Freigabe bei der Fritzbox nicht notwendig bei QuickConnect?

Sequoia

Benutzer
Mitglied seit
14. Dez 2017
Beiträge
1.026
Punkte für Reaktionen
92
Punkte
74
dass die Beziehungen
Das ist doch sehr einfach.
Man braucht nur 2 VPN Profile in den Einstellungen.
Eines "On Demand" und das Andere "Manuell".

Hat man das On Demand angehakt, so wird jedes Mal bei einem unbekannten W-LAN das die VPN Verbindung aufgebaut, und nie bei einer Mobilen Verbindung.
 

Monacum

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
03. Jan 2022
Beiträge
2.216
Punkte für Reaktionen
1.035
Punkte
224
Ja genau, man braucht zwei Profile. Mit einem alleine bekommt man das nicht vollständig so hin, wie es mit WireGuard funktioniert. Ist halt eben ein Workaround.

Ich kann das nicht genau rekonstruieren, dafür ist es zu lange her bei mir, ich erinnere mich nur daran, dass mit der FB und IPSec nicht die gleiche Einstellung mit einem Profil möglich war.
 

senderversteller

Benutzer
Mitglied seit
10. Dez 2015
Beiträge
248
Punkte für Reaktionen
44
Punkte
34
Hallo zusammen,
ich hol das Thema mal raus, weil ich gestern aus Interesse versucht habe mit dem Configurator ein Profil zu erstellen.

Ziel der Übung: ohne offene Ports in der FRITZ!Box und ohne SSL Zertifikate auskommen und nur mit VPN und internen IPs arbeiten. Außerdem: Pi-Hole auch unterwegs/mobil/ohne heimisches WLAN nutzen und Tracking-/Werbefrei unterwegs sein.

Zustand aktuell:
  • Port 443 offen für CardDAV, CalDAV, Synology Photos, Synology Drive.
  • Port 80 (und 443) für die Erneuerung von Let's Encrypt Zertifikaten und Port 6690 für Drive Server zusätzlich offen.
  • Port 22111 für WebDAV Server.
  • Die o.g. Dienste auf 443 lauschen auf jeweils unterschiedliche dienstname.mydomain.de (inkl. jeweils eigenes LE SSL Zertifikat).
  • Auf der Syno ist die Firewall aktiv, Ports 6690 und 22111 nur für IPs aus Deutschland erlaubt, weiterhin das blocklist.de Skript. So habe ich mich bisher relativ sicher gefühlt. Trügerisch?

Das mit dem Profil und dem Configurator hat wunderbar geklappt, folgende Bedingungen hat also das Profil.
Code:
<!-- VPN-On-Demand Codeblock -->
<key>OnDemandEnabled</key>
<integer>1</integer>
<key>OnDemandRules</key>
<array>
 
    <dict>
        <!-- VPN bei ausgewählten WLAN-Netzen deaktivieren -->
        <key>InterfaceTypeMatch</key>
        <string>WiFi</string>
        <key>SSIDMatch</key>
        <array>
            <string>Heim-WLAN1</string>
            <string>Heim-WLAN2</string>
            <string>Heim-WLAN3</string>
        </array>
        <key>Action</key>
        <string>Disconnect</string>
    </dict>
    <dict>
        <!-- VPN bei aktiver WLAN-Verbindung aktivieren -->
        <key>InterfaceTypeMatch</key>
        <string>WiFi</string>
        <key>Action</key>
        <string>Connect</string>
    </dict>
    <dict>
        <!-- VPN im Mobilfunknetz aktivieren -->
        <key>InterfaceTypeMatch</key>
        <string>Cellular</string>
        <key>Action</key>
        <string>Connect</string>
    </dict>
    <dict>
        <!-- VPN Default state -->
        <key>Action</key>
        <string>Disconnect</string>
    </dict>
</array>
<!-- VPN-On-Demand Codeblock ENDE-->

Damit wird VPN zwar getrennt, wenn das iPhone einpennt. Sobald man es aber aufweckt, wird die VPN Verbindung zu meiner FRITZ!Box sofort wieder hergestellt. Hab dies testweise heute mal auf meinem iPhone über den Tag probiert und schnell gemerkt, dass das schon deutlich am Akku zehrt. Im Hintergrund wird laut Logfile der FRITZ!Box immer wieder VPN aktiviert und getrennt. Wie ist eure Erfahrung diesbezüglich mit iPhone und dem Akku?

Außerdem wird ja damit nicht wirklich der gesamte Traffic über den Router geleitet sondern nur dann, wenn ich das iPhone aktiv benutze. Das ist am Ende auch nicht konsequent. Eine 3rd Party App (WireGuard) wollte ich nicht installieren und, wenn schon, das ganze mit nativen Apple Bordmitteln lösen.

Bin mir letztendlich nicht sicher, ob das gesamte Vorhaben eine sinnvolle Strategie mit dem VPN ist - vor allem, weil ich dies auf insgesamt 7 iPhones, 3 iPads und mindestens 2 Macs in der Familie so einführen und auch verwalten muss. Den Vorteil von "only VPN" gegen diesen Aufwand und Nachteil (Akku) gegengerechnet, schreckt mich davor ab und ich würde es beim Versuch zur Erstellung eines Profil belassen. Wie würdet ihr das einschätzen?
 
Zuletzt bearbeitet:

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
373
Punkte für Reaktionen
135
Punkte
43
Ich hatte jahrelang eine Split Tunnel Konfiguration genutzt, ohne dass es zu nennenswertem Mehr an Stromverbrauch geführt hatte. Allerdings liefen nur die E-Mails und Kalender über VPN, d.h. die Summe der zu verschlüsselnden Daten war viel geringer als bei einem Full Tunnel.
Der Split Tunnel funktioniert bei iOS jedoch nur auf Basis von Namen, wenn ich mich richtig erinnere. Man muss sich also über das Thema DNS Gedanken machen.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat