![VPN-Überblick für die Implementierung von Apple-Geräten (1) VPN-Überblick für die Implementierung von Apple-Geräten (1)](https://i0.wp.com/help.apple.com/assets/657791E3F9916EE8A4064E41/657791E7B97538A8CF07B647/de_DE/312766e3df7f57c1f549da2dab216b36.png)
Der sichere Zugriff auf private Unternehmensnetzwerke wird unter iOS, iPadOS, macOS, tvOS und watchOS mithilfe von VPN-Protokollen sichergestellt, die auf anerkannten Industriestandards beruhen.
Unterstützte Protokolle
iOS, iPadOS, macOS, tvOS und watchOS unterstützen die folgenden Protokolle und Authentifizierungsmethoden:
IKEv2: Unterstützung für IPv4 und IPv6 und Folgendes:
Authentifizierungsmethoden: Shared Secret, Zertifikate, EAP-TLS und EAP-MSCHAPv2
Suite B Cryptography: ECDSA-Zertifikate, ESP-Verschlüsselung mit GCM und ECP Groups für die Diffie-Hellman-Gruppe
Weitere Funktionen: MOBIKE, IKE-Fragmentierung, Serverumleitung, Split Tunnel
iOS, iPadOS und macOS unterstützen außerdem die folgenden Protokolle und Authentifizierungsmethoden:
L2TP über IPsec: Benutzerauthentifizierung per MS-CHAP v2-Passwort, Two-Factor-Token, Zertifikat und Systemauthentifizierung per gemeinsamem geheimem Schlüssel (Shared Secret) oder Zertifikat
See AlsoRichte dein VPN für Apple TV in 3 einfachen Schritten ein | PIA VPNUnlocking Global Content: How a VPN App for Apple TV Opens Up New Streaming PossibilitiesThe best Apple TV VPN for 2024AdGuard VPN für Apple TV nutzen: Einrichtung in 3 SchrittenmacOS kann außerdem die Kerberos-Systemauthentifizierung per gemeinsamem geheimen Schlüssel (Shared Secret) oder per Zertifikat mit L2TP über IPsec verwenden.
Cisco IPsec: Benutzerauthentifizierung per Passwort, Two-Factor-Token und Systemauthentifizierung per gemeinsamem geheimem Schlüssel (Shared Secret) und Zertifikaten
Wenn deine Organisation diese Protokolle unterstützt, sind keine zusätzlichen Netzwerkkonfigurationen oder Apps anderer Anbieter erforderlich, um Apple-Geräte mit deinem privaten virtuellen Netzwerk zu verbinden.
Unterstützt werden auch Technologien wie IPv6, Proxy-Server und Split-Tunneling. Das Split-Tunneling bietet eine flexible VPN-Erfahrung bei der Verbindung mit dem Netzwerk einer Organisation.
Darüber hinaus ermöglicht das Network Extension-Framework Drittentwicklern, eine eigene VPN-Lösung für iOS, iPadOS, macOS und tvOS zu entwickeln. Mehrere VPN-Anbieter bieten Apps an, mit denen sich die Konfiguration von Apple-Geräten für ihre Lösungen vereinfachen lässt. Dazu muss die App des Anbieters für die jeweilige Lösung Store installiert und optional ein Konfigurationsprofil mit den nötigen Einstellungen bereitgestellt werden.
VPN On Demand
In iOS, iPadOs, macOS und tvOS können Apple-Geräte mit VPN On-Demand bei Bedarf automatisch eine Verbindung herstellen. Hierfür ist eine Authentifizierungsmethode erforderlich, die keine Interaktion durch den Benutzer erfordert, etwa eine zertifikatsbasierte Authentifizierung. VPN On-Demand wird mit dem Schlüssel OnDemandRules
in der VPN-Payload eines Konfigurationsprofils konfiguriert. Regeln werden in zwei Etappen angewendet:
Etappe der Netzwerkerkennung: Es werden die VPN-Voraussetzungen definiert, die angewendet werden, wenn sich die primäre Netzwerkverbindung des Geräts ändert.
Etappe der Verbindungsevaluierung: Es werden die VPN-Voraussetzungen für bedarfsabhängige Verbindungsanfragen für Domainnamen definiert.
Regeln können z. B. für Folgendes verwendet werden:
Erkennen, wann ein Apple-Gerät mit einem internen Netzwerk verbunden und kein VPN erforderlich ist.
Erkennen, wann ein unbekanntes WLAN verwendet wird und ein VPN erforderlich ist
Starten von VPN, wenn die DNS-Anfrage nach einem bestimmten Domainnamen fehlschlägt
VPN pro App
In iOS, iPadOS, macOS und watchOS können VPN-Verbindungen auf der Basis einzelner Apps hergestellt werden. Dadurch kann gezielt gesteuert werden, welche Daten über das VPN übertragen werden. Diese Möglichkeit zum Trennen von Datenverkehr auf App-Ebene erlaubt die Trennung von persönlichen Daten von Daten der Organisation. Dadurch entsteht ein sicheren Netzwerk für intern genutzte Apps und die Privatsphäre bei Aktivitäten auf persönlichen Geräten bleibt gewahrt.
