VPN-instellingen

Met deze payload kunt u de VPN-verbindingsinstellingen voor uw netwerk opgeven. Instellingen die u opgeeft in het configuratieprofiel kunnen niet door de gebruiker worden gewijzigd.

Opmerking: Gebruik de VPN-payload voor alle configuratieprofielen. Zie Informatie over profielen en payloads en Tips voor payloads voor meer informatie.

Basisinstellingen

Om Aruba VIA, Check Point Mobile VPN, Cisco AnyConnect, F5 SSL, Juniper SSL of SonicWALL Mobile Connect te configureren, kiest u het desbetreffende onderdeel uit het venstermenu 'Verbindingstype'. Zorg dat de waarden voor 'Realm' en 'Role (Juniper)' of 'Group (Cisco)' overeenkomen met de waarden die op de VPN-server zijn opgegeven. Gebruikers moeten zowel het configuratieprofiel als de juiste identiteitscontroleapp installeren. De apps F5 BIG-IP Edge Client, Junos Pulse, Cisco AnyConnect en Aruba Network VIA zijn beschikbaar in de App Store.

Voor andere SSL VPN-oplossingen neemt u contact op met uw leverancier om te vragen of hij een app in de App Store heeft. Als dat het geval is, kiest u 'Aangepaste SSL' uit het venstermenu 'Verbindingstype' en voert u de door de leverancier verstrekte configuratiegegevens in. Zorg dat de waarde in het veld 'Identificatie' overeenkomt met de ID die door de VPN-app van de leverancier wordt opgegeven en dat deze in omgekeerde DNS-notatie staat (bijvoorbeeld com.example.mijnvpn). Uw gebruikers moeten zowel de app van de leverancier als het configuratieprofiel installeren om verbinding met uw netwerk te kunnen maken.

Kies 'IKEv2 (alleen iOS)' en selecteer 'Altijd actieve VPN' als u een payload wilt configureren waarbij apparaten een actieve VPN-verbinding moeten hebben om een verbinding met een netwerk tot stand te brengen. U kunt de optie 'Altijd actieve VPN' configureren voor mobiel en/of Wi-Fi.

Sommige instellingen voor VPN en Wi-Fi, zoals 802.1x-parameters, kunnen alleen worden opgegeven via een configuratieprofiel.

Zie het gedeelte Overzicht van de Referentiehandleiding voor de implementatie van iOS-apparaten voor informatie over ondersteunde VPN-protocollen, identiteitscontrolemethoden en IKEv2.

De volgende onderdelen kunnen worden geconfigureerd, ongeacht het verbindingstype dat u kiest.

Nadat u een verbindingstype hebt gekozen, zijn de andere verbindingsinstellingen beschikbaar.

Instelling

Beschrijving

Verbindingsnaam

Naam van de verbinding zoals die wordt weergegeven op het apparaat.

Verbindingstype

De gebruikte methode voor het maken van een VPN-verbinding. Wanneer u een van deze VPN-methoden hebt gekozen, worden bij 'Server' en 'Account' de opties weergegeven die bij de methode in kwestie horen.

Server

De hostnaam of het IP-adres van de VPN-gatewayserver.

Account

De gebruikersaccount die vereist is voor de identiteitscontrole voor de verbinding.

Identiteitscontrole gebruiker (alle verbindingstypen behalve IPSec (Cisco))

De methode voor de identiteitscontrole van de gebruiker. Mogelijke typen voor L2TP en PPTP zijn:

  • Wachtwoord (het wachtwoord kan worden ingevoerd)

  • RSA SecurID

  • IPSec (Cisco)

  • Certificaat (alleen OS X)

  • Kerberos (alleen OS X)

  • CryptoCard (alleen OS X)

Bij andere methoden voor het tot stand brengen van een VPN-verbinding worden uiteenlopende instellingen voor de identiteitscontrole van de gebruiker gebruikt.

Machinale identiteitscontrole

Het vereiste type identiteitscontrole. Kies voor L2TP 'Gedeeld geheim' of 'Certificaat' en geef de bijbehorende instellingen op. Bij andere methoden voor het tot stand brengen van een VPN-verbinding worden uiteenlopende instellingen voor de machinale identiteitscontrole gebruikt.

Coderingsniveau (alleen PPTP)

Het coderingsniveau dat voor de verbinding wordt gebruikt. Mogelijke opties zijn 'Geen', 'Automatisch' en 'Maximum (128-bits)'.

Verstuur alle verkeer (alleen L2TP en PPTP)

Dwingt al het netwerkverkeer via de VPN-verbinding te lopen.

Proxyconfiguratie

Bij iOS en OS X zijn handmatige VPN-proxyconfiguratie en automatische proxyconfiguratie met PAC of WPAD mogelijk. Om een VPN-proxy op te geven, selecteert u een optie in het venstermenu 'Proxyconfiguratie'.

Voor automatische proxyconfiguraties op basis van PAC selecteert u 'Automatisch' in het venstermenu en geeft u vervolgens de URL van een PAC-bestand op.

Voor WPAD-configuraties (Web Proxy Autodiscovery) selecteert u 'Automatisch' in het venstermenu. Laat het veld 'URL proxyserver' leeg. Het WPAD-bestand wordt door het apparaat aangevraagd met behulp van DHCP en DNS.

Voor sommige VPN-configuraties is een identiteit vereist. Afhankelijk van de VPN-configuratie, kan het voor een VPN-payload nodig zijn dat de bijbehorende certificaatpayload het certificaat bevat dat bij de identiteit hoort.

VPN op aanvraag

Op apparaten met L2TP die op basis van certificaten zijn geconfigureerd, kunt u VPN op aanvraag inschakelen, zodat een VPN-verbinding wordt gemaakt wanneer het apparaat toegang tot specifieke domeinen probeert te krijgen.

U moet een domein of hostvergelijkingspatroon configureren en vervolgens een actie opgeven voor wanneer er een overeenkomst is.

De actie geldt voor alle overeenkomende adressen. De adressen worden vergeleken op basis van een eenvoudige tekenreeksvergelijking die van achteren naar voren wordt uitgevoerd. Het adres '.example.com' komt overeen met 'support.example.com' en 'sales.example.com', maar niet met 'www.private-example.com'. Wanneer u het domein echter opgeeft als 'example.com' (dus zonder punt aan het begin), komt het wel overeen met 'www.private-example.com' en alle andere voorbeeldadressen.

Taak bij VPN op aanvraag

Beschrijving

Altijd

Hiermee wordt een VPN-verbinding gemaakt voor elk adres dat overeenkomt met het opgegeven domein.

Nooit

Hierbij wordt geen VPN-verbinding gemaakt voor adressen die overeenkomen met het opgegeven domein, maar als VPN actief is, kan het wel worden gebruikt.

Maak verbinding indien nodig

Hiermee wordt een VPN-verbinding gemaakt voor adressen die overeenkomen met het opgegeven domein als het adres niet in DNS kan worden opgezocht.

LDAP-verbindingen kunnen geen VPN-verbinding starten. Als de VPN-verbinding niet door een ander programma (zoals Safari) is ingesteld, zal het adres niet in LDAP kunnen worden opgezocht.

Na twee minuten inactiviteit wordt een VPN-sessie die via VPN op aanvraag is gestart, gesloten. Als de verbinding handmatig tot stand is gebracht via 'Instellingen', geldt alleen de time-outperiode van de VPN-server.

VPN-proxy

Bij iOS zijn handmatige VPN-proxyconfiguratie en automatische proxyconfiguratie met PAC of WPAD mogelijk. Om een VPN-proxy op te geven, selecteert u een optie in het venstermenu 'Proxyconfiguratie'.

Instelling

Beschrijving

Automatische proxyconfiguratie op basis van PAC

Kies 'Automatisch' uit het venstermenu en voer de URL van een PAC-bestand in, bijvoorbeeld "http://www.example.com/bestandsnaam.pac".

WPAD-configuratie (Web Proxy Autodiscovery)

Kies 'Automatisch' uit het venstermenu. Als u het veld 'URL proxyserver' leeg laat, vraagt het apparaat het wpad.dat-bestand aan via DHCP (met behulp van een 252-vermelding) of DNS (met behulp van een A-record met de naam WPAD).

U kunt VPN-configuraties toevoegen door op de knop voor het toevoegen van een payload te klikken.

Variabelen

In OS X kunt u de volgende variabelen gebruiken in de velden 'AuthName' en 'XAuthName' van de SCEP-instellingen (Simple Certificate Enrollment Protocol). Deze variabelen worden tijdens de installatie op het apparaat omgezet. U kunt deze variabelen combineren met statische tekst, zoals "Mac. %HardwareUUID%", om een samengestelde naam aan te maken.

Variabele

Vervanging

%AD_ComputerID%

De computer-ID voor Active Directory

%AD_Domain%

Het Active Directory-domein

%AD_DomainForestName%

De naam van het Active Directory-forest

%AD_DomainGuid%

De Active Directory-GUID

%AD_DomainNameDNS%

De DNS-naam voor Active Directory

%AD_KerberosID%

De Kerberos-ID voor Active Directory

%ComputerName%

De naam van de computer die is ingesteld via 'Systeemvoorkeuren' > 'Delen'

%HardwareUUID%

De unieke ID van de computer

%HostName%

De DNS-naam van de computer, zoals 'mac1.example.com'

%LocalHostName%

De lokale netwerknaam van de computer, zoals 'Mac1.local'

%MACAddress%

Het Ethernet MAC-adres (en0) van de computer

%SerialNumber%

Het serienummer van de computer