VPN-Geräterichtlinie

Mit der VPN-Geräterichtlinie konfigurieren Sie die Einstellungen für ein VPN (virtuelles privates Netzwerk) für eine sichere Verbindung zwischen Geräten und Unternehmensressourcen. Sie können die VPN-Richtlinie für die nachstehenden Plattformen konfigurieren. Jede Plattform erfordert andere Werte. Diese werden im vorliegenden Artikel detailliert beschrieben.

Zum Hinzufügen oder Konfigurieren dieser Richtlinie gehen Sie zu Konfigurieren > Geräterichtlinien. Weitere Informationen finden Sie unter Geräterichtlinien.

iOS-Einstellungen

Vorbereitung von Geräteupgrades auf iOS 12:

Der Verbindungstyp “Citrix VPN” in der VPN-Geräterichtlinie für iOS unterstützt iOS 12 nicht. Mit diesen Schritten löschen Sie Ihre VPN-Geräterichtlinie und erstellen eine neue mit dem Verbindungstyp “Citrix SSO”:

  1. Löschen Sie Ihre VPN-Geräterichtlinie für iOS.
  2. Fügen Sie eine VPN-Geräterichtlinie für iOS hinzu. Wichtige Einstellungen:
    • Verbindungstyp = Citrix SSO
    • Pro-App-VPN aktivieren = Ein
    • Anbietertyp = Pakettunnel
  3. Fügen Sie eine Geräterichtlinie “App-Attribute” für iOS hinzu. Wählen Sie für ID für VPN-Zugriff pro App die Option iOS_VPN.

Konfigurationsbildschirm für Geräterichtlinien

  • Verbindungsname: Geben Sie einen Namen für die Verbindung ein.
  • Verbindungstyp: Wählen Sie in der Liste das Protokoll aus, das für die Verbindung verwendet werden soll. Der Standardwert ist L2TP.
    • L2TP: Layer-2-Tunnelingprotokoll mit Authentifizierung mit vorinstalliertem Schlüssel
    • PPTP: Point-to-Point Tunneling
    • IPSec: Ihre Unternehmens-VPN-Verbindung.
    • Cisco Legacy AnyConnect: Dieser Verbindungstyp erfordert, dass der Cisco AnyConnect VPN-Client auf dem Benutzergerät installiert ist. Cisco lässt den Cisco Legacy AnyConnect-Client auslaufen, der auf einem mittlerweile veralteten VPN-Framework basiert. Weitere Informationen finden Sie im Endpoint Management-Supportartikel https://support.citrix.com/article/CTX227708.

      Zur Verwendung des aktuellen Cisco AnyConnect-Clients wählen Sie als Verbindungstyp die Option Benutzerdefiniertes SSL. Die erforderlichen Einstellungen finden Sie unter “Konfigurieren des benutzerdefinierten SSL-Protokolls” in diesem Abschnitt.

    • Juniper SSL: Juniper Networks SSL VPN-Client.
    • F5 SSL: F5 Networks SSL VPN-Client.
    • SonicWALL Mobile Connect: einheitlicher Dell VPN-Client für iOS.
    • Ariba VIA: Ariba Networks Virtual Internet Access-Client.
    • IKEv2 (nur iOS): Internet Key Exchange Version 2 für iOS.
    • AlwaysOn IKEv2: Always-on-Zugriff mit IKEv2.
    • AlwaysOn IKEv2-Doppelkonfiguration: Always-on-Zugriff über IKEv2-Doppelkonfiguration.
    • Citrix SSO: Citrix SSO-Client für iOS 12 und höher.
    • Benutzerdefiniertes SSL: benutzerdefiniertes Secure Socket Layer. Dieser Verbindungstyp ist für den Cisco AnyConnect-Client mit Paket-ID com.cisco.anyconnect erforderlich. Geben Sie einen Verbindungsnamen für Cisco AnyConnect an. Sie können auch die VPN-Richtlinie bereitstellen und einen NAC-Filter (Network Access Control) für iOS-Geräte aktivieren. Der Filter blockiert eine VPN-Verbindung für Geräte, auf denen nicht richtlinientreue Apps installiert sind. Die Konfiguration erfordert spezifische Einstellungen für die iOS-VPN-Richtlinie (siehe folgenden Abschnitt “iOS”). Informationen zu weiteren Einstellungen, die zum Aktivieren des NAC-Filters erforderlich sind, finden Sie unter Netzwerkzugriffssteuerung (NAC).

In den folgenden Abschnitten werden die Konfigurationsoptionen für die einzelnen Verbindungsmethoden aufgeführt.

Konfigurieren von L2TP für iOS

  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Wählen Sie Kennwortauthentifizierung oder RSA SecurID-Authentifizierung.
  • Gemeinsamer geheimer Schlüssel: Geben Sie den gemeinsamen geheimen Schlüssel für IPsec ein.
  • Gesamten Datenverkehr senden: Wählen Sie aus, ob der gesamte Datenverkehr über das VPN geleitet werden soll. Der Standardwert ist Aus.

Konfigurieren von PPTP für iOS

  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Wählen Sie Kennwortauthentifizierung oder RSA SecurID-Authentifizierung.
  • Verschlüsselungsgrad: Wählen Sie in der Liste einen Verschlüsselungsgrad aus. Die Standardeinstellung ist Ohne.
    • Ohne: keine Verschlüsselung verwenden.
    • Automatisch: den höchsten vom Server unterstützten Verschlüsselungsgrad verwenden.
    • Maximum (128 Bit): immer 128-Bit-Verschlüsselung verwenden.
  • Gesamten Datenverkehr senden: Wählen Sie aus, ob der gesamte Datenverkehr über das VPN geleitet werden soll. Der Standardwert ist Aus.

Konfigurieren von IPsec für iOS

  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Authentifizierungstyp für Verbindung: Wählen Sie in der Liste entweder Gemeinsamer geheimer Schlüssel oder Zertifikat aus. Die Standardeinstellung ist Gemeinsamer geheimer Schlüssel.
  • Bei Auswahl von Gemeinsamer geheimer Schlüssel konfigurieren Sie die folgenden Einstellungen:
    • Gruppenname: Geben Sie optional einen Gruppennamen ein.
    • Gemeinsamer geheimer Schlüssel: Geben Sie optional einen gemeinsamen geheimen Schlüssel ein.
    • Hybride Authentifizierung: Wählen Sie aus, ob die Hybridauthentifizierung verwendet werden soll. Bei der hybriden Authentifizierung authentifiziert sich der Server zuerst beim Client und der Client authentifiziert sich dann beim Server. Der Standardwert ist Aus.
    • Zur Kennworteingabe auffordern: Wählen Sie aus, ob die Benutzer zur Eingabe ihres Kennworts aufgefordert werden sollen, wenn sie eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus.
  • Bei Auswahl von Zertifikat konfigurieren Sie die folgenden Einstellungen:
    • Identitätsanmeldeinformationen: Wählen Sie die gewünschten Identitätsanmeldeinformationen in der Liste aus. Die Standardeinstellung ist Ohne.
    • Beim Verbinden zur PIN-Eingabe auffordern: Wählen Sie aus, ob die Benutzer ihre PIN eingeben müssen, wenn sie eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus.
    • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn die Benutzer eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus. Weitere Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein festgelegt wurde, finden Sie unter Konfigurieren der Einstellungen für “VPN bei Bedarf aktivieren” für iOS.
  • Pro-App-VPN aktivieren: Aktivieren oder deaktivieren Sie diese Option nach Bedarf. Der Standardwert ist Aus.
  • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob pro-App-VPN-Verbindungen automatisch hergestellt werden sollen, wenn mit dem pro-App-VPN-Dienst verknüpfte Apps eine Netzwerkkommunikation beginnen. Der Standardwert ist Aus.
  • Safari-Domänen: Klicken Sie auf Hinzufügen, um einen Safari-Domänennamen hinzuzufügen.

Konfigurieren von Cisco Legacy AnyConnect für iOS

Für einen Wechsel vom Cisco Legacy AnyConnect-Client zum neuen Cisco AnyConnect-Client verwenden Sie das benutzerdefinierte SSL-Protokoll.

  • Anbieterpaket-ID: Die Paket-ID für den Legacy AnyConnect-Client ist com.cisco.anyconnect.gui.
  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Gruppe: Geben Sie optional einen Gruppennamen ein.
  • Authentifizierungstyp für Verbindung: Wählen Sie in der Liste entweder Kennwort oder Zertifikat aus. Der Standardwert ist Kennwort.
    • Wenn Sie Kennwort auswählen, geben Sie im Feld Authentifizierungskennwort ein optionales Authentifizierungskennwort ein.
    • Bei Auswahl von Zertifikat konfigurieren Sie die folgenden Einstellungen:
      • Identitätsanmeldeinformationen: Wählen Sie die gewünschten Identitätsanmeldeinformationen in der Liste aus. Die Standardeinstellung ist Ohne.
      • Beim Verbinden zur PIN-Eingabe auffordern: Wählen Sie aus, ob die Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus.
      • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn die Benutzer eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus. Weitere Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein festgelegt wurde, finden Sie unter Konfigurieren der Einstellungen für “VPN bei Bedarf aktivieren” für iOS.
  • Pro-App-VPN aktivieren: Aktivieren oder deaktivieren Sie diese Option nach Bedarf. Der Standardwert ist Aus. Wenn Sie die Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
    • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob pro-App-VPN-Verbindungen automatisch hergestellt werden sollen, wenn mit dem pro-App-VPN-Dienst verknüpfte Apps eine Netzwerkkommunikation beginnen. Der Standardwert ist Aus.
    • Anbietertyp: Wählen Sie, ob das Pro-App-VPN als App-Proxy oder als Pakettunnel bereitgestellt wird. Die Standardeinstellung ist App-Proxy.
    • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine pro-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie folgende Schritte aus:
      • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
      • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren von Juniper SSL für iOS

  • Anbieterpaket-ID: Wenn das Profil für das Pro-App-VPN die Paket-ID einer App enthält, für die es mehrere VPN-Anbieter desselben Typs gibt, geben Sie hier den zu verwendenden Anbieter an.
  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Bereich: Geben Sie optional einen Bereichsnamen ein.
  • Rolle: Geben Sie optional einen Rollennamen ein.
  • Authentifizierungstyp für Verbindung: Wählen Sie in der Liste entweder Kennwort oder Zertifikat aus. Der Standardwert ist Kennwort.
    • Wenn Sie Kennwort auswählen, geben Sie im Feld Authentifizierungskennwort ein optionales Authentifizierungskennwort ein.
    • Bei Auswahl von Zertifikat konfigurieren Sie die folgenden Einstellungen:
      • Identitätsanmeldeinformationen: Wählen Sie die gewünschten Identitätsanmeldeinformationen in der Liste aus. Die Standardeinstellung ist Ohne.
      • Beim Verbinden zur PIN-Eingabe auffordern: Wählen Sie aus, ob die Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus.
      • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn die Benutzer eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus. Weitere Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein festgelegt wurde, finden Sie unter Konfigurieren der Einstellungen für “VPN bei Bedarf aktivieren” für iOS.
  • Pro-App-VPN aktivieren: Aktivieren oder deaktivieren Sie diese Option nach Bedarf. Der Standardwert ist Aus. Wenn Sie die Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
    • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob pro-App-VPN-Verbindungen automatisch hergestellt werden sollen, wenn mit dem pro-App-VPN-Dienst verknüpfte Apps eine Netzwerkkommunikation beginnen. Der Standardwert ist Aus.
    • Anbietertyp: Wählen Sie, ob das Pro-App-VPN als App-Proxy oder als Pakettunnel bereitgestellt wird. Die Standardeinstellung ist App-Proxy.
    • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine pro-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie folgende Schritte aus:
      • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
      • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren von F5 SSL für iOS

  • Anbieterpaket-ID: Wenn das Profil für das Pro-App-VPN die Paket-ID einer App enthält, für die es mehrere VPN-Anbieter desselben Typs gibt, geben Sie hier den zu verwendenden Anbieter an.
  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Authentifizierungstyp für Verbindung: Wählen Sie in der Liste entweder Kennwort oder Zertifikat aus. Der Standardwert ist Kennwort.
    • Wenn Sie Kennwort auswählen, geben Sie im Feld Authentifizierungskennwort ein optionales Authentifizierungskennwort ein.
    • Bei Auswahl von Zertifikat konfigurieren Sie die folgenden Einstellungen:
      • Identitätsanmeldeinformationen: Wählen Sie die gewünschten Identitätsanmeldeinformationen in der Liste aus. Die Standardeinstellung ist Ohne.
      • Beim Verbinden zur PIN-Eingabe auffordern: Wählen Sie aus, ob die Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus.
      • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn die Benutzer eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus. Weitere Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein festgelegt wurde, finden Sie unter Konfigurieren der Einstellungen für “VPN bei Bedarf aktivieren” für iOS.
  • Pro-App-VPN aktivieren: Aktivieren oder deaktivieren Sie diese Option nach Bedarf. Der Standardwert ist Aus. Wenn Sie die Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
    • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob pro-App-VPN-Verbindungen automatisch hergestellt werden sollen, wenn mit dem pro-App-VPN-Dienst verknüpfte Apps eine Netzwerkkommunikation beginnen.
    • Anbietertyp: Wählen Sie, ob das Pro-App-VPN als App-Proxy oder als Pakettunnel bereitgestellt wird. Die Standardeinstellung ist App-Proxy.
    • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine pro-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie folgende Schritte aus:
      • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
      • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren von SonicWALL für iOS

  • Anbieterpaket-ID: Wenn das Profil für das Pro-App-VPN die Paket-ID einer App enthält, für die es mehrere VPN-Anbieter desselben Typs gibt, geben Sie hier den zu verwendenden Anbieter an.
  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Anmeldegruppe oder -domäne: Geben Sie optional eine Anmeldegruppe oder -domäne ein.
  • Authentifizierungstyp für Verbindung: Wählen Sie in der Liste entweder Kennwort oder Zertifikat aus. Der Standardwert ist Kennwort.
    • Wenn Sie Kennwort auswählen, geben Sie im Feld Authentifizierungskennwort ein optionales Authentifizierungskennwort ein.
    • Bei Auswahl von Zertifikat konfigurieren Sie die folgenden Einstellungen:
      • Identitätsanmeldeinformationen: Wählen Sie die gewünschten Identitätsanmeldeinformationen in der Liste aus. Die Standardeinstellung ist Ohne.
      • Beim Verbinden zur PIN-Eingabe auffordern: Wählen Sie aus, ob die Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus.
      • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn die Benutzer eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus. Weitere Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein festgelegt wurde, finden Sie unter Konfigurieren der Einstellungen für “VPN bei Bedarf aktivieren” für iOS.
  • Pro-App-VPN aktivieren: Aktivieren oder deaktivieren Sie diese Option nach Bedarf. Der Standardwert ist Aus. Wenn Sie die Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
    • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob pro-App-VPN-Verbindungen automatisch hergestellt werden sollen, wenn mit dem pro-App-VPN-Dienst verknüpfte Apps eine Netzwerkkommunikation beginnen.
    • Anbietertyp: Wählen Sie, ob das Pro-App-VPN als App-Proxy oder als Pakettunnel bereitgestellt wird. Die Standardeinstellung ist App-Proxy.
    • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine pro-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie folgende Schritte aus:
      • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
      • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren von Ariba VIA für iOS

  • Anbieterpaket-ID: Wenn das Profil für das Pro-App-VPN die Paket-ID einer App enthält, für die es mehrere VPN-Anbieter desselben Typs gibt, geben Sie hier den zu verwendenden Anbieter an.
  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Authentifizierungstyp für Verbindung: Wählen Sie in der Liste entweder Kennwort oder Zertifikat aus. Der Standardwert ist Kennwort.
    • Wenn Sie Kennwort auswählen, geben Sie im Feld Authentifizierungskennwort ein optionales Authentifizierungskennwort ein.
    • Bei Auswahl von Zertifikat konfigurieren Sie die folgenden Einstellungen:
      • Identitätsanmeldeinformationen: Wählen Sie die gewünschten Identitätsanmeldeinformationen in der Liste aus. Die Standardeinstellung ist Ohne.
      • Beim Verbinden zur PIN-Eingabe auffordern: Wählen Sie aus, ob die Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus.
      • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn die Benutzer eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus. Weitere Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein festgelegt wurde, finden Sie unter Konfigurieren der Einstellungen für “VPN bei Bedarf aktivieren” für iOS.
  • Pro-App-VPN aktivieren: Aktivieren oder deaktivieren Sie diese Option nach Bedarf. Der Standardwert ist Aus. Wenn Sie die Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
    • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob pro-App-VPN-Verbindungen automatisch hergestellt werden sollen, wenn mit dem pro-App-VPN-Dienst verknüpfte Apps eine Netzwerkkommunikation beginnen.
    • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine pro-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie folgende Schritte aus:
      • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
      • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren von IKEv2-Protokollen für iOS

Dieser Abschnitt enthält Informationen zu den Einstellungen für die Protokolle IKEv2, AlwaysOn IKEv2 und AlwaysOn IKEv2-Doppelkonfiguration. Konfigurieren Sie für AlwaysOn IKEv2-Doppelkonfiguration alle diese Einstellungen für Mobilfunk- und WLAN-Netzwerke.

