer sowohl die App des Anbieters als auch Ihr Konfigurationsprofil installieren.
Wählen Sie „IKEv2 (nur iOS)“ und „Immer auf VPN“, wenn Sie ein Payload konfigurieren wollen, bei dem Geräte immer über eine aktive VPN-Verbindung verfügen müssen, um eine Verbindung zu einem Netzwerk herzustellen. Sie können „VPN immer EIN“ für Mobilfunk und/oder WLAN konfigurieren.
Bestimmte VPN- und WLAN-Einstellungen (beispielsweise 802.1x-Parameter) können nur mithilfe eines Konfigurationsprofils konfiguriert werden.
Informationen über unterstützte VPN-Protokolle, Authentifizierungsmehtoden und IKEv2 finden Sie unter VPN Überblick im Dokument „iOS-Implementierungsreferenz“.
Die folgenden Objekte stehen für die Konfiguration unabhängig vom jeweils ausgewählten Verbindungstyp zur Verfügung.
Nachdem Sie sich für einen bestimmten Verbindungstyp entschieden haben, werden weitere für diesen Typ spezifische Einstellungen angezeigt.
Einstellung | Beschreibung |
|---|---|
Verbindungsname | Dies ist der Name, unter dem die Verbindung auf dem Gerät angezeigt wird. |
Verbindungstyp | Dies ist die Methode, die zum Herstellen einer VPN-Verbindung verwendet wird. Wenn Sie eine dieser VPN-Methoden auswählen, ändern sich die Optionen, die nach „Server“ und „Account“ angezeigt werden, entsprechend Ihrer Auswahl. |
Server | Dies ist der Hostname oder die IP-Adresse des VPN-Gateway-Servers. |
Account | Dies ist der Benutzeraccount, der für die Authentifizierung der Verbindung benötigt wird. |
Benutzerauthentifizierung (alle Verbindungstypen außer „IPSec Cisco“) |
Dies ist die für die Benutzerauthentifizierung verwendete Methode. Für L2TP und PPTP sind die folgenden Typen verfügbar:
Für andere Typen von VPN-Verbindungsmethoden werden unterschiedliche Einstellungen für die Benutzerauthentifizierung verwendet. |
Geräte-Authentifizierung | Dies ist der Typ der erforderlichen Authentifizierung. Wählen Sie, wenn Sie L2TP verwenden, „Schlüssel (Shared Secret)“ oder „Zertifikat“ aus und geben Sie die entsprechenden Zusatzinformationen ein. Für andere Typen von VPN-Verbindungsmethoden werden unterschiedliche Einstellungen für die Geräteauthentifizierung verwendet. |
Verschlüsselungsgrad (nur PPTP) | Dies ist der Grad der Verschlüsselung, der für die Verbindung realisiert wird. Mögliche Einstellungen sind „Ohne“, „Automatisch“ und „Maximal (128 Bit)“. |
Für alle Daten (nur L2TP und PPTP) | Mit dieser Option können Sie erzwingen, dass der gesamte Netzwerkdatenverkehr über die VPN-Verbindung geleitet wird. |
Proxy-Konfiguration |
iOS und OS X unterstützen neben der manuellen Proxy-Konfiguration auch die automatische Konfiguration des Proxy-Servers für VPN mit PAC oder WPAD. Wählen Sie eine der Einstellungen im Einblendmenü „Proxy-Konfiguration“ aus, um die Einstellungen des Proxy-Servers für VPN zu definieren. Konfiguration per PAC (Proxy Auto-Configuration): Wählen Sie „Automatisch“ aus und geben Sie die URL der PAC-Datei ein. Konfiguration per WPAD (Web Proxy Autodiscovery Protocol): Wählen Sie „Automatisch“ aus dem Einblendmenü aus und lassen Sie das Feld „Proxy-Server-URL“ leer. Das Gerät fordert die WPAD-Datei automatisch per DHCP und DNS an. |
Für bestimmte VPN-Konfigurationen ist eine Identität erforderlich. Bei bestimmten VPN-Konfigurationen kann das Payload „VPN“ bedingen, dass die Zertifikatsidentität im zugehörigen Payload „Zertifikat“ enthalten ist.
VPN On Demand
Für Geräte mit L2TP (Konfigurationen auf Zertifikatbasis) können Sie die Funktion „VPN On Demand“ aktivieren, um zu erreichen, dass beim Zugriff auf bestimmte Domains eine VPN-Verbindung aktiviert wird.
Sie müssen dazu ein Muster für die Übereinstimmung von Domain- oder Hostnamen sowie eine Aktion festlegen, die ausgeführt werden soll, wenn sich eine Übereinstimmung ergibt.
Diese Aktion gilt für alle Adressen, bei denen sich eine Übereinstimmung ergibt. Für den Adressvergleich werden die Zeichenfolgen vom Ende her rückwärts abgeglichen. So führt die Adresse „.example.com“ zu einer Übereinstimmung mit „support.example.com“ und „sales.example.com“, nicht aber mit „www.private-example.com“. Wenn Sie allerdings „example.com“ – ohne den Punkt am Anfang – als Vergleichswert für Domains eingeben, ergibt sich eine Übereinstimmung mit „www.private-example.com“ und mit allen anderen o. g. Angaben.
Aktion bei Bedarf ausführen | Beschreibung |
|---|---|
Immer | Eine VPN-Verbindung wird für jede Adresse gestartet, bei der sich eine Übereinstimmung mit der vorgegebenen Domain ergibt. |
Nie | Es wird keine VPN-Verbindung für Adressen gestartet, bei denen sich eine Übereinstimmung mit der vorgegebenen Domain ergibt. Falls aber eine VPN-Verbindung aktiv ist, kann sie verwendet werden. |
Bei Bedarf herstellen | Eine VPN-Verbindung wird für Adressen gestartet, bei denen sich eine Übereinstimmung mit der vorgegebenen Domain ergibt, wenn zuvor die DNS-Suche scheiterte. |
LDAP-Verbindungen initiieren keine VPN-Verbindung. Wenn die VPN-Verbindung nicht zuvor durch eine andere App (zum Beispiel Safari) hergestellt wurde, scheitert daher die LDAP-Suche.
Eine „VPN On Demand“-Verbindung wird nach zwei Minuten der Inaktivität vom Gerät geschlossen. Für eine Verbindung, die manuell unter Verwendung der Einstellungen initiiert wurde, gilt ausschließlich das vom VPN-Server vorgegebene Zeitlimit.
VPN-Proxy
OS X und iOS unterstützen neben der manuellen Proxy-Konfiguration auch die automatische Konfiguration des Proxy-Servers für VPN mit PAC oder WPAD. Wählen Sie eine der Einstellungen im Einblendmenü „Proxy-Konfiguration“ aus, um die Einstellungen des Proxy-Servers für VPN zu definieren.
Einstellung | Beschreibung |
|---|---|
PAC-basierte automatische Proxy-Konfiguration | Wählen Sie „Automatisch“ aus dem Einblendmenü aus und geben Sie die URL einer PAC-Datei ein (zum Beispiel „http://www.example.com/filename.pac“). |
Konfiguration per WPAD (Web Proxy Autodiscovery Protocol) | Wählen Sie „Automatisch“ aus dem Einblendmenü aus. Wenn das Feld „Proxy-Server-URL“ leer bleibt, ruft das Gerät die Datei „wpad.dat“ mittels DHCP (über einen 252-Eintrag) oder mittels DNS ab (über einen A-Datensatz mit dem Namen „WPAD“). |
Sie können VPN-Konfigurationen hinzufügen, indem Sie auf 
klicken.
Variablen
Mit OS X können Sie in den für SCEP (Simple Certificate Enrollment Protocol) relevanten Feldern „AuthName“ und „XAuthName“ die folgenden Variablen verwenden. Diese Variablen werden erst im Zuge der Installation auf dem Gerät durch entsprechende Werte ersetzt. Die Variablen können mit statischen Textelementen kombiniert werden (z. B. „Mac.%HardwareUUID%“), um zusammengesetzte Namen zu generieren.
Variable | Eingesetzter Wert |
|---|---|
%AD_ComputerID% | Die Computer-ID von Active Directory |
%AD_Domain% | Die Domain von Active Directory |
%AD_DomainForestName% | Die Gesamtstruktur von Active Directory |
%AD_DomainGuid% | Die GUID von Active Directory |
%AD_DomainNameDNS% | Der DNS-Name von Active Directory |
%AD_KerberosID% | Die Kerberos-ID von Active Directory |
%ComputerName% | Der Name des Computers in der im Bereich „Systemeinstellungen“ > „Freigaben“ definierten Form |
%HardwareUUID% | Die eindeutige Kennung des Computers |
%HostName% | Der DNS-Name des Computers, z. B. „mac1.example.com“ |
%LocalHostName% | Der Name des Computers im lokalen Netzwerk, z. B. „Mac1.local“ |
%MACAddress% | Die MAC-Ethernetadresse (en0) des Computers |
%SerialNumber% | Die Seriennummer des Computers |