Verschlüsselt surfen

OpenVPN: Sicher unterwegs in unsicheren Netzwerken

Open VPN installieren und Schlüssel erzeugen

Auf dem als Server ausgewählten Windows-System installieren Sie Open VPN, das in seinem Installationspaket sowohl die Serversoftware als auch die Programme für den Client bietet.

Installieren Sie Open VPN mit allen Komponenten, und markieren Sie dazu unbedingt bei der Installation die optionalen Komponenten "OpenSSL Utilities" und "OpenVPN RSA Certificate Management Scripts".

Letztere werden zur Erstellung der eigenen Schlüsselpaare benötigt. Open VPN richtet den neuen, virtuellen Netzwerkadapter "TAPWin32 Adapter V9" ein, der dann in der Systemsteuerung unter den Netzwerkverbindungen auftaucht. Der Installation des dafür mitgebrachten Treibers müssen Sie in einem angezeigten Dialogfenster wie bei anderen Gerätetreibern manuell zustimmen. Wichtig: Damit der Server später Open-VPN-Verbindungen akzeptieren kann, müssen Sie die Windows-Firewall in der Systemsteuerung deaktivieren, da diese nicht mit Open-VPN-Verbindungen umgehen kann.

Schritt 1: Bevor Sie den Open-VPN-Server starten können, müssen Sie die Schlüsseldateien mithilfe einiger Batch-Dateien erzeugen und die Netzwerkeinstellungen vornehmen. Gehen Sie mit dem Windows Explorer ins Programmverzeichnis von Open VPN. Dieses finden Sie üblicherweise unter "C:\Program Files\Open-VPN". Gehen Sie dort ins Unterverzeichnis "easy-rsa": Benennen Sie die Batch-Datei vars. bat.sample nach vars.bat um, und überschreiben Sie damit die bereits vorhandene vars.bat. Öffnen Sie dann eine Eingabeaufforderung mit Administratorrechten, was durch einen Rechtsklick auf die entsprechende Verknüpfung im Startmenü und dem Kontextmenüpunkt "Als Administrator" gelingt. Gehen Sie dann mit "pushd" in das genannte Verzeichnis, und führen Sie diese beiden Batch-Dateien aus:

pushd "C:\Program Files\OpenVPN\ easy-rsa"
vars.bat
clean-all.bat

Diese beiden Batch-Dateien geben zunächst die nötigen Umgebungsvariablen vor und erstellen im Programmordner von Open VPN das neue Unterverzeichnis "keys". Bei einer Standardinstallation von Open VPN auf Windows 7 und 8 liegt dieses beispielsweise unter C:\Program Files\OpenVPN\easy-rsa\keys.

Schritt 2: Für die verwendete Verschlüsselung von Open VPN brauchen Sie auf Ihrem künftigen VPN-Server ein Zertifikat für Ihre eigene Certificate Authority (CA). Dazu führen Sie die Batch-Datei

build-ca.bat

aus und geben in der Eingabeaufforderung die benötigten Eigenschaften ein. Die abgefragten Eingaben erscheinen umfangreich, sind aber weitgehend beliebig. Die folgende Übersicht erklärt alle Parameter und die erwarteten Eingaben:

Country Name: Landeskürzel, etwa "DE" für Deutschland
State or Province Name: Bundesland, beliebig
Locality Name: Ortsangabe, beliebig
Organization Name: beliebig
Organizational Unit Name: beliebig und optional
Common Name: Name des VPN-Servers, etwa "MeinServer"
Name: Name der VPN-Verbindung, identisch mit "Common Name", etwa "MeinServer"
Email Address: Ihre E-Mail-Adresse

Serverzertifikate erstellen: Open VPN bringt für die Erzeugung aller benötigten Schlüssel und Zertifikate einige Batch-Dateien mit, die dann jeweils in der Eingabeaufforderung Ihre Eingaben erwarten.
Serverzertifikate erstellen: Open VPN bringt für die Erzeugung aller benötigten Schlüssel und Zertifikate einige Batch-Dateien mit, die dann jeweils in der Eingabeaufforderung Ihre Eingaben erwarten.

Schritt 3: Open VPN benötigt für den Verbindungsaufbau einige kryptografische Parameter (Diffie-Hellman-Parameter), die Sie einmalig bei der Installation des Servers erzeugen müssen. Die dafür benötigte Konfigurationsdatei für den Verschlüsselungsalgorithmus erzeugen Sie ganz einfach mit dem Aufruf dieser Batch-Datei:

build-dh.bat

Hier ist keine Angabe von Parametern erforderlich.

Schritt 4: Als Nächstes erstellen Sie das eigentliche Schlüsselpaar für Ihren neuen VPN-Server. Dies gelingt mit der Batch-Datei build-keyserver.bat, der Sie den zuvor eingegeben Namen der VPN-Verbindung aus Schritt 2 als Parameter mitgeben. In unserem Beispiel wäre dies die folgende Eingabe:

build-key-server.bat MeinServer

Diese Batch-Datei verlangt wiederum die Eingabe der Schlüsselinformationen wie in Schritt 2. Die Angaben sind die gleichen wie beim vorangegangenen Aufruf der Datei build-ca.bat. Nur haben Sie hier die Wahl, zum Abschluss noch ein Passwort zu definieren, mit dem der Schlüssel zusätzlich chiffriert wird. Das Passwort ist optional, und Sie sollten es in dieser Anleitung leer lassen, um die Konfiguration vorerst nicht komplizierter als nötig zu machen. Ebenfalls leer lassen Sie die Eingabe von "An optional company name", da diese nicht wirklich notwendig ist. Am Ende bestätigen Sie noch die beiden Rückfragen "Sign the certificate" jeweils mit "y".

Das VPN als Heimnetzwerk: Nach der Verbindungsaufnahme des Clients mit dem Open- VPN-Server fragt Windows nach, um welchen Typ es sich handelt. Wählen Sie das "Heimnetzwerk".
Das VPN als Heimnetzwerk: Nach der Verbindungsaufnahme des Clients mit dem Open- VPN-Server fragt Windows nach, um welchen Typ es sich handelt. Wählen Sie das "Heimnetzwerk".

Schritt 5: Der Server hat nun alle benötigten Schlüssel und Zertifikate. Damit Sie sich aber mit einem VPN-Client später verbinden können, braucht der Client seinen eigenen Schlüsselbund. Diesen erzeugen Sie in diesem Schritt mit dem Aufruf der Batch-Datei build-key.bat, die Sie jetzt mit dem gewünschten Client-Namen als Parameter aufrufen. In diesem Beispiel soll der Client einfach "MeinClient" heißen:

build-key.bat MeinClient

Es erfolgen wieder die Rückfragen zu den bereits bekannten Feldern wie in Schritt 2, allerdings mit einem wichtigen Unterschied: Bei den Fragen nach "Common Name" und "Name" geben Sie jetzt den gewünschten Client-Namen an, beispielsweise "MeinClient" - nicht den Servernamen. Nach dem Signieren erhalten Sie ein Unterverzeichnis "keys" mit den neuen Schlüsseldateien. Für die Einrichtung des Open-VPN-Clients auf einem anderen Windows-PC benötigen Sie dort später nur diese drei Dateien: MeinClient.crt, MeinClient.key, ca.crt. Kopieren Sie diese Dateien auf einen USB-Stick oder auf eine Netzwerkfreigabe, um sie später auf dem Client einzurichten.