  • Deaktivieren der automatischen Verbindung durch Benutzer zulassen: für AlwaysOn-Protokolle. Wählen Sie, ob Benutzer das Herstellen einer automatischen Verbindung mit dem Netzwerk auf ihren Geräten deaktivieren können. Der Standardwert ist Aus.

  • Hostname oder IP-Adresse des Servers: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.

  • Lokale ID: Geben Sie den FQDN oder die IP-Adresse des IKEv2-Clients ein. Diese Angabe ist erforderlich.

  • Remote-ID: Geben Sie den FQDN oder die IP-Adresse des VPN-Servers ein. Diese Angabe ist erforderlich.

  • Maschinenauthentifizierung: Wählen Sie Gemeinsamer geheimer Schlüssel oder Zertifikat als Authentifizierungstyp für die Verbindung aus. Die Standardeinstellung ist Gemeinsamer geheimer Schlüssel.

    • Wenn Sie Gemeinsamer geheimer Schlüssel auswählen, geben Sie einen gemeinsamen geheimen Schlüssel ein.

    • Bei Auswahl von Zertifikat wählen Sie die zu verwendenden Identitätsanmeldeinformationen. Die Standardeinstellung ist Ohne.

  • Erweiterte Authentifizierung aktiviert: Wählen Sie aus, ob das Protokoll für erweiterte Authentifizierung (EAP) aktiviert werden soll. Bei Auswahl von Ein geben Sie das Benutzerkonto und das Authentifizierungskennwort ein.

  • DPD-Intervall (Dead Peer Detection): Wählen Sie aus, wie oft eine Verbindung mit Peer-Geräten hergestellt werden soll, um sicherzustellen, dass die Geräte erreichbar bleiben. Die Standardeinstellung ist Ohne. Optionen:

    • Ohne: Dead Peer Detection ist deaktiviert.

    • Niedrig: Verbindung mit Peer alle 30 Minuten herstellen.

    • Mittel: Verbindung mit Peer alle 10 Minuten herstellen.

    • Hoch: Verbindung mit Peer jede Minute herstellen.

  • Mobilität und Multihoming deaktivieren: Wählen Sie aus, ob dieses Feature deaktiviert werden soll.

  • Interne IPv4-/IPv6-Subnetzattribute verwenden: Wählen Sie aus, ob dieses Feature aktiviert werden soll.

  • Umleitungen deaktivieren: Wählen Sie aus, ob Umleitungen deaktiviert werden sollen.

  • NAT-Keep-Alive aktivieren, wenn Gerät im Standbymodus ist: für AlwaysOn-Protokolle. Keep-Alive-Pakete behalten NAT-Zuordnungen für IKEv2-Verbindungen. Diese Pakete werden in regelmäßigen Abständen gesendet, wenn das Gerät im aktiven Zustand ist. Wenn diese Einstellung auf Ein festgelegt ist, werden Keep-Alive-Pakete auch dann gesendet, wenn das Gerät im Standbymodus ist. Der Standardwert ist 20 Sekunden über Wi-Fi und 110 Sekunden über das Mobilfunknetz. Sie können das Intervall über den Parameter NAT-Keep-Alive-Intervall ändern.

  • NAT-Keep-Alive Intervall (Sekunden): Der Standardwert ist 20 Sekunden.

  • Perfect Forward Secrecy (PFS) aktivieren: Wählen Sie, ob dieses Feature aktiviert werden soll.

  • IP-Adressen der DNS-Server: optional. Liste der DNS-Server-IP-Adressen. Die Liste kann IPv4- und IPv6-Adressen enthalten. Klicken Sie auf Hinzufügen, um eine Adresse einzugeben.

  • Domänenname: optional. Primäre Domäne des Tunnels.

  • Suchdomänen: optional. Liste von Domänenzeichenfolgen, die verwendet werden, um einteilige Hostnamen vollständig zu qualifizieren.

  • Zusätzliche Domänen für Übereinstimmungen an Auflösungsliste anhängen: optional. Legt fest, ob die zusätzlichen Domänen für Übereinstimmungen der Liste der Suchdomänen für die Auflösung hinzugefügt werden sollen. Die Standardeinstellung ist Ein.

  • Zusätzliche Domänen für Übereinstimmungen: optional. Liste der Domänenzeichenfolgen zur Bestimmung der DNS-Abfragen, die die Einstellungen der DNS-Auflösung in den DNS-Serveradressen verwenden sollen. Der Schlüssel erstellt eine geteilte DNS-Konfiguration, bei der nur Hosts in bestimmten Domänen über die DNS-Auflösung des Tunnels aufgelöst werden. Hosts, die nicht auf der Liste stehen, werden unter Verwendung der Standard-Systemauflösung aufgelöst.

Wenn dieser Parameter eine leere Zeichenfolge enthält, wird diese Zeichenfolge als die Standarddomäne verwendet. Auf diese Weise werden durch die Split-Tunnel-Konfiguration alle DNS-Abfragen vor den primären DNS-Servern an die VPN-DNS-Server geleitet. Wenn der VPN-Tunnel die Standardroute des Netzwerks ist, werden die aufgelisteten DNS-Server zur Standardauflösung. Die zusätzlichen Domänen für Übereinstimmungen werden dann ignoriert.

  • IKE SA-Parameter und Untergeordnete SA-Parameter. Konfigurieren Sie folgende Einstellungen für jeden Parameter der Sicherheitszuordnung (SA):

    • Verschlüsselungsalgorithmus: Wählen Sie in der Liste den IKE-Verschlüsselungsalgorithmus aus, der verwendet werden soll. Der Standardwert ist 3DES.

    • Integritätsalgorithmus: Wählen Sie in der Liste den Integritätsalgorithmus aus, der verwendet werden soll. Die Standardeinstellung ist SHA1-96.

    • Diffie Hellman-Gruppe: Wählen Sie in der Liste die Diffie Hellman-Gruppennummer aus. Der Standardwert ist 2.

    • IKE-Lebensdauer in Minuten: Geben Sie eine Ganzzahl zwischen 10 und 1440 für die SA-Lebensdauer ein (Intervall der Schlüsselerneuerung). Der Standardwert ist 1440 Minuten.

  • Dienstausnahmen: für AlwaysOn-Protokolle. Dienstausnahmen sind Systemdienste, die vom Always-On-VPN ausgenommen sind. Konfigurieren Sie folgende Einstellungen für Dienstausnahmen:

    • Voicemail: Wählen Sie in der Liste die gewünschte Behandlung der Voicemail-Ausnahme aus. Der Standardwert ist Datenverkehr über Tunnel zulassen.

    • AirPrint: Wählen Sie in der Liste die gewünschte Behandlung der AirPrint-Ausnahme aus. Der Standardwert ist Datenverkehr über Tunnel zulassen.

    • Datenverkehr von Captive-Websheet außerhalb des Tunnels zulassen: Wählen Sie aus, ob Benutzern das Herstellen einer Verbindung mit öffentlichen Hotspots außerhalb des VPN-Tunnels gestattet werden soll. Der Standardwert ist Aus.

    • Datenverkehr von allen Captive-Netzwerk-Apps außerhalb des Tunnels zulassen: Wählen Sie aus, ob alle Hotspot-Netzwerk-Apps außerhalb des VPN-Tunnels zugelassen werden sollen. Der Standardwert ist Aus.

    • Paket-ID für Captive-Netzwerk-App: Klicken Sie zur Auswahl der einzelnen Paket-IDs der Hotspot-Netzwerk-Apps, auf die Benutzer zugreifen dürfen, auf Hinzufügen und geben Sie die Paket-ID der Hotspot-Netzwerk-App ein. Klicken Sie auf Speichern, um die App-Paket-ID zu speichern.

  • VPN-Zugriff pro App: Konfigurieren Sie diese Einstellungen für IKEv2-Verbindungen

    • Pro-App-VPN aktivieren: Aktivieren oder deaktivieren Sie diese Option nach Bedarf. Der Standardwert ist Aus.
    • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob pro-App-VPN-Verbindungen automatisch hergestellt werden sollen, wenn mit dem pro-App-VPN-Dienst verknüpfte Apps eine Netzwerkkommunikation beginnen. Der Standardwert ist Aus.
    • Safari-Domänen: Klicken Sie auf Hinzufügen, um einen Safari-Domänennamen hinzuzufügen.
  • Proxykonfiguration: Wählen Sie nach Bedarf das Routing der VPN-Verbindung über einen Proxyserver aus. Standardwert ist Ohne.

Konfigurieren des Citrix SSO-Protokolls für iOS

Der Citrix SSO-Client steht hier im Apple-Store https://apps.apple.com/us/app/citrix-sso/id1333396910 zur Verfügung.

  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Authentifizierungstyp für Verbindung: Wählen Sie in der Liste entweder Kennwort oder Zertifikat aus. Der Standardwert ist Kennwort.
    • Wenn Sie Kennwort auswählen, geben Sie im Feld Authentifizierungskennwort ein optionales Authentifizierungskennwort ein.
    • Bei Auswahl von Zertifikat konfigurieren Sie die folgenden Einstellungen:
      • Identitätsanmeldeinformationen: Wählen Sie die gewünschten Identitätsanmeldeinformationen in der Liste aus. Die Standardeinstellung ist Ohne.
      • Beim Verbinden zur PIN-Eingabe auffordern: Wählen Sie aus, ob die Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie eine Verbindung zum Netzwerk herstellen. Der Standardwert ist AUS.
      • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn die Benutzer eine Verbindung zum Netzwerk herstellen. Der Standardwert ist AUS. Weitere Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein festgelegt wurde, finden Sie unter Konfigurieren der Einstellungen für “VPN bei Bedarf aktivieren” für iOS.
  • Pro-App-VPN aktivieren: Aktivieren oder deaktivieren Sie diese Option nach Bedarf. Der Standardwert ist Aus. Wenn Sie die Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
    • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob pro-App-VPN-Verbindungen automatisch hergestellt werden sollen, wenn mit dem pro-App-VPN-Dienst verknüpfte Apps eine Netzwerkkommunikation beginnen.
    • Anbietertyp: Wählen Sie, ob das Pro-App-VPN als App-Proxy oder als Pakettunnel bereitgestellt wird. Die Standardeinstellung ist App-Proxy.
    • Anbietertyp: Legen Sie dies auf Pakettunnel fest.
    • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine pro-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie folgende Schritte aus:
      • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
      • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.
  • Benutzerdefiniertes XML: Für jeden benutzerdefinierten XML-Parameter, den Sie hinzufügen möchten, klicken Sie auf Hinzufügen und geben Sie das Schlüssel/Wert-Paar an. Folgende Parameter sind verfügbar:
    • disableL3: deaktiviert VPN auf Systemebene. Nur VPN-Zugriff pro App ist zulässig. Es ist kein Wert erforderlich.
    • useragent: Ordnet dieser Geräterichtlinie alle Citrix Gateway-Richtlinien zu, die auf VPN-Plug-In-Clients abzielen. Für die vom Plug-In initiierten Anfragen wird der Wert für diesen Schlüssel automatisch dem VPN-Plug-In hinzugefügt.

Konfigurieren des benutzerdefinierten SSL-Protokolls für iOS

Nutzen Sie folgende Schrittfolge für den Wechsel vom Cisco Legacy AnyConnect-Client zum Cisco AnyConnect-Client:

  1. Konfigurieren Sie die VPN-Geräterichtlinie mit dem benutzerdefinierten SSL-Protokoll. Stellen Sie die Richtlinie auf iOS-Geräten bereit.
  2. Laden Sie den Cisco AnyConnect-Client von https://apps.apple.com/us/app/cisco-anyconnect/id1135064690 hoch, fügen Sie die App Endpoint Management hinzu und stellen Sie sie dann auf iOS-Geräten bereit.
  3. Entfernen Sie die alte VPN-Geräterichtlinie von iOS-Geräten.

Einstellungen:

  • Benutzerdefinierte SSL-ID (Reverse DNS-Format): Legen Sie dies auf die Paket-ID fest. Verwenden Sie com.cisco.anyconnect für den Cisco AnyConnect-Client.
  • Anbieterpaket-ID: Wenn die unter Benutzerdefinierte SSL-ID angegebene App mehrere VPN-Anbieter des gleichen Typs hat (App-Proxy oder Pakettunnel), geben Sie diese ID an. Verwenden Sie com.cisco.anyconnect für den Cisco AnyConnect-Client.
  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Authentifizierungstyp für Verbindung: Wählen Sie in der Liste entweder Kennwort oder Zertifikat aus. Der Standardwert ist Kennwort.
    • Wenn Sie Kennwort auswählen, geben Sie im Feld Authentifizierungskennwort ein optionales Authentifizierungskennwort ein.
    • Bei Auswahl von Zertifikat konfigurieren Sie die folgenden Einstellungen:
      • Identitätsanmeldeinformationen: Wählen Sie die gewünschten Identitätsanmeldeinformationen in der Liste aus. Die Standardeinstellung ist Ohne.
      • Beim Verbinden zur PIN-Eingabe auffordern: Wählen Sie aus, ob die Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie eine Verbindung zum Netzwerk herstellen. Der Standardwert ist AUS.
      • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn die Benutzer eine Verbindung zum Netzwerk herstellen. Der Standardwert ist AUS. Weitere Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein festgelegt wurde, finden Sie unter Konfigurieren der Einstellungen für “VPN bei Bedarf aktivieren” für iOS.
  • Pro-App-VPN aktivieren: Aktivieren oder deaktivieren Sie diese Option nach Bedarf. Der Standardwert ist Aus. Wenn Sie die Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
    • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob pro-App-VPN-Verbindungen automatisch hergestellt werden sollen, wenn mit dem pro-App-VPN-Dienst verknüpfte Apps eine Netzwerkkommunikation beginnen.
    • Anbietertyp: Der Anbietertyp gibt an, ob es sich um einen VPN-Dienst oder einen Proxy-Dienst handelt. Wählen Sie für VPN-Dienst die Option Pakettunnel. Wählen Sie für Proxy-Dienst App-Proxy. Wählen Sie Pakettunnel für den Cisco AnyConnect-Client.
    • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine pro-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie folgende Schritte aus:
      • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
      • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.
  • Benutzerdefiniertes XML: Für jeden benutzerdefinierten XML-Parameter, den Sie hinzufügen möchten, klicken Sie auf Hinzufügen und führen Sie folgende Schritte aus:
    • Parametername: Geben Sie den Namen des gewünschten Parameters ein.
    • Wert: Geben Sie den mit Parametername verknüpften Wert ein.
    • Klicken Sie auf Speichern, um den Parameter zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren der VPN-Geräterichtlinie zur Unterstützung von NAC

  1. Für die Konfiguration des NAC-Filters muss für den Verbindungstyp die Option Benutzerdefiniertes SSL verwendet werden.
  2. Geben Sie für Verbindungsname die Option VPN an.
  3. Geben Sie für Benutzerdefinierte SSL-ID den Text com.citrix.NetScalerGateway.ios.app ein.
  4. Geben Sie für Anbieterpaket-ID den Text com.citrix.NetScalerGateway.ios.app.vpnplugin ein.

Die Werte in Schritt 3 und 4 entstammen der erforderlichen Citrix SSO-Installation für die NAC-Filterung. Sie konfigurieren kein Authentifizierungskennwort. Weitere Informationen zur Verwendung der NAC-Funktion finden Sie unter Netzwerkzugriffssteuerung (NAC).

Konfigurieren der Optionen für “VPN bei Bedarf aktivieren” für iOS

  • On-Demand-Domäne: Klicken Sie für jede gewünschte Domäne und Aktion, die beim Herstellen einer Verbindung erfolgen soll, auf Hinzufügen und führen Sie folgende Schritte aus:
  • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
  • Aktion: Wählen Sie in der Liste eine mögliche Aktion aus:
    • Immer herstellen: Die Domäne löst immer eine VPN-Verbindung aus.
    • Nie herstellen: Die Domäne löst nie eine VPN-Verbindung aus.
    • Wenn erforderlich herstellen: Die Domäne löst eine VPN-Verbindung aus, wenn die Auflösung des Domänennamens fehlschlägt. Dieser Fehler tritt auf, wenn der DNS-Server die Domäne nicht auflösen kann, die Verbindung an einen anderen Server umleitet oder wenn beim DNS-Server ein Timeout auftritt.
    • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.
  • On-Demand-Regeln
    • Aktion: Wählen Sie in der Liste die gewünschte Aktion aus. Der Standardwert ist EvaluateConnection. Zulässige Aktionen:
      • Zulassen: On-Demand-VPN-Verbindung bei einer entsprechenden Auslösung zulassen.
      • Verbinden: Auf jeden Fall eine VPN-Verbindung herstellen.
      • Trennen: VPN-Verbindung trennen und bei Zutreffen der Regel keine Wiederverbindung herstellen.
      • EvaluateConnection: ActionParameters-Array für jede Verbindung auswerten.
      • Ignorieren: Bestehende VPN-Verbindungen beibehalten, bei Zutreffen der Regel jedoch keine Wiederverbindung herstellen.
    • DNSDomainMatch: Klicken Sie für jede Domäne, die bei der Suche anhand der Domänenliste von Geräten als Treffer in Betracht gezogen werden soll, auf Hinzufügen und führen Sie folgende Schritte aus:
      • DNS-Domäne: Geben Sie den Domänennamen ein. Sie können ein Sternchen (*) als Platzhalter für das Präfix für mehrere Domänen verwenden. Beispiel: *.beispiel.com steht für meinedomäne.beispiel.com, seinedomäne.beispiel.com und ihredomäne.beispiel.com.
      • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.
    • DNSServerAddressMatch: Klicken Sie für jede DNS-Server-IP-Adresse im Netzwerk, die als Treffer in Betracht gezogen werden soll, auf Hinzufügen und führen Sie folgende Schritte aus:
      • Adresse des DNS-Servers: Geben Sie die gewünschte DNS-Serveradresse ein. Sie können ein Sternchen (*) als Platzhalter für das Suffix für mehrere DNS-Server verwenden. “17.*” entspricht beispielsweise allen DNS-Servern im Subnetz der Klasse A.
      • Klicken Sie auf Speichern, um die DNS-Serveradresse zu speichern, oder auf Abbrechen, um den Vorgang abzubrechen.
    • InterfaceTypeMatch: Wählen Sie in der Liste den Hardwaretyp der verwendeten primären Netzwerkschnittstelle aus. Der Standardwert ist Keine Angabe. Zulässige Werte:
      • Keine Angabe: entspricht Netzwerkschnittstellenhardware aller Typen. Dies ist die Standardeinstellung.
      • Ethernet: entspricht Ethernet-Netzwerkschnittstellen.
      • WiFi: Entspricht WiFi-Netzwerkschnittstellen.
      • Mobilnetz: entspricht Mobilnetzschnittstellen.
    • SSIDMatch: Klicken Sie für jede SSID, die als Treffer für das aktuelle Netzwerk in Betracht gezogen werden soll, auf Hinzufügen und führen Sie die folgenden Schritte aus:
      • SSID: Geben Sie die gewünschte SSID ein. Ist das Netzwerk kein WiFi-Netzwerk oder erscheint die SSID nicht, gibt es keinen Treffer. Zur Einbeziehung aller SSIDs lassen Sie die Liste leer.
      • Klicken Sie auf Speichern, um die SSID zu speichern, oder auf Abbrechen, um den Vorgang abzubrechen.
    • URLStringProbe: Geben Sie eine URL für den Abruf ein. Kann die URL ohne Umleitung abgerufen werden, trifft die Regel zu.
    • ActionParameters : Domains: Klicken Sie für jede Domäne, die durch EvaluateConnection geprüft werden soll, auf Hinzufügen und führen Sie folgende Schritte aus:
      • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
      • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.
    • ActionParameters : DomainAction: Wählen Sie in dieser Liste die VPN-Aktionen für die unter ActionParameters : Domains angegebenen Domänen. Die Standardeinstellung ist ConnectIfNeeded. Zulässige Aktionen:
      • ConnectIfNeeded: Die Domäne löst eine VPN-Verbindung aus, wenn die Auflösung des Domänennamens fehlschlägt. Dieser Fehler tritt auf, wenn der DNS-Server die Domäne nicht auflösen kann, die Verbindung an einen anderen Server umleitet oder wenn beim DNS-Server ein Timeout auftritt.
      • NeverConnect: Die Domäne löst nie eine VPN-Verbindung aus.
    • ActionParameters : RequiredDNSServers: Klicken Sie für jede DNS-Server-IP-Adresse, die zum Auflösen der angegebenen Domänen verwendet werden soll, auf Hinzufügen und führen Sie folgende Schritte aus:
      • DNS-Server: nur gültig, wenn ActionParameters : DomainAction = ConnectIfNeeded. Geben Sie den DNS-Server an, der hinzugefügt werden soll. Dieser Server muss nicht Teil der aktuellen Netzwerkkonfiguration des Geräts sein. Ist der DNS-Server nicht erreichbar, wird eine VPN-Verbindung hergestellt. Bei diesem DNS-Server muss es sich entweder um einen internen DNS-Server oder einen vertrauenswürdigen externen DNS-Server handeln.
      • Klicken Sie auf Speichern, um den DNS-Server zu speichern, oder auf Abbrechen, um den Vorgang abzubrechen.
    • ActionParameters : RequiredURLStringProbe: Geben Sie optional eine HTTP- oder HTTPS-URL (bevorzugt letztere) zur Prüfung mit einer GET-Anforderung ein. Kann der Hostname der URL nicht aufgelöst werden oder ist der Server nicht erreichbar oder reagiert nicht, wird eine VPN-Verbindung hergestellt. Nur gültig, wenn ActionParameters : DomainAction = ConnectIfNeeded.
    • OnDemandRules : XML content: Geben Sie eine XML-Konfiguration für On-Demand-Regeln ein bzw. kopieren Sie sie und fügen Sie sie ein.
      • Klicken Sie auf Wörterbuch prüfen, um den XML-Code zu prüfen. Wenn die XML-Datei gültig ist, wird “Gültige XML” in grün unterhalb von XML-Inhalt angezeigt. Wenn sie nicht gültig ist, wird in orange eine Fehlermeldung mit einer Beschreibung des Fehlers angezeigt.
  • Proxy
    • Proxykonfiguration: Wählen Sie in der Liste das Routing der VPN-Verbindung über einen Proxyserver aus. Die Standardeinstellung ist Ohne.
      • Bei Auswahl von Manuell konfigurieren Sie die folgenden Einstellungen:
        • Hostname oder IP-Adresse des Proxyservers: Geben Sie den Hostnamen oder die IP-Adresse des Proxyservers ein. Diese Angabe ist erforderlich.
        • Port für den Proxyserver: Geben Sie die Portnummer des Proxyservers ein. Diese Angabe ist erforderlich.
        • Benutzername: Geben Sie einen optionalen Benutzernamen für den Proxyserver ein.
        • Kennwort: Geben Sie ein optionales Kennwort für den Proxyserver ein.
      • Bei Auswahl von Automatisch konfigurieren Sie die folgende Einstellung:
        • Proxyserver-URL: Geben Sie die URL des Proxyservers ein. Diese Angabe ist erforderlich.
  • Richtlinieneinstellungen
    • Wählen Sie unter Richtlinieneinstellungen für Richtlinie entfernen entweder Datum auswählen oder Zeit bis zum Entfernen (in Stunden).
    • Bei Auswahl von Datum auswählen klicken Sie auf den Kalender, um das Datum für das Entfernen anzugeben.
    • Wählen Sie in der Liste Benutzer darf Richtlinie entfernen entweder Immer, Kennwort erforderlich oder Nie.
    • Bei Auswahl von Kennwort erforderlich geben Sie für Kennwort zum Entfernen das benötigte Kennwort ein.

Konfigurieren des Pro-App-VPN-Zugriffs

Die Pro-App-VPN-Optionen für iOS sind für folgende Verbindungstypen verfügbar: Cisco Legacy AnyConnect, Juniper SSL, F5 SSL, SonicWALL Mobile Connect, Ariba VIA, Citrix VPN, Citrix SSO und Benutzerdefiniertes SSL.

Konfigurieren des Pro-App-VPN-Zugriffs:

  1. Erstellen Sie unter Konfigurieren > Geräterichtlinien eine VPN-Richtlinie. Zum Beispiel:

    Konfigurationsbildschirm für Geräterichtlinien

    Konfigurationsbildschirm für Geräterichtlinien

  2. Erstellen Sie unter Konfigurieren > Geräterichtlinien eine Geräterichtlinie für App-Attribute, um der Pro-VNP-Richtlinie eine App zuzuordnen. Wählen Sie für ID für VPN-Zugriff pro App den Namen der in Schritt 1 erstellten VPN-Richtlinie. Wählen Sie für Paket-ID für verwaltete App eine Option aus der App-Liste oder geben Sie die Paket-ID ein. (Wenn Sie eine iOS-App-Bestandsrichtlinie bereitstellen, enthält die Liste Apps.)

    Konfigurationsbildschirm für Geräterichtlinien

macOS-Einstellungen

Konfigurationsbildschirm für Geräterichtlinien

  • Verbindungsname: Geben Sie einen Namen für die Verbindung ein.
  • Verbindungstyp: Wählen Sie in der Liste das Protokoll aus, das für die Verbindung verwendet werden soll. Der Standardwert ist “L2TP”.
    • L2TP: Layer-2-Tunnelingprotokoll mit Authentifizierung mit vorinstalliertem Schlüssel
    • PPTP: Point-to-Point Tunneling
    • IPSec: Ihre Unternehmens-VPN-Verbindung.
    • Cisco AnyConnect: Cisco AnyConnect VPN-Client.
    • Juniper SSL: Juniper Networks SSL VPN-Client.
    • F5 SSL: F5 Networks SSL VPN-Client.
    • SonicWALL Mobile Connect: einheitlicher Dell VPN-Client für iOS.
    • Ariba VIA: Ariba Networks Virtual Internet Access-Client.
    • Citrix VPN: Citrix VPN-Client.
    • Benutzerdefiniertes SSL: benutzerdefiniertes Secure Socket Layer.

In den folgenden Abschnitten werden die Konfigurationsoptionen für die einzelnen Verbindungsmethoden aufgeführt.

Konfigurieren von L2TP für macOS

  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Wählen Sie entweder Kennwortauthentifizierung, RSA SecurID-Authentifizierung, Kerberos-Authentifizierung oder CryptoCard-Authentifizierung aus. Der Standardwert ist Kennwortauthentifizierung.
  • Gemeinsamer geheimer Schlüssel: Geben Sie den gemeinsamen geheimen Schlüssel für IPsec ein.
  • Gesamten Datenverkehr senden: Wählen Sie aus, ob der gesamte Datenverkehr über das VPN geleitet werden soll. Der Standardwert ist Aus.

Konfigurieren von PPTP für macOS

  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Wählen Sie entweder Kennwortauthentifizierung, RSA SecurID-Authentifizierung, Kerberos-Authentifizierung oder CryptoCard-Authentifizierung aus. Der Standardwert ist Kennwortauthentifizierung.
  • Verschlüsselungsgrad: Wählen Sie den gewünschten Verschlüsselungsgrad aus. Die Standardeinstellung ist Ohne.
    • Ohne: keine Verschlüsselung verwenden.
    • Automatisch: den höchsten vom Server unterstützten Verschlüsselungsgrad verwenden.
    • Maximum (128 Bit): immer 128-Bit-Verschlüsselung verwenden.
  • Gesamten Datenverkehr senden: Wählen Sie aus, ob der gesamte Datenverkehr über das VPN geleitet werden soll. Der Standardwert ist Aus.

Konfigurieren von IPsec für macOS

  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Authentifizierungstyp für Verbindung: Wählen Sie in der Liste entweder Gemeinsamer geheimer Schlüssel oder Zertifikat aus. Die Standardeinstellung ist Gemeinsamer geheimer Schlüssel.
    • Bei Auswahl von Gemeinsamer geheimer Schlüssel konfigurieren Sie die folgenden Einstellungen:
      • Gruppenname: Geben Sie optional einen Gruppennamen ein.
      • Gemeinsamer geheimer Schlüssel: Geben Sie optional einen gemeinsamen geheimen Schlüssel ein.
      • Hybride Authentifizierung: Wählen Sie aus, ob die Hybridauthentifizierung verwendet werden soll. Bei der hybriden Authentifizierung authentifiziert sich der Server zuerst beim Client und der Client authentifiziert sich dann beim Server. Der Standardwert ist Aus.
      • Zur Kennworteingabe auffordern: Wählen Sie aus, ob die Benutzer zur Eingabe ihres Kennworts aufgefordert werden sollen, wenn sie eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus.
    • Bei Auswahl von Zertifikat konfigurieren Sie die folgenden Einstellungen:
      • Identitätsanmeldeinformationen: Wählen Sie die gewünschten Identitätsanmeldeinformationen in der Liste aus. Die Standardeinstellung ist Ohne.
      • Beim Verbinden zur PIN-Eingabe auffordern: Wählen Sie aus, ob die Benutzer ihre PIN eingeben müssen, wenn sie eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus.
      • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn die Benutzer eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus. Weitere Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein festgelegt wurde, finden Sie unter Konfigurieren der Optionen für “VPN bei Bedarf aktivieren”.

Konfigurieren von Cisco AnyConnect für macOS

  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Gruppe: Geben Sie optional einen Gruppennamen ein.
  • Authentifizierungstyp für Verbindung: Wählen Sie in der Liste entweder Kennwort oder Zertifikat aus. Der Standardwert ist Kennwort.
    • Wenn Sie Kennwort auswählen, geben Sie im Feld Authentifizierungskennwort ein optionales Authentifizierungskennwort ein.
    • Bei Auswahl von Zertifikat konfigurieren Sie die folgenden Einstellungen:
      • Identitätsanmeldeinformationen: Wählen Sie die gewünschten Identitätsanmeldeinformationen in der Liste aus. Die Standardeinstellung ist Ohne.
      • Beim Verbinden zur PIN-Eingabe auffordern: Wählen Sie aus, ob die Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus.
      • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn die Benutzer eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus. Weitere Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein festgelegt wurde, finden Sie unter Konfigurieren der Optionen für “VPN bei Bedarf aktivieren”.
    • Pro-App-VPN aktivieren: Aktivieren oder deaktivieren Sie diese Option nach Bedarf. Der Standardwert ist Aus. Wenn Sie die Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
      • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob eine Pro-App-VPN-Verbindung automatisch hergestellt wird, wenn mit dem Pro-App-VPN-Dienst verknüpfte Apps eine Netzwerkkommunikation beginnen. Der Standardwert ist Aus.
      • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine pro-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie folgende Schritte aus:
        • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
        • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren von Juniper SSL für macOS

  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Bereich: Geben Sie optional einen Bereichsnamen ein.
  • Rolle: Geben Sie optional einen Rollennamen ein.
  • Authentifizierungstyp für Verbindung: Wählen Sie in der Liste entweder Kennwort oder Zertifikat aus. Der Standardwert ist Kennwort.
    • Wenn Sie Kennwort auswählen, geben Sie im Feld Authentifizierungskennwort ein optionales Authentifizierungskennwort ein.
    • Bei Auswahl von Zertifikat konfigurieren Sie die folgenden Einstellungen:
      • Identitätsanmeldeinformationen: Wählen Sie die gewünschten Identitätsanmeldeinformationen in der Liste aus. Die Standardeinstellung ist Ohne.
      • Beim Verbinden zur PIN-Eingabe auffordern: Wählen Sie aus, ob die Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus.
      • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn die Benutzer eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus. Weitere Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein festgelegt wurde, finden Sie unter Konfigurieren der Einstellungen für “VPN bei Bedarf aktivieren”.
  • Pro-App-VPN aktivieren: Aktivieren oder deaktivieren Sie diese Option nach Bedarf. Der Standardwert ist Aus. Wenn Sie die Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
    • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob eine Pro-App-VPN-Verbindung automatisch hergestellt wird, wenn mit dem Pro-App-VPN-Dienst verknüpfte Apps eine Netzwerkkommunikation beginnen. Der Standardwert ist Aus.
    • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine pro-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie folgende Schritte aus:
      • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
      • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren von F5 SSL für macOS

  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Authentifizierungstyp für Verbindung: Wählen Sie in der Liste entweder Kennwort oder Zertifikat aus. Der Standardwert ist Kennwort.
    • Wenn Sie Kennwort auswählen, geben Sie im Feld Authentifizierungskennwort ein optionales Authentifizierungskennwort ein.
    • Bei Auswahl von Zertifikat konfigurieren Sie die folgenden Einstellungen:
      • Identitätsanmeldeinformationen: Wählen Sie die gewünschten Identitätsanmeldeinformationen in der Liste aus. Die Standardeinstellung ist Ohne.
      • Beim Verbinden zur PIN-Eingabe auffordern: Wählen Sie aus, ob die Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus.
      • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn die Benutzer eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus. Weitere Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein festgelegt wurde, finden Sie unter Konfigurieren der Einstellungen für “VPN bei Bedarf aktivieren”.
  • Pro-App-VPN aktivieren: Aktivieren oder deaktivieren Sie diese Option nach Bedarf. Der Standardwert ist Aus. Wenn Sie die Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
    • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob eine Pro-App-VPN-Verbindung automatisch hergestellt wird, wenn mit dem Pro-App-VPN-Dienst verknüpfte Apps eine Netzwerkkommunikation beginnen. Der Standardwert ist Aus.
    • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine pro-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie folgende Schritte aus:
      • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
      • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren des SonicWALL Mobile Connect-Protokolls für macOS

  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Anmeldegruppe oder -domäne: Geben Sie optional eine Anmeldegruppe oder -domäne ein.
  • Authentifizierungstyp für Verbindung: Wählen Sie in der Liste entweder Kennwort oder Zertifikat aus. Der Standardwert ist Kennwort.
    • Wenn Sie Kennwort auswählen, geben Sie im Feld Authentifizierungskennwort ein optionales Authentifizierungskennwort ein.
    • Bei Auswahl von Zertifikat konfigurieren Sie die folgenden Einstellungen:
      • Identitätsanmeldeinformationen: Wählen Sie die gewünschten Identitätsanmeldeinformationen in der Liste aus. Die Standardeinstellung ist Ohne.
      • Beim Verbinden zur PIN-Eingabe auffordern: Wählen Sie aus, ob die Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus.
      • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn die Benutzer eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus. Weitere Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein festgelegt wurde, finden Sie unter Konfigurieren der Einstellungen für “VPN bei Bedarf aktivieren”.
  • Pro-App-VPN aktivieren: Aktivieren oder deaktivieren Sie diese Option nach Bedarf. Der Standardwert ist Aus. Wenn Sie die Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
    • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob eine Pro-App-VPN-Verbindung automatisch hergestellt wird, wenn mit dem Pro-App-VPN-Dienst verknüpfte Apps eine Netzwerkkommunikation beginnen. Der Standardwert ist Aus.
    • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine pro-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie folgende Schritte aus:
      • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
      • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren von Ariba VIA für macOS

  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
  • Authentifizierungstyp für Verbindung: Wählen Sie in der Liste entweder Kennwort oder Zertifikat aus. Der Standardwert ist Kennwort.
    • Wenn Sie Kennwort auswählen, geben Sie im Feld Authentifizierungskennwort ein optionales Authentifizierungskennwort ein.
    • Bei Auswahl von Zertifikat konfigurieren Sie die folgenden Einstellungen:
      • Identitätsanmeldeinformationen: Wählen Sie die gewünschten Identitätsanmeldeinformationen in der Liste aus. Die Standardeinstellung ist Ohne.
      • Beim Verbinden zur PIN-Eingabe auffordern: Wählen Sie aus, ob die Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus.
      • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn die Benutzer eine Verbindung zum Netzwerk herstellen. Der Standardwert ist Aus. Weitere Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein festgelegt wurde, finden Sie unter Konfigurieren der Einstellungen für “VPN bei Bedarf aktivieren”.
  • Pro-App-VPN aktivieren: Aktivieren oder deaktivieren Sie diese Option nach Bedarf. Der Standardwert ist Aus. Wenn Sie die Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
    • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob eine Pro-App-VPN-Verbindung automatisch hergestellt wird, wenn mit dem Pro-App-VPN-Dienst verknüpfte Apps eine Netzwerkkommunikation beginnen. Der Standardwert ist Aus.
    • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine pro-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie folgende Schritte aus:
      • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
      • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren des benutzerdefinierten SSL-Protokolls für macOS

  • Benutzerdefinierte SSL-ID (Reverse DNS-Format): Geben Sie den SSL-Bezeichner im Reverse DNS-Format ein. Diese Angabe ist erforderlich.
  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein. Diese Angabe ist erforderlich.
  • Benutzerkonto: Geben Sie optional ein Benutzerkonto ein.
    • Authentifizierungstyp für Verbindung: Wählen Sie in der Liste entweder Kennwort oder Zertifikat aus. Der Standardwert ist Kennwort.
    • Wenn Sie Kennwort auswählen, geben Sie im Feld Authentifizierungskennwort ein optionales Authentifizierungskennwort ein.
    • Bei Auswahl von Zertifikat konfigurieren Sie die folgenden Einstellungen:
      • Identitätsanmeldeinformationen: Wählen Sie die gewünschten Identitätsanmeldeinformationen in der Liste aus. Die Standardeinstellung ist Ohne.
      • Beim Verbinden zur PIN-Eingabe auffordern: Wählen Sie aus, ob die Benutzer zur Eingabe ihrer PIN aufgefordert werden sollen, wenn sie eine Verbindung zum Netzwerk herstellen. Der Standardwert ist AUS.
      • VPN bei Bedarf aktivieren: Wählen Sie aus, ob eine VPN-Verbindung ausgelöst werden soll, wenn die Benutzer eine Verbindung zum Netzwerk herstellen. Der Standardwert ist AUS. Weitere Informationen zum Konfigurieren der Einstellungen, wenn VPN bei Bedarf aktivieren auf Ein festgelegt wurde, finden Sie unter Konfigurieren der Einstellungen für “VPN bei Bedarf aktivieren”.
    • VPN-Zugriff pro App: Aktivieren oder deaktivieren Sie diese Option nach Bedarf. Der Standardwert ist Aus. Wenn Sie die Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
      • App-Übereinstimmung bei Bedarf aktiviert: Wählen Sie aus, ob pro-App-VPN-Verbindungen automatisch hergestellt werden sollen, wenn mit dem pro-App-VPN-Dienst verknüpfte Apps eine Netzwerkkommunikation beginnen.
      • Safari-Domänen: Klicken Sie für jede Safari-Domäne, die eine pro-App-VPN-Verbindung auslösen kann und die Sie einschließen möchten, auf Hinzufügen und führen Sie folgende Schritte aus:
        • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
        • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.
  • Benutzerdefiniertes XML: Für jeden benutzerdefinierten XML-Parameter, den Sie hinzufügen möchten, klicken Sie auf Hinzufügen und führen Sie folgende Schritte aus:
    • Parametername: Geben Sie den Namen des gewünschten Parameters ein.
    • Wert: Geben Sie den mit Parametername verknüpften Wert ein.
    • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren der Optionen für “VPN bei Bedarf aktivieren”

  • On-Demand-Domäne: Klicken Sie für jede gewünschte Domäne und Aktion, die beim Herstellen einer Verbindung mit der Domäne erfolgen soll, auf Hinzufügen und führen Sie folgende Schritte aus:
    • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
    • Aktion: Wählen Sie in der Liste eine mögliche Aktion aus:
      • Immer herstellen: Die Domäne löst immer eine VPN-Verbindung aus.
      • Nie herstellen: Die Domäne löst nie eine VPN-Verbindung aus.
      • Wenn erforderlich herstellen: Die Domäne löst eine VPN-Verbindung aus, wenn die Auflösung des Domänennamens fehlschlägt. Dieser Fehler tritt auf, wenn der DNS-Server die Domäne nicht auflösen kann, die Verbindung an einen anderen Server umleitet oder wenn beim DNS-Server ein Timeout auftritt.
    • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.
  • On-Demand-Regeln
    • Aktion: Wählen Sie in der Liste die gewünschte Aktion aus. Der Standardwert ist EvaluateConnection. Zulässige Aktionen:
      • Zulassen: On-Demand-VPN-Verbindung bei einer entsprechenden Auslösung zulassen.
      • Verbinden: Auf jeden Fall eine VPN-Verbindung herstellen.
      • Trennen: VPN-Verbindung trennen und bei Zutreffen der Regel keine Wiederverbindung herstellen.
      • EvaluateConnection: ActionParameters-Array für jede Verbindung auswerten.
      • Ignorieren: Bestehende VPN-Verbindungen beibehalten, bei Zutreffen der Regel jedoch keine Wiederverbindung herstellen.
    • DNSDomainMatch: Klicken Sie für jede Domäne, die bei der Suche anhand der Domänenliste von Geräten als Treffer in Betracht gezogen werden soll, auf Hinzufügen und führen Sie folgende Schritte aus:
      • DNS-Domäne: Geben Sie den Domänennamen ein. Sie können ein Sternchen (*) als Platzhalter für das Präfix für mehrere Domänen verwenden. Beispiel: *.beispiel.com steht für meinedomäne.beispiel.com, seinedomäne.beispiel.com und ihredomäne.beispiel.com.
      • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.
    • DNSServerAddressMatch: Klicken Sie für jede DNS-Server-IP-Adresse im Netzwerk, die als Treffer in Betracht gezogen werden soll, auf Hinzufügen und führen Sie folgende Schritte aus:
      • Adresse des DNS-Servers: Geben Sie die gewünschte DNS-Serveradresse ein. Sie können ein Sternchen (*) als Platzhalter für das Suffix für mehrere DNS-Server verwenden. “17.*” entspricht beispielsweise allen DNS-Servern im Subnetz der Klasse A.
      • Klicken Sie auf Speichern, um die DNS-Serveradresse zu speichern, oder auf Abbrechen, um den Vorgang abzubrechen.
    • InterfaceTypeMatch: Klicken Sie in der Liste auf den Hardwaretyp der verwendeten primären Netzwerkschnittstelle. Der Standardwert ist Keine Angabe. Zulässige Werte:
      • Keine Angabe: entspricht Netzwerkschnittstellenhardware aller Typen. Dies ist die Standardeinstellung.
      • Ethernet: entspricht Ethernet-Netzwerkschnittstellen.
      • WiFi: Entspricht WiFi-Netzwerkschnittstellen.
      • Mobilnetz: entspricht Mobilnetzschnittstellen.
    • SSIDMatch: Klicken Sie für jede SSID, die als Treffer für das aktuelle Netzwerk in Betracht gezogen werden soll, auf Hinzufügen und führen Sie die folgenden Schritte aus:
      • SSID: Geben Sie die gewünschte SSID ein. Ist das Netzwerk kein WiFi-Netzwerk oder erscheint die SSID nicht, gibt es keinen Treffer. Zur Einbeziehung aller SSIDs lassen Sie die Liste leer.
      • Klicken Sie auf Speichern, um die SSID zu speichern, oder auf Abbrechen, um den Vorgang abzubrechen.
    • URLStringProbe: Geben Sie eine URL für den Abruf ein. Kann die URL ohne Umleitung abgerufen werden, trifft die Regel zu.
    • ActionParameters : Domains: Klicken Sie für jede Domäne, die durch EvaluateConnection geprüft werden soll, auf Hinzufügen und führen Sie folgende Schritte aus:
      • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
      • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.
    • ActionParameters : DomainAction: Wählen Sie in dieser Liste die VPN-Aktionen für die unter ActionParameters : Domains angegebenen Domänen. Die Standardeinstellung ist ConnectIfNeeded. Zulässige Aktionen:
      • ConnectIfNeeded: Die Domäne löst eine VPN-Verbindung aus, wenn die Auflösung des Domänennamens fehlschlägt. Dieser Fehler tritt auf, wenn der DNS-Server die Domäne nicht auflösen kann, die Verbindung an einen anderen Server umleitet oder wenn beim DNS-Server ein Timeout auftritt.
      • NeverConnect: Die Domäne löst nie eine VPN-Verbindung aus.
    • ActionParameters : RequiredDNSServers: Klicken Sie für jede DNS-Server-IP-Adresse, die zum Auflösen der angegebenen Domänen verwendet werden soll, auf Hinzufügen und führen Sie folgende Schritte aus:
      • DNS-Server: nur gültig, wenn ActionParameters : DomainAction = ConnectIfNeeded. Geben Sie den DNS-Server an, der hinzugefügt werden soll. Dieser Server muss nicht Teil der aktuellen Netzwerkkonfiguration des Geräts sein. Ist der DNS-Server nicht erreichbar, wird eine VPN-Verbindung hergestellt. Bei diesem DNS-Server muss es sich entweder um einen internen DNS-Server oder einen vertrauenswürdigen externen DNS-Server handeln.
      • Klicken Sie auf Speichern, um den DNS-Server zu speichern, oder auf Abbrechen, um den Vorgang abzubrechen.
    • ActionParameters : RequiredURLStringProbe: Geben Sie optional eine HTTP- oder HTTPS-URL (bevorzugt letztere) zur Prüfung mit einer GET-Anforderung ein. Kann der Hostname der URL nicht aufgelöst werden oder ist der Server nicht erreichbar oder reagiert nicht, wird eine VPN-Verbindung hergestellt. Nur gültig, wenn ActionParameters : DomainAction = ConnectIfNeeded.
    • OnDemandRules : XML content: Geben Sie eine XML-Konfiguration für On-Demand-Regeln ein bzw. kopieren Sie sie und fügen Sie sie ein.
      • Klicken Sie auf Wörterbuch prüfen, um den XML-Code zu prüfen. Wenn die XML-Datei gültig ist, wird “Gültige XML” in grün unterhalb von XML-Inhalt angezeigt. Wenn sie nicht gültig ist, wird in orange eine Fehlermeldung mit einer Beschreibung des Fehlers angezeigt.
  • Proxy
    • Proxykonfiguration: Wählen Sie in der Liste das Routing der VPN-Verbindung über einen Proxyserver aus. Die Standardeinstellung ist Ohne.
      • Bei Auswahl von Manuell konfigurieren Sie die folgenden Einstellungen:
        • Hostname oder IP-Adresse des Proxyservers: Geben Sie den Hostnamen oder die IP-Adresse des Proxyservers ein. Diese Angabe ist erforderlich.
        • Port für den Proxyserver: Geben Sie die Portnummer des Proxyservers ein. Diese Angabe ist erforderlich.
        • Benutzername: Geben Sie einen optionalen Benutzernamen für den Proxyserver ein.
        • Kennwort: Geben Sie ein optionales Kennwort für den Proxyserver ein.
      • Bei Auswahl von Automatisch konfigurieren Sie die folgende Einstellung:
        • Proxyserver-URL: Geben Sie die URL des Proxyservers ein. Diese Angabe ist erforderlich.

Android-Einstellungen

Konfigurationsbildschirm für Geräterichtlinien

Konfigurieren des Cisco AnyConnect VPN-Protokolls für Android

  • Verbindungsname: Geben Sie einen Namen für die Cisco AnyConnect VPN-Verbindung ein. Diese Angabe ist erforderlich.
  • Servername oder IP-Adresse: Geben Sie den Namen oder die IP-Adresse des VPN-Servers ein. Diese Angabe ist erforderlich.
  • Identitätsanmeldeinformationen: Wählen Sie Identitätsanmeldeinformationen in der Liste aus.
  • Backup-VPN-Server: Geben Sie die Informationen des sekundären VPN-Servers ein.
  • Benutzergruppe: Geben Sie die Informationen zur Benutzergruppe ein.
  • Vertrauenswürdige Netzwerke
    • Richtlinie für automatisches VPN: Aktivieren oder deaktivieren Sie diese Option, um festzulegen, wie das VPN auf vertrauenswürdige und nicht vertrauenswürdige Netzwerke reagiert. Wenn Sie diese Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
      • Richtlinie für vertrauenswürdiges Netzwerk: Wählen Sie die gewünschte Richtlinie in der Liste aus. Der Standardwert ist Trennen. Mögliche Optionen:
        • Trennen: Der Client trennt die VPN-Verbindung im vertrauenswürdigen Netzwerk. Dies ist die Standardeinstellung.
        • Verbinden: Der Client initiiert die VPN-Verbindung im vertrauenswürdigen Netzwerk.
        • Nichts tun: Der Client unternimmt keine Aktion.
        • Anhalten: Wenn ein Benutzer nach dem Herstellen einer VPN-Sitzung außerhalb eines vertrauenswürdigen Netzwerks ein als vertrauenswürdig konfiguriertes Netzwerk betritt, wird die VPN-Sitzung ausgesetzt. Verlässt der Benutzer das vertrauenswürdige Netzwerk wieder, wird die Sitzung fortgesetzt. Auf diese Weise muss beim Verlassen eines vertrauenswürdigen Netzwerks keine neue VPN-Sitzung erstellt werden.
      • Richtlinie für nicht vertrauenswürdiges Netzwerk: Wählen Sie die gewünschte Richtlinie in der Liste aus. Der Standardwert ist Verbinden. Mögliche Optionen:
        • Verbinden: Der Client initiiert die VPN-Verbindung im nicht vertrauenswürdigen Netzwerk.
        • Nichts tun: Der Client initiiert die VPN-Verbindung im nicht vertrauenswürdigen Netzwerk. Mit dieser Option wird Always-On-VPN deaktiviert.
    • Vertrauenswürdige Domänen: Klicken Sie für jedes Domänensuffix, das die Netzwerkschnittstelle hat, wenn der Client im vertrauenswürdigen Netzwerk ist, auf Hinzufügen, und führen Sie die folgenden Schritte aus:
      • Domäne: Geben Sie den Namen der hinzuzufügenden Domäne ein.
      • Klicken Sie auf Speichern, um die Domäne zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.
    • Vertrauenswürdige Server: Klicken Sie für jede Serveradresse, die die Netzwerkschnittstelle hat, wenn der Client im vertrauenswürdigen Netzwerk ist, auf Hinzufügen, und führen Sie die folgenden Schritte aus:
      • Server: Geben Sie den Namen des gewünschten Servers ein.
      • Klicken Sie auf Speichern, um den Server zu speichern, oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren des Citrix SSO-Protokolls für Android

  • Verbindungsname: Geben Sie einen Namen für die VPN-Verbindung ein. Diese Angabe ist erforderlich.

  • Servername oder IP-Adresse: Geben Sie den FQDN oder die IP-Adresse des Citrix Gateway ein.

  • Authentifizierungstyp für Verbindung: Wählen Sie einen Authentifizierungstyp aus und füllen Sie diejenigen der folgenden Felder aus, die je nach Typ angezeigt werden:

    • Benutzername und Kennwort: Geben Sie die VPN-Anmeldeinformationen für die Authentifizierungstypen Kennwort bzw. Kennwort und Zertifikat ein. Optional. Wenn Sie keine VPN-Anmeldeinformationen angeben, fordert die Citrix VPN-App zur Eingabe von Benutzernamen und Kennwort auf.

    • Identitätsanmeldeinformationen: Diese Option wird für die Authentifizierungstypen Zertifikat und Kennwort und Zertifikat angezeigt. Wählen Sie Identitätsanmeldeinformationen aus der Liste aus.

  • Pro-App-VPN aktivieren: Aktivieren oder deaktivieren Sie diese Option nach Bedarf. Wenn Sie die Option nicht aktivieren, wird der gesamte Datenverkehr durch den Citrix VPN-Tunnel geleitet. Wenn Sie die Option aktivieren, legen Sie die nachfolgend aufgeführten Einstellungen fest. Der Standardwert ist Aus.

    • Positivliste oder Sperrliste: Wenn Sie Positivliste wählen, wird der Datenverkehr aller Apps auf der Positivliste durch den VPN-Tunnel geleitet. Wenn Sie Sperrliste wählen, wird der Datenverkehr aller Apps mit Ausnahme der Apps, die auf der Sperrliste stehen, durch den VPN-Tunnel geleitet.

    • Anwendungsliste: Geben Sie die Apps für die Positiv- oder Sperrliste an. Klicken Sie auf Hinzufügen und geben Sie die App-Paketnamen getrennt durch Kommas ein.

  • Benutzerdefiniertes XML: Klicken Sie auf Hinzufügen und geben Sie benutzerdefinierte Parameter ein. Endpoint Management unterstützt folgende Parameter für Citrix VPN:

    • DisableUserProfiles: Optional. Geben Sie zum Aktivieren des Parameters für Wert Yes ein. Ist die Option aktiviert, werden von Endpoint Management keine von Benutzern hinzugefügte VPN-Verbindungen angezeigt und die Benutzer können keine Verbindungen hinzufügen. Diese globale Einschränkung gilt für alle VPN-Profile.
    • userAgent: Zeichenfolge. Sie können eine eigene Benutzeragent-Zeichenfolge für die Übermittlung mit jeder HTTP-Anforderung definieren. Die Benutzeragent-Zeichenfolge wird an den bestehenden Citrix VPN-Benutzeragent angehängt.

Konfigurieren von VPNs für Android Enterprise

Zum Konfigurieren von VPNs für Android Enterprise-Geräte erstellen Sie für die Citrix SSO-App eine Geräterichtlinie für verwaltete Android Enterprise-Konfigurationen. Weitere Informationen unter Konfigurieren von VPN-Profilen für Android Enterprise.

Samsung SAFE-Einstellungen

Konfigurationsbildschirm für Geräterichtlinien

  • Verbindungsname: Geben Sie einen Namen für die Verbindung ein.
  • VPN-Typ: Wählen Sie in der Liste das Protokoll aus, das für die Verbindung verwendet werden soll. Der Standardwert ist L2TP mit vorinstalliertem Schlüssel. Mögliche Optionen:
    • L2TP mit vorinstalliertem Schlüssel: Layer-2-Tunnelingprotokoll mit Authentifizierung mit vorinstalliertem Schlüssel. Dies ist die Standardeinstellung.
    • L2TP mit Zertifikat: Layer-2-Tunnelingprotokoll mit Zertifikat.
    • PPTP: Point-to-Point Tunneling
    • Unternehmen: Ihre Unternehmens-VPN-Verbindung. Gilt für SAFE-Versionen vor 2.0.
    • Generisch: generische VPN-Verbindung. Gilt für SAFE-Versionen ab 2.0.

Konfigurieren von L2TP mit vorinstalliertem Schlüssel für Samsung SAFE

  • Hostname: Geben Sie den Namen des VPN-Hosts ein. Diese Angabe ist erforderlich.
  • Benutzername: Geben Sie einen optionalen Benutzernamen ein.
  • Kennwort: Geben Sie ein optionales Kennwort ein.
  • Vorinstallierter Schlüssel: Geben Sie den vorinstallierten Schlüssel ein. Diese Angabe ist erforderlich.

Konfigurieren von L2TP mit Zertifikatsprotokoll für Samsung SAFE

  • Hostname: Geben Sie den Namen des VPN-Hosts ein. Diese Angabe ist erforderlich.
  • Benutzername: Geben Sie einen optionalen Benutzernamen ein.
  • Kennwort: Geben Sie ein optionales Kennwort ein.
  • Identitätsanmeldeinformationen: Wählen Sie die gewünschten Identitätsanmeldeinformationen in der Liste aus. Die Standardeinstellung ist Ohne.

Konfigurieren von PPTP für Samsung SAFE

  • Hostname: Geben Sie den Namen des VPN-Hosts ein. Diese Angabe ist erforderlich.
  • Benutzername: Geben Sie einen optionalen Benutzernamen ein.
  • Kennwort: Geben Sie ein optionales Kennwort ein.
  • Verschlüsselung aktivieren: Wählen Sie aus, ob Verschlüsselung für die VPN-Verbindung aktiviert werden soll.

Konfigurieren des Enterprise-Protokolls für Samsung SAFE

  • Hostname: Geben Sie den Namen des VPN-Hosts ein. Diese Angabe ist erforderlich.
  • Backupserver aktivieren: Wählen Sie aus, ob ein Backup-VPN-Server aktiviert werden soll. Wenn Sie die Option aktivieren, geben Sie im Feld Backup-VPN-Server den FQDN oder die IP-Adresse des sekundären VPN-Servers ein.
  • Benutzerauthentifizierung aktivieren: Wählen Sie aus, ob die Benutzerauthentifizierung erforderlich sein soll. Wenn Sie diese Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
    • Benutzername: Geben Sie einen Benutzernamen ein.
    • Kennwort: Geben Sie das Benutzerkennwort ein.
  • Gruppenname: Geben Sie optional einen Gruppennamen ein.
  • Authentifizierungsmethode: Wählen Sie in der Liste die gewünschte Authentifizierungsmethode aus. Mögliche Optionen:
    • Zertifikat: Verwenden Sie Zertifikatauthentifizierung. Dies ist die Standardeinstellung. Wählen Sie bei Verwendung der Option in der Liste Identitätsanmeldeinformationen die gewünschten Anmeldeinformationen aus. Die Standardeinstellung ist Ohne.
    • Vorinstallierter Schlüssel: Verwenden Sie einen vorinstallierten Schlüssel. Wenn Sie diese Option aktivieren, geben Sie im Feld Vorinstallierter Schlüssel den gemeinsamen geheimen Schlüssel ein.
    • Hybrid RSA: Hybridauthentifizierung mit RSA-Zertifikaten
    • EAP MD5: EAP-Peer wird beim EAP-Server authentifiziert, es erfolgt jedoch keine gegenseitige Authentifizierung.
    • EAP MSCHAPv2: Verwenden Sie Challenge Handshake Authentication von Microsoft für die gegenseitige Authentifizierung.
  • ZS-Zertifikat: Wählen Sie in der Liste das Zertifikat aus, das verwendet werden soll. Die Standardeinstellung ist Ohne.
  • Standardroute aktivieren: Wählen Sie aus, ob eine Standardroute zum VPN-Server aktiviert werden soll. Der Standardwert ist Aus.
  • Smartcardauthentifizierung aktivieren: Wählen Sie aus, ob eine Authentifizierung per Smartcard zugelassen werden soll. Der Standardwert ist Aus.
  • Mobiloptionen aktivieren: Wählen Sie aus, ob die Mobiloptionen aktiviert werden sollen. Der Standardwert ist Aus.
  • Diffie-Hellman-Gruppenwert (Schlüsselstärke): Wählen Sie in der Liste die Schlüsselstärke aus, die verwendet werden soll. Der Standardwert ist 0.
  • Split-Tunneltyp: Wählen Sie in der Liste den gewünschten Split-Tunneltyp aus. Der Standardwert ist Auto. Mögliche Optionen:
    • Auto: Split-Tunneling wird automatisch verwendet.
    • Manuell: Split-Tunneling erfolgt über die IP-Adresse und den Port, die auf dem VPN-Server angegeben wurden.
    • Deaktiviert: Split-Tunneling wird nicht verwendet.
  • SuiteB-Typ: Wählen Sie in der Liste den gewünschten Grad der NSA Suite B-Verschlüsselung aus. Der Standardwert ist GCM-128. Mögliche Optionen:
    • GCM-128: AES-GCM-Verschlüsselung (128 Bit) verwenden.
    • GCM-256: AES-GCM-Verschlüsselung (256 Bit) verwenden.
    • GMAC-128: Verwenden Sie AES-GMAC-Verschlüsselung (128 Bit).
    • GMAC-256: AES-GMAC-Verschlüsselung (256 Bit) verwenden.
    • Ohne: keine Verschlüsselung verwenden.
  • Weiterleitungsrouten: Wenn Ihr VPN-Server Weiterleitungsrouten unterstützt, klicken Sie für jede gewünschte Weiterleitungsroute auf Hinzufügen und führen Sie folgende Schritte aus:
    • Weiterleitungsroute: Geben Sie die IP-Adresse der Weiterleitungsroute ein.
    • Klicken Sie auf Speichern, um die Route zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren des generischen Protokolls für Samsung SAFE

  • Hostname: Geben Sie den Namen des VPN-Hosts ein. Diese Angabe ist erforderlich.
  • Benutzerauthentifizierung aktivieren: Wählen Sie aus, ob die Benutzerauthentifizierung erforderlich sein soll. Wenn Sie die Option aktivieren, geben Sie im Feld Kennwort das Benutzerkennwort ein.
  • Benutzername: Geben Sie einen Benutzernamen ein.
  • Paketname für Agent-VPN: Der Paketname oder die ID der auf dem Gerät installierten VPN, z. B. Mocana oder Pulse Secure.
  • VPN-Verbindungstyp: Wählen Sie in der Liste entweder IPSEC oder SSL als Verbindungstyp aus. Die Standardeinstellung ist IPSEC. In den folgenden Abschnitten werden die Konfigurationsoptionen für die einzelnen Verbindungstypen erläutert.

Konfigurieren der Einstellungen für IPsec-Verbindungen für Samsung SAFE

  • Identität: Geben Sie optional einen Bezeichner für diese Konfiguration ein.
  • ID-Typ für IPsec-Gruppe: Wählen Sie in der Liste den IPsec-Gruppen-ID-Typ aus. Der Standardwert ist Standard. Mögliche Optionen:
    • Standard
    • IPv4-Adresse
    • Vollqualifizierter Domänenname (FQDN)
    • Benutzer-FQDN
    • IKE-Schlüssel-ID
  • IKE-Version: Wählen Sie in der Liste die gewünschte Internet Key Exchange-Version aus. Der Standardwert ist IKEv1.
  • Authentifizierungsmethode: Wählen Sie in der Liste die gewünschte Authentifizierungsmethode aus. Der Standardwert ist Zertifikat. Mögliche Optionen:
    • Zertifikat: Verwenden Sie Zertifikatauthentifizierung. Wählen Sie bei Verwendung der Option in der Liste Identitätsanmeldeinformationen die gewünschten Anmeldeinformationen aus. Die Standardeinstellung ist Ohne.
    • Vorinstallierter Schlüssel: Verwenden Sie einen vorinstallierten Schlüssel. Wenn Sie diese Option aktivieren, geben Sie im Feld Vorinstallierter Schlüssel den gemeinsamen geheimen Schlüssel ein.
    • Hybrid RSA: Hybridauthentifizierung mit RSA-Zertifikaten
    • EAP MD5: EAP-Peer wird beim EAP-Server authentifiziert, es erfolgt jedoch keine gegenseitige Authentifizierung.
    • EAP MSCHAPv2: Verwenden Sie Challenge Handshake Authentication von Microsoft für die gegenseitige Authentifizierung.
    • CAC-basierte Authentifizierung: Common Access Card (CAC) für die Authentifizierung verwenden.
  • Identitätsanmeldeinformationen: Wählen Sie die gewünschten Identitätsanmeldeinformationen in der Liste aus. Die Standardeinstellung ist Ohne.
  • ZS-Zertifikat: Wählen Sie in der Liste das Zertifikat aus, das verwendet werden soll.
  • Dead Peer Detection aktivieren: Wählen Sie aus, ob eine Verbindung mit Peers hergestellt werden soll, um sicherzustellen, dass diese erreichbar bleiben. Der Standardwert ist Aus.
  • Standardroute aktivieren: Wählen Sie aus, ob eine Standardroute zum VPN-Server aktiviert werden soll.
  • Mobiloptionen aktivieren: Wählen Sie aus, ob die Mobiloptionen aktiviert werden sollen.
  • IKE-Lebensdauer in Minuten: Geben Sie die Zeitdauer in Minuten an, nach der die VPN-Verbindung erneuert werden muss. Die Standardeinstellung ist 1440 Minuten (24 Stunden).
  • IPsec-Lebensdauer in Minuten: Geben Sie die Zeitdauer in Minuten an, nach der die VPN-Verbindung erneuert werden muss. Die Standardeinstellung ist 1440 Minuten (24 Stunden).
  • Diffie-Hellman-Gruppenwert (Schlüsselstärke): Wählen Sie in der Liste die Schlüsselstärke aus, die verwendet werden soll. Der Standardwert ist 0.
  • IKE Phase 1-Schlüsselaustauschmodus: Wählen Sie als IDE Phase 1-Aushandlungsmodus entweder Primär oder Aggressiv aus. Der Standardwert ist Primär.
    • Primär: Bei der Aushandlung werden keine Informationen für mögliche Angreifer offengelegt. Der Modus ist jedoch langsamer als Aggressiv.
    • Aggressiv: Bei der Aushandlung werden einige Informationen (z. B. die IDs der aushandelnden Peers) für mögliche Angreifer offengelegt. Der Modus ist jedoch schneller als Primär.
  • PFS-Wert (Perfect Forward Secrecy): Wählen Sie aus, ob durch die Verwendung von PFS bei der Neuaushandlung von Verbindungen ein erneuter Schlüsselaustausch erforderlich sein soll.
  • Split-Tunneltyp: Wählen Sie in der Liste den gewünschten Split-Tunneltyp aus. Mögliche Optionen:
    • Auto: Split-Tunneling wird automatisch verwendet.
    • Manuell: Split-Tunneling erfolgt über die IP-Adresse und den Port, die auf dem VPN-Server angegeben wurden.
    • Deaktiviert: Split-Tunneling wird nicht verwendet.
  • IPsec-Verschlüsselungsalgorithmus: Vom IPsec-Protokoll verwendete VPN-Konfiguration.
  • IKE-Verschlüsselungsalgorithmus: Vom IPsec-Protokoll verwendete VPN-Konfiguration.
  • IKE-Integritätsalgorithmus: Vom IPsec-Protokoll verwendete VPN-Konfiguration.
  • Hersteller: ein persönliches Profil für generische Agents, die mit der Knox-API kommunizieren.
  • Weiterleitungsrouten: Wenn Ihr VPN-Server Weiterleitungsrouten unterstützt, klicken Sie für jede gewünschte Weiterleitungsroute auf Hinzufügen und führen Sie folgende Schritte aus:
    • Weiterleitungsroute: Geben Sie die IP-Adresse der Weiterleitungsroute ein.
    • Klicken Sie auf Speichern, um die Route zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.
  • VPN-Zugriff pro App: Für jeden VPN-Zugriff pro App, den Sie hinzufügen möchten, klicken Sie auf Hinzufügen und führen Sie folgende Schritte aus:
    • VPN-Zugriff pro App: VPN-Konfiguration, die die App für die Kommunikation verwendet.
    • Klicken Sie auf Speichern, um den VPN-Zugriff pro App zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren der Einstellungen für SSL-Verbindungen für Samsung SAFE

  • Authentifizierungsmethode: Wählen Sie in der Liste die gewünschte Authentifizierungsmethode aus. Die Standardeinstellung ist Nicht zutreffend. Mögliche Optionen:
    • Nicht zutreffend
    • Zertifikat: Verwenden Sie Zertifikatauthentifizierung. Wählen Sie bei Verwendung der Option in der Liste Identitätsanmeldeinformationen die gewünschten Anmeldeinformationen aus. Die Standardeinstellung ist Ohne.
    • CAC-basierte Authentifizierung: Common Access Card (CAC) für die Authentifizierung verwenden.
  • ZS-Zertifikat: Wählen Sie in der Liste das Zertifikat aus, das verwendet werden soll.
  • Standardroute aktivieren: Wählen Sie aus, ob eine Standardroute zum VPN-Server aktiviert werden soll.
  • Mobiloptionen aktivieren: Wählen Sie aus, ob die Mobiloptionen aktiviert werden sollen.
  • Split-Tunneltyp: Wählen Sie in der Liste den gewünschten Split-Tunneltyp aus. Mögliche Optionen:
    • Auto: Split-Tunneling wird automatisch verwendet.
    • Manuell: Split-Tunneling erfolgt über die IP-Adresse und den Port, die auf dem VPN-Server angegeben wurden.
    • Deaktiviert: Split-Tunneling wird nicht verwendet.
  • SSL-Algorithmus: Geben Sie den SSL-Algorithmus für die Client/Server-Aushandlung ein.
  • Hersteller: ein persönliches Profil für generische Agents, die mit der Knox-API kommunizieren.
  • Weiterleitungsrouten: Wenn Ihr VPN-Server Weiterleitungsrouten unterstützt, klicken Sie für jede gewünschte Weiterleitungsroute auf Hinzufügen und führen Sie folgende Schritte aus:
    • Weiterleitungsroute: Geben Sie die IP-Adresse der Weiterleitungsroute ein.
    • Klicken Sie auf Speichern, um die Route zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.
  • VPN-Zugriff pro App: Für jeden VPN-Zugriff pro App, den Sie hinzufügen möchten, klicken Sie auf Hinzufügen und führen Sie folgende Schritte aus:
    • VPN-Zugriff pro App: VPN-Konfiguration, die die App für die Kommunikation verwendet.
    • Klicken Sie auf Speichern, um den VPN-Zugriff pro App zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Samsung Knox-Einstellungen

Konfigurationsbildschirm für Geräterichtlinien

Alle Samsung Knox-Richtlinien gelten ausschließlich innerhalb des Samsung Knox-Containers.

  • VPN-Typ: Wählen Sie in der Liste den Typ der zu konfigurierenden VPN-Verbindung aus. Zur Auswahl stehen Unternehmen (für Knox-Versionen vor 2.0) und Generisch (für Knox-Versionen ab 2.0). Der Standardwert ist Unternehmen.

In den folgenden Abschnitten werden die Konfigurationsoptionen für die einzelnen Verbindungsmethoden aufgeführt.

Konfigurieren des Enterprise-Protokolls für Samsung Knox

  • Verbindungsname: Geben Sie einen Namen für die Verbindung ein. Diese Angabe ist erforderlich.
  • Hostname: Geben Sie den Namen des VPN-Hosts ein. Diese Angabe ist erforderlich.
  • Backupserver aktivieren: Wählen Sie aus, ob ein Backup-VPN-Server aktiviert werden soll. Wenn Sie die Option aktivieren, geben Sie im Feld Backup-VPN-Server den FQDN oder die IP-Adresse des sekundären VPN-Servers ein.
  • Benutzerauthentifizierung aktivieren: Wählen Sie aus, ob die Benutzerauthentifizierung erforderlich sein soll. Wenn Sie diese Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
    • Benutzername: Geben Sie einen Benutzernamen ein.
    • Kennwort: Geben Sie das Benutzerkennwort ein.
  • Gruppenname: Geben Sie optional einen Gruppennamen ein.
  • Authentifizierungsmethode: Wählen Sie in der Liste die gewünschte Authentifizierungsmethode aus. Mögliche Optionen:
    • Zertifikat: Verwenden Sie Zertifikatauthentifizierung. Wählen Sie für die Zertifikatauthentifizierung außerdem in der Liste Identitätsanmeldeinformationen die zu verwendenden Anmeldeinformationen aus.
    • Vorinstallierter Schlüssel: Verwenden Sie einen vorinstallierten Schlüssel. Wenn Sie diese Option aktivieren, geben Sie im Feld Vorinstallierter Schlüssel den gemeinsamen geheimen Schlüssel ein.
    • Hybrid RSA: Hybridauthentifizierung mit RSA-Zertifikaten
    • EAP MD5: EAP-Peer wird beim EAP-Server authentifiziert, es erfolgt jedoch keine gegenseitige Authentifizierung.
    • EAP MSCHAPv2: Verwenden Sie Challenge Handshake Authentication von Microsoft für die gegenseitige Authentifizierung.
  • ZS-Zertifikat: Wählen Sie in der Liste das Zertifikat aus, das verwendet werden soll.
  • Standardroute aktivieren: Wählen Sie aus, ob eine Standardroute zum VPN-Server aktiviert werden soll.
  • Smartcardauthentifizierung aktivieren: Wählen Sie aus, ob eine Authentifizierung per Smartcard zugelassen werden soll. Der Standardwert ist Aus.
  • Mobiloptionen aktivieren: Wählen Sie aus, ob die Mobiloptionen aktiviert werden sollen.
  • Diffie-Hellman-Gruppenwert (Schlüsselstärke): Wählen Sie in der Liste die Schlüsselstärke aus, die verwendet werden soll. Der Standardwert ist 0.
  • Split-Tunneltyp: Wählen Sie in der Liste den gewünschten Split-Tunneltyp aus. Mögliche Optionen:
    • Auto: Split-Tunneling wird automatisch verwendet.
    • Manuell: Split-Tunneling erfolgt über die IP-Adresse und den Port, die auf dem VPN-Server angegeben wurden.
    • Deaktiviert: Split-Tunneling wird nicht verwendet.
  • SuiteB-Typ: Wählen Sie in der Liste den gewünschten Grad der NSA Suite B-Verschlüsselung aus. Mögliche Optionen:
    • GCM-128: AES-GCM-Verschlüsselung (128 Bit) verwenden. Dies ist die Standardeinstellung.
    • GCM-256: AES-GCM-Verschlüsselung (256 Bit) verwenden.
    • GMAC-128: Verwenden Sie AES-GMAC-Verschlüsselung (128 Bit).
    • GMAC-256: AES-GMAC-Verschlüsselung (256 Bit) verwenden.
    • Ohne: keine Verschlüsselung verwenden.
  • Weiterleitungsrouten: Klicken Sie auf Hinzufügen, um optional Weiterleitungsrouten hinzuzufügen, sofern Ihr VPN-Server mehrere Routentabellen unterstützt.

Konfigurieren des generischen Protokolls für Samsung Knox

  • Verbindungsname: Geben Sie einen Namen für die Verbindung ein. Diese Angabe ist erforderlich.
  • Paketname für Agent-VPN: Der Paketname oder die ID der auf dem Gerät installierten VPN, z. B. Mocana oder Pulse Secure.
  • Hostname: Geben Sie den Namen des VPN-Hosts ein. Diese Angabe ist erforderlich.
  • Benutzerauthentifizierung aktivieren: Wählen Sie aus, ob die Benutzerauthentifizierung erforderlich sein soll. Wenn Sie diese Option aktivieren, konfigurieren Sie die folgenden Einstellungen:
    • Benutzername: Geben Sie einen Benutzernamen ein.
    • Kennwort: Geben Sie das Benutzerkennwort ein.
  • Identität: Geben Sie optional einen Bezeichner für diese Konfiguration ein. Gilt nur, wenn VPN-Verbindungstyp = IPSEC.
  • VPN-Verbindungstyp: Wählen Sie in der Liste entweder IPSEC oder SSL als Verbindungstyp aus. Die Standardeinstellung ist IPSEC. In den folgenden Abschnitten werden die Konfigurationsoptionen für die einzelnen Verbindungstypen erläutert.
  • Konfigurieren der Einstellungen für IPsec-Verbindungen
    • ID-Typ für IPsec-Gruppe: Wählen Sie in der Liste den IPsec-Gruppen-ID-Typ aus. Der Standardwert ist Standard. Mögliche Optionen:
      • Standard
      • IPv4-Adresse
      • Vollqualifizierter Domänenname (FQDN)
      • Benutzer-FQDN
      • IKE-Schlüssel-ID
    • IKE-Version: Wählen Sie in der Liste die gewünschte Internet Key Exchange-Version aus. Der Standardwert ist IKEv1.
    • Authentifizierungsmethode: Wählen Sie in der Liste die gewünschte Authentifizierungsmethode aus. Der Standardwert ist Zertifikat. Mögliche Optionen:
      • Zertifikat: Verwenden Sie Zertifikatauthentifizierung. Wählen Sie bei Verwendung der Option in der Liste Identitätsanmeldeinformationen die gewünschten Anmeldeinformationen aus. Die Standardeinstellung ist Ohne.
      • Vorinstallierter Schlüssel: Verwenden Sie einen vorinstallierten Schlüssel. Wenn Sie diese Option aktivieren, geben Sie im Feld Vorinstallierter Schlüssel den gemeinsamen geheimen Schlüssel ein.
      • Hybrid RSA: Hybridauthentifizierung mit RSA-Zertifikaten
      • EAP MD5: EAP-Peer wird beim EAP-Server authentifiziert, es erfolgt jedoch keine gegenseitige Authentifizierung.
      • EAP MSCHAPv2: Verwenden Sie Challenge Handshake Authentication von Microsoft für die gegenseitige Authentifizierung.
      • CAC-basierte Authentifizierung: Common Access Card (CAC) für die Authentifizierung verwenden.
    • ZS-Zertifikat: Wählen Sie in der Liste das Zertifikat aus, das verwendet werden soll.
    • Dead Peer Detection aktivieren: Wählen Sie aus, ob eine Verbindung mit Peers hergestellt werden soll, um sicherzustellen, dass diese erreichbar bleiben. Der Standardwert ist Aus.
    • Standardroute aktivieren: Wählen Sie aus, ob eine Standardroute zum VPN-Server aktiviert werden soll.
    • Mobiloptionen aktivieren: Wählen Sie aus, ob die Mobiloptionen aktiviert werden sollen.
    • IKE-Lebensdauer in Minuten: Geben Sie die Zeitdauer in Minuten an, nach der die VPN-Verbindung erneuert werden muss. Die Standardeinstellung ist 1440 Minuten (24 Stunden).
    • IPsec-Lebensdauer in Minuten: Geben Sie die Zeitdauer in Minuten an, nach der die VPN-Verbindung erneuert werden muss. Die Standardeinstellung ist 1440 Minuten (24 Stunden).
    • Diffie-Hellman-Gruppenwert (Schlüsselstärke): Wählen Sie in der Liste die Schlüsselstärke aus, die verwendet werden soll. Der Standardwert ist 0.
    • IKE Phase 1-Schlüsselaustauschmodus: Wählen Sie als IDE Phase 1-Aushandlungsmodus entweder Primär oder Aggressiv aus. Der Standardwert ist Primär.
      • Primär: Bei der Aushandlung werden keine Informationen für mögliche Angreifer offengelegt. Der Modus ist jedoch langsamer als Aggressiv.
      • Aggressiv: Bei der Aushandlung werden einige Informationen (z. B. die IDs der aushandelnden Peers) für mögliche Angreifer offengelegt. Der Modus ist jedoch schneller als Primär.
    • PFS-Wert (Perfect Forward Secrecy): Wählen Sie aus, ob durch die Verwendung von PFS bei der Neuaushandlung von Verbindungen ein erneuter Schlüsselaustausch erforderlich sein soll.
    • Split-Tunneltyp: Wählen Sie in der Liste den gewünschten Split-Tunneltyp aus. Mögliche Optionen:
      • Auto: Split-Tunneling wird automatisch verwendet.
      • Manuell: Split-Tunneling erfolgt über die IP-Adresse und den Port, die auf dem VPN-Server angegeben wurden.
      • Deaktiviert: Split-Tunneling wird nicht verwendet.
    • SuiteB-Typ: Wählen Sie in der Liste den gewünschten Grad der NSA Suite B-Verschlüsselung aus. Der Standardwert ist GCM-128. Mögliche Optionen:
      • GCM-128: AES-GCM-Verschlüsselung (128 Bit) verwenden.
      • GCM-256: AES-GCM-Verschlüsselung (256 Bit) verwenden.
      • GMAC-128: Verwenden Sie AES-GMAC-Verschlüsselung (128 Bit).
      • GMAC-256: AES-GMAC-Verschlüsselung (256 Bit) verwenden.
      • Ohne: keine Verschlüsselung verwenden.
    • IPsec-Verschlüsselungsalgorithmus: Vom IPsec-Protokoll verwendete VPN-Konfiguration.
    • IKE-Verschlüsselungsalgorithmus: Vom IPsec-Protokoll verwendete VPN-Konfiguration.
    • IKE-Integritätsalgorithmus: Vom IPsec-Protokoll verwendete VPN-Konfiguration.
    • Knox: Konfigurationen nur für Samsung Knox-Geräte.
    • Hersteller: ein persönliches Profil für generische Agents, die mit der Knox-API kommunizieren.
    • Weiterleitungsrouten: Wenn Ihr VPN-Server Weiterleitungsrouten unterstützt, klicken Sie für jede gewünschte Weiterleitungsroute auf Hinzufügen und führen Sie folgende Schritte aus:
      • Weiterleitungsroute: Geben Sie die IP-Adresse der Weiterleitungsroute ein.
      • Klicken Sie auf Speichern, um die Route zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.
    • VPN-Zugriff pro App: Für jeden VPN-Zugriff pro App, den Sie hinzufügen möchten, klicken Sie auf Hinzufügen und führen Sie folgende Schritte aus:
      • VPN-Zugriff pro App: Die VPN-Konfiguration, die die App für die Kommunikation verwendet.
      • Klicken Sie auf Speichern, um den VPN-Zugriff pro App zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.
  • Konfigurieren der Einstellungen für SSL-Verbindungen
    • Authentifizierungsmethode: Klicken Sie in der Liste auf die gewünschte Authentifizierungsmethode. Mögliche Optionen:
      • Not Applicable: No authentication method applies. Dies ist die Standardeinstellung.
      • Zertifikat: Verwenden Sie Zertifikatauthentifizierung. Dies ist die Standardeinstellung. Wählen Sie bei Verwendung der Option die gewünschten Anmeldeinformationen in der Liste aus. Die Standardeinstellung ist Ohne.
      • CAC-basierte Authentifizierung: Common Access Card (CAC) für die Authentifizierung verwenden.
    • ZS-Zertifikat: Wählen Sie in der Liste das Zertifikat aus, das verwendet werden soll.
    • Standardroute aktivieren: Wählen Sie aus, ob eine Standardroute zum VPN-Server aktiviert werden soll.
    • Mobiloptionen aktivieren: Wählen Sie aus, ob die Mobiloptionen aktiviert werden sollen.
    • Split-Tunneltyp: Wählen Sie in der Liste den gewünschten Split-Tunneltyp aus. Mögliche Optionen:
      • Auto: Split-Tunneling wird automatisch verwendet.
      • Manuell: Split-Tunneling erfolgt über die angegebene IP-Adresse und den angegebenen Port.
      • Deaktiviert: Split-Tunneling wird nicht verwendet.
    • SuiteB-Typ: Wählen Sie in der Liste den gewünschten Grad der NSA Suite B-Verschlüsselung aus. Der Standardwert ist GCM-128. Mögliche Optionen:
      • GCM-128: AES-GCM-Verschlüsselung (128 Bit) verwenden.
      • GCM-256: AES-GCM-Verschlüsselung (256 Bit) verwenden.
      • GMAC-128: Verwenden Sie AES-GMAC-Verschlüsselung (128 Bit).
      • GMAC-256: Verwenden Sie AES-GMAC-Verschlüsselung (256 Bit).
      • Ohne: Keine Verschlüsselung verwenden: Geben Sie den SSL-Algorithmus für die Client/Server-Aushandlung ein.
    • SSL-Algorithmus: Geben Sie den SSL-Algorithmus für die Client/Server-Aushandlung ein.
    • Knox: Konfigurationen nur für Samsung Knox-Geräte.
    • Hersteller: ein persönliches Profil für generische Agents, die mit der Knox-API kommunizieren.
    • Weiterleitungsrouten: Wenn Ihr VPN-Server Weiterleitungsrouten unterstützt, klicken Sie für jede gewünschte Weiterleitungsroute auf Hinzufügen und führen Sie folgende Schritte aus:
      • Weiterleitungsroute: Geben Sie die IP-Adresse der Weiterleitungsroute ein.
      • Klicken Sie auf Speichern, um die Route zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.
    • VPN-Zugriff pro App: Für jeden VPN-Zugriff pro App, den Sie hinzufügen möchten, klicken Sie auf Hinzufügen und führen Sie folgende Schritte aus:
      • VPN-Zugriff pro App: Die VPN-Konfiguration, die die App für die Kommunikation verwendet.
      • Klicken Sie auf Speichern, um den VPN-Zugriff pro App zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Windows Phone-Einstellungen

