Immer und überall auf die eigenen Dateien zugreifen – ganz ohne fremde Cloud und dazu auch noch sicher und verschlüsselt. Eine VPN-Leitung macht dies unter anderem möglich. VPN, das steht für Virtual Private Network, ist ein Tunnel innerhalb des World Wide Web zu dem nur Sie Zutritt haben. Zusätzlich können Sie auch andere Geräte – wie beispielsweise weitere Computer, Tablets oder Handys – den Zugriff gestatten. Auf diese Weise erstellen Sie sich Ihren ganz eigenen Zugang zu Ihren Daten, wo auch immer die sind.
Vorbereitungen treffen: Die Portfreigabe
Zunächst müssen Sie Ihrem Router erklären, welche Anfragen aus dem er Internet durchlassen soll. Ansonsten geht die Suche nach den Dateien im Büro ins Leere. Außerdem benötigt der Router die Info, welcher Computer in Ihrem Netzwerk der OpenVPN-Server ist. Bedeutet in diesem Fall: Wo die Dateien liegen, auf die Sie aus der Ferne zugreifen möchten. Daher müssen Sie auf dem Router die Portweiterleitung einrichten. Der richtige Port für OpenVPN ist UDP 1194. Die Einstellung für die Portweiterleitung ist je nach Router unterschiedlich. Begeben Sie sich in das entsprechende Untermenü des Netzwerkgeräts und erklären Sie ihm, dass er Anfragen an den Port 1194 an die IP-Adresse des Servers weiterleiten soll. In der FRITZ!Box finden Sie die Option unter „Einstellungen“. In einer FRITZ!Box ist der Punkt – je nach Modell – unter dem Eintrag „Internet / Freigaben / Portfreigaben“. Klicken Sie dort auf „Neue Portfreigabe“ und setzen Sie den Eintrag oben im Drop-down-Menü namens „Portfreigabe aktiv für“ auf „Andere Anwendung“. Nennen Sie der Box den Port 1194 UDP sowie das Ziel – den Server mit OpenVPN. Bestätigen Sie den Eintrag mit einem Klick auf „Ok“.
Ohne feste IP-Adresse geht’s nicht
Der Port ist freigegeben, eintreffende Anfragen von OpenVPN weißt das Netzwerkgerät ab jetzt korrekt zu. Fehlt nur noch eine feste IP-Adresse, an die die Anfrage geschickt werden soll. Warum das wichtig ist? Der Router vergibt unter dem Schlagwort „DHCP“, IP-Adressen automatisch an die Geräte, die im Netzwerk angemeldet sind. Diese liegen in einem eigenen Bereich. Zum Beispiel: 192.168.0.2 bis 192.168.0.100. Bedeutet: Der Router kann 98 Rechner, Handys, Tablets etc. mit automatischen IP-Adressen versorgen.
Sobald ein Gerät sich aber wieder abmeldet – z.B. ein Smartphone verlässt den WLAN-Bereich – vergibt der Router die zuvor zugeteilte IP-Adresse neu. Bei ständig wechselnden IP-Adressen kann eine Anfrage auf einen OpenVPN-Server also nie ihr Ziel finden. Die Lösung: Vergeben Sie eine IP-Adresse manuell, z.B. die 192.168.0.101.
Klicken Sie dafür innerhalb der FRITZ!Box im Menü „Heimnetzwerk“ auf das Bleistift-Symbol hinter dem Namen des Computers, der als Server eingesetzt werden soll. Setzen Sie dort den Haken bei „Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen“. Notieren Sie sich anschließend diese IP-Adresse. Sie verwenden keine FRITZ!Box? Eine derartige Einstellungen existiert nicht? Dann müssen Sie einen kleinen Umweg gehen. Rufen Sie das Menü in Ihrem Router auf, das für die Verteilung der IP-Adressen zuständig ist. Schauen Sie hier nach, ob der Router auch manuelle IP-Vergabe unterstützt und ob der IP-Bereich ab 101 noch frei ist. Ansonsten verringern Sie die IP-Adressen für die DHCP-Vergabe, indem Sie aus der 192.168.0.100 eine 192.168.0.90 machen. Manuelle IP-Adressen beginnen nun im letzten Oktett mit der Ziffer 91 beginnen. Um einem Windows-PC nun eine solch manuelle IP zuzuweisen, rufen Sie zunächst die Systemsteuerung auf. Klicken Sie auf „Netzwerk und Internet“ und wählen Sie dort den Eintrag „Netzwerk- und Freigabecenter“. Klicken Sie im neuen Fenster oben links auf „Adaptereinstellungen ändern“ und wählen Sie den Anschluss, der Sie mit dem Internet verbindet – z.B. „Ethernet“. Klicken Sie mit der rechten Maustaste drauf und wählen Sie „Eigenschaften“. Sie sind fast am Ziel! Scrollen Sie im Menü der verwendeten Elemente nach unten, bis Sie den Eintrag „Internetprotokoll Version 4 (TCP/IPv4) sehen. Klicken Sie den Eintrag doppelt an. Noch bezieht der Computer seine IP-Adresse automatisch – er soll aber die von Ihnen festgelegte Adresse verwenden.
Klicken Sie auf den Punkt „Folgende IP-Adresse verwenden“ und tragen Sie im oberen Feld die Adresse ein, die im Router außerhalb des DHCP-Bereiches liegt. Die Subnetzmaske wird automatisch vergeben und sollte nicht geändert werden.
Im Feld „Standardgateway“ tragen Sie bitte die IP-Adresse des Routers ein. Das ist meistens 192.168.0.1 oder 192.168.2.1. Um ganz sicher zu gehen, welche IP-Adresse Ihr Router hat, drücken Sie zunächst die Tastenkombination „Windows- Taste“ + „R“. Geben Sie anschließend „cmd“ ein und drücken Sie „Return“. In der Eingabeaufforderung vor schwarzem Untergrund tippen Sie nun den Befehl „ipconfig“ ein. Es erscheint eine lange Liste, aus der Sie sich einfach die IP-Adresse neben „Standardgateway“ notieren. Im Eigenschaften-Menü des Internetprotokolls IPv4 unter „Standardgateway“ tragen Sie diese IP ein. Fertig.
Klicken Sie auf „Ok“. Ihre Netzwerk- und Internetverbindung wird zunächst gekappt. Wenn im Router alle Einstellungen korrekt sind (manuelle IP-Vergabe neben DHCP aktiv sowie freie IP-Adresse über dem DHCP-Bereich hinaus vorhanden) wird die Verbindung nun automatisch neu aufgebaut. Bitte denken Sie daran: Dieser Umweg ist nicht nötig, wenn Sie im Router eine Option haben, die einem im Netzwerk bekannten Rechner eine feste IP-Adresse innerhalb der DHCP-Vergabe automatisch zuweisen kann.
Zugang aus dem Web erreichen
Sie haben im vorherigen Schritt erfolgreich eine feste Leitung aus einer statischen IP und der Portweiterleitung zwischen Ihrem Router und dem Rechner eingerichtet. Allerdings fehlt noch ein wesentlicher Schritt: Der Zugriff muss auch aus dem Internet funktionieren. Wer keine feste IP-Adresse von seinem Provider hat, muss für eine eigene, konstante Leitung sorgen. Denn: In der Regel setzen die Internetanbieter all 24 Stunden die Verbindung neu auf – Sie erhalten dann auch eine neue IP-Adresse für den Zugang zum World Wide Web. Für diesen Fall kommt ein dynamischer DNS-Dienst wie beispielsweise der kostenlose Service von NO-IP zu Hilfe. Er teilt einer sich ständig ändernden IP-Adresse einen festen Hostnamen zu. Heißt: Ihr Router bleibt immer unter der selben Anschrift im Internet erreichbar. Die meisten DSL-Router unterstützen solche dynamischen DNS-Dienste und teilen dem Anbieter automatisch die neue IP des Providers mit. Falls Ihr Router dies nicht beherrscht, installieren Sie sich das Tool von NO-IP. Besuchen Sie die Website des Anbieters www.noip.com und melden Sie sich dort mit Ihrer Mail-Adresse an. Die Anmeldung und Nutzung ist kostenlos.
Bei der Registrierung legen Sie einen Domain-Namen fest, unter dem Ihr Router aus dem Internet erreichbar sein soll. NO-IP bietet dazu eine Reihe von Möglichkeiten an. Ihr Computer könnte künftig also etwa unter meinrouter.ddns.net erreichbar sein. Sie erhalten während der Anmeldung die Zugangsdaten, die Sie zusammen mit dem Domain-Namen in Ihren Router eintragen müssen. Wo sich das Menü befindet, ist je nach Modell unterschiedlich. Fritzbox-Nutzer stehen erneut etwas besser dar. Sie haben dafür in ihrer cleveren Router-Box eine ganz eigene Funktion.
