Die Rolle des abhörsicheren Open-VPN-Servers ist ein Heimspiel für Linux-Systeme. Aber auch mit Windows ist es möglich, mit der Open-Source-Lösung ein Virtual Private Network (VPN) für den sicheren Zugriff von außen aufzubauen.

Ein Virtual Private Network (VPN) stellt eine verschlüsselte und abhörsichere Verbindung zu einem internen Netzwerk über einen VPN-Server her. Eine bewährte Lösung dafür ist Open VPN. Die Open-Source-Software ist nicht nur für Linux geeignet, sondern liegt für Clients und Server auch in einer Windows-Version vor. Der Vorteil ist, dass Open VPN eine reine Softwarelösung ist und keine zusätzliche Hardware oder VPN-fähige Router benötigt. Die Software ist allerdings für den professionellen Einsatz geschaffen, und die erste Konfiguration eines Open-VPN-Servers und der Clients stellt auch unter Windows eine gewisse Hürde dar, denn die Einstellung führt Sie in die Kommandozeile. Mitgelieferte Batch-Dateien von Open VPN vereinfachen aber die Konfiguration. Dieser Beitrag zeigt Schritt für Schritt, wie Sie ein einfaches VPN zwischen zwei Windows-PCs mit Open VPN 2.3.x einrichten. Grundlegende Kenntnisse zur Netzwerkadministration sind dabei hilfreich.

Vorbereitung: den Server erreichbar machen

Auf dem PC, der als Open-VPN-Server agieren soll, müssen Sie die Windows-Firewall abschalten, da diese mit Open VPN nicht kompatibel ist. Dies ist kein Sicherheitsproblem, wenn der Rechner sowieso hinter einem Router mit NAT steht, was in den meisten Büro- und Heimnetzwerken der Fall ist. Der Router muss außerdem wissen, welche Anfragen aus dem Internet er durchlassen soll und welcher Rechner im Netzwerk der Open-VPN-Server ist. Dazu richten Sie auf dem Router Portforwarding ein, um gezielt einen einzigen Port nach außen zu öffnen und an die passende Adresse im LAN weiterzuleiten. Ein Beispiel dazu: Der übliche Port für Open VPN ist Port 1194.

Portforwarding auf dem Router: Damit der Open-VPN-Server im LAN erreichbar ist, muss der Router den verwendeten Port 1194 für Open VPN zum richtigen PC durchreichen (hier 192.168.1.77).
Portforwarding auf dem Router: Damit der Open-VPN-Server im LAN erreichbar ist, muss der Router den verwendeten Port 1194 für Open VPN zum richtigen PC durchreichen (hier 192.168.1.77).


Wenn der Open-VPN-Server im LAN die IP 192.168.1.77 hat, dann leiten Sie vom Router den Traffic vom Typ UDP des Ports 1194 auf die interne IP-Adresse und den dortigen Port 1194 um. Der Server, der von außen die VPN-Verbindungen akzeptieren soll, muss zudem aus dem Internet erreichbar sein, und zwar über eine feste IP-Adresse oder über einen eindeutigen DNS-Namen.

Bei DSL-Anbindung gibt es keine feste IP, da bei jedem Verbindungsaufbau der Provider neue IP-Adressen vergibt. Für diesen Fall leistet ein dynamischer DNS-Dienst wie beispielsweise das kostenlose No-IP Hilfestellung, das einer sich ändernden IP-Adresse nach Rückmeldung durch den Router einen festen Host-Namen im DNS zuteilt. Die meisten DSL-Router unterstützen No-IP und teilen dem Dienst automatisch die neue, zugeteilte IP mit.