Frage:

Frage: ios aktivierung mit dep payload über proxy

moin.

stehe vor einem rätsel. wir müssen dep ipads über einen squid proxy aktivieren. das war in der vergangenheit mit ios 10 kein problem. jetzt allerdings meldet der apple configurator das die "cloud konfiguration" des ipads nicht abgerufen werden konnte. ergebnis: das ipad fragt dann zb nach dem fingerabdruck, obwohl dieser setupschritt ( wie auch alle anderen schritte) über das mdm via device enrollment programm übersprungen werden sollen.

setze ich das ipad am proxy vorbei auf, ist alles wie es sein soll: alle setupschritte werden übersprungen, das gerät meldet sich im mdm und bekommt seine config.

sobald ich einen squid (3.5.12 auf ubuntu 16.04lts) dazwischen hänge und dem ipad im wifi profil den proxy mitgebe, wird das ipad zwar aktiviert aber es fragt anschließend nach touchid, code und backup.

wir setzen die ipads über den configurator 2.6.1 mit der funktion "vorbereiten" und "automatische registrierung" auf.

der squid wurde schon auf minimalkonfiguration reduziert und zeit im log keine blockeinträge. wir machen keinerlei packetinspection oder transparent proxy geschichten, alles standard http/https proxy.

lediglich die tcp_miss_aborted/206 einträge im access.log wundern mich. das deutet ja darauf hin, das das ipad die anfragen abbricht.

hat jemand das problem schon einmal gesehen?

iPad, iOS 11.2.6

Gepostet am

Antworten

Seiteninhalt wurde geladen

13. Mär. 2018, 15:27 als Antwort auf leckermojito Als Antwort auf leckermojito

hallo leckermojito,

ich denke, du kennst die voraussetzungen für die kommunikation zwischen apple-servern und deinen geräten. evtl. schaust du dir die hier nochmals an und überlegst, ob dein squid diese kommunikation hinkriegt...

push-benachrichtigungsdienst von apple funktioniert nicht - apple support

aus dem apple support-dokument:

"wenn sie ein wlan-netzwerk hinter einer firewall nutzen oder über einen privaten access-point mit einem mobilfunknetz verbunden sind, erfolgt die verbindung über spezielle ports. sie benötigen an diesen ports eine direkte verbindung (nicht über einen proxy) zu den apns-servern:"

variante 1:

ich nutze auf dem server auch ubuntu lts und squid als proxy, aber bei der erstmaligen aktivierung der geräte nutze ich einen freifunk-router, der eine schrankenlose kommunikation (zwischen den apple-servern und den ipads möglich macht). dann klappt es. der router muss allerdings geflasht werden und kostet ca. 25 eur (tp-link).

variante 2:

ich habe inzwischen auch eine virtuelle firewall für die ipads unter vmware eingerichtet und nur über diese lasse die kommunikation der ipads laufen. kein squid, alle benötigten ports offen. allerdings muss dann dabei das routing für die ipads noch angepasst werden :-)

eine professionelle analyse des netzwerktraffics mit "wireshark" kann weiter helfen, denn da kannst du auf paket-ebene verfolgen, was die ursache deines problems ist. notfalls einen fachmann einbinden.

viele erfolg

michael

13. Mär. 2018, 15:27

Antworten Hilfreich

13. Mär. 2018, 16:07 als Antwort auf ElChip Als Antwort auf ElChip

hallo.

ja, das dokument kenne ich.

alle ipads haben auch am proxy vorbei alle ports in richtung 17.0.0.0/8 frei und .apple.com als proxyausnahme eingetragen.

allerdings stellt man schnell fest, das apple hier scheinbar derzeit schwer umschichtet zu akamei und damit auf einmal ipadressen außerhalb des 17er netz von apple auftauchen. so haben ich zb schon die adressen

23.57.26.135, 104.108.178.44, 104.108.163.216 beim aktivieren auf meiner firewall aufschlagen sehen, jeweils auf dem ssl port 443. die gehören laut dns zu akamei, welche ja dienstleister für die apfels sind.

wie gesagt hat zu ios 10 zeiten das netz 17/8 ausgereicht als proxyausnahme, jetzt wohl nicht mehr. daher frage ich mich wie aktuell diese aussagen von apple sind....

13. Mär. 2018, 16:07

Antworten Hilfreich

13. Mär. 2018, 17:00 als Antwort auf leckermojito Als Antwort auf leckermojito

hallo,

habe gerade auch noch geforscht und sehe außer 17er adressen im moment nix anderes.

z.b. per nslookup...

nslookup gateway.push.apple.com

server: 192.168.1.1

address: 192.168.1.1#53

non-authoritative answer:

gateway.push.apple.com canonical name = gateway.push-apple.com.akadns.net.

name: gateway.push-apple.com.akadns.net

address: 17.188.131.23

name: gateway.push-apple.com.akadns.net

address: 17.188.142.27

name: gateway.push-apple.com.akadns.net

address: 17.188.135.23

name: gateway.push-apple.com.akadns.net

address: 17.188.133.27

name: gateway.push-apple.com.akadns.net

address: 17.188.133.149

name: gateway.push-apple.com.akadns.net

address: 17.188.142.23

name: gateway.push-apple.com.akadns.net

address: 17.188.130.30

name: gateway.push-apple.com.akadns.net

address: 17.188.139.28

viel erfolg!!

michael

13. Mär. 2018, 17:00

Antworten Hilfreich
Benutzerprofil für Benutzer: leckermojito

Frage: ios aktivierung mit dep payload über proxy