Erfahrungswerte Traveler und VPN

[Sommersprosse]

Hallo zusammen,

wir planen einen Traveler zu installieren, aufgrund Konzernvorgaben noch auf 8.5.3 (FP6) Server und Traveler 8.5.3 UP2.

Wir haben eine Cisco ASA im Einsatz und würden gerne die Authentifizierung der User über IOS7 über das interne VPN von Apple nutzen.
Ich habe die letzten Tage viel experimentiert und getestet und bin dann irgendwann über das Forum auf die Einschränkungen der Apple Devices gestoßen
https://apps.na.collabserv.com/help/topic/com.ibm.cloud.scnotes.doc/Apple_limitations_and_restrictions.html
Hat irgendjemand so eine Lösung im Einsatz, ist das überhaupt praktikabel oder doch besser einen Reverse Proxy einzusetzen.

Ich steh irgendwie auf'm Schlauch was mit Redirect to SSL gemeint ist was ich dann in diesem Fall bräuchte, vielleicht habe ich auch einfach die letzten Tage zuviel gelesen.
Welche Session authentication in der Domino Web Engine ist dann in diesem Fall die richtige? Ohne bekomme ich zumindest die Traveler Userhome um ein Profil auf dem Iphone zu erstellen, scheiter dann aber an der http Verbindung.
Mit Multiple Server (SSO) bekomme ich dann in der dom.log ein 302 FOUND (The data requested has a different URL temporarily), was wahrscheinlich am http login liegt.

Wäre um jeden Tipp dankbar da ich mich grad bissle im Kreis dreh und den Wald vor lauter Bäumen nicht sehe.

Danke schon mal

[Pfefferminz-T]

Ich empfehle euch, den Domino Server für Traveler mit Domino 9.0.1 + Fixes in einer eigenen Domino Domäne hochzuziehen um mit Traveler 9.0.1 den vollen Support für iOS7 (und zukünftige Generationen) und die Unabhängigkeit zu eurer sonstigen Domino Version zu haben. Bzgl. der Apple-VPN-Lösung kann ich Dir leider nicht weiterhelfen.

Gruss,
Thorsten

[schroederk]

Seit dem aktuellen IOS soll es ja theoretisch möglich sein, dass man eine VPN-Verbindung an eine bestimmte App verknüpft.
Dann öffnet nur diese App automatisch die VPN-Verbindung und alle anderen APPs bleiben davon unberührt.
Das hat natürlich Vorteile für alle "BringYourOwnDevice"-Geräte, die nicht jeden Internetzugriff (Facebook, Whatsapp, ..) dann übers Firmennetz laufen lassen wollen.
Aber wie das zu konfigurieren geht, hab ich bisher nirgends gefunden. Abgesehen davon ist es vermutlich problematisch eine Standard-APP wie den Posteingang direkt mit dem VPN-Zugang zu koppeln.

Ansonsten schließe ich mich Thorsten an.

[smokyly]

Hat irgendjemand so eine Lösung im Einsatz, ist das überhaupt praktikabel oder doch besser einen Reverse Proxy einzusetzen.

Wir haben die Äpfel über Open VPN angeschlossen. Läuft ohne Probleme.

Ich steh irgendwie auf'm Schlauch was mit Redirect to SSL gemeint ist was ich dann in diesem Fall bräuchte, vielleicht habe ich auch einfach die letzten Tage zuviel gelesen.

Da steht aber was von "Dies gilt nur für Versionen vor iOS5".



Aber es sollte schon der neueste Traveler sein.

[Sommersprosse]

Wir haben die Äpfel über Open VPN angeschlossen. Läuft ohne Probleme.

Verwendet ihr das integrierte VPN oder verwendet ihr ne App?
Mein Problem ist, ich komm auf den Server aber egal ob über Companion oder über ein definiertes Exchange Mail Konto vom Phone hab ich keinen Zugriff auf den Server?

Verendet Ihr SSO oder Single Server? Die Informationen in der Lotus Wiki sind hier zwar recht und gut aber irgendwie komm ich damit nicht klar was ich in welchem Fall denn wirklich einrichten muss.