Konfigurationsbildschirm für Geräterichtlinien

Die Einstellungen werden nur für betreute Geräte unter Windows 10 und höher unterstützt.

  • Verbindungsname: Geben Sie einen Namen für die Verbindung ein. Diese Angabe ist erforderlich.
  • Profiltyp: Wählen Sie in der Liste entweder Nativ oder Plug-In aus. Der Standardwert ist Nativ. In den folgenden Abschnitten werden die Einstellungen der Optionen erläutert.
  • Einstellungen für Profiltyp “Nativ”: Diese Einstellungen gelten für in Windows Phone-Geräte integrierte VPNs.
    • VPN-Servername: Geben Sie den FQDN oder die IP-Adresse des VPN-Servers ein. Diese Angabe ist erforderlich.
    • Tunnelingprotokoll: Wählen Sie in der Liste den gewünschten VPN-Tunneltyp aus. Der Standardwert ist L2TP. Mögliche Optionen:
      • L2TP: Layer-2-Tunnelingprotokoll mit Authentifizierung mit vorinstalliertem Schlüssel
      • PPTP: Point-to-Point Tunneling
      • IKEv2: Internet Key Exchange Version 2
    • Authentifizierungsmethode: Wählen Sie in der Liste die gewünschte Authentifizierungsmethode aus. Die Standardeinstellung ist EAP. Mögliche Optionen:
      • EAP: Protokoll der erweiterten Authentifizierung
      • MSChapV2: Challenge Handshake Authentication von Microsoft für die gegenseitige Authentifizierung. Diese Option ist nicht verfügbar, wenn Sie “IKEv2” als Tunnel auswählen. Bei Auswahl von MSChapV2 wird die Option Automatisch Windows-Anmeldeinformationen verwenden angezeigt. Der Standardwert ist Aus.
    • EAP-Methode: Wählen Sie in der Liste die gewünschte EAP-Methode aus. Der Standardwert ist TLS. Dieses Feld ist nicht verfügbar, wenn Sie MSChapV2 aktiviert haben. Mögliche Optionen:
      • TLS: (Transport Layer Security)
      • PEAP: Protected Extensible Authentication Protocol
    • DNS Suffix: Geben Sie das DNS-Suffix ein.
    • Vertrauenswürdige Netzwerke: Geben Sie die Netzwerke durch Kommas getrennt ein, für die keine VPN-Verbindung erforderlich ist. Benutzer im Drahtlosnetzwerk des Unternehmens haben beispielsweise direkten Zugriff auf geschützte Ressourcen.
    • Smartcardzertifikat erforderlich: Wählen Sie aus, ob ein Smartcardzertifikat erforderlich sein soll. Der Standardwert ist AUS.
    • Automatisch Clientzertifikat auswählen: Wählen Sie aus, ob das Clientzertifikat für die Authentifizierung automatisch gewählt werden soll. Der Standardwert ist AUS. Diese Option ist nicht verfügbar, wenn “Smartcardzertifikat erforderlich” aktiviert ist.
    • Anmeldeinformationen speichern: Wählen Sie aus, ob die Anmeldeinformationen im Cache gespeichert werden sollen. Der Standardwert ist AUS. Wenn diese Option aktiviert ist, werden die Anmeldeinformationen, sofern möglich, gespeichert.
    • Always-on VPN: Wählen Sie aus, ob die VPN-Verbindung immer aktiv sein soll. Der Standardwert ist AUS. Wenn diese Option aktiviert ist, bleibt die VPN-Verbindung bestehen, bis der Benutzer sie manuell trennt.
    • Bei lokalen Adressen umgehen: Geben Sie die Adresse und die Portnummer ein, damit lokale Ressourcen den Proxyserver umgehen können.
  • Konfigurieren des Plug-In-Protokolls: Die nachfolgenden Einstellungen gelten für VPN-Plug-Ins aus dem Windows-Store, die auf Geräten installiert sind.
    • Serveradresse: Geben Sie die URL, den Hostnamen oder die IP-Adresse des VPN-Servers ein.
    • Client-App-ID: Geben Sie den Paketfamiliennamen des VPN-Plug-Ins ein.
    • XML für Plug-In-Profil: Klicken Sie auf Durchsuchen, navigieren Sie zum Speicherort der Datei des gewünschten benutzerdefinierten VPN-Plug-In-Profils und wählen Sie die Profildatei aus. Informationen zu Format und anderen Details erhalten Sie bei dem Anbieter des Plug-Ins.
    • DNS Suffix: Geben Sie das DNS-Suffix ein.
    • Vertrauenswürdige Netzwerke: Geben Sie die Netzwerke durch Kommas getrennt ein, für die keine VPN-Verbindung erforderlich ist. Benutzer im Drahtlosnetzwerk des Unternehmens haben beispielsweise direkten Zugriff auf geschützte Ressourcen.
    • Anmeldeinformationen speichern: Wählen Sie aus, ob die Anmeldeinformationen im Cache gespeichert werden sollen. Der Standardwert ist AUS. Wenn diese Option aktiviert ist, werden die Anmeldeinformationen, sofern möglich, gespeichert.
    • Always-on VPN: Wählen Sie aus, ob die VPN-Verbindung immer aktiv sein soll. Der Standardwert ist AUS. Wenn diese Option aktiviert ist, bleibt die VPN-Verbindung bestehen, bis der Benutzer sie manuell trennt.
    • Bei lokalen Adressen umgehen: Geben Sie die Adresse und die Portnummer ein, damit lokale Ressourcen den Proxyserver umgehen können.

Windows Desktop/Tablet-Einstellungen

Konfigurationsbildschirm für Geräterichtlinien

  • Verbindungsname: Geben Sie einen Namen für die Verbindung ein. Diese Angabe ist erforderlich.
  • Profiltyp: Wählen Sie in der Liste entweder Nativ oder Plug-In aus. Der Standardwert ist Nativ.
  • Einstellungen für Profiltyp “Nativ”: Diese Einstellungen gelten für in Windows-Geräte integrierte VPNs.
    • Serveradresse: Geben Sie den FQDN oder die IP-Adresse des VPN-Servers ein. Diese Angabe ist erforderlich.
    • Anmeldeinformationen speichern: Wählen Sie aus, ob die Anmeldeinformationen im Cache gespeichert werden sollen. Der Standardwert ist Aus. Wenn diese Option aktiviert ist, werden die Anmeldeinformationen, sofern möglich, gespeichert.
    • DNS Suffix: Geben Sie das DNS-Suffix ein.
    • Tunneltyp: Wählen Sie in der Liste den gewünschten VPN-Tunneltyp aus. Der Standardwert ist L2TP. Mögliche Optionen:
      • L2TP: Layer-2-Tunnelingprotokoll mit Authentifizierung mit vorinstalliertem Schlüssel
      • PPTP: Point-to-Point Tunneling
      • IKEv2: Internet Key Exchange Version 2
    • Authentifizierungsmethode: Wählen Sie in der Liste die gewünschte Authentifizierungsmethode aus. Die Standardeinstellung ist EAP. Mögliche Optionen:
      • EAP: Protokoll der erweiterten Authentifizierung
      • MSChapV2: Challenge Handshake Authentication von Microsoft für die gegenseitige Authentifizierung. Diese Option ist nicht verfügbar, wenn Sie IKEv2 als Tunnel auswählen.
    • EAP-Methode: Wählen Sie in der Liste die gewünschte EAP-Methode aus. Der Standardwert ist TLS. Dieses Feld ist nicht verfügbar, wenn Sie MSChapV2 aktiviert haben. Mögliche Optionen:
      • TLS: (Transport Layer Security)
      • PEAP: Protected Extensible Authentication Protocol
    • Vertrauenswürdige Netzwerke: Geben Sie die Netzwerke durch Kommas getrennt ein, für die keine VPN-Verbindung erforderlich ist. Benutzer im Drahtlosnetzwerk des Unternehmens haben beispielsweise direkten Zugriff auf geschützte Ressourcen.
    • Smartcardzertifikat erforderlich: Wählen Sie aus, ob ein Smartcardzertifikat erforderlich sein soll. Der Standardwert ist Aus.
    • Automatisch Clientzertifikat auswählen: Wählen Sie aus, ob das Clientzertifikat für die Authentifizierung automatisch gewählt werden soll. Der Standardwert ist Aus. Diese Option ist nicht verfügbar, wenn Smartcardzertifikat erforderlich aktiviert ist.
    • Always-on VPN: Wählen Sie aus, ob die VPN-Verbindung immer aktiv sein soll. Der Standardwert ist Aus. Wenn diese Option aktiviert ist, bleibt die VPN-Verbindung bestehen, bis der Benutzer sie manuell trennt.
    • Bei lokalen Adressen umgehen: Geben Sie die Adresse und die Portnummer ein, damit lokale Ressourcen den Proxyserver umgehen können.
  • Konfigurieren des Plug-In-Profils: Die nachfolgenden Einstellungen gelten für VPN-Plug-Ins aus dem Windows-Store, die auf Geräten installiert sind.
    • Serveradresse: Geben Sie den FQDN oder die IP-Adresse des VPN-Servers ein. Diese Angabe ist erforderlich.
    • Anmeldeinformationen speichern: Wählen Sie aus, ob die Anmeldeinformationen im Cache gespeichert werden sollen. Der Standardwert ist Aus. Wenn diese Option aktiviert ist, werden die Anmeldeinformationen, sofern möglich, gespeichert.
    • DNS Suffix: Geben Sie das DNS-Suffix ein.
    • Client-App-ID: Geben Sie den Paketfamiliennamen des VPN-Plug-Ins ein.
    • XML für Plug-In-Profil: Klicken Sie auf Durchsuchen, navigieren Sie zum Speicherort der Datei des gewünschten benutzerdefinierten VPN-Plug-In-Profils und wählen Sie die Profildatei aus. Informationen zu Format und anderen Details erhalten Sie bei dem Anbieter des Plug-Ins.
    • Vertrauenswürdige Netzwerke: Geben Sie die Netzwerke durch Kommas getrennt ein, für die keine VPN-Verbindung erforderlich ist. Benutzer im Drahtlosnetzwerk des Unternehmens haben beispielsweise direkten Zugriff auf geschützte Ressourcen.
    • Always-on VPN: Wählen Sie aus, ob die VPN-Verbindung immer aktiv sein soll. Der Standardwert ist Aus. Wenn diese Option aktiviert ist, bleibt die VPN-Verbindung bestehen, bis der Benutzer sie manuell trennt.
    • Bei lokalen Adressen umgehen: Geben Sie die Adresse und die Portnummer ein, damit lokale Ressourcen den Proxyserver umgehen können.

Amazon-Einstellungen

Konfigurationsbildschirm für Geräterichtlinien

  • Verbindungsname: Geben Sie einen Namen für die Verbindung ein.
  • VPN-Typ: Wählen Sie den Verbindungstyp aus. Mögliche Optionen:
    • L2TP PSK: Layer-2-Tunnelingprotokoll mit Authentifizierung mit vorinstalliertem Schlüssel. Dies ist die Standardeinstellung.
    • L2TP RSA: Layer-2-Tunnelingprotokoll mit RSA-Authentifizierung.
    • IPSEC XAUTH PSK: Internet Protocol Security mit vorinstalliertem Schlüssel und erweiterter Authentifizierung.
    • IPSEC HYBRID RSA: Internet Protocol Security mit Hybrid-RSA-Authentifizierung.
    • PPTP: Point-to-Point Tunneling

In den folgenden Abschnitten werden die Konfigurationsoptionen für die einzelnen Verbindungsmethoden aufgeführt.

