Per VPN (Virtual Private Network) können Standorte sicher über eine Netzwerkverbindung kommunizieren. Dahinter versteckt sich im Prinzip eine sichere und verschlüsselte Verbindung zwischen zwei Netzwerken, auch Tunnel genannt. Nach dem Herstellen einer solchen Verbindung befindet sich zum Beispiel ein Außendienstmitarbeiter sozusagen im internen Netzwerk seiner Firma. Somit kann er all das tun, was er sonst direkt im Büro erledigt. Beispiele sind Zugriffe auf das Intranet sowie auf interne Mail- und Datei-Server.
Dieser Artikel demonstriert, dass sich durchaus kostengünstige VPN-Lösungen realisieren lassen. Das Thema ist sehr komplex; es im Gesamten zu behandeln würde den Rahmen des Beitrags sprengen. Deshalb werden nur die wichtigsten Punkte angesprochen. Sollten wir zum Beispiel statt Routing Ethernet Bridging verwenden wollen, befinden wir uns plötzlich im Thema Netzwerk. Die Entwickler raten zum Bridging-Einsatz allerdings ohnehin nur in bestimmten Situationen.
Am Ende dieses Workshops werden Sie aber einen funktionierenden VPN-Server haben, auch wenn Sie kein Netzwerkspezialist sind.
Kurze Beschreibung der verschiedenen VPN-Lösungen
Im Bereich der VPN-Lösungen gibt es prinzipiell drei große Familien: SSL, IPSec und PPTP. OpenVPN ist ein SSL-VPN und somit nicht kompatibel zu IPSec, L2TP und PPTP. Das IPSec-Protokoll ist so geschaffen, dass es als Modifikation des IP-Stack im Kernel-Space implementiert wird. Somit benötigt jedes Betriebssystem ein eigenes Einbetten. PPTP hätte den Vorteil, dass es auf Windows-Clients schon vorinstalliert ist. Allerdings sehen Sicherheitsexperten das PPTP-Protokoll als unsicher an. OpenVPN liegt im User-Space der Betriebssysteme und lässt sich daher leicht plattformunabhängig implementieren. Darüber hinaus gilt es als sicher. Aus diesem Grund erfreut sich der Einsatz des kostenlosen OpenVPN immer größerer Beliebtheit. Sie müssen also kein weiteres Geld ausgeben, wenn Sie die Software unter Windows betreiben wollen. Vielleicht haben Sie irgendwo einen ausgemusterten XP-Rechner, der sich für diese Dienste eignet. In diesem Test hat TecChannel als OpenVPN-Server Windows XP Professional eingesetzt.
Installation des Servers unter Windows
Für das Microsoft-Betriebssystem stellen die Entwickler ein Installationspaket zur Verfügung. Somit können Administratoren OpenVPN in gewohnter Windows-Manier installieren. Während der Installation fragt das Betriebssystem, ob Sie den TAP-Win32-Treiber installieren möchten. Dies müssen Sie erlauben, da sich später sonst kein Tunnel aufbauen lässt. Nach der Installation steht der Start des Dienstes zunächst auf manuell. Wollen Sie den OpenVPN-Server bei jedem Neustart automatisch hochfahren, sollte Sie das ändern.
Wichtig: Stellen Sie sicher, dass die Firewall richtig konfiguriert ist und die entsprechenden Ports durchlässt. Sofern Sie den Standard-Port später nicht ändern, ist dieser 1194. Hier versteckt sich als mögliche Fehlerquelle, dass die Windows-Firewall keine Kommunikation erlaubt. Sollte später keine Verbindung stattfinden, möchten Sie die Firewall vielleicht zunächst komplett deaktivieren. Klappt sodann die Einwahl, können Sie sich langsam an die richtigen Einstellungen herantasten.
Community-Version der OpenVPN-Software auf einem Windows-Rechner
Vor der Konfiguration müssen wir zum besseren Verständnis einige Variablen fix deklarieren. Der interne Windows-/Einwahlserver soll die IP-Adresse 192.168.150.70 erhalten. Das Internet-Gateway ist 192.168.150.1. Bei der Wahl des Netzwerks sollten Sie keinen der von öffentlichen Orten meist genutzten Adress-Pools bemühen. Dazu gehören zum Beispiel 192.168.0.0, 192.168.1.0 oder 10.0.0.0. Andernfalls könnte das zu Routing-Konflikten führen. Die externe IP-Adresse des Gateways hängt davon ab, was Ihnen der Provider zur Verfügung stellt. Diese externe Adresse sollte möglichst statisch sein. Ist das nicht der Fall, helfen Dienste wie zum Beispiel DynDNS weiter.
Erzeugung der Schlüssel
Nach einer Installation finden Sie alle benötigten Dateien und Scripte im Installationsverzeichnis von OpenVPN. Dies ist unter Windows im Standardfall c:\Programme\openVPN oder c:\Program Files\OpenVPN.
OpenVPN lässt sich ab hier nicht mehr über eine GUI handhaben. Daher bleibt Ihnen nichts anderes übrig, als eine Windows-Konsole zu öffnen. Hier wechseln Sie in das Installationsverzeichnis. Dort finden Sie ein Unterverzeichnis easy-rsa. Dort passen Sie die Datei vars.bat mit einem Editor Ihrer Wahl an. Hier können Sie die Schlüsselstärke und die länderspezifischen Angaben einstellen, die später im Master-Zertifikat (CA) verwendet werden.
Nun ist es an der Zeit, das eigentliche Zertifikat zu erstellen. Rufen Sie hierfür nacheinander die Befehle vars, clean-all und build-ca auf. Danach erschaffen wir ein Zertifikat und einen privaten Schlüssel für den Server. Rufen Sie hierfür build-key-server servername auf. Die Software wird ähnliche Fragen stellen wie bei der Generierung des CA. Am Ende signieren und bestätigen Sie die Zertifikatsanfrage.
Schlüssel für die Clients erzeugen
Als dritten Schritt erschaffen Sie den Schlüssel für die Clients. Dazu dient der Befehl build-key client. Je nach Anzahl der Clients können Sie diese Prozedur beliebig oft wiederholen. Der Parameter client muss logischerweise variieren. Das gilt auch für die Eingabe des Common Name. Wollen Sie passwortgeschützte Schlüssel erzeugen, rät die offizielle Dokumentation zur Verwendung des Scripts build-key-pass client. Unter Linux existiert dieses Script, in der Windows-Installation allerdings nicht. Wollen Sie das nutzen, müsse Sie die Datei build-key-pass.bat selbst erstellen. Mit folgenden Zeilen gelingt der Trick:
@echo off
cd %HOME%
rem Zertifikat erzeugen, das zehn Jahr gültig ist
openssl req -days 3650 -new -keyout %KEY_DIR%\%1.key -out %KEY_DIR%\%1.csr -config %KEY_CONFIG%
rem Zertifikat signieren
openssl ca -days 3650 -out %KEY_DIR%\%1.crt -in %KEY_DIR%\%1.csr -config %KEY_CONFIG%
del /q %KEY_DIR%\*.old
Abschließend erzeugen Sie noch die Diffie-Hellman-Parameter via build-dh. Dies kann je nach Hardware einige Zeit in Anspruch nehmen. Nachfolgend eine Übersicht, der in diesem Kapitel erzeugten Schlüssel und deren Bedeutung.
|
Dateiname |
Verwendet von |
Verwendungszweck |
Geheim? |
|
ca.crt |
Server + allen Clients |
Root-CA-Zertifikat |
Nein |
|
ca.key |
Schlüssel-signierender Rechner |
Root-CA-Schlüssel |
Ja |
|
dh<Zahl>.pem |
Nur Server |
Diffie-Hellman-Parameter |
Nein |
|
server.crt |
Nur Server |
Server-Zertifikat |
Nein |
|
server.key |
Nur Server |
Server-Schlüssel |
Ja |
|
client.crt |
Nur Client |
Client-Zertifikat |
Nein |
|
client.key |
Nur Client |
Client-Schlüssel |
Ja |
Die Datei server.ovpn
Diese Datei enthält die Konfiguration des Serverdienstes. Die Entwickler raten, die Beispieldatei der server.ovpn zu nehmen und zu modifizieren. In unserem Beispiel finden Sie diese im Installationsverzeichnis von OpenVPN unter sample-config. Theoretisch können Sie die Datei dort lassen, wo sie ist. Wir haben sie allerdings in das config-Verzeichniskopiert, weil OpenVPN diese dann automatisch benutzt.
Das Benutzen der Beispieldatei erzeugt eine TUN-Netzwerkschnittstelle und horcht auf dem offiziellen OpenVPN-Port 1194 (UDP). Ebenso stellt es virtuelle Adressen für sich verbindende Client aus dem 10.8.0.0/24-Subnetz zur Verfügung. Bevor Sie den Server starten, müssen Sie ihm allerdings mitteilen, wo sich die Schlüsseldateien befinden und mit welcher Verschlüsselungsrate Sie den Diffie-Hellman-Parameter erzeugt haben. In unserem Fall kopieren wir daher die Schlüssel ca.crt, server.crt, server.key und dh1024.pem ebenfalls in das config-Verzeichnis. Diese befinden sich in unserem Beispiel unter c:\Program Files\OpenVPN\easy-rsa\keys. Sollten Sie die Zertifikate an anderer Stelle aufheben wollen oder haben Sie diese anders benannt, müssen Sie das natürlich ändern. Hierfür sind die Parameter ca, cert und key zuständig.
Soll der Server dem Client Zugriff auf weitere Subnetze nach einer Einwahl zur Verfügung stellen, erledigt dies der push-Parameter. In unserem Fall sorgt die Zeile push “route 192.168.150.0 255.255.255.0“dafür. Ebensomöchten wir, dass sämtlicher Datenverkehr durch das VPN-Netzwerk abgehandelt wird. Somit müssen wir die Zeile push “redirect-gateway def1 bypass-dhcp“ auskommentieren, indem der Strichpunkt vor dieser Zeile gelöscht wird.
Wichtig: Sollten Sie den gesamten Datenverkehr durch das VPN leiten wollen, müssen Sie höchstwahrscheinlich einige Einstellungen im Netzwerk vornehmen. In unserem Beispiel benötigten wir eine feste Route im Router: 10.8.0.0/24 -> 192.168.150.70 (Einwahlserver). Des Weiteren muss IP-Forwarding auf dem Windows-Rechner funktionieren. Dazu müssen Sie in der Registry folgenden Schlüssel editieren: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. Wenn Sie den Wert IPEnableRouter auf 1 setzen und das System neu starten, ist das erledigt.
Bei einigen aktivierten Parametern ist es wichtig, dass diese auch in der Konfigurationsdatei des Clients vorhanden sind. Dies betrifft zum Beispiel die Kompression comp-lzo oder cipher. Unsere Beispieldatei weist in solchen Fällen darauf hin. Somit ist anzuraten, die guten und verständlichen Kommentare vor der Aktivierung eines Parameters zu lesen.
Die Datei client.ovpn
Die offizielle Dokumentation weist darauf hin, dass die Konfigurationsdatei für Clients unter Windows client.ovpn und unter Linux client.conf heißt. Da es Linux aber egal ist, ob Sie die Endung conf oder ovpn verwenden, rät TecChannel zur Verwendung der plattformübergreifenden Lösung. Somit braucht sich der Administrator nicht weiter darum zu kümmern, welches Betriebssystem der Einwähler verwendet.
Ansonsten ist diese Datei recht ähnlich wie server.ovpn aufgebaut. Auch hier gibt es ein gut dokumentiertes Beispiel, das sich einfach an die eigenen Bedürfnisse anpassen lässt. Hier können sich leicht Fehler einschleichen, falls der Server anders konfiguriert ist, als der Client erwartet.
Deswegen nochmals die Empfehlung: Einige Parameter in der server.ovpn sollten mit denen der client.ovpn abgestimmt werden. Verwenden Sie am Server als Protokoll tcp, muss dies der Client auch wissen. Gleiches gilt für die Verschlüsselung und die aktivierte Kompression. Die Beispieldateien weisen auf solche Umstände hin.
Einwahl unter Windows und Linux
Nun wollen wir testen, ob unsere Konfiguration richtig ist und der Server funktioniert. Um das Ganze so realistisch wie möglich zu machen, besuchten wir das Internetcafé unseres Vertrauens. Dieses bietet einen drahtlosen Zugang an, mit dem IP-Adressraum 192.168.0.x. Für den Client benötigen Sie in unserem Beispiel zwingend vier Dateien: ca.crt, client.ovpn, <Client-Name>.crt und <Client-Name>.key.
Zunächst versuchen wir eine Einwahl unter Linux via Konsole. Dazu müssen Sie Benutzer root werden oder den Befehl mittels sudo aufrufen. Sonst verweigert das System ein Anlegen des Geräts tun.
Das geht natürlich auch komfortabler mittels grafischer Oberfläche. Dazu brauchen Sie unter Ubuntu das Paket network-manager-openvpn. Dies können Sie mittels Paketmanager installieren. Anschließend importieren Sie die Datei client.ovpn.
Der Netzwerkmanager holt sich alle relevanten Daten aus der ovpn-Datei, und Sie müssen im Prinzip nichts weiter machen. Auf Wunsch können Sie das Passwort hinterlegen; davon ist allerdings aus Sicherheitsgründen abzuraten. Anschließend können Sie die Verbindung über den Netzwerkmanager aufrufen.
Unter Windows klappt das ebenso. Die Entwickler haben für ein Installationspaket gesorgt, das eine GUI zur Verfügung stellt. Sobald die Software eingespielt ist, können Sie die Einwahl mittels rechtem Mausklick auf die ovpn-Datei starten.
Unter Windows können Sie auch das kleine Symbol nach dem Start der OpenVPN-GUI verwenden. Dazu müssen Sie die notwendigen Dateien in das Unterverzeichnis config des Installationsverzeichnisses kopieren. Hier können Sie aus Gründen der Übersichtlichkeit auch weitere Unterordner anlegen; die GUI findet die ovpn-Dateien trotzdem.
Wichtig: Unter Windows Vista und 7 müssen Sie die OpenVPN-GUI als Administrator aufrufen. Ansonsten kann die Software die virtuelle Netzwerkkarte nicht erzeugen. Falls es dennoch Schwierigkeiten gibt, sollten Sie die Firewall-Einstellungen des Client-Systems prüfen. Ist Ihnen das zu nervig, dann können Sie dem System mitteilen, dass es die entsprechende exe-Datei immer als Administrator starten muss.
Schwarze Liste für Einwahlzertifikate
Selbstverständlich hat der Administrator die Möglichkeit, ein Zertifikat vor dem Ablauf seiner Gültigkeit zu sperren. Dafür kann es mehrere Gründe geben – zum Beispiel, wenn ein Anwender die Firma verlässt oder der Verdacht besteht, dass ein spezieller Zugang kompromittiert wurde. Lesen Sie dieses Kapitel bitte vollständig: Der Administrator muss sämtliche Schritte durchführen, um eine unerwünschte Einwahl zu verhindern.
Um das entsprechende Zertifikat unwirksam zu machen, begeben wir uns wieder in das Verzeichnis easy-rsa. Dort rufen Sie zunächst wieder vars auf. Wollen Sie nun ein Zertifikat unwirksam machen, geschieht dies mit dem Befehl revoke-full <client>. Die Ausgabe error 23 am Ende des Scripts ist korrekt, da der Server das Zertifikat nicht mehr findet.
Das revoke-Script hat nun eineCRL-Datei (crl.pem - Certificate Revocation List) im Unterverzeichnis keys generiert. Diese kopieren Sie dorthin, wo der Server sie lesen kann. In unserem Beispiel dient hierfür wieder das Standardverzeichnis config. Danach sagen Sie dem Server, dass er diese Liste verwenden soll, indem Sie in der Datei server.ovpn die Zeile crl-verify crl.pem einfügen. Sehr wichtig ist, dass sie den OpenVPN-Dienst nun neu starten, um die Änderungen wirksam zu machen. Erst jetzt verweigert der Server eine Einwahl des unerwünschten Zertifikats.
Die CRL-Datei wird übrigens jedes Mal ausgelesen, wenn sich ein Client mit dem Server verbindet. Somit können Sie diese Datei aktualisieren, auch wenn der OpenVPN-Server läuft.
Sollte der Client, dessen Zertifikat Sie sperren wollen, bereits verbunden sein, haben Sie zwei Möglichkeiten: Entweder Sie starten den OpenVPN-Dienst neu und werfen alle verbundenen Clients raus, oder Sie verbinden sich via telnet zur Managementkonsole und deaktivieren nur den gewünschten Anwender. Wollen Sie die Managementschnittstelle nutzen, müssen Sie diese via server.ovpn und der Syntax management <IP-Adresse> <port> <Passwort-Datei> starten.
Fazit
Einen OpenVPN-Server einzurichten ist gar nicht so schwer, wenn man sich ein wenig damit beschäftigt hat. Allerdings merkt man deutlich, dass die kostenlose VPN-Software ihre Wurzeln nicht unter Windows hat. Für die Einrichtung sollte man sich Zeit nehmen und die Konfiguration in aller Ruhe vornehmen, denn es existieren einige Fallstricke, die man im Eifer des Gefechts übersehen kann. Ein kleiner Tippfehler oder unterschiedlich eingestellte Parameter in der client.ovpn und server.ovpn können leicht in die Sackgasse führen. Deshalb lieber langsam konfigurieren und alles zweimal überprüfen. Dann sollte Ihr eigener Einwahlserver in weniger als einer Stunde vollkommen betriebsbereit sein.
Diese Stunde zu investieren zahlt sich aus. OpenVPN ist kostenlos, und somit können Sie auf teure Komplettpakete verzichten; da sind schnell ein paar hundert Euro gespart. Die hier vorgestellte Einwahllösung gilt als sicher, und Ihre Mitarbeiter können bequem von überall auf das interne Netzwerk zugreifen.
Die hier vorgestellte Lösung funktioniert gut und stabil. Es gibt allerdings viele Schrauben, an denen sich drehen lässt. Wenn Sie Ihren OpenVPN-Server einem Finetuning unterziehen wollen, sollten Sie die Dokumentation zu Rate ziehen. Das Handbuch ist gut, allerdings nur in englischer Sprache vollständig. Bei der Suche von Fehlern kann ein Blick in die FAQ ebenfalls nicht schaden. Wer sich gut mit Netzwerken auskennt, tut sich vor allem bei der Fehlersuche wesentlich leichter. (mje)