Mit der Version 9.0.1 muss ich mir noch überlegen, vielleicht wage ich es, die ersten 9er Server sind im Konzern im Test, vielleicht schliéß ich mich dem an und zieh das ganze noch bevor ich weitermache auf 9 hoch.

Ich empfehle euch, den Domino Server für Traveler mit Domino 9.0.1 + Fixes in einer eigenen Domino Domäne hochzuziehen um mit Traveler 9.0.1 den vollen Support für iOS7 (und zukünftige Generationen)......

Ich brauch dann ne Querzertifizierung auf die Domäne, richtig?

[smokyly]

Verwendet ihr das integrierte VPN oder verwendet ihr ne App?

Wie geschrieben, Open VPN. Ist ne APP.

Verendet Ihr SSO oder Single Server?

Kein SS0, wird alles über das http-Kennwort abgefackelt.

Ich brauch dann ne Querzertifizierung auf die Domäne, richtig?

Guggst Du: http://atnotes.de/index.php/topic,56373.msg363262.html#msg363262

[Sommersprosse]

Hallo Smokly,

vielen Dank für den Link, hört sich gut an, werde ich mich vielleicht doch noch dran wagen, da es wahrscheinlich noch ne Weile geht bis bei uns im Allgemeinen auf 9.x umgestellt wird.

Habe die Empfehlungen schon von anderen gehört beim Traveler wegen IOS7 auf 9 umzusteigen.

.... muss mir aber auch noch mal meine http Einstellungen an meinem jetzigen Server anschauen muss warum ich keine Vernünftige Verbindung zustande bekomme.

[Pfefferminz-T]

Wenn ihr das so macht wie es Torsten ("Tode") beschrieben hat, also als "Ableger" eurer Hauptdomäne, dann umgeht ihr die Querzulassung und könnt mit euren eigenen Nutzer-Accounts dort administrieren. Erfahrungsgemäß entwickelt sich der Traveler aufgrund der vielen Neuerungen bei mobilen Endgeräten wesentlich schneller als eurer Hauptsystem. Eure Anwender werden sicherlich den Update auf iOS8 machen sobald es herauskommt und dann wirst Du mit Domino+Traveler 8.5.x keine Unterstützung mehr haben...

Gruß,
Thorsten

[Sommersprosse]

noch mal zum Thema openVPN....

Bleibt die Verbindung immer bestehen, oder bricht diese ab wenn sich das Iphone abschaltet? Muss der User dann immer wieder die Verbindung aufbauen?

[smokyly]

noch mal zum Thema openVPN....

Bleibt die Verbindung immer bestehen, oder bricht diese ab wenn sich das Iphone abschaltet?

Natürlich bricht die ab, wenn die beiden Stellen nicht mehr miteinander kommunizieren können.

Muss der User dann immer wieder die Verbindung aufbauen?

Kann man einstellen. "Reconnect on Reboot" oder so. Ist zum Zeitpunkt des Runterfahrens die Verbindung aktiv, wird sie erneut aufgebaut, wenn das Gerät wieder an ist, sollte diese Option aktiviert sein.

[Sommersprosse]

noch mal zum Thema openVPN....

Bleibt die Verbindung immer bestehen, oder bricht diese ab wenn sich das Iphone abschaltet?

Natürlich bricht die ab, wenn die beiden Stellen nicht mehr miteinander kommunizieren können.

....sorry hab mich blöd ausgedrückt, ich meine natürlich wenn das Phone in Standby geht, Display abschaltet, das Gerät gesperrt ist.

[smokyly]

....sorry hab mich blöd ausgedrückt, ich meine natürlich wenn das Phone in Standby geht, Display abschaltet, das Gerät gesperrt ist.

Auch das ist einstellbar. Die Option lautet "Battery Safer".

Ich meine den hier: https://play.google.com/store/apps/details?id=net.openvpn.openvpn&hl=de
(ist zwar für Android, gibt es aber auch für IOS)