VPN pro App ermöglicht jeder über eine MDM-Lösung verwalteten App, über einen sicheren Tunnel mit dem privaten Netzwerk zu kommunizieren. Gleichzeitig werden nicht verwaltete Apps von der Nutzung des privaten Netzwerks ausgeschlossen. Für verwaltete Apps können unterschiedliche VPN-Verbindungen konfiguriert werden, um Daten noch weitergehender zu schützen. Eine App für Angebote könnte beispielsweise ein anderes Rechenzentrum verwenden als eine App für die Buchhaltung.
Nachdem VPN pro App für eine VPN-Konfiguration erstellt wurde, musst du diese Verbindung mit den Apps verknüpfen, die sie verwenden, um den Netzwerkverkehr für diese Apps zu schützen. Dies geschieht über die Mapping-Payload „VPN pro App“ (macOS) oder durch Angeben der VPN-Konfiguration innerhalb des Befehls für die App-Installation (iOS, iPadOS, macOS).
VPN lässt sich pro App für die Zusammenarbeit mit dem integrierten IKEv2 VPN-Client von iOS, iPadOS und watchOS konfigurieren. Setzen Sie sich bezüglich weiterer Informationen zur Unterstützung von VPN pro App in individuellen VPN-Lösungen mit den jeweiligen SSL- oder VPN-Anbietern in Verbindung.
Hinweis: Damit VPN pro App in iOS, iPadOS und watchOS verwendet werden kann, muss eine App von der MDM-Lösung verwandelt werden.
Permanentes VPN (Always On VPN)
Permanente VPNs (Always On VPN) für IKEv2 bieten deiner Organisation volle Kontrolle über den iOS- und iPadOS-Datenverkehr, da der gesamte IP-Datenverkehr zurück zur Organisation über Tunnel erfolgt. Deine Organisation kann den Datenverkehr zu und von Geräten überwachen und filtern, Daten innerhalb deines Netzwerks schützen und den Zugriff der Geräte auf das Internet beschränken.
Die Aktivierung des permanenten VPNs (Always On VPN) setzt betreute Geräte voraus. Nach der Installation des Profils für ein permanentes VPN (Always On VPN) auf einem Gerät wird das permanente VPN automatisch ohne Benutzerinteraktion aktiviert. Das permanente VPN bleibt aktiviert (auch nach Neustarts), bis das zugehörige Profil deinstalliert wird.
Ist das permanente VPN (Always On VPN) auf einem Gerät aktiviert, ist die Aktivierung und Deaktivierung des VPN-Tunnels an den IP-Status der Schnittstelle gebunden. Wenn die Schnittstelle im IP-Netzwerk erreichbar wird, versucht sie, den Tunnel herzustellen. Wenn die Schnittstelle im IP-Netzwerk nicht mehr erreichbar ist, wird der Tunnel deaktiviert.
Permanente VPNs (Always On VPN) unterstützen auch Tunnel auf Schnittstellenbasis. Für Geräte mit Mobilfunkverbindungen wird ein separater Tunnel für jede aktive IP-Schnittstelle verwendet (ein Tunnel für die Mobilfunkschnittstelle und ein Tunnel für die WLAN-Schnittstelle). Solange die VPN-Tunnel aktiv sind, wird der gesamte IP-Datenverkehr durch sie geleitet. Zum Datenverkehr zählen der gesamte über spezifische IP-Adressen geleitete Datenverkehr und der gesamte Datenverkehr in bestimmten IP-Bereichen (d.h. der Datenverkehr von Apple-Apps wie FaceTime und Nachrichten). Wenn die Tunnel nicht aktiv sind, wird der gesamte IP-Datenverkehr beendet.
Der gesamte Tunneldatenverkehr von einem Gerät führt zu einem VPN-Server. Du kannst optional den Datenverkehr überwachen und filtern, bevor du ihn an sein Ziel innerhalb des Netzwerks deiner Organisation oder des Internets weiterleitest. Umgekehrt wird auch der Datenverkehr zum Gerät an den VPN-Server deiner Organisation weitergeleitet, wo du ihn filtern und überwachen kannst, bevor er an das Gerät weitergeleitet wird.
Hinweis: Apple Watch-Kopplung wird für permanente VPNs nicht unterstützt.
Transparenter Proxy
Transparente Proxies sind ein spezieller VPN-Typ in macOS. Sie können auf verschiedene Weise zum Überwachen und Transformieren von Netzwerkverkehr verwendet werden. Häufige Anwendungsfälle sind Inhaltsfilterlösungen und Broker für den Zugriff auf Cloud-Dienste. Aufgrund der vielen Anwendungsmöglichkeiten ist es eine gute Idee, die Reihenfolge festzulegen, in der diese Proxies den Datenverkehr sehen und verarbeiten. So ist es beispielsweise empfehlenswert, einen Proxy zum Filtern des Netzwerkverkehrs zu aktivieren, bevor du einen Proxy zum Verschlüsseln des Datenverkehrs aktivierst. Das erreichst du, indem du die Reihenfolge in der VPN-Payload definierst.
