UDM/Pro Ios Updates Apple blokkeren op bepaald netwerk

UniFi UDM/Pro Routers
M

maestro

UniFier
5 nov 2021
82
99
18
Ik heb meerdere netwerken en nu wil ik op 1 bepaald netwerk de dienst van Apple Ios update blokkeren.
Ik heb namelijk in dat netwerk een aantal telefoons staan die niet geupdate kunnen/mogen worden ivm dat de software nog niet lekker draait op ios15.
Dus al die telefoons draaien op ios 13/14.

Nu heb ik dat ik op mijn eigen netwerk wel gewoon ios updates wil, maar op dat ene specifieke netwerk dus niet.
Is dat mogelijk?
Ik dacht anders aan Pi-hole instaleren op mijn synology nas en het daar dan op dns niveau te blokkeren en dan het specifieke netwerk dan als dns de pi-hole te laten gebruiken.
Maar later dacht ik... het moet toch ook via de interface van de UDM pro SE kunnen?
Of verwacht ik nu teveel van mijn nieuw gekozen speelgoed ^^ :p
 
  • Leuk
Waarderingen: m4v3r1ck
Waarom niet gewoon in de telefoons zelf. Draai zelf nog steeds iOS 14 op mijn iPhone Xs.

809B7E4E-FD21-46B4-B73A-091F50A75A2C.jpeg

Zou ook niet weten hoe je dat per netwerk kunt regelen, daarom is het wel een interessante vraag. Dat zou dan een blokkade - IP adres - van de App Store / iOS update server zijn (?)
 
  • Leuk
Waarderingen: PcRene en maestro
Omdat je dan nog steeds in mijn geval elke keer als de telefoon opnieuw opstart door een script je dan de melding krijgt ( pop up ) dat er een update is.
Daarbij ook nog eens op de mac mini waar al die iphones op aangesloten is.
Dus daarom de vraag of zoiets in te regelen is via unifi os.
maar ik ben bang dat je het toch via een block op firewall niveau of dns moet doen.
maar hoe ?
 
maestro zei:
Omdat je dan nog steeds in mijn geval elke keer als de telefoon opnieuw opstart door een script je dan de melding krijgt ( pop up ) dat er een update is.
Daarbij ook nog eens op de mac mini waar al die iphones op aangesloten is.
Dus daarom de vraag of zoiets in te regelen is via unifi os.
maar ik ben bang dat je het toch via een block op firewall niveau of dns moet doen.
maar hoe ?
Klik om te vergroten...
Ik heb die banners (pop-ups) op de iPhone in “Berichtgevingen” uitgezet en gewijzigd naar alleen Badges.

Op firewall niveau in de UniFi Network controller kun je het IP-adres van de Apple update-server(s) toch gewoon blokken?
 
  • Leuk
Waarderingen: maestro
dat was mijn vraag of dat kon, maar wil niet alles van apple blokkeren omdat ik ook "dingen" van apple zelf nodig heb, behalve de "call home" functie van de updates zeg maar.
 
maestro zei:
dat was mijn vraag of dat kon, maar wil niet alles van apple blokkeren omdat ik ook "dingen" van apple zelf nodig heb, behalve de "call home" functie van de updates zeg maar.
Klik om te vergroten...
Dan zou ik even zoeken met een netwerk snitcher naar de juiste IP-adressen, die verantwoordelijk zijn voor deze auto-update pop-ups in al jouw iDevices/Mac Mini. Of dat dan ook vaste IP-adressen zijn weet ik niet.

Je zou deze hele specifieke vraag over de IP-adressen van de Apple Update Servers ook even op MacRumors.com/Apple Community kunnen stellen.

Of toch wellicht zijn er UniFiers die deze auto-updates ook al hebben geblokkeerd op een van hun netwerken.
 
  • Leuk
Waarderingen: maestro
In UniFi Network v6.5.53 kun je nu specifieke rules aanmaken. Gezien jouw specifieke vraag, is dit wellicht een optie om eens te onderzoeken / proberen of dit voor jou de iOS updates op een specifiek LAN kan blokkeren.

