Hallo,
wir versuchen VPN-Profile an unsere iOS-Devices zu verteilen.
Eingesetzt wird ein SCCM-Server mit Intune als MDM-Server.
Die Kommunikation mit den Clients funktioniert, es werden auch SCEP-Zertifikate an die iOS-Devices verteilt mit denen sie sich automatisch bei unseren WLANs per EAP authentifizieren können.
Nun versuche ich ein VPN-Profil zu verteilen, durch das sich die Geräte ebenfalls per SCEP-Zertifikat authentifizieren können.
Leider ist hier die Dokumentation seitens Microsoft recht dürftig und weicht von Informationen, die ich bei Apple erhalte ab.
Als VPN-Server kommen bei uns ein Microsoft 2008R2 RRAS-Server, sowie eine Fortigate zum Einsatz.
Der RRAS-Server kann SSTP und L2TP (PPTP kommt nicht in Frage), die Fortigate kann IPSec und SSL.
Wenn ich im Configuration Manager ein VPN-Profil erstelle, werden mir diverse Protokolle angeboten. Einige beziehen sich auf 3rd-Party-Clients (Pulse, Sonicwall), aber L2TP ist dabei und sollte mit Windows RRAS ja funktionieren.
Hier habe ich aber das Problem, dass ich im VPN-Profil zwar verschiedene Authentifizierungen wählen kann. Wähle ich hier aber eine Methode, welche ein Zertifikat erfordert, kann ich das bereits von mir erstellte und verteilte SCEP-Zertifikat zwar hier auswählen,
aber nachdem das Profil auf ein iPhone verteilt wurde, fragt mich das VPN dort trotzdem nach Benutzername und Passwort und die Verbindung scheitert auch bei korrekten Anmeldedaten.
Laut Dokumentation von Apple unterstützt iOS bei L2TP keine Zertifikatauthentifizierung.
Für unsere Fortigate würde ich ein IPSec-VPN benötigen, welches mir im VPN-Profil des Configuration Manager aber nicht angeboten wird.
Nun also meine eigentlich recht einfache Frage:
Wie erstelle ich im Configuration Manager ein VPN-Profil für iOS 10 das entweder am Windows RRAS-Server oder an der Fortigate connected und bei dem das VPN per SCEP-Zertifikat authentifiziert wird?