Weltweiter Datenzugriff dank Myfritz-App
Es muss nicht gleich ein komplexes VPN-System sein. Wenn Sie Ihre Daten auf einer externen USB-Festplatte horten, können Sie diese über die Fritzbox ins Netz bringen – nur für Sie natürlich.
Prüfen Sie zunächst, ob Ihre Fritzbox die Firmware Fritz-OS 5.20 oder aktueller hat. Laden Sie sich danach die Myfritz!-App via iTunes oder Google Play herunter. Die Anwendung ist kostenlos. Führen Sie die Installation im lokalen WLAN über Ihre Fritzbox aus. Auf diese Weise zieht sich die App sämtliche Informationen für die Einrichtung von der Fritzbox. Sie müssen sich dann nur noch mit Ihrem Myfritz!-Konto einloggen. Schließen Sie an den USB-Port der Fritzbox eine externe Festplatte an. Auf Ihr können Sie dann sämtliche Daten speichern, die Sie auch von anderswo abrufen möchten. Sobald Sie fortan die App starten, verbindet sie sich automatisch mit Ihrer Box. Mit der mobilen Anwendung können Sie so auch die Einstellungen der Fritzbox ändern oder sehen, ob Sie jemand angerufen hat.
DNS-Zugriff via Myfritz
Die Konfiguration eines DNS-Zugangs über den kostenlosen Myfritz-Service ist für Fritzbox-Nutzer denkbar einfach: Klicken Sie im Menü der Fritzbox auf „Internet“ und wählen Sie links den Menüeintrag „Myfritz!“ aus. Richten Sie nun rechts im Fenster unter „Neues Myfritz!-Konto erstellen“ einen Zugang ein. Dafür benötigen Sie Ihre Mailadresse und ein starkes Passwort. Klicken Sie anschließend auf „Weiter“ und folgen Sie den Anweisungen auf dem Bildschirm. Besuchen Sie www.myfritz.net und geben Sie Ihre Zugangsdaten ein. Das war es schon: Sie können nun Ihre Fritzbox aus dem Netz erreichen. Im Hauptmenü der „Internet“-Einstellungen der Fritzbox sehen Sie Ihre von myfritz.net zugeteilte Adresse. Notieren Sie sich diese – mit ihr können Sie von überall auf die Box zugreifen.
Zusätzlich sollten Sie in der Box unter den System-Einstellungen festlegen, was Fernzugriffe dürfen und was nicht. Glückwunsch: Die Vorbereitungen in Ihrem lokalen Netzwerk sind abgeschlossen.
Open VPN installieren
Jetzt geht’s endlich richtig los: Installieren Sie Open VPN auf dem Server-Computer. Praktisch: Im Installationspaket ist auch gleich der Client mit verpackt. Die Installation ist sehr einfach. Starten Sie die Setup-Datei mit einem Doppelklick und folgen Sie den Anweisungen auf dem Bildschirm. Zusätzlich zur Open VPN-Software wird – in einem automatisch aufklappenden Fenster – noch ein Netzwerkadapter installiert. Nach der Installation finden Sie alle wichtigen Punkte im App-Menü der Startoberfläche von Windows. Zunächst geht es aber an einer anderen Stelle weiter.
Schlüsseldatei erzeugen
Die Verbindungen über VPN sind verschlüsselt. Damit Server und Client später miteinander kommunizieren können, benötigen beide die richtige Schlüsseldatei. Diese müssen Sie selber erstellen. Starten Sie dafür die Eingabeaufforderung („Windows-Taste“ + „R“) und wechseln Sie als nächstes auf den Desktop. Der Befehl:
cd desktop
bringt Sie in den Unterordner
c:\Users\Ihr Name\Desktop
Hier landet nun die Schlüsseldatei, die Sie mit dem Befehl
Open VPN --genkey --secret static.key
erzeugen. Kopieren Sie diese mithilfe des Windows Explorers zunächst so wie sie ist in den Konfigurations-Unterordner von Open VPN unter C:\Programme\Open VPN. Verfahren Sie so exakt auch mit dem Client-Computer, auf dem ebenfalls Open VPN installiert ist. Okay – der Schlüssel wäre ausgetauscht. Nun müssen Sie nur noch Open VPN selbst richtig konfigurieren.
