Also, hier scheint sich nichts mehr groß zu tun.... leider o0

Ich werde mir dann selbst nochmal die LOGS der Gira HS App und die Netzwerkanfragen beim öffnen der App zu Gemüte führen. Sobald ich dazu Zeit finde, werde ich meine Ergebnisse hier veröffentlichen... Vielleicht hat ja dann der ein oder andere einen Lösungsvorschlag.

MatthiasS Vielleicht kannst du hier nochmal den Teil aus dem VPN Profil posten.... ich hatte dir auch eine PN hinterlassen, die du wahrscheinlich übersehen hast

Bis dahin... Gruß Tobi

Also, ich wollte euch mal kurz auf meinen aktuellen Kenntnisstand bringen :

Es scheint so als sollte das VPN Profil die App oder den browser dazu bringen/zwingen die Anfragen bzw. die Namensauflösung zuerst über den DNS Server zu machen der hier unter dem Parameter RequiredDNSServers steht :

<key>RequiredDNSServers</key>
<array>
<string>192.168.111.1</string>
</array>


Natürlich soll das nur erzwungen werden wenn einer der Domains die im dict "Domains" stehen aufgerufen wird :

<key>Domains</key>
<array>
<string>domainN.de</string>
<string>domainN+1.de</string>
<string>domainN+2.de</string>
<string>domainN+n...de</string>
</array>

Ist der lokale DNS Server dann folglich nicht aus dem Mobilfunknetzerreichbar, wird der VPN eingeschaltet.

Wenn ich eine andere App nehme z.B. DS CAM von Synology, spukt mir Wireshark eindeutig aus, dass zuerst versucht wird den DNS welcher im dict "RequiredDNSServers" steht zu erreichen :

21 1.024983 100.88.168.161 192.168.111.1 DNS 65 Standard query 0x1ead AAAA nas01.xxxxx-xxxx.de

Erst später (siehe TimeStamp) wird auch versucht den Namen über den DNS des Mobilfunkanbieters aufzulösen :

137 4.077159 100.88.168.161 139.7.30.126 DNS 66 Standard query 0x6207 A xxxx.xxxxx.de

In der Gira App Stelle ich jedoch fest, das hier der Lokale DNS überhaupt nicht angefragt wird, obwohl eine Domain aus dem dict "Domains" aufgerufen werden soll.

Entweder es ist ein BUG in der APP, in iOS oder so gewollt.

APP Log der Gira App zum Thema DNS :

standard 00:08:06.079606 +0100 UniversalGira iPhone [C2 Hostname#a8be8a0e:443 tcp, url: https://in.appcenter.ms/logs?api-version=1.0.0, tls] cancelled
[C2.1 <private> 100.88.168.161:58545<->IPv4#ccbc4573:443]
Connected Path: satisfied (Path is satisfied), interface: pdp_ip0, ipv4, dns
Duration: 2.710s, DNS @0.001s took 0.089s, TCP @0.098s took 0.025s, TLS took 0.408s
bytes in/out: 5688/1227, packets in/out: 6/4, rtt: 0.028s, retransmitted packets: 0, out-of-order packets: 0
standard 00:08:06.080705 +0100 UniversalGira iPhone 0.001s [C2 <private> Hostname#a8be8a0e:443 resolver] resolver:start_dns
standard 00:08:06.084894 +0100 UniversalGira iPhone 0.090s [C2 <private> Hostname#a8be8a0e:443 resolver] resolver:receive_dns
standard 00:08:06.098189 +0100 UniversalGira iPhone [C3 Hostname#a8be8a0e:443 tcp, url: https://in.appcenter.ms/logs?api-version=1.0.0, tls] cancelled
[C3.1 <private> 100.88.168.161:58546<->IPv4#ccbc4573:443]
Connected Path: satisfied (Path is satisfied), interface: pdp_ip0, ipv4, dns
Duration: 2.167s, DNS @0.001s took 0.008s, TCP @0.017s took 0.049s, TLS took 0.407s
bytes in/out: 5688/1193, packets in/out: 6/4, rtt: 0.039s, retransmitted packets: 0, out-of-order packets: 0
standard 00:08:06.098902 +0100 UniversalGira iPhone 0.001s [C3 <private> Hostname#a8be8a0e:443 resolver] resolver:start_dns
standard 00:08:06.099126 +0100 UniversalGira iPhone 0.009s [C3 <private> Hostname#a8be8a0e:443 resolver] resolver:receive_dns
standard 00:08:10.380939 +0100 UniversalGira iPhone [C1 IPv4#9b6ed8eb:443 tcp, local: IPv4#144e4833:50524, legacy-socket, server] cancelled
[C1 <private> 100.88.168.161:50524<->IPv4#9b6ed8eb:443]
Connected Path: satisfied (Path is satisfied), interface: pdp_ip0, scoped, ipv4, dns
Duration: 9.657s, , TCP @0.001s took 0.002s
bytes in/out: 0/151, packets in/out: 2/1, rtt: 0.037s, retransmitted packets: 0, out-of-order packets: 0





Öffne ich jedoch die DS CAM APP bekomme ich folgenden Log in der Konsole des iPhones :



standard 23:38:36.106613 +0100 nesessionmanager NESMIKEv2VPNSession[VPN PfSense:99023724-93BB-4744-9F36-0B46D7D31612]: got On Demand start message from pid 1569
standard 23:38:36.130701 +0100 nesessionmanager NESMIKEv2VPNSession[VPN PfSense:99023724-93BB-4744-9F36-0B46D7D31612]: Received a start command from DScam[1569]
standard 23:38:36.131642 +0100 nesessionmanager NESMIKEv2VPNSession[VPN PfSense:99023724-93BB-4744-9F36-0B46D7D31612]: Changing pause level 1 -> 0
standard 23:38:36.279990 +0100 nesessionmanager NESMIKEv2VPNSession[VPN PfSense:99023724-93BB-4744-9F36-0B46D7D31612] starting on demand from process DScam (1569) matching hostname nas01.fam-holler.de
standard 23:38:36.411034 +0100 nesessionmanager NESMIKEv2VPNSession[VPN PfSense:99023724-93BB-4744-9F36-0B46D7D31612]: status changed to connecting
standard 23:38:36.484447 +0100 neagent Verifying the signature of plugin at file:///System/Library/Frameworks/NetworkExtension.framework/PluginIKEv2.vpnplugin/
standard 23:38:37.904534 +0100 nesessionmanager NESMIKEv2VPNSession[VPN PfSense:99023724-93BB-4744-9F36-0B46D7D31612]: status changed to connected
standard 23:38:37.904834 +0100 nesessionmanager NESMIKEv2VPNSession[VPN PfSense:99023724-93BB-4744-9F36-0B46D7D31612]: Updated network agent (active)
standard 23:38:38.720260 +0100 SpringBoard -[NWSystemPathMonitor updateFlags] VPN becoming active


Ich habe fast das Gefühl da stimmt was nicht mit dem Network Extension Framework nicht im Bezug auf die Gira APP!?

Hallo zusammen, bis jetzt habe ich mich mit diesem Thema noch nicht befasst aber was bringt das für mich persönlich wenn ich eine VPN Verbindung zur meiner Fritzbox aufbaue über das Handy? Entweder stehe ich jetzt auf der Leitung oder ich habe was verpasst.

grüße und danke für die Antworten

So hast du die Möglichkeit dich verschlüsselt zu deinem Heimnetzwerk zu Verbinden ohne weitere Portfreigaben nach außen, mit Ausnahme des Ports für VPN, machen zu müssen.

Auch kannst du dich damit über die Gira APP zu deinem Homeserver verbinden ohne Ports an der IP-Adresse vom Homeserver freigeben zu müssen, was die Sicherheit erheblich erhöht.

Damit der VPN Verbindungsaufbau vollautomatisch beim öffnen der Gira APP erfolgt, benutzt man i.d. R. ein VPN-On-Demand Profil auf dem iPhone. Nur leider scheint das mit der Gira APP derzeit nicht mehr zu funktionieren... eine Verbindungsaufbau wird nicht mehr getriggert.

Mit anderen APPS geht das natürlich auch...

die aktuelle Gira APP fragt beim ersten eintragen des Profils den DNS Server ab, was zur folge hat, dass nur dann die VPN Verbindung getriggert wird.
Dieses Problem hatte ich wenige Stunden nach Veröffentlichung der APP 4.7 an Gira gemeldet, zumal ich an einem Standort eine größere Anzahl von Nutzern supporten muss, die genau diese Funktionalität seit Jahren erfolgreich nutzen und darauf angewiesen sind.

Die letzte Aussage von Gira zu diesem Problem ist, dass es sich hierbei um keine zugesicherte Produkteigenschaft handeln soll.
Die Tatsache, dass hier offenbar durch Caching oder ähnliches innerhalb der App eine iOS Grundfunktionalität verhindert wird,
scheint offenbar nicht zu interessieren.

Damit ist aus meiner Sicht das Thema Facility Server gestorben.

Erläutere das mal.... wenn ich das Profil dann aber ja in meinem WLAN erstellen würde und der DNS abgefragt werden würde, dann würde ja der richtige DNS hinterlegt werden...