Konfigurieren der L2TP PSK-Einstellungen für Amazon

  • Serveradresse: Geben Sie die IP-Adresse des VPN-Servers ein.
  • Benutzername: Geben Sie einen optionalen Benutzernamen ein.
  • Kennwort: Geben Sie ein optionales Kennwort ein.
  • L2TP-Geheimnis: Geben Sie den gemeinsamen geheimen Schlüssel ein.
  • IPSec-ID: Geben Sie den Namen der VPN-Verbindung ein, der auf Geräten beim Herstellen einer Verbindung angezeigt wird.
  • Vorinstallierter IPSec-Schlüssel: Geben Sie den geheimen Schlüssel ein.
  • DNS-Suchdomänen: Geben Sie die Domänen ein, die in der Trefferliste bei der Domänensuche auf Geräten angezeigt werden können.
  • DNS-Server: Geben Sie die IP-Adressen der DNS-Server für die Auflösung der angegebenen Domänen ein.
  • Weiterleitungsrouten: Wenn Ihr VPN-Server Weiterleitungsrouten unterstützt, klicken Sie für jede gewünschte Weiterleitungsroute auf Hinzufügen und führen Sie folgende Schritte aus:
    • Weiterleitungsroute: Geben Sie die IP-Adresse der Weiterleitungsroute ein.
    • Klicken Sie auf Speichern, um die Route zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren der L2TP RSA-Einstellungen für Amazon

  • Serveradresse: Geben Sie die IP-Adresse des VPN-Servers ein.
  • Benutzername: Geben Sie einen optionalen Benutzernamen ein.
  • Kennwort: Geben Sie ein optionales Kennwort ein.
  • L2TP-Geheimnis: Geben Sie den gemeinsamen geheimen Schlüssel ein.
  • DNS-Suchdomänen: Geben Sie die Domänen ein, die in der Trefferliste bei der Domänensuche auf Geräten angezeigt werden können.
  • DNS-Server: Geben Sie die IP-Adressen der DNS-Server für die Auflösung der angegebenen Domänen ein.
  • Serverzertifikat: Wählen Sie in der Liste das Serverzertifikat aus, das verwendet werden soll.
  • ZS-Zertifikat: Wählen Sie in der Liste das ZS-Zertifikat aus, das verwendet werden soll.
  • Identitätsanmeldeinformationen: Wählen Sie die gewünschten Identitätsanmeldeinformationen in der Liste aus.
  • Weiterleitungsrouten: Wenn Ihr VPN-Server Weiterleitungsrouten unterstützt, klicken Sie für jede gewünschte Weiterleitungsroute auf Hinzufügen und führen Sie folgende Schritte aus:
    • Weiterleitungsroute: Geben Sie die IP-Adresse der Weiterleitungsroute ein.
    • Klicken Sie auf Speichern, um die Route zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren der IPSEC XAUTH PSK-Einstellungen für Amazon

  • Serveradresse: Geben Sie die IP-Adresse des VPN-Servers ein.
  • Benutzername: Geben Sie einen optionalen Benutzernamen ein.
  • Kennwort: Geben Sie ein optionales Kennwort ein.
  • IPSec-ID: Geben Sie den Namen der VPN-Verbindung ein, der auf Geräten beim Herstellen einer Verbindung angezeigt wird.
  • Vorinstallierter IPSec-Schlüssel: Geben Sie den gemeinsamen geheimen Schlüssel ein.
  • DNS-Suchdomänen: Geben Sie die Domänen ein, die in der Trefferliste bei der Domänensuche auf Geräten angezeigt werden können.
  • DNS-Server: Geben Sie die IP-Adressen der DNS-Server für die Auflösung der angegebenen Domänen ein.
  • Weiterleitungsrouten: Wenn Ihr VPN-Server Weiterleitungsrouten unterstützt, klicken Sie für jede gewünschte Weiterleitungsroute auf Hinzufügen und führen Sie folgende Schritte aus:
    • Weiterleitungsroute: Geben Sie die IP-Adresse der Weiterleitungsroute ein.
    • Klicken Sie auf Speichern, um die Route zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren der IPSEC AUTH RSA-Einstellungen für Amazon

  • Serveradresse: Geben Sie die IP-Adresse des VPN-Servers ein.
  • Benutzername: Geben Sie einen optionalen Benutzernamen ein.
  • Kennwort: Geben Sie ein optionales Kennwort ein.
  • DNS-Suchdomänen: Geben Sie die Domänen ein, die in der Trefferliste bei der Domänensuche auf Geräten angezeigt werden können.
  • DNS-Server: Geben Sie die IP-Adressen der DNS-Server für die Auflösung der angegebenen Domänen ein.
  • Serverzertifikat: Wählen Sie in der Liste das Serverzertifikat aus, das verwendet werden soll.
  • ZS-Zertifikat: Wählen Sie in der Liste das ZS-Zertifikat aus, das verwendet werden soll.
  • Identitätsanmeldeinformationen: Wählen Sie die gewünschten Identitätsanmeldeinformationen in der Liste aus.
  • Weiterleitungsrouten: Wenn Ihr VPN-Server Weiterleitungsrouten unterstützt, klicken Sie für jede gewünschte Weiterleitungsroute auf Hinzufügen und führen Sie folgende Schritte aus:
    • Weiterleitungsroute: Geben Sie die IP-Adresse der Weiterleitungsroute ein.
    • Klicken Sie auf Speichern, um die Route zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren der IPSEC HYBRID RSA-Einstellungen für Amazon

  • Serveradresse: Geben Sie die IP-Adresse des VPN-Servers ein.
  • Benutzername: Geben Sie einen optionalen Benutzernamen ein.
  • Kennwort: Geben Sie ein optionales Kennwort ein.
  • DNS-Suchdomänen: Geben Sie die Domänen ein, die in der Trefferliste bei der Domänensuche auf Geräten angezeigt werden können.
  • DNS-Server: Geben Sie die IP-Adressen der DNS-Server für die Auflösung der angegebenen Domänen ein.
  • Serverzertifikat: Wählen Sie in der Liste das Serverzertifikat aus, das verwendet werden soll.
  • ZS-Zertifikat: Wählen Sie in der Liste das ZS-Zertifikat aus, das verwendet werden soll.
  • Weiterleitungsrouten: Wenn Ihr VPN-Server Weiterleitungsrouten unterstützt, klicken Sie für jede gewünschte Weiterleitungsroute auf Hinzufügen und führen Sie folgende Schritte aus:
    • Weiterleitungsroute: Geben Sie die IP-Adresse der Weiterleitungsroute ein.
    • Klicken Sie auf Speichern, um die Route zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Konfigurieren der PPTP-Einstellungen für Amazon

  • Serveradresse: Geben Sie die IP-Adresse des VPN-Servers ein.
  • Benutzername: Geben Sie einen optionalen Benutzernamen ein.
  • Kennwort: Geben Sie ein optionales Kennwort ein.
  • DNS-Suchdomänen: Geben Sie die Domänen ein, die in der Trefferliste bei der Domänensuche auf Geräten angezeigt werden können.
  • DNS-Server: Geben Sie die IP-Adressen der DNS-Server für die Auflösung der angegebenen Domänen ein.
  • PPP-Verschlüsselung (MPPE): Wählen Sie aus, ob Daten mit Microsoft-Punkt-zu-Punkt-Verschlüsselung (MPPE) verschlüsselt werden sollen. Der Standardwert ist Aus.
  • Weiterleitungsrouten: Wenn Ihr VPN-Server Weiterleitungsrouten unterstützt, klicken Sie für jede gewünschte Weiterleitungsroute auf Hinzufügen und führen Sie folgende Schritte aus:
    • Weiterleitungsroute: Geben Sie die IP-Adresse der Weiterleitungsroute ein.
    • Klicken Sie auf Speichern, um die Route zu speichern oder auf Abbrechen, um den Vorgang abzubrechen.

Einstellungen für Chrome OS

Konfigurationsbildschirm für Geräterichtlinien

  • VPN-Verbindungsname: Geben Sie eine benutzerfreundliche Beschreibung dieser Verbindung ein. Diese Einstellung ist erforderlich.
  • Priorität dieses Netzwerks: Geben Sie einen vorgeschlagenen Prioritätswert für dieses Netzwerk ein. Verwenden Sie einen ganzzahligen Wert.
  • Verbindungstyp: Wählen Sie in der Liste VPN öffnen als Verbindungstyp.

Wenn Sie VPN öffnen auswählen, werden weitere, OpenVPN-spezifische Einstellungen angezeigt. Scrollen Sie, um alle Einstellungen zu sehen.

Konfigurationsbildschirm für Geräterichtlinien

  • Host: Geben Sie den Hostnamen oder die IP-Adresse des Servers für die VPN-Verbindung ein. Dies ist für OpenVPN erforderlich. Der Wert, den Sie hier eingeben, ist der primäre Host. Optional können Sie zusätzliche Hosts konfigurieren, mit denen eine Verbindung hergestellt werden kann, wenn der primäre Host keine Verbindung herstellen kann.
  • Autom. verbinden: Wählen Sie, ob das VPN automatisch eine Verbindung zum Host herstellen soll. Wenn diese Einstellung auf Ein festgelegt wird, stellt das VPN automatisch eine Verbindung zum Host her. Die Standardeinstellung ist Aus.
  • Port: Geben Sie die Nummer des Hostserverports ein. Der Standardwert ist 1194.
  • Protokoll: Geben Sie das Protokoll an, das bei der Kommunikation mit dem Hostserver verwendet werden soll. Der Standardwert ist UPD.
  • Benutzerauthentifizierungstyp: Wählen Sie in der Liste die Art der Benutzerauthentifizierung:
    • Ohne: Es ist kein Kennwort bzw. keine Einmal-PIN erforderlich.
    • Kennwort: nur Kennwort. Sie können diesen Wert konfigurieren oder zulassen, dass der Benutzer ihn zum Zeitpunkt der Verbindung angibt.
    • Kennwort und OTP: Kennwort und Einmal-PIN. Sie können diese Werte konfigurieren oder zulassen, dass der Benutzer sie zum Zeitpunkt der Verbindung angibt.
    • OTP: Einmal-PIN. Sie können diesen Wert konfigurieren oder zulassen, dass der Benutzer ihn zum Zeitpunkt der Verbindung angibt.
  • Benutzername: Geben Sie den Benutzernamen ein, der für die Verbindung mit dem VPN verwendet werden soll. Wird der Name hier nicht angegeben, dann muss der Benutzer ihn beim Herstellen der Verbindung eingeben. Dieser Wert unterliegt Zeichenfolgeerweiterungen.
    • ${LOGIN_ID} wird auf die E-Mail-Adresse des Benutzers vor dem @-Symbol erweitert.
    • ${LOGIN_EMAIL} wird auf die E-Mail-Adresse des Benutzers erweitert.
  • Kennwort: Geben Sie die Kennwort-Textzeichenfolge ein, die bei der Herstellung der Verbindung zum VPN verwendet werden soll. Wird das Kennwort hier nicht angegeben, dann muss der Benutzer es beim Herstellen der Verbindung eingeben.
  • OTP: Geben Sie die Einmal-PIN ein, die für die Verbindung mit dem VPN verwendet werden soll. Kennwort-Textzeichenfolge. Wird die PIN hier nicht angegeben, dann muss der Benutzer sie beim Herstellen der Verbindung eingeben.
  • Anmeldeinformationen speichern: Wählen Sie aus, ob die Anmeldeinformationen nach der Verbindung gespeichert werden sollen. Wenn diese Einstellung auf Aus festgelegt wird, müssen die Benutzer ihre Anmeldeinformationen bei jeder Verbindung eingeben.
  • Anmeldeinformationen im Speicher zwischenspeichern: Wählen Sie aus, ob die von den Benutzern eingegebenen Kennwörter und Einmal-PINs im Speicher des Geräts zwischengespeichert werden sollen. Wenn diese Einstellung auf Ein festgelegt wird, ist die Zwischenspeicherung aktiviert. Die Standardeinstellung ist Aus.
  • Auth: Geben Sie den Authentifizierungsalgorithmus ein, der zum Schützen der Verbindung verwendet werden soll. Der Standardwert ist SHA-1.
  • Wiederholungsart für die Authentifizierung: Wählen Sie in der Liste aus, wie das VPN reagieren soll, wenn Anmeldeinformationen nicht verifiziert werden können. Die Optionen sind Fehler beim erneuten Versuch, Erneut versuchen, ohne nach Authentifizierung zu fragen und Jedes Mal nach Authentifizierung fragen. Der Standardwert ist Fehler beim erneuten Versuch.
  • Verschlüsselungsverfahren: Geben Sie den Verschlüsselungsalgorithmus zum Schützen der Verbindung ein. Der Standardwert ist BF-CBC.
  • LZO-Komprimierung: Geben Sie an, ob die LZO-Komprimierung für das VPN verwendet werden soll. Wenn diese Einstellung auf Ein festgelegt wird, wird die LZO-Komprimierung verwendet. Die Standardeinstellung ist Aus.
  • Adaptive-Komprimierung: Wählen Sie, ob die adaptive Komprimierung für das VPN verwendet werden soll. Wenn diese Einstellung auf Ein festgelegt wird, wird die adaptive Komprimierung verwendet. Die Standardeinstellung ist Aus.

Konfigurationsbildschirm für Geräterichtlinien

  • Zusätzliche Hosts: Konfigurieren Sie eine Liste der Hosts, die in der angegebenen Reihenfolge versucht werden sollen, wenn das Gerät keine Verbindung mit dem primären Host herstellen kann. Die Konfiguration zusätzlicher Hosts ist optional.
    1. Klicken Sie auf Hinzufügen rechts neben Hostname.
    2. Geben Sie den Hostnamen oder die IP-Adresse des Servers ein.
    3. Klicken Sie auf Speichern.

    Wiederholen Sie diese Schritte, um weitere zusätzliche Hosts hinzuzufügen.

  • Serverpollingtimeout in Sekunden: Geben Sie die maximale Anzahl von Sekunden ein, die eine Verbindungsaufnahme mit dem Server versucht werden soll, bevor zum nächsten Server in der Liste gewechselt wird.
  • Standardroute ignorieren: Wählen Sie aus, ob der Host das VPN-Gateway ignorieren soll. Standardmäßig erstellen Geräte eine Standardroute zu der vom VPN-Server angekündigten Gatewayadresse. Wenn diese Einstellung auf “Ein” festgelegt wird, ist Split-Tunneling zulässig. Die Standardeinstellung ist Aus. Wenn der Server ein Weiterleitungskonfigurations-Flag an den Client sendet, wird diese Einstellung ignoriert.
  • Schlüsselrichtung: Geben Sie die Textzeichenfolge für die Schlüsselrichtung ein. Die Schlüsselrichtung wird in Form von “–key-direction” übergeben.
  • Peerzertifikatstyp: Geben Sie “server” ein, um den Peerzertifikatstyp zu prüfen. Wenn diese Einstellung nicht festgelegt wird, wird der Peerzertifikatstyp nicht überprüft.
  • Peerinformationen per Push bereitstellen: Wählen Sie aus, ob Peerzertifkatsinformationen an den Host gesendet werden sollen. Wenn diese Einstellung auf Ein festgelegt wird, werden Peerzertifkatsinformationen gesendet. Die Standardeinstellung ist Aus.
  • Erweiterte Schlüsselverwendung für Peerzertifikat: Geben Sie die explizite Zeichenfolge für die erweiterte Schlüsselverwendung in der OID-Notation ein, mit der das Peerzertifikat signiert sein muss. Optional.

  • Schlüsselverwendung für Peerzertifikat: Fügen Sie erforderliche Schlüsselverwendungsnummern hinzu. Diese Zeichenfolgen sind Hexadezimalzahlen.
  • Peerzertifikat-TLS: Peerzertifikatsignatur erfordern, basierend auf RFC3280TLS-Regeln. Standardwert ist Ohne.
  • Neuverhandlung des Datenkanalschlüssels - Verzögerung in Sekunden: Geben Sie in Form einer Ganzzahl die Zeitdauer in Sekunden ein, die vor der Neuverhandlung eines Kanalschlüssels gewartet werden soll.
  • Bandbreitenbegrenzung: Geben Sie eine Ganzzahl ein, um die maximale Bandbreite des ausgehenden Tunnels in Anzahl von Bytes pro Sekunde anzugeben.
  • Statische Abfrage: Geben Sie eine Zeichenfolge ein, die in der statischen Abfragerückmeldung verwendet wird.
  • Inhalt des TLS-Authentifizierungsschlüssels: Geben Sie hier den Inhalt des TLS-Schlüssels ein. Wenn dieses Feld leer bleibt, kann die TLS-Authentifizierung nicht verwendet werden.
  • TLS-Remoteverbindungen: Geben Sie einen X.509-Namen oder einen CN Namen ein, um Verbindungen nur mit Serverhosts dieses Namens zuzulassen.
  • TLS-Mindestversion: Geben Sie die TLS-Mindestversion ein, die von OpenVPN verwendet werden soll.
  • Ausführlichkeitsgrad: Geben Sie eine Ganzzahl zum Festlegen des Ausführlichkeitsgrads für TLS ein. Wird hier nichts angegeben, wird standardmäßig der OpenVPN-Standardwert verwendet.
  • Ausführlichkeitshash: Wird dies festgelegt, wird der Wert als --verify-hash-Argument an OpenVPN übergeben. Der Hashwert legt den SHA1-Fingerabdruck für das level-1-Zertifikat fest.
  • X509-Namen des Hosts überprüfen: Geben Sie den X.509-Namen des Hosts ein, gegen den die Überprüfung des Namens stattfinden soll.
  • X509-Namenstyp des Hosts überprüfen: Wählen Sie einen X.509-Namenstyp zur Überprüfung. Zur Auswahl stehen die Optionen Name, Namenspräfix und Antragsteller.