Open VPN konfigurieren
Open VPN ist eigentlich Profi-Software für IT-Fachleute. Die Einstellungen und Möglichkeiten mit Open VPN sind sehr vielseitig. In diesem Falle soll aber lediglich eine Dateifreigabe über den VPN-Tunnel geleitet werden. Starten Sie dafür den Editor: Drücken Sie die Tastenkombi „Windows-Taste“ + „R“ und geben Sie den Befehl „notepad“ ein. Bestätigen Sie mit einem Klick auf „Ok“. Tragen Sie hier folgende Daten ein:
dev tun ifconfig 10.8.0.1 10.8.0.2 secret static.key
Verändern Sie den Eintrag neben „remote“ mit den Daten, die Ihr DNS-Anbieter Ihnen nennt. Fritzbox-Nutzer tragen hier die URL ein, die sie im Menü der Fritzbox unter „Internet / Freigaben“ sehen.
Windows-Firewall an die Leine legen
Im Grunde sind Sie nun startklar, wäre da nicht die Windows-Firewall. Entweder Sie schalten sie komplett aus, oder Sie geben den Port UDP 1194 auch unter Windows frei. Begeben Sie sich für die Portfreigabe unter Windows über die „Systemsteuerung / System und Sicherheit / Windows Firewall“ in die „Erweiterten Einstellungen“. Auf dem Server legen Sie nun mit Rechtsklick auf „Eingehende Regeln“ eine neue Regel an. Wählen Sie „Port“ aus und klicken Sie auf „Weiter“. Ändern Sie im nächsten Fenster die Einstellung auf „UDP“ und tragen Sie unten den Port 1194 ein. Den Rest der Einstellung können Sie mit „Weiter“ durchklicken. Geben Sie der Verbindung abschließend einen Namen und beenden Sie das Setup. Verfahren Sie exakt so auf dem Client-PC – nur dass Sie die Prozedur hier unter dem Punkt „Ausgehende Regel“ durchführen.
Open VPN starten
Jetzt sollten Sie Open VPN selbst starten. Klicken Sie zunächst am Server-Computer mit der rechten Maustaste auf die Datei server.ovpn im Open VPN-Ordner „config“. Wählen Sie „Start Open VPN on this config file“. Es startet eine Eingabeaufforderung, die den Server startet. In der letzten Kommandozeile müsste dann „UDPv4 link remote: [undef]“ stehen. Jetzt läuft Ihr eigener Open VPN-Server und wartet auf eine Client-Verbindung. Um den nun mit dem Server zu verbinden, starten Sie am Gast-PC die Datei „Open VPN GUI“.
Wichtig: Machen Sie das als Administrator – sonst erhalten Sie eine Fehlermeldung. Der Client verbindet sich automatisch mit Ihrem Server, sollten Sie die entscheidenden Konfigurationsdateien (server.ovpn bzw. client.ovpn sowie die Schlüsseldatei) jeweils auf dem Server und auf dem Client im Ordner „config“ abgelegt haben. Die erfolgreiche Verbindung sehen Sie an der Meldung „Initialization Sequence Completed“ im Logbuch des Clients und an dem grünen Symbol in der Taskleiste. Sie sind nun mit Ihrem Open VPN-Server verbunden! Wenn Sie Dateien, Ordner oder einen lokalen Drucker per Datei- und Druckerfreigabe freigegeben haben, sehen Sie diese im Windows-Explorer unter „Netzwerk“ auf dem Client-PC. Der VPN-Tunnel sorgt dafür, dass Sie wie im lokalen Netzwerk auf freigegebene Dateien zugreifen können. So können Sie per Drag & Drop im Handumdrehen Dateien hin- und herschieben oder Dokumente ausdrucken. Ganz so, also wären Sie selber am PC.
Dateien im Netzwerk freigeben
Die hier beschriebene Leitung via Open VPN bringt zunächst nicht viel, wenn keine Daten freigegeben sind. Das geht schnell und ist ganz leicht.
Um einen Ordner freizugeben, klicken Sie ihn mit der rechten Maustaste an und wählen „Eigenschaften“. Im oberen Teil des Fensters befindet sich ein Tabulator mit dem Namen „Freigabe“. Wählen Sie ihn an. Damit der Ordner nun mit Zugriffsrechten versehen im lokalen – und über VPN auch bei Ihnen Zuhause oder im Büro – auftaucht, klicken Sie auf „Erweiterte Freigabe“. Es erscheint ein Fenster, in dem Sie mit einem Klick auf „Diesen Ordner freigeben“ eben dies bewerkstelligen. Hier können Sie auch Kommentare hinterlassen, die Personen im LAN zusätzlich angezeigt bekommen. Apropos Personen: Die Berechtigungen regeln Sie im Menü hinter dem Button „Berechtigungen“. Standard ist, dass jeder Computer im lokalen Netzwerk den Ordner sehen und lesen kann.
(PC-Welt/ad)