Workshop - Sichere Einwahlverbindungen mit OpenVPN auf einem Windows-Server

Community-Version der OpenVPN-Software auf einem Windows-Rechner

Vor der Konfiguration müssen wir zum besseren Verständnis einige Variablen fix deklarieren. Der interne Windows-/Einwahlserver soll die IP-Adresse 192.168.150.70 erhalten. Das Internet-Gateway ist 192.168.150.1. Bei der Wahl des Netzwerks sollten Sie keinen der von öffentlichen Orten meist genutzten Adress-Pools bemühen. Dazu gehören zum Beispiel 192.168.0.0, 192.168.1.0 oder 10.0.0.0. Andernfalls könnte das zu Routing-Konflikten führen. Die externe IP-Adresse des Gateways hängt davon ab, was Ihnen der Provider zur Verfügung stellt. Diese externe Adresse sollte möglichst statisch sein. Ist das nicht der Fall, helfen Dienste wie zum Beispiel DynDNS weiter.

Erzeugung der Schlüssel

Nach einer Installation finden Sie alle benötigten Dateien und Scripte im Installationsverzeichnis von OpenVPN. Dies ist unter Windows im Standardfall c:\Programme\openVPN oder c:\Program Files\OpenVPN.

OpenVPN lässt sich ab hier nicht mehr über eine GUI handhaben. Daher bleibt Ihnen nichts anderes übrig, als eine Windows-Konsole zu öffnen. Hier wechseln Sie in das Installationsverzeichnis. Dort finden Sie ein Unterverzeichnis easy-rsa. Dort passen Sie die Datei vars.bat mit einem Editor Ihrer Wahl an. Hier können Sie die Schlüsselstärke und die länderspezifischen Angaben einstellen, die später im Master-Zertifikat (CA) verwendet werden.

Nun ist es an der Zeit, das eigentliche Zertifikat zu erstellen. Rufen Sie hierfür nacheinander die Befehle vars, clean-all und build-ca auf. Danach erschaffen wir ein Zertifikat und einen privaten Schlüssel für den Server. Rufen Sie hierfür build-key-server servername auf. Die Software wird ähnliche Fragen stellen wie bei der Generierung des CA. Am Ende signieren und bestätigen Sie die Zertifikatsanfrage.