Um eine sichere Netzwerkverbindung über verschiedene Standorte zu realisieren, ist das kostenlose OpenVPN eine adäquate Lösung. TecChannel hat Ihnen in zwei Workshops bereits ausführlich beschrieben, wie Sie einen OpenVPN-Server selbst unter Linux und Windows einrichten.
-
Workshop: Sichere Einwahlverbindungen mit OpenVPN auf einem Linux-Server
-
Workshop: Sichere Einwahlverbindungen mit OpenVPN auf einem Windows-Rechner
Anhand dieser Beiträge sollten Sie in der Lage sein, in überschaubarer Zeit einen Einwahlserver einzurichten, auch wenn Sie kein ausgewiesener Netzwerkspezialist sind. Zudem geben diese Artikel einen guten Einblick, wie ein OpenVPN-Server funktioniert – dies zu wissen kann bei der Fehlersuche in den hier vorgestellten Lösungen sehr hilfreich sein. Nachfolgend wollen wir Ihnen fertige und professionelle OpenVPN-Server vorstellen.
Kurze Beschreibung der verschiedenen VPN-Lösungen
Im Bereich der VPN-Lösungen gibt es prinzipiell drei große Familien: SSL, IPSec und PPTP. OpenVPN ist ein SSL-VPN und somit nicht kompatibel zu IPSec, L2TP und PPTP. Das IPSec-Protokoll ist so geschaffen, dass es als Modifikation des IP-Stack im Kernel-Space implementiert wird. Somit benötigt jedes Betriebssystem ein eigenes Einbetten. PPTP hätte den Vorteil, dass es auf Windows-Clients schon vorinstalliert ist.
Allerdings sehen Sicherheits-Experten das PPTP-Protokoll als unsicher an. OpenVPN liegt im User-Space der Betriebssysteme und lässt sich daher leicht plattformunabhängig implementieren. Darüber hinaus gilt es als sicher.
Aus diesem Grund erfreut sich der Einsatz von OpenVPN immer größerer Beliebtheit. Alle hier vorgestellten Lösungen benutzen das frei verfügbare OpenVPN.
OpenVPN Access Server
OpenVPN bietet mit dem Access Server selbst eine professionell unterstützte Lösung an. Diese ist für die Linux-Systeme Red Hat, CentOS, Ubuntu und Fedora verfügbar. Ebenso stellen die Entwickler virtuelle Appliances für VMware und Windows VHD zur Verfügung. Die Software lässt sich sogar kostenlos nutzen. Jeder, der sich bei OpenVPN registriert, bekommt einen Lizenzschlüssel für zwei Clients. Diese sind kostenlos und enthalten keine „Zeitbombe“. Wer also nicht mehr als zwei Clients gleichzeitig anschließen möchte, kann das Profi-Paket kostenlos nutzen.
Ansonsten schlägt jedes Client-Zertifikat mit fünf US-Dollar zu Buche. Nach Adam Riese liegt man bei zehn Clients somit bei 50 US-Dollar. Die Entwickler weisen darauf hin, dass es sich hier um gleichzeitige Verbindungen handelt. Bei einem Kauf von zehn Lizenzen können Sie auch 100 Clients anlegen, aber nur zehn gleichzeitig haben die Möglichkeit, sich zu verbinden.
Nach einer Installation können Sie den OpenVPN-Server via Browser unter folgender Adresse erreichen: https://<IP-Adresse des Servers>:5480. Unter Umständen müssen Sie zunächst eine Ausnahme des Webserver-Zertifikats zulassen. Sollten Sie eine virtuelle Appliance, wie TecChannel in diesem Test, verwenden, ist das Standardpasswort für den Benutzer root openvpnas. Nach einem Anmelden können Sie zunächst eine fixe IP-Adresse vergeben. Die OpenVPN-Einstellungen können Sie konfigurieren, wenn Sie oben rechts auf AS Admin Login klicken.
Vor einem Start des Servers müssen Sie zunächst den von OpenVPN vergebenen Lizenzschlüssel eingeben. Diesen finden Sie nach einem Einloggen auf der OpenVPN-Seite unter License Key. Danach klappt auch das Starten des Servers. Einen neuen Anwender können Sie derzeit nur via Konsole anlegen. Dazu dient der Befehl adduser <Benutzername>. Dieser Anwender kann sich dann via Browser an OpenVPN anmelden und sich das generierte Zertifikat herunterladen. Bei Problemen mit der Konfiguration helfen die Dokumentationen „Quick Start Guide“, „HOWTO“ und „FAQ“.
Astaro Security Gateway
Die Firma Astaro ist im Sicherheitsbereich mittlerweile alles andere als ein unbeschriebenes Blatt. Das Unternehmen bietet sowohl Hardware- und Software- als auch virtuelle Appliances an. Unter ftp://ftp.astaro.com/pub/ASG/v7/ können Sie eine aktuelle Version der Sicherheitssoftware herunterladen. Die kommende Version v8 ist vor kurzer Zeit in ein öffentliches Beta-Stadium gegangen, TecChannel berichtete. In dieser Readme-Datei (PDF) ist zu lesen, dass die Software für den Heimgebrauch oder für nicht kommerzielle Zwecke kostenlos verwendet werden darf. Wer Astaro-Produkte gewerblich nutzen möchte, kann sich an einen autorisierten Partner wenden.
