Bei der Einrichtung einer VPN-Verbindung auf Basis von IKEv2 habe ich eigentlich gute Erfahrungen gemacht. Gerade unter Microsoft Windows klappt die Einrichtung in wenigem Minuten. Die gleich Zeit brauche ich auch unter macOS, doch hier habe ich aktuell das Problem, dass die DNS-Auflösung nicht funktioniert – Grund: derzeit nicht bekannt. Auch unter Linux (Mint) und Android habe ich das VPN zum Laufen gebracht. Nicht so „reibungslos“ wie unter Windows, aber doch mit annehmbarem Zeitaufwand.
Eigentlich wäre ich davon ausgegangen, dass das Setup unter Apple´s iOS ähnlich smooth läuft, wie bei Windows, aber hier hatte ich meine Probleme. Erste Ausgangspunkt war die .mobilconfig-Datei, welche man unter anderem bekommt, wenn man sich die VPN-Kinfiguration von der Firewall runterlädt. Ich konnte noch diese Datei Importieren und Installieren, doch der Verbindungsaufbau wollte nicht klappen. Da in diesem Setup das 2FA mittels Watchguard AuthPoint realisiert ist, merkte ich immer recht schnell, dass es nicht klappt, weil die AuthPoint-App auf dem iPhone keine Push-Nachricht brachte. (Und nein, ich habe nicht ins Logfile der Firewall geschaut um Herauszufinden an was es liegen könnte, dafür bin ich wahrscheinlich zu wenig Firewall-, VPN- oder Watchguard-Crack.)
Nach einigen (erfolglosen, weiteren) Versuchen mit der .mobilconfig-Datei und der Erfahrung mit der Einrichtung unter Linux Mint (Strichwort: StrongSwan), bin ich dann auch auf dem iPhone dazu übergegangen, mit der PEM-Zertifikatsdatei es zu versuchen. Aber um es hier etwas abzukürzen, möchte ich euch hier nun die Watchguard-Supportseite mitteilen, welche mir dann bei der manuellen Einrichtung des VPN´s geholfen hat, welche dann auch schlussendlich funktioniert hat. Da dieser Artikel etwas „länglich“ ist, werde ich im Anschluss noch den relevanten Textteil hier aufführen.
(Es gibt seit einiger Zeit in manchen Browsern die Möglichkeit Links auf Seiten zu bestimmten Textpassagen zu erstellen. Dies habe ich mit dem Safari vom Mac mal gemacht und hier wäre der dazu passende Link. Viel Glück.)
Quelle:
https://www.watchguard.com/help/docs/help-center/en-US/Content/
en-US/Fireware/mvpn/ikev2/mvpn_ikev2_mac_client.html
To manually add a new IKEv2 VPN connection in iOS:
- Send the .CRT or .PEM file to your iOS device.
- To install the certificate, tap it. A Profile Downloaded message appears.
(iOS 15)
Tap Settings > General > VPN & Device Management > Install > Install > Done.
- Add a VPN Configuration:
(iOS 16) Tap Settings > General > VPN & Device Management > VPN.
(iOS 15) Tap Settings > General > VPN & Device Management > VPN.
(iOS 14) Tap Settings > VPN.
- Click Add VPN Configuration.
- To configure the VPN, specify these settings:
Type: IKEv2
Description: [Descriptive name such as MyCompany IKEv2 VPN]
Server: [Host name or IP address of the Firebox]
Remote ID: [Host name or IP address of the Firebox]
- User Authentication:
Username Username: [Your mobile VPN username]
Password: [Your mobile VPN password]
On iOS devices, you must type the user name and password when prompted.
If you do not specify a user name and
password, the VPN profile is created but does not work.
- Tap Done.
- To connect to the VPN, on the VPN screen, slide the Status toggle to Connecting.
Hört sich jetzt vielleicht komplizierter an, als es bei in der Praxis dann wirklich war. Ich habe bei „Server“ die offizielle IP-Nummer der Watchguard Firebox eingetragen und diese ebenfalls bei „Entfernte ID“.
Bei „Benutzerauthentifizierung“ habe ich auf „Benutzername“ eingestellt und dann nur noch meinen Benutzernamen dort gleich noch hinterlegt. Als ich dann das VPN zu ersten Mals ausprobiert habe, kam gleich der AuthPoint-Push, auf dem ich auf „Genehmigen“ geklickt habe, und kurz darauf war das VPN erfolgreich aufgebaut.