Bei der Anbindung an ein VPN verhält sich das iPhone wie ein üblicher PC. Das heißt, Unternehmen benötigen einen ganz normalen VPN-Zugang. Das kann ein VPN-Router oder ein Windows-Server sein. Die Anbindung erfolgt über interne Einstellungen auf dem iPhone. Von Herstellern wie Juniper oder Cisco stehen im App-Store Apps zur Anbindung bereit, die die Konfiguration und den Start des VPNs vereinfachen und den Datenverkehr steuern.
VPN-Protokolle für das iPhone - Cisco und Co.
Das iPhone unterstützt als Protokolle L2TP/IPSec, PPTP und Cisco IPSec. Das bedeutet, Sie können jeden VPN-Server einsetzen, der diese Protokolle verwendet. Die Benutzer-Authentifizierung können Sie über MS-ChapV2, RSA SecurID mit CryptoCard oder über einen symmetrischen Schlüssel (Shared Secret) konfigurieren.
Point-to-Point-Tunnel-Protocol (PPTP)-basierter VPN-Datenverkehr besteht aus einer TCP-Verbindung zum TCP-Port 1723 auf dem VPN-Server, um den Tunnel zu verwalten, und aus GRE (Generic Routing Encapsulation)-gekapselten Paketen für die VPN-Daten. PPTP-Datenverkehr kann jedoch Probleme mit Firewalls, NATs und Webproxys haben. Um Probleme zu vermeiden, müssen Firewalls so konfiguriert sein, dass sie sowohl die TCP-Verbindung als auch GRE-gekapselte Daten ermöglichen.
PPTP ermöglicht die verschlüsselte Einkapselung von verschiedenen Netzwerkprotokollen. Nachdem die Authentifizierung durchgeführt ist, verschlüsselt ein PPTP-VPN die Verbindung. Die Verschlüsselung baut auf dem Kennwort der Authentifizierung auf. Je komplexer das Kennwort ist, umso besser ist die Verschlüsselung. Da die Verschlüsselung und der Transport der einzelnen IP-Pakete durch das GRE-Protokoll durchgeführt werden, müssen Sie darauf achten, dass die Hardware-Firewall beziehungsweise der DSL-Router, den Sie verwenden, dieses Protokoll beherrscht.
Wer eine aktuelle FritzBox einsetzt, kann auch diese als VPN-Server konfigurieren, der mit iPhones funktioniert. Mehr Informationen dazu finden Sie auf der Website von AVM
VPN per L2TP
Die zweite Variante, ein VPN aufzubauen, ist das Layer 2 Tunnel Protocol (L2TP). Dieses Protokoll ist sicherer als PPTP, aber dafür komplexer in der Einrichtung. L2TP verwendet IPSec, um eine Verschlüsselung aufzubauen. Beim Aufbau eines VPN mit L2TP wird der Datenverkehr, im Gegensatz zu PPTP, bereits vor der Authentifizierung zuverlässig verschlüsselt.
Da L2TP zur Verschlüsselung des Datenverkehrs IPSec verwendet, können Sie mit diesem VPN-Typ auch eine 3DES-Verschlüsselung durchführen. Der Einsatz eines VPN auf Basis von L2TP setzt eine Zertifizierungsstelleninfrastruktur voraus. Sie können auch Juniper Junos Pulse und Cisco AnyConnect einsetzen.
Für diese Methoden stehen im App-Store entsprechende Apps zur Verfügung, mit denen Sie die Einrichtung durchführen. Die Einrichtung können auch normale Anwender leicht durchführen, wenn die entsprechenden Verbindungsdaten des VPN zur Verfügung stehen.
Der Cisco-AnyConnect-Client
Mit dem Cisco-AnyConnect-Client lassen sich iPhones an Cisco-VPN-Server, zum Beispiel der ASA-5500-Serie oder der IronPort-S-Serie, anbinden. Der Client dazu steht als App kostenlos im App-Store zur Verfügung. Die Software verwendet SSL (Secure Sockets Layer) und DTLS (Datagram Transport Layer Security).
Der Client erlaubt die manuelle Konfiguration, aber auch den Import von Profilen mit dem iPhone-Konfigurationsprogramm. Die Konfiguration des AnyConnect-Clients ist genauso einfach wie die Konfiguration mit Bordmitteln des iPhones.
Anwender geben die Daten ein, die Administratoren ihnen mitteilen. Zur Authentifizierung lassen sich auch Zertifikate einsetzen. Das ist Voraussetzung, wenn Sie Connect-on-Demand nutzen wollen. Auf diese Weise lassen sich bestimmte Zugriffe auf Ressourcen, zum Beispiel Exchange-Postfach oder SharePoint, automatisch über das VPN routen.
Im unteren Bereich der App stehen über den Menüpunkt Statistics weitere Informationen zur Nutzung des Clients zur Verfügung. In diesem Bereich sehen Anwender den Status der Verbindung sowie Informationen zu den gesendeten und heruntergeladenen Daten.
Wenn Sie ein zertifikatsbasiertes VPN einsetzen, können Sie Zertifikate in den Formaten PKCS#1 (.cer, .crt, .der) und PKCS#12 (.p12, .pfx) verwenden. Der Import der Zertifikate erfolgt entweder manuell oder über das iPhone-Konfigurationsprogramm. Grundlage des iPhone-Konfigurationsprogramms sind Konfigurationsprofile (siehe auch iPhone-Praxis: Einstellungen per Konfigurationsprogramm automatisieren). Hierbei handelt es sich um XML-Dateien, in denen Sie Einstellungen des iPhones vordefinieren und verteilen können. Dies können zum Beispiel Einstellungen für VPN sowie Zertifikate sein, die Sie für VPN benötigen.
VPN auf dem iPhone einrichten
Die Konfiguration von VPN nehmen Sie entweder über das iPhone-Konfigurationsprogramm vor, um das Profil an mehrere iPhones zu verteilen, oder Sie verwenden eine manuelle Konfiguration.
Wählen Sie zur manuellen Einstellung Einstellungen\Allgemein\VPN. Klicken Sie auf VPN hinzufügen und tragen Sie die Daten des VPN-Servers ein. Haben Sie alle Daten für die VPN-Verbindung eingetragen, müssen Sie die Funktion VPN noch aktivieren.
Wenn Sie per VPN verbunden sind, zeigt das iPhone die Verbindung in der Statusleiste an. Sie können im iPhone natürlich mehrere VPN-Konfigurationen verwenden und diese wechseln. Die Einstellungen dazu finden Sie wieder über Einstellungen\Allgemein\VPN.
Alternative VPN verwenden
Natürlich besteht auch die Möglichkeit, dass Anwender den Internetverkehr über ein VPN laufen lassen. Der Vorteil dabei ist, dass die Datenverbindungen sicherer sind und sich gesperrte IP-Adressen umgehen lassen, was unter Umständen hilfreich sein kann.
Ein bekannter Anbieter eines kostenlosen VPN ist Hotspotshield. Sie müssen sich ein Konto anlegen und können dann auf dem iPhone eine VPN-Verbindung einrichten, mit der Sie IP-Adressen-Sperren umgehen können. Laden Sie sich zu Einrichtung die kostenlose Hotspot Shield-App aus dem Store. Starten Sie die App und lassen Sie, wie vorgeschlagen das Profil für die Einrichtung, sowie die dazugehörigen Zertifikate installieren.
Im nächsten Schritt aktivieren Sie das VPN. Dazu klicken Sie auf Einstellungen und aktivieren VPN auf dem iPhone. Beim Einsatz der App Hotspot Shield, kann diese Aufgabe auch die App übernehmen.
Anschließend verbindet sich das iPhone mit dem VPN und zeigt den Status als verbunden an. Sie sehen die Dauer der Verbindung sowie den VPN-Status im oberen Bereich des iPhones. Die Verbindung zum VPN ist leider nicht immer stabil, dafür aber kostenlos. Vor allem im Ausland, wenn IP-Sperren den Zugang auf bestimmte Seiten unmöglich machen, kann der Zugang helfen.
Eine Alternative zum kostenlosen Zugang ist zum Beispiel Overlay. Der Zugang kostet allerdings knapp 5 US-Dollar im Monat. Die Einrichtung erklärt der Anbieter Schritt für Schritt. Die Anbindung ist auch über das iPad möglich.
VPN mit Windows Server, ISA oder TMG
Viele Unternehmen setzen als VPN-Server entweder einen Windows-Server oder einen ISA-Server beziehungsweise dessen Nachfolger ein (siehe auch Microsoft Forefront - Das Threat Management Gateway 2010). Unabhängig von der verwendeten Serverversion können Sie beim Einsatz von Active Directory im Unternehmen auch die Einwahlberechtigungen in das VPN steuern. Diese Rechte gelten dann auch für iPhones.
Aktivieren Sie auf der Registerkarte Einwählen im Bereich Netzwerkzugriffsberechtigung in der Verwaltungskonsole Active Directory-Benutzer und -Computer die Option Zugriff gestatten. In einer produktiven Umgebung können Sie auch die Option Zugriff über NPS-Netzwerkrichtlinien steuern wählen. In diesem Fall erstellen Sie eine Gruppe im Active Directory, zum Beispiel mit der Bezeichnung VPN-Zugriff, und nehmen die Benutzerkonten in die Gruppe mit auf, denen Sie VPN-Zugriff gestatten wollen. Auf dem Netzwerkrichtlinienserver können Sie dann dieser Gruppe die Einwahl gestatten. Dies hat den Vorteil, dass Sie nicht die einzelnen Benutzerkonten konfigurieren müssen, sondern die Einwahl über Gruppenmitgliedschaft steuern. Die Einstellungen gelten für Windows Server 2008 R2 und auch für Windows Server 2012/2012 R2.
Ein VPN-Server auf Basis von Windows Server sollte zwei Netzwerkkarten verwenden. Für die Remote-Einwahl müssen Sie auf dem VPN-Server die Rolle Netzwerkrichtlinien- und Zugriffsdienste installieren. Zusätzlich müssen Sie noch den Rollendienst Routing- und RAS-Dienste auswählen. Haben Sie die Rolle Netzwerkrichtlinien- und Zugriffsdienste bereits installiert, klicken Sie im Servermanager auf Rollen/Netzwerkrichtlinien- und Zugriffsdienste und dann in der Mitte der Konsole auf Rollendienste hinzufügen. In Windows Server 2012 und Windows Server 2012 R2 installieren Sie für den Zugriff die Serverrolle Remotezugriff. Während der Installation wählen Sie aus, ob Sie die Rollendienste DirectAccess oder VPN installieren wollen.
In Windows Server 2008 R2 wählen Sie an dieser Stelle den Rollendienst Routing- und RAS-Dienste aus. Nach der Installation des Rollendienstes starten Sie die Verwaltung über Start/Ausführen/rrasmgmt.msc oder über Start/Verwalten/Routing und RAS. In Windows Server 2012 R2 finden Sie die Einstellungen im Server-Manager über den Bereich Remotezugriff. Nachdem Sie die Konsole gestartet haben, klicken Sie in Windows Server 2008 R2 mit der rechten Maustaste auf den Servernamen und wählen im Kontextmenü den Eintrag Routing und RAS konfigurieren und aktivieren aus. Daraufhin startet ein Assistent, mit dessen Hilfe Sie die Einwahlmöglichkeiten per VPN konfigurieren können. In Windows Server 2012 R2 starten Sie die Einrichtung über den Server-Manager im Bereich Remotezugriff. Starten Sie im Server-Manager die Einrichtung über Tools\Routing- und RAS. Aber dieser Stelle ist die Konfiguration mit Windows Server 2008 R2 identisch.
VPN auf dem Server konfigurieren
Nach dem Willkommensbildschirm konfigurieren Sie auf der nächsten Seite des Assistenten zunächst die Funktion des RAS-Servers. Für die Einwahlmöglichkeiten per DFÜ oder VPN wählen Sie die Option RAS (DFÜ oder VPN). Auf der nächsten Seite des Assistenten aktivieren Sie das Kontrollkästchen VPN. Anschließend legen Sie fest, an welcher Schnittstelle der Server auf Verbindungen warten soll.
