Iphone VPN & ASA & Certifikate

[blackbox 10]

Hallo,

 

Iphone und Cisco IPSec ist ja nicht wirklich eine "Kunst". Nun bin ich mal auf die Idee gekommen - das auf Basis von Certifikaten aufzubauen. Hat das jemand von euch vielleicht schonmal hinbekommen ?

 

Idee ist - das ganze gegen ne MS Cert Instanz laufen zu lassen - geht das überhaupt mit dem Apfel ?

 

Für Idee und Infos wäre ich dankbar.

 

Gruss Mike

[Otaku19 33]

würde gehen, aber ich hab mich nur kurz damit beschäftigt, halt im Rahmen von 802.1X. Weder auf Eierfon noch Guglfunkerl gibts wirklich brauchbare Mechanismen um das Zertifikat auszurollen, man muss jedes Gerät quasi einzeln in die Hand nehmen udn das Zertifikat entweder via website zur Verfügung stellen oder eben via Speicherkarte oder so manuell rüberkopieren.

 

Allerdings kenne ich den integrierten ipsec client nicht wirklich, kann man da denn angeben welches Zertifikat verwendet werden soll ? Für den Fall das man mehrere hat ?

[Wordo 11]

Ich habs noch nie gemacht, aber ASA kann mit AnyConnect Certificate Enrollment.

Vll. find ich mal ne freie Minute und spiel da rum, gern auch gemeinsam, hab kein iPhone da :P

[blackbox 10]

Hi,

 

ich habe leider auch kein Iphone zur Hand - (will auch keins) - aber irgendwie muss ich die in unseren Organisation bekommen - und wollte gerne Cert nehmen - da alles über Cert geht :-) - Dann muss ich doch mal das des Chefs mir mopsen und probieren. Bei Kunden würde ich ja wenigstens Geld für das Spielen bekommen :-)))

[Wordo 11]

Bei Kunden würde ich ja wenigstens Geld für das Spielen bekommen :-)))

 

 

Du oder deine Firma? ;)

[blackbox 10]

:-) - leider die Firma :-) - Hmm - vielleicht könnte man es ja "Nachts" machen - dann würde es wenigstens Zuschlag bekommen - so als Scherzensgeld :-)

[Otaku19 33]

Die frage ist halt um wie viele Phones gehts überhaupt und was wollen die eignetlich machen :)

 

Bevor ich wegen 2,3 Phones den Zertifikats****sinn mache nur weil ich den PSK für Phase 1 nicht eingeben will halte ich für ****sinn. OK, ich kann dann genau sagen welches Phone das VPN nutzen darf,aber da muss man schon eine strenge IT Richtlinie haben damit das von Interesse ist.Für den User wird ja eh nix einfacher, nachdem das Profil durch Zauberhand am Telefon ist muss er sich ja ohnehin bei jedem VPN Connect authentifizieren und das am besten 2 Faktor.

 

Ichhab da schon so n paar Pappenheimer die meinten sie müssen unbedingt über n tab das VPN nutzen können...schlussendlich benutzen die das alle 3 heiligen Zeiten, keien Ahnugn was sie dann darüber machen :) Ich sag, zu 90% taugt ein mobile nur für Mail/Kalendersync und dazu brauchts kein vpn

[blackbox 10]

@Otaku19 : Ich bin voll auf deiner Seite - aber leider gibt es hier im Unternehmen ne Unternehmspolicy - nur mit Cert - die ich nicht umwerfen kann. Daher die Lösung. Ich persönlich halte es auch nicht für Sinnvoll.

 

Und ich habe mitbekommen - das der Vertrieb sogar das einem Kunden angeboten hat - da ist die Technik dann machtlos :-(

[Otaku19 33]

dann glaub ich eben wird das nur brauchbar über so en Webseite gehen. Wird dir dann nicht erspart bleiben das auf den Phones zu testen. Denn da ist der Netzwerker/Securitymensch auf einmal zuständig, bei Servern nicht, bei dem Klump das keiner betreiben will schon.

 

Da kann man sich dann sicher auf einige Spässchen freuen die einem Google und Apple gerne klammheimlich mit dem nächsten Update unterschieben :)

 

ich selbst würde es ja gerne testen,aber da spricht einiges dagegen:

keine CA, mus sich mir also selbst was erzeugen

3 Android Geräte, keines davon gerootet. hätte zwar n Samsung tablet ->Samsung hat einen Anyconnect Client der ohne root funktioniert,aber den gibts erst ab 2.3 ich hab aber noch 2.2,update ist keines in Sich,argh.

Aja genau, das kommt bei den Androiden noch dazu, die haben das routingtable umbiegen der VPN Clients nicht so gern, da brauchts spezielle Clients oder man rootet das Gerät -.-

[Wordo 11]

Also ich hab jetzt ne lokale CA auf der ASA aufgesetzt und AnyConnect (ueber PC), da kommt schon zum Enrollment und will mein OTP, aber dann geht nix weiter. Wenn ich ein falsches OTP eingebe bekomm ich nen klaren Fehler. Werd morgen mal weiter debuggen, is ja nich uninteressant das Thema :)

[Otaku19 33]

ja hast du denn auch die anyconnect mobile Lizenz ? Die kostet zwar so gut wie nix, trotzdem muss sie drauf sein, sonst könen sich keine mobiles verbinden

[blackbox 10]

Hi,

 

ich werde am Weekend mal nen Test versuchen zu starten - habe nen Kollegen so ne Brotunterlage abgeschwätzt zum testen (nennt sich glaube IHHpad).

 

Wie ihr schon sagt - ist nicht unintressant - braucht man nicht wirklich aber irgendwie meinen viele man braucht es.

[Wordo 11]

ja hast du denn auch die anyconnect mobile Lizenz ? Die kostet zwar so gut wie nix, trotzdem muss sie drauf sein, sonst könen sich keine mobiles verbinden

 

Argh, letztens hab ich die noch auf diversen Systemen eingespielt, nur hier auf der Test ASA nicht :P Ich bestell mal so n Teil.

[blackbox 10]

@wordo - Guter Plan - sag mal die Artikel Nummer - ordere direkt auch mal eine für "meine" zum Spielen - dann brauch ich nicht zu suchen :-)

[Otaku19 33]

Argh, letztens hab ich die noch auf diversen Systemen eingespielt, nur hier auf der Test ASA nicht :P Ich bestell mal so n Teil.

 

hehe, der Anyconnect Cleint der bei Samsung verwendet wird sagt einem wenigstens deutlich direkt im Client das man noch ne Lizenz braucht :)