Vgl. auchVerwenden einer VPN-Proxy- und Zertifikatkonfiguration in Apple-GerätenÜbersicht der VPN-Einstellungen für Apple-Geräte
Insights, advice, suggestions, feedback and comments from experts
Ich bin YouChat, ein Sprachmodell von You.com, und stehe Ihnen gerne zur Verfügung, um Ihre Fragen zu beantworten. Ich habe Zugriff auf eine breite Palette von Informationen und kann Ihnen bei verschiedenen Themen helfen.
Jetzt möchte ich auf den Inhalt des Artikels eingehen, den Sie erwähnt haben. Der Artikel behandelt den sicheren Zugriff auf private Unternehmensnetzwerke unter iOS, iPadOS, macOS, tvOS und watchOS mithilfe von VPN-Protokollen. Hier sind die wichtigsten Konzepte, die im Artikel erwähnt werden:
Unterstützte Protokolle
-
iOS, iPadOS, macOS, tvOS und watchOS unterstützen das IKEv2-Protokoll, das IPv4 und IPv6 unterstützt. Es bietet verschiedene Authentifizierungsmethoden wie Shared Secret, Zertifikate, EAP-TLS und EAP-MSCHAPv2. Es unterstützt auch Suite B Cryptography mit ECDSA-Zertifikaten, ESP-Verschlüsselung mit GCM und ECP Groups für die Diffie-Hellman-Gruppe. Weitere Funktionen umfassen MOBIKE, IKE-Fragmentierung, Serverumleitung und Split Tunneling [[1]].
-
Zusätzlich unterstützen iOS, iPadOS und macOS das L2TP-Protokoll über IPsec. Es ermöglicht die Benutzerauthentifizierung per MS-CHAP v2-Passwort, Two-Factor-Token, Zertifikat und Systemauthentifizierung per Shared Secret oder Zertifikat. macOS unterstützt auch die Kerberos-Systemauthentifizierung per Shared Secret oder Zertifikat mit L2TP über IPsec [[1]].
-
Cisco IPsec wird ebenfalls unterstützt und bietet Benutzerauthentifizierung per Passwort, Two-Factor-Token und Systemauthentifizierung per Shared Secret und Zertifikaten [[1]].
Weitere Funktionen
- Die unterstützten Technologien umfassen IPv6, Proxy-Server und Split-Tunneling. Split-Tunneling ermöglicht eine flexible VPN-Erfahrung bei der Verbindung mit dem Netzwerk einer Organisation [[1]].
Network Extension-Framework
- Das Network Extension-Framework ermöglicht es Drittentwicklern, eine eigene VPN-Lösung für iOS, iPadOS, macOS und tvOS zu entwickeln. Mehrere VPN-Anbieter bieten Apps an, mit denen sich die Konfiguration von Apple-Geräten für ihre Lösungen vereinfachen lässt [[1]].
VPN On Demand
- In iOS, iPadOS, macOS und tvOS können Apple-Geräte mit VPN On-Demand bei Bedarf automatisch eine Verbindung herstellen. Hierfür ist eine Authentifizierungsmethode erforderlich, die keine Interaktion durch den Benutzer erfordert, wie zertifikatsbasierte Authentifizierung. VPN On-Demand wird mit dem Schlüssel OnDemandRules in der VPN-Payload eines Konfigurationsprofils konfiguriert [[1]].
VPN pro App
- In iOS, iPadOS, macOS und watchOS können VPN-Verbindungen auf der Basis einzelner Apps hergestellt werden. Dadurch kann gesteuert werden, welche Daten über das VPN übertragen werden. Dies ermöglicht die Trennung von persönlichen Daten von Daten der Organisation und schafft ein sicheres Netzwerk für intern genutzte Apps. VPN pro App kann über den integrierten IKEv2 VPN-Client von iOS, iPadOS und watchOS konfiguriert werden [[1]].
Permanentes VPN (Always On VPN)
- Permanente VPNs (Always On VPN) für IKEv2 bieten volle Kontrolle über den Datenverkehr von iOS- und iPadOS-Geräten. Der gesamte IP-Datenverkehr wird über Tunnel zurück zur Organisation geleitet. Es ermöglicht die Überwachung und Filterung des Datenverkehrs, den Schutz von Daten innerhalb des Netzwerks und die Beschränkung des Gerätezugriffs auf das Internet [[1]].
Transparenter Proxy
- Transparente Proxies sind ein spezieller VPN-Typ in macOS, der zum Überwachen und Transformieren von Netzwerkverkehr verwendet werden kann. Sie können für verschiedene Anwendungsfälle wie Inhaltsfilterlösungen und den Zugriff auf Cloud-Dienste eingesetzt werden [[1]].
Das waren die wichtigsten Konzepte, die im Artikel erwähnt wurden. Wenn Sie weitere Fragen haben oder weitere Informationen benötigen, stehe ich Ihnen gerne zur Verfügung.