Der DNS ändert sich aber ja während dem Wechsel zwischen WLAN und Mobilfunk.... das heißt zur erfolgreichen Namensauflösung muss doch eigentlich IMMER der DNS abgefragt werden, der aktuell aktiv ist oder hab ich einen Denkfehler.

Auch wenn ich die APP vom Handy lösche, neu lade und ein Profil anlege, wird da bei mir nichts getriggert.(VPN On Demand funktioniert mit anderen APPS einwandfrei)

Ich vermute eher ein Fehler vom Network Extension Framework..!!!?!?

wenn ich auf einem Gerät ohne WLAN, aber mit korrekt eingerichtetem VPN den DNS Namen der nur über VPN aufzulösen ist als neues Profil in der HS App eintrage, wird VPN on Demand getriggert und erfolgreich eine Verbindung zum Facility Server aufgebaut.

Danach nie mehr, in den Logs habe ich auch keine Hinweise auf eine neue DNS Auflösung gefunden.
Scheinbar konnektiert die App danach immer mit der IP Addresse, und somit fehlt der VPN Trigger.

der Aufruf gethostbyname (bzw. jetzt anderer Name durch neues Framework) triggert im IOS sofern korrekt konfiguriert den VPN Verbindungsaufbau.

Betreue ca.30 Apps die so eine Funktionalität täglich hundertfach nutzen, 2 davon hatten zu ähnlicher Zeit ähnliche Probleme, nur dass andere SW Lieferanten in maximal 3 Wochen in der Lage waren diesen BUG zu beseitigen und nicht wie im Fall von Gira die ernsthaften Software Fehler zu ignorieren.

Hallo Shine120 Tobi danke für Deine ausführliche Erklärung d.h. es geht hier hauptsächlich um die Sicherheit beim verbinden. Du schreibst ich kann mit der Gira App auf den Homeserver zugreifen ich denke du meinst den Quadclient oder? Was mich jetzt dringend interessiert was könnte passieren wie es bei mir läuft? Ich habe mein IPhone und darauf die App und mein Quadclient läuft ohne weiteres.

grüße

Ja mit der APP greifst du auf den Quadclient zu.

Wie verbindest du dich denn derzeit mit der APP zum Quadclient? Über deine DynDNS oder über deine feste IP, sofern du eine hast? Du kannst ja mal in deiner Fritzbox schauen ob da Portfreigaben an der internen IP des Homeservers vorhanden sind.

Somit kann aber auch jeder andere der deine DynDNS kennt oder rausfindet sich versuchen auf deinen HS zu connecten.....

Das habe ich gestern auch getestet.. aber bei mir wird auch nach dem ersten anlegen und ohne WLAN Verbindung bei gleichzeitig korrekt eingerichtetem VPN keine Verbindung getriggert.

Das ist ja wirklich interessant. Diesen Test habe ich mehrfach wiederholt, und es hat immer funktioniert.
Wie verhält es ich denn, wenn eine URL des HS/FS (mit internem DNS Name (nur über das VPN erreichbar) im Safari öffnest (z.B hostname.vpndomain.de/hslist).
Bei mir baut die Namensuflösung über Safari dann immer das VPN auf. In der Gira App steht die gleich URL, nur eben ohne /hslist.

--Ph

Also das geht über safari einwandfrei... hier wird der VPN getriggert. VPN ist also richtig konfiguriert

Vielleicht sollte ich dazu sagen das ich das ganze mittlerweile mit der GIRA APP Version 4.8.0 mache... vielleicht geht es da überhaupt nicht mehr?!?

habe mir schon überlegt ob es nicht eine APP ähnlich wie Launcher gibt, die 2 APPS Gleichzeit öffnen lassen kann... also zu erst safari zu triggern des VPN und danach direkt die Gira APP....

Falls jemand ne Idee hat wie sowas funktionieren könnte bitte posten!!

Hallo Tobi, jetzt wird mir es ein wenig verständlicher. Ich verbinde mich über den Gira DynDNS und mache eine Portfreigabe bei der FritzBox.

Aber du schreibst ja wenn er meine DynDNS kennt dann könnte er auf meinen HS zugreifen. Die ist ja aber auch noch Passwort geschützt und die müsste er ja dann auch wissen. Ist das nicht dasselbe, wenn jemand meine EC Karte hat könnte er, wenn er den PIN hat mich schädigen.

grüße

...mit dem heutigen IOS Update der GIRA App 4.8.1 funktioniert der automatische VPN Tunnel Aufbau immer noch nicht. Bis dato dachte ich immer, GIRA liest hier im Forum mit und geht auf die Fehlerberichte ein ?!?!?!