Iphone VPN & ASA & Certifikate

[blackbox]

Hallo,

Iphone und Cisco IPSec ist ja nicht wirklich eine "Kunst". Nun bin ich mal auf die Idee gekommen - das auf Basis von Certifikaten aufzubauen. Hat das jemand von euch vielleicht schonmal hinbekommen ?

Idee ist - das ganze gegen ne MS Cert Instanz laufen zu lassen - geht das überhaupt mit dem Apfel ?

Für Idee und Infos wäre ich dankbar.

Gruss Mike

[Otaku19]

würde gehen, aber ich hab mich nur kurz damit beschäftigt, halt im Rahmen von 802.1X. Weder auf Eierfon noch Guglfunkerl gibts wirklich brauchbare Mechanismen um das Zertifikat auszurollen, man muss jedes Gerät quasi einzeln in die Hand nehmen udn das Zertifikat entweder via website zur Verfügung stellen oder eben via Speicherkarte oder so manuell rüberkopieren.

Allerdings kenne ich den integrierten ipsec client nicht wirklich, kann man da denn angeben welches Zertifikat verwendet werden soll ? Für den Fall das man mehrere hat ?

[Wordo]

Ich habs noch nie gemacht, aber ASA kann mit AnyConnect Certificate Enrollment.
Vll. find ich mal ne freie Minute und spiel da rum, gern auch gemeinsam, hab kein iPhone da :P

[blackbox]

Hi,

ich habe leider auch kein Iphone zur Hand - (will auch keins) - aber irgendwie muss ich die in unseren Organisation bekommen - und wollte gerne Cert nehmen - da alles über Cert geht :-) - Dann muss ich doch mal das des Chefs mir mopsen und probieren. Bei Kunden würde ich ja wenigstens Geld für das Spielen bekommen :-)))

[Wordo]

Zitat von blackbox Bei Kunden würde ich ja wenigstens Geld für das Spielen bekommen :-)))

Du oder deine Firma?

[blackbox]

:-) - leider die Firma :-) - Hmm - vielleicht könnte man es ja "Nachts" machen - dann würde es wenigstens Zuschlag bekommen - so als Scherzensgeld :-)

[Otaku19]

Die frage ist halt um wie viele Phones gehts überhaupt und was wollen die eignetlich machen

Bevor ich wegen 2,3 Phones den Zertifikats****sinn mache nur weil ich den PSK für Phase 1 nicht eingeben will halte ich für ****sinn. OK, ich kann dann genau sagen welches Phone das VPN nutzen darf,aber da muss man schon eine strenge IT Richtlinie haben damit das von Interesse ist.Für den User wird ja eh nix einfacher, nachdem das Profil durch Zauberhand am Telefon ist muss er sich ja ohnehin bei jedem VPN Connect authentifizieren und das am besten 2 Faktor.

Ichhab da schon so n paar Pappenheimer die meinten sie müssen unbedingt über n tab das VPN nutzen können...schlussendlich benutzen die das alle 3 heiligen Zeiten, keien Ahnugn was sie dann darüber machen Ich sag, zu 90% taugt ein mobile nur für Mail/Kalendersync und dazu brauchts kein vpn

[blackbox]

@Otaku19 : Ich bin voll auf deiner Seite - aber leider gibt es hier im Unternehmen ne Unternehmspolicy - nur mit Cert - die ich nicht umwerfen kann. Daher die Lösung. Ich persönlich halte es auch nicht für Sinnvoll.

Und ich habe mitbekommen - das der Vertrieb sogar das einem Kunden angeboten hat - da ist die Technik dann machtlos :-(

[Otaku19]

dann glaub ich eben wird das nur brauchbar über so en Webseite gehen. Wird dir dann nicht erspart bleiben das auf den Phones zu testen. Denn da ist der Netzwerker/Securitymensch auf einmal zuständig, bei Servern nicht, bei dem Klump das keiner betreiben will schon.

Da kann man sich dann sicher auf einige Spässchen freuen die einem Google und Apple gerne klammheimlich mit dem nächsten Update unterschieben

ich selbst würde es ja gerne testen,aber da spricht einiges dagegen:
keine CA, mus sich mir also selbst was erzeugen
3 Android Geräte, keines davon gerootet. hätte zwar n Samsung tablet ->Samsung hat einen Anyconnect Client der ohne root funktioniert,aber den gibts erst ab 2.3 ich hab aber noch 2.2,update ist keines in Sich,argh.
Aja genau, das kommt bei den Androiden noch dazu, die haben das routingtable umbiegen der VPN Clients nicht so gern, da brauchts spezielle Clients oder man rootet das Gerät -.-

[Wordo]

Also ich hab jetzt ne lokale CA auf der ASA aufgesetzt und AnyConnect (ueber PC), da kommt schon zum Enrollment und will mein OTP, aber dann geht nix weiter. Wenn ich ein falsches OTP eingebe bekomm ich nen klaren Fehler. Werd morgen mal weiter debuggen, is ja nich uninteressant das Thema