VPN für alle mit OpenVPN

von Dirk Metzmacher

Wer eine verlässliche und anpassungsfähige VPN-Lösung auf Softwarebasis sucht, ist mit OpenVPN gut bedient. Das Programm ist kostenlos und läuft auf einer Vielzahl von Betriebssystemen.

Egal ob Windows, Linux, Mac, Solaris, OpenBSD, FreeBSD oder NetBSD – es läuft. Auch das erklärt den guten Marktanteil, der mit dem übersichtlichen Konzept und einer einfachen Bedienung erreicht wurde. Unter Windows muss zur Installation nur die „self-install.exe“ Datei ausgeführt werden. Die findet man auf openvpn.net in der Kategorie „Download“. Zu allen anderen Betriebssystemen findet sich dort auch das passende .tar.gz-Archiv. Die Voraussetzung, um OpenVPN zum Laufen zu bringen, ist immer ein virtueller Netzwerkanschluss (also ein TUN oder auch TAP Device). Der ist eigentlich Standard. Nur bei älteren LINUX-Kernels und bei MAC OSX muss möglicherweise ein neuer Kernel oder Kernelpatch installiert werden. Für Windows wird der Treiber mit dem OpenVPN-Paket geliefert.

Installation unter Windows
Exemplarisch soll hier die Installation unter Windows mit anschließendem Einsatz gezeigt werden. Geht man davon aus, dass zumeist Außendienst- und Home-Office-Mitarbeiter per Software mit dem Firmennetzwerk verbunden werden, hat die Windows-Plattform wohl die größte Wahrscheinlichkeit, auf diesen Rechnern installiert zu sein. Und Windows-Nutzer haben es leicht. Da wird die Installationssoftware nach dem Download mit allen Standardeinstellungen abgenickt und installiert. Dann Neustart und fertig. Wer sicher gehen möchte, dass er den Verbleib der Schlüssel nachvollziehen kann, dem sei geraten, OpenVPN in einem verschlüsselten Verzeichnis, etwa per PGPDisk, zu installieren.

Zwei Computer, eine Leitung
Und diese Leitung soll sicher sein. Beide Rechner müssen dazu den gleichen Schlüssel besitzen, um die Daten ver- und wieder entschlüsseln zu können. Dieser Schlüssel wird auf einem der Rechner erzeugt und in das entsprechende Verzeichnis auf dem anderen Computer kopiert. Da dieser Schlüssel den Zugang von jedem Rechner aus ermöglicht, kann jeder der ihn besitzt, auch auf das Netzwerk zugreifen. Eine sichere Übermittlung ist also zwingende Voraussetzung. Unverschlüsselte eMails kommen nicht in Frage. Sicherer ist allemal, pro Monat einen neuen Schlüssel einzusetzen. Und dieser Schlüssel wird wie folgt erstellt: Über das Startmenü klickt man auf „Start -> Programme -> OpenVPN -> Generate a static OpenVPN key“.

Einfach: Schlüssel erstellen

Mehr ist das nicht. Der gerade erstellte Schlüssel ist nun unter C:\Programme\OpenVPN\config\key.txt zu finden.

Hallo, ist da jemand?
Um eine Verbindung aufzunehmen benötigt man eine Konfigurationsdatei. Die erstellt man im Verzeichnis C:\Programme\OpenVPN\config als Textdatei mit dem Namen konfig.ovpn. Hat jeder Rechner eine feste IP-Adresse, etwa der eine Computer (München) 192.168.1.1, der andere Computer (Hamburg) 192.168.2.1, dann sieht die jeweilige Konfigurationsdatei wie folgt aus:

Auf dem Computer in München
remote 192.168.2.1 („die statische IP-Adresse von Hamburg“)
dev tun
ifconfig 10.0.0.1 10.0.0.2 („die getunnelten IP-Adressen von München und Hamburg“)
secret key.txt
port 5000

Auf dem Computer in Hamburg
remote 192.168.1.1 („die statische IP-Adresse von München“)
dev tun
ifconfig 10.0.0.2 10.0.0.1 („die getunnelten IP-Adressen von Hamburg und München“)
secret key.txt
port 5000

Bei einer dynamisch generierten IP-Adresse, etwa vom Laptop des Außendienstmitarbeiters, zum Computer (München) mit der IP 192.168.1.1, fällt nur der Eintrag „remote“ mit der dahinter stehenden IP bei der Konfigurationsdatei auf dem Rechner in München weg.

Mit OpenVPN in den Tunnel
Der Tunnel baut sich auf, wenn auf beiden Seiten OpenVPN mit der entsprechenden Konfigurationsdatei gestartet wird. Soll der eine Rechner generell ansprechbar sein, sollte OpenVPN mit der Konfigurationsdatei immer beim Start geladen werden. Dazu einfach im Startmenü „Einstellungen -> Systemsteuerung -> Verwaltung -> Dienste“ anklicken, den Dienst OpenVPN auswählen und über die Eigenschaften die Startoption von manuell auf automatisch abändern.

Auf dem anderen Rechner könnte der VPN-Tunnel auch „von Hand“ gestartet werden. Man geht in das Verzeichnis „Programme -> OpenVPN -> config“ und klickt die Datei konfig.ovpn mit der rechten Maustaste an. Im sich öffnenden Kontextmenü wählt man „start OpenVPN on this config file“ aus. Es öffnet sich ein Fenster. Wurde alles richtig gemacht, steht in der untersten Zeile „Peer Connection initiated with …“.

Ab durch den Tunnel

Der Tunnel steht. Doch OpenVPN ermöglicht auch die sichere WLAN-Verbindung ins Internet, was wichtig für die Laptops der Außendienstmitarbeiter ist. Auch darüber werden wir berichten.

Erstveröffentlichung 12.05.2005