Kapitel 4 Infrastruktur und Integration 45
•
Erkennen, wann ein unbekanntes WLAN verwendet wird und ein VPN für alle
Netzwerkvorgänge erforderlich ist.
•
Erzwingen von VPN, wenn die DNS-Anfrage nach einem bestimmten
Domainnamen fehlschlägt.
Etappen
VPN ON Demand stellt die Verbindung zu Ihrem Netzwerk in zwei Stufen her.
Netzwerkerkennung
Die VPN On-Demand Regeln werden ausgewertet, wenn sich die primäre Netzwerkschnittstelle
des Geräts ändert. Das ist etwa dann der Fall, wenn ein Apple-Gerät in ein anderes WLAN oder
von WLAN zu Mobilfunk in iOS oder Ethernet in OS X wechselt. Ist die primäre Schnittstelle eine
virtuelle Schnittstelle (z. B. eine VPN-Schnittstelle), werden VPN On-Demand Regeln ignoriert.
Die Abgleichregeln in jeder Gruppe (Verzeichnis) müssen ausnahmslos zutreen, damit die ihnen
zugeordnete Aktion ausgeführt wird. Trit eine der Regeln nicht zu, wird die Auswertung mit
dem nächsten Verzeichnis im Array fortgesetzt, bis das Array „OnDemandRules“ ausgeschöpft ist.
Das letzte Verzeichnis sollte eine Standardkonguration denieren, d. h. keine Abgleichregeln
enthalten, sondern nur eine Aktion. Auf diese Weise werden alle Verbindungen erfasst, die keine
der vorhergehenden Regeln erfüllen.
Verbindungsevaluierung
Ein VPN kann bedarfsgesteuert auf Basis von Verbindungsanfragen an bestimmte Domains
ausgelöst werden, statt unilateral auf Basis der Netzwerkschnittstelle getrennt oder verbunden
zu werden.
Regeln und Aktionen
Regeln denieren den Typ der VPN On-Demand zugeordneten Netzwerke. Aktionen denieren,
was passiert, wenn Abgleichregeln zum Ergebnis „Wahr“ führen.
On-Demand-Abgleichregeln
Geben Sie für Cisco IPSec-Clients eine oder mehrere der folgenden Abgleichregeln an:
•
InterfaceTypeMatch: Optional. Ein String-Wert, der „cellular“ (in iOS) bzw. „Ethernet“ (in OS X)
oder „Wi-Fi“ enthält. Diese Regel trit zu, sofern sie angegeben wird, wenn die Hardware der
primären Schnittstelle den angegebenen Typ hat.
•
SSIDMatch: Optional. Ein Array von SSIDs zum Abgleich mit dem aktuellen Netzwerk.
Wenn das Netzwerk kein WLAN ist oder die SSID nicht in der Liste enthalten ist, schlägt der
Abgleich fehl. Zum Ignorieren der SSID muss dieser Schlüssel samt dem zugehörigen Array
weggelassen werden.
•
DNSDomainMatch: Optional. Ein Array von Such-Domains als Strings. Diese Eigenschaft trit zu,
wenn die kongurierte DNS-Suchdomain des aktuellen primären Netzwerks im Array enthalten
ist. Ein Platzhalterzeichen (*) als Präx wird unterstützt; beispielsweise würde „etwas.beispiel.
com“ eine Übereinstimmung mit „*.beispiel.com“ ergeben.
•
DNSServerAddressMatch: Optional. Ein Array von DNS Serveradressen als Strings. Diese
Eigenschaft trit zu, wenn alle derzeit kongurierten DNS Serveradressen des aktuellen
primären Netzwerks im Array enthalten sind. Das Platzhalterzeichen (*) wird unterstützt;
beispielsweise würden beliebige Server mit dem Präx „1.2.3.“ eine Übereinstimmung mit
„1.2.3.*“ ergeben.