Hier verwenden Sie natürlich die Schnittstelle, die mit dem externen Netzwerk verbunden ist. Haben Sie im Server zwei Netzwerkkarten eingebaut, benennen Sie im Netzwerk- und Freigabecenter diese Verbindungen am besten in intern und extern um, damit Sie diese einfacher zuordnen können. Deaktivieren Sie zusätzlich noch die Option Sicherheit auf der ausgewählten Schnittstelle durch… Dadurch ist sichergestellt, dass die VPN-Clients Verbindung mit dem VPN-Server aufbauen können, um diesen zum Beispiel zu pingen, ohne dass eine Route gesetzt sein muss.
Auf der nächsten Seite des Assistenten legen Sie fest, welche IP-Adresse die Clients bei der Einwahl erhalten sollen; das gilt auch für iPhones, da auch diese eine IP-Adresse erhalten. Wählt sich ein Client per VPN in das Netzwerk ein, erhält er eine IP-Adresse im internen Netzwerk. Sie können entweder die IP-Adressen über einen DHCP-Server zuweisen lassen, indem Sie die Option Automatisch auswählen, oder über die Option Aus einen angegebenen Adressbereich manuell die IP-Adressen im internen Netzwerk eingeben, die VPN-Clients verwenden. Wählen Sie in diesem Beispiel diese Option aus. So können Sie einen IP-Bereich festlegen. Auf der nächsten Seite geben Sie den IP-Bereich ein, aus dem die VPN-Clients IP-Adressen zugeteilt bekommen.
DHCP-Relay einrichten
Nach Abschluss der Konfiguration startet Windows den Routing- und RAS-Dienst. Sie erhalten anschließend noch verschiedene Meldungen, die Sie darauf hinweisen, dass Sie die Authentifizierungsoptionen festlegen und den DHCP-Relay-Agenten konfigurieren müssen.
Im DHCP-Relay-Agenten wird die IP-Adresse des DHCP-Servers hinterlegt. Der Relay-Agent antwortet auf die Anfragen von Clients und leitet diese an den DHCP-Server weiter. Dieser teilt eine IP-Adresse zu, die dann wiederum vom Relay-Agenten dem Client mitgeteilt wird. Wenn Sie DHCP für VPN verwenden möchten, müssen Sie die IP-Adresse Ihres DHCP-Servers als Relay-Agent im RAS-Server eintragen, damit die Anfragen des RAS-Clients an den DHCP-Server weitergeleitet werden können.
Sie erhalten beim ersten Start des Dienstes eine entsprechende Warnung. Klicken Sie dazu nach dem Starten des RAS-Dienstes auf IPv4/DHCP-Relay-Agent und rufen Sie die Eigenschaften auf. In den Eigenschaften tragen Sie die IP-Adresse Ihres DHCP-Servers ein.
Der nächste Schritt besteht darin, dass Sie den VPN-Server noch konfigurieren. Sie müssen zum Beispiel noch die Authentifizierung für Clients festlegen. Starten Sie dazu die Verwaltungskonsole für Routing und RAS:
Rufen Sie die Eigenschaften des VPN-Servers in der Konsole auf und wechseln Sie auf die Registerkarte Sicherheit.
Klicken Sie anschließend auf Authentifizierungsmethoden.
Stellen Sie sicher, dass Extensible Authentication Protocol (EAP) und Microsoft-verschlüsselte Authentifizierung, Version 2 (MS-CHAP v2) ausgewählt sind. PAP (Password Authentication Protocol) verwendet Kennwörter mit Klartext und ist das einfachste Authentifizierungsprotokoll. Beim Aktivieren von PAP als Authentifizierungsprotokoll werden Benutzerkennwörter als Klartext gesendet. Durch das Abfangen von Paketen während des Authentifizierungsprozesses kann das Kennwort leicht entschlüsselt und für nicht autorisierten Intranetzugriff verwendet werden.
Sobald die Konfiguration abgeschlossen ist, können Anwender über das Internet auch mit dem iPhone auf das interne Netzwerk zugreifen. (cvi)