Screenshot 2021-12-08 at 07.17.59.png
 
dank je @m4v3r1ck
Ik heb er even naar gekeken, het probleem bij UI is dat je wel op IP kan blokkeren, dus grofweg zou je heel het subnet van apple kunnen blokkeren, wat wel wat rigoureus is, maar niet op website.

De update servers staan namelijk onder.
mesu.apple.com
appldnld.apple.com

en vermoedelijk ook de volgende.
  • swscan.apple.com
  • swquery.apple.com
  • swdownload.apple.com
  • swcdn.apple.com
  • swdist.apple.com
Dus ik zit er anders maar over te denken om alles naar Apple te blokkeren, de appstore gebruik ik niet omdat ik zelf mijn apps sign en deploy vanaf een mac mini, dus dat heb ik niet nodig.
 
  • Leuk
Waarderingen: m4v3r1ck
maestro zei:
dank je @m4v3r1ck
Ik heb er even naar gekeken, het probleem bij UI is dat je wel op IP kan blokkeren, dus grofweg zou je heel het subnet van apple kunnen blokkeren, wat wel wat rigoureus is, maar niet op website.

De update servers staan namelijk onder.
mesu.apple.com
appldnld.apple.com

en vermoedelijk ook de volgende.
  • swscan.apple.com
  • swquery.apple.com
  • swdownload.apple.com
  • swcdn.apple.com
  • swdist.apple.com
Dus ik zit er anders maar over te denken om alles naar Apple te blokkeren, de appstore gebruik ik niet omdat ik zelf mijn apps sign en deploy vanaf een mac mini, dus dat heb ik niet nodig.
Klik om te vergroten...

Graag gedaan en dank voor je uitvoerige feedback.

Check nog wel even goed - double check - of er servers zijn die absoluut noodzakelijk zijn voor een goede werking van je iPhones / iMacs e.d. met name voor de gedeelde applicaties zoals icloud / backups e.d.

Ik ben erg benieuwd hoe je dit uiteindelijk kunt/gaat oplossen, zoals eerder gezegd een zeer interessante use-case.(y)
 
  • Leuk
Waarderingen: maestro
OPzich wat die telefoons doen is niets meer dan pokemongo draaien, ze zijn gemanaged met apple configurator2, dus daar hoef ik het niet voor te doen.
Na een reboot van de telefoons word er door de macmini die 2x20 usb porten hubs aanstuurt de iphone die gereboot is opnieuw voorzien van developer files, en dan start de telefoon automatisch pokemon go weer op en gaat aan het werk.
Dus als ik zelf zo na denk denk ik niet dat op telefoon niveau "iets" van apple zelf nodig heb om dat te blokkeren.
Zoals ik al zei, ik sign de applicatie zelf op mijn eigen macbook pro die in een ander vlan staat, en transfer het dan naar de macmini die ook in hetzelfde vlan als de macbook staat.
Dan vervolgens word het via de macmini op die telefoons via xcode geinstalleerd.

Dus tja.. apple... niet nodig..
Volgens mij was het subnet apple 17.0.0.0/8

Dus ik ga die rule er maar eens in gooien en kijken of de telefoons blijven werken :p
 
Even ”out of the box” denken. Je kunt op die iPhones toch een bedrijfsprofiel installeren waarbij je het installeren van IOS updates blokkeert? Dan weet je zeker dat er nooit geupdate wordt.
 
  • Leuk
Waarderingen: m4v3r1ck, maestro en Bouli
dat kan inderdaad, maar dat is maar voor dacht ik max 99 dagen :p

Ik ben even verder gaan kieken, maar het lijkt niet te werken, simpel omdat UI een vaag error geeft en niet zegt wat ik vout doe :p

Schermafbeelding 2021-12-08 om 07.53.59.png
 
Hofstede zei:
Even ”out of the box” denken. Je kunt op die iPhones toch een bedrijfsprofiel installeren waarbij je het installeren van IOS updates blokkeert? Dan weet je zeker dat er nooit geupdate wordt.
Klik om te vergroten...
Heb even nagekeken voor iOS 14.

Configuratieprofielen installeren of verwijderen op de iPhone

Op de iPhone kun je configuratieprofielen installeren waarmee de instellingen van bijvoorbeeld een bedrijfsnetwerk of schoolaccount worden toegepast.
support.apple.com

De optie zal alleen zichtbaar worden NA het installeren van een ander profiel dan standaard? Ik zie nml geen “Instellingen > Algemeen > Beheer Profielen”.
 
profiel installeren is de moeilijkheid niet, zeker met AC2 kan je dat makkelijk doen, maar het is dan wel zo dat je maar 99 dagen geen update kan doen maximaal.
Heb dat ooit al geprobeerd.
Daarbij kon je "vroeger" een apple tv beta os profile ook doen, maar die werkt niet meer.
 
maestro zei:
profiel installeren is de moeilijkheid niet, zeker met AC2 kan je dat makkelijk doen, maar het is dan wel zo dat je maar 99 dagen geen update kan doen maximaal.
Heb dat ooit al geprobeerd.
Daarbij kon je "vroeger" een apple tv beta os profile ook doen, maar die werkt niet meer.
Klik om te vergroten...
Ik snap even niet wat je bedoelt, AC2 / 99 dagen geen update / Apple TV beta OS? Heel veel vragen 😉
 
  • Leuk
Waarderingen: maestro
^^

Apple Configurator is een programma waarmee je ( met MDM of zonder ) iphones kan beheren.
Je kan dan profielen installeren om settings te veranderen zodat medewerkers bepaalde dingen niet kunnen.
Dat gaat best diep zeg maar, van geen apple store kunnen gebruiken tot alleen wifi of juist wel wifi en geen 4g kunnen gebruiken noem maar op.

Een daarvan is ios update niet installeren, maar profiel staat maar 99 dagen toe.
Dat is gedaan zodat elke organisatie gewoon na 99 dagen hun zaakjes op orde moeten hebben, na 99 dagen zouden de medewerkers dan wel een update kunnen doen van IOS.

Apple TV beta OS profile was een profile van Apple TV beta 12 of 13 dacht ik, als je die installeerde moest je handmatig ios updaten, je kreeg dan geen meldingen meer, helaas werkt die apple TV profile niet meer.
 
  • Leuk
Waarderingen: m4v3r1ck
maestro zei:
^^

Apple Configurator is een programma waarmee je ( met MDM of zonder ) iphones kan beheren.
Je kan dan profielen installeren om settings te veranderen zodat medewerkers bepaalde dingen niet kunnen.
Dat gaat best diep zeg maar, van geen apple store kunnen gebruiken tot alleen wifi of juist wel wifi en geen 4g kunnen gebruiken noem maar op.

Een daarvan is ios update niet installeren, maar profiel staat maar 99 dagen toe.
Dat is gedaan zodat elke organisatie gewoon na 99 dagen hun zaakjes op orde moeten hebben, na 99 dagen zouden de medewerkers dan wel een update kunnen doen van IOS.

Apple TV beta OS profile was een profile van Apple TV beta 12 of 13 dacht ik, als je die installeerde moest je handmatig ios updaten, je kreeg dan geen meldingen meer, helaas werkt die apple TV profile niet meer.
Klik om te vergroten...
Aha, voor de gevorderde Apple iPhone (Park) Beheerder dus. Nu snap ik het, kende het helemaal niet. Dank voor je uitleg

De vraag blijft hoe kun je meerdere iPhones op je UniFi Netwerk soortgelijk kunt beheren qua iOS updates…

Ik blijf erg nieuwsgierig naar het antwoord hierop. 😉
 
Activiteit
Er wordt op dit moment (nog) geen nieuwe reactie gepost.
  Topic Status: Hallo . Er is al meer dan 14 dagen geen nieuwe reactie meer geplaatst.
  De inhoud is mogelijk niet langer relevant.
  Misschien is het beter om in plaats daarvan een nieuw onderwerp te starten..
Bovenaan Onderaan
Terug