Will Ihr Kunde externen Mitarbeitern Zugriff auf das Firmennetzwerk gewähren, müssen Sie für sichere Verbindungen sorgen. Dieser Workshop demonstriert, wie man mit der Open-Source-Lösung OpenVPN einen sicheren Einwahlserver aufsetzt und konfiguriert.
Per VPN (Virtual Private Network) können Standorte sicher über eine Netzwerkverbindung kommunizieren. Dahinter versteckt sich im Prinzip eine sichere und verschlüsselte Verbindung zwischen zwei Netzwerken, auch Tunnel genannt. Nach dem Herstellen einer solchen Verbindung befindet sich zum Beispiel ein Außendienstmitarbeiter sozusagen im internen Netzwerk seiner Firma. Somit kann er all das tun, was er sonst direkt im Büro erledigt. Beispiele sind Zugriffe auf das Intranet sowie auf interne Mail- und Datei-Server.
Dieser Artikel demonstriert, dass sich durchaus kostengünstige VPN-Lösungen realisieren lassen. Das Thema ist sehr komplex; es im Gesamten zu behandeln würde den Rahmen des Beitrags sprengen; deshalb werden nur die wichtigsten Punkte angesprochen. Sollten wir zum Beispiel statt Routing Ethernet Bridging verwenden wollen, befinden wir uns plötzlich im Thema Netzwerk. Die Entwickler raten zum Bridging-Einsatz allerdings ohnehin nur in bestimmten Situationen.
Mehr zu dem Thema Netzwerke lesen Sie hier:
Am Ende dieses Workshops werden Sie aber einen funktionierenden VPN-Server konfiguriert haben, auch wenn Sie kein Netzwerkspezialist sind.
- Workshop OpenVPN
Das OpenVPN-Projekt steht unter der GPL. - Workshop OpenVPN
Das Kopieren der Beispiele nach /etc/openvpn erleichtert die weitere Konfiguration. - Workshop OpenVPN
TecChannel hat den Schlüssel auf 2048 erhöht und die Landes-Informationen angepasst. - Workshop OpenVPN
Ein Zertifikat ist schnell und mittels nur drei Befehlen erstellt. - Workshop OpenVPN
Der Server-Schlüssel ist ebenso schnell angefertigt wie das Master-Zertifikat. - Workshop OpenVPN
Je nach Hardware kann die Erzeugung dieses Schlüssels (Diffie Hellmann) eine Weile in Anspruch nehmen. - Workshop OpenVPN
Die Beispiel-Datei ist ein guter Ausgangspunkt und ausgezeichnet dokumentiert. - Workshop OpenVPN
Mit dieser Einstellung teilen wir dem Client mit, dass er den gesamten Datenverkehr durch das Virtual Private Network abhandeln soll. - Workshop OpenVPN
Soll jeglicher Datenverkehr durch das VPN gehen, sind Einstellungen am Netzwerk notwendig. - Workshop OpenVPN
Der Administrator muss dafür sorgen, dass sich Server und Client verstehen. Ist die Kompression am Server (comp-lzo) aktiviert, muss der Client das wissen. - Workshop OpenVPN
Von hier aus wird getestet, ob wir alles richtig gemacht haben. - Workshop OpenVPN
Wir können uns einwählen und die Adressen 192.168.150.50 und 192.168.50.1 anpingen. - Workshop OpenVPN
Mit dem Netzwerk-Manager lässt sich die Client-Verbindung schnell einrichten. - Workshop OpenVPN
Das hinzufügen einer VPN-Verbindung ist wirklich ein Kinderspiel. - Workshop OpenVPN
Wenn Sie den Netzwerk-Manager verwenden, haben Sie schnell Zugriff auf die sichere Einwahl. - Workshop OpenVPN
Diese Methode funktioniert eben so gut, wie über die Kommandozeile. - Workshop OpenVPN
Mit nur zwei Mausklicks wählt sich der Client ein. - Workshop OpenVPN
Unter Windows ist die Einwahl ebenfalls ein voller Erfolg. - Workshop OpenVPN
Mit dieser Methode haben Sie einen Schnellzugriff auf die VPN-Verbindung. - Workshop OpenVPN
Ein error 23 sagt uns, dass das Zertifikat gesperrt wurde. Ausgesperrt ist der Anwender allerdings noch nicht. - Workshop OpenVPN
Dieses Zertifikat darf sich nun nicht mehr einwählen und wird abgelehnt. - Workshop OpenVPN
Derzeit ist nur der Nutzer tecchannel auf dem VPN-Server eingewählt.
Kurze Beschreibung der verschiedenen VPN-Lösungen
Im Bereich der VPN-Lösungen gibt es drei großen Familien: SSL, IPSec und PPTP. OpenVPN ist ein SSL-VPN und somit nicht kompatibel zu IPSec, L2TP und PPTP. Das IPSec-Protokoll ist so geschaffen, dass es als Modifikation des IP-Stack im Kernel-Space implementiert wird. Somit benötigt jedes Betriebssystem ein eigenes Einbetten. PPTP hätte den Vorteil, dass es auf Windows-Clients schon vorinstalliert ist. Allerdings sehen Sicherheits-Experten das PPTP-Protokoll als unsicher an. OpenVPN liegt im User-Space der Betriebssysteme und lässt sich daher leicht plattformunabhängig implementieren. Darüber hinaus gilt es als sicher. Aus diesem Grund erfreut sich der Einsatz von OpenVPN immer größerer Beliebtheit. Die kostengünstigste Lösung ist das manuelle Aufsetzen und Konfigurieren eines OpenVPN-Servers unter Linux.
Installation des Servers unter Linux
Das Paket OpenVPN ist mittlerweile fester Bestandteil in den großen Linux-Distributionen. Daher gestaltet sich eine Installation mittels der verfügbaren Paket-Manager in der Regel recht einfach. Sobald OpenVPN installiert ist, läuft die Konfiguration auf den verschiedenen Betriebssystemen sehr ähnlich ab. Lediglich die ausführbaren Programme können unter Linux an verschiedenen Orten liegen. Das ist aber kein Problem.
Nach einem Programm oder einer Datei können Sie mit folgendem simplen Befehl suchen: find / -name “Suchbegriff“. Um für alle Eventualitäten gewappnet zu sein, sollten Sie sowohl das Paket openvpn als auch bridge-utils installieren. Unter Ubuntu würde der Befehl zum Beispiel sudo apt-get openvpn bridge-utils lauten. Das Äquivalent für Red Hat oder CentOS wäre yum install openvpn bridge-utils. Unter CentOS funktioniert das aber nur, wenn Sie eines der Third-Party-Repositories verwenden.
Wichtig: Stellen Sie sicher, dass die Firewall, falls vorhanden, richtig konfiguriert ist und die entsprechenden Ports durchlässt.