Nach dem Start der virtuellen Appliance können Sie sich mit dem Benutzer root anmelden. Beim Erststart müssen Sie ein neues Passwort vergeben. Das System fragt zwar nach einem alten Passwort, hierfür brauchen Sie aber nur die Eingabe-Taste zu drücken. In der oben genannten PDF-Datei wird auch beschrieben, wie man sich mit dem Astaro-Gateway via Browser verbinden kann. In der virtuellen Lösung sollte man dazu die IP-Adresse des Adapters VMnet8 auf 192.168.0.2 ändern. Alternativ könnte man natürlich auch die Netzwerkadresse des Gateways anpassen. Danach kann man das Web-Interface mittels https://192.168.0.1:4444 aufrufen. Natürlich müssen Sie vorher der ersten Netzwerkkarte der VM die virtuelle Schnittstelle VMnet8 zuweisen. Danach weist Sie das System an, einige Grundeinstellungen und ein admin-Passwort einzugeben sowie die Lizenzbestimmungen anzunehmen.
Im nächsten Schritt können Sie ein bestehendes Backup einspielen oder den Wizard für eine Neukonfiguration bemühen. Da Astaro Security Gateway eine ausgewachsene Sicherheitslösung und Firewall für das gesamte Netzwerk ist, enthält es natürlich viel mehr Möglichkeiten als nur einen VPN-Server. Allerdings stellt das System nicht nur OpenVPN, sondern auch IPSec bereit.
Linux Small Business Server eBox
Eine weitere Linux-Distribution, mit der sich ein OpenVPN-Server mittels Klicken einrichten lässt, ist eBox. Die auf Ubuntu basierende Distribution ist vor allen Dingen als Small Business Server gedacht und kann weit mehr, als nur Einwahlserver zu sein. Die Distribution bietet unter anderem Active-Directory-Synchronisation, Dateifreigabe- und Druckerdienste sowie Gateway-Eigenschaften an. Außerdem lassen sich damit Backups realisieren sowie Proxy- und E-Mail-Server aufsetzen.
Die eBox-Distribution können Sie als Installations-CD oder als virtuelle Abbilder für VMware oder VirtualBox herunterladen. Beim Installationsmedium sollten Sie aufpassen, da eine Standardinstallation die gesamte Festplatte für sich beansprucht und diese auch löscht. Ansonsten hilft Ihnen ein Wizard auch in deutscher Sprache durch den Installationsvorgang. Bei der Paketauswahl können Sie komplette, von den Entwicklern geschnürte Sammlungen wählen. Ebenso haben Sie die Möglichkeit, die einzuspielende Software manuell auszusuchen.
Nach der Installation startet eBox in einen grafischen Modus und ruft den enthaltenen Browser mit der webbasierten Administrationsoberfläche auf. Nach der Eingabe des Passworts können Sie mit der Konfiguration und dem Finetuning beginnen. openVPN ist eine der bereitgestellten Möglichkeiten.
IPCop
Auch mit der kostenlosen Sicherheitsdistribution IPCop lässt sich ein OpenVPN-Server realisieren. Das Ganze geht sogar grafisch. Dazu müssen wir aber das inoffizielle Add-On ZERINA installieren. Ein Installationspaket bekommen Sie bei OpenVPN.eu. Sollten Sie allgemeine Hilfe für IPCop benötigen, lesen Sie bitte den TecChannel-Artikel „Die Linux-Firewall IPCop 1.4.21 sicher konfigurieren“.
Wichtig: ZERINA unterliegt einigen Restriktionen, die unbedingt erwähnt werden müssen. Derzeit unterstützt das Add-On lediglich tun. Die tap-Möglichkeit wird zwar angeboten, aber nicht funktionieren. Das Gleiche gilt für net2net. Mit anderen Worten: Es ist derzeit nur die Roadwarrior-Lösung (host2net) möglich. Statische Schlüssel unterstützt die Oberfläche ebenfalls nicht, sondern nur zertifikatbasierte Verbindungen.
Haben Sie das ZERINA-Paket heruntergeladen, müssen Sie das tar-Archiv auf den IPCop-Rechner kopieren. Hier hilft zum Beispiel WinSCP oder Filezilla weiter. Im Anschluss packen Sie die Datei mittels tar xzvf ZERINA* aus. Sie installieren das inoffizielle Add-On für IPCop mit dem Aufruf ./install, was zunächst aufgrund eines Versionskonflikts zu einer Fehlermeldung führt. Dies lässt sich aus der Welt schaffen, in dem Sie die Datei install mit dem Editor Ihrer Wahl bearbeiten und die Zeile 46 wie folgt editieren: if [ ! "`echo $IPCOPVERSION | grep "1.4.21"`" ] ; then, wobei die Zahl 1.4.21 der Versionsnummer entspricht.
Danach finden Sie in der Navigation unter VPNs den neuen Unterpunkt OPENVPN. Damit können Sie nun OpenVPN unter IPCop einrichten und verwalten.
Fazit
OpenVPN lässt sich auch ohne Kommandozeilen-Orgien einrichten. Dabei müssen fertige Lösungen wie IPCop oder eBox nicht einmal mit Kosten verbunden sein – wobei bis auf die professionelle Version von OpenVPN selbst alle anderen Lösungen weit mehr können, als nur einen dummen Einwahlserver zu spielen.
Auch wenn Sie auf eine fertige Lösung setzen, kann es nicht schaden, sich näher mit OpenVPN zu beschäftigen. Tritt ein Fehler auf, tappen Kenner der Materie weniger im Dunkeln als reine GUI-Konfiguratoren. Und manches lässt sich bekanntlich schneller über die Kommandozeile lösen. (mje)