OpenVPN: Sicher unterwegs in unsicheren Netzwerken

Open VPN für den ersten Start konfigurieren

Nach der Erzeugung aller Schlüssel kommt nun die eigentliche Serverkonfiguration für Open VPN. Die Konfiguration erfolgt hier nach Linux-Tradition in einer Textdatei, was Maus-verwöhnte Windows-Anwender erst mal abschrecken wird. Textdateien haben allerdings den Vorteil, dass alle Einstellungen und Optionen übersichtlich an einem Ort untergebracht sind. Für den Server begnügen wir uns mit einer möglichst einfachen Konfiguration für die Verbindung eines Clients, ohne Routing. Erstellen Sie eine neue Textdatei mit dem Namen server. ovpn im Verzeichnis "C:\Program Files\Open-VPN\config".

Hinweis: Für die Bearbeitung der Konfigurationsdateien empfiehlt sich ein fähiger Text-Editor wie etwa das Freeware-Programm Notepad++. Das traditionelle Notepad von Windows ist wenig hilfreich, da es die UNIX-Zeilenumbrüche in den Konfigurationsdateien nicht richtig erkennt.

Für das folgende Konfigurationsbeispiel gehen wir von diesen Netzwerkadressen aus: Die Adresse des Open-VPN-Servers im internen LAN ist 192.168.1.77. Das VPN wird im Subnetz 192.168.10.0 aufgebaut. Ausgehend von diesen Beispieladressen bekommt die Konfigurationsdatei server.ovpn die Zeilen aus dem Kasten "Open VPN: Server-Konfiguration" als Inhalt.

Im ersten Abschnitt dieser Konfigurationsdatei sind die Pfade der benötigten Zertifikate definiert. Beachten Sie hier, dass die Pfadangaben von Anführungszeichen eingefasst sind und dass Sie jeweils einen doppelten Backslash angeben müssen. Im Abschnitt "# Server und Netzwerk" erscheint zunächst die Angabe der lokalen IP-Adresse des Servers im LAN, in diesem Beispiel 192.168.1.77. Passen Sie diese Adresse so an, dass hier die tatsächliche interne IP Ihres Open-VPN-Server steht.

Darunter folgt die Angabe des Ports, hier 1194. Welches Subnetz für das VPN verwendet wird, gibt die Zeile "server 192.168.10.0 255. 255.255.0 #Subnetz" an. Der Open-VPN-Server bekommt so auf seiner VPN-Schnittstelle automatisch die Adresse 192.168.10.1 zugeteilt und der Client die Adresse 192.168.10.x. Im Abschnitt "# Log" definieren Sie die Pfade zu Log-Dateien im Programmordner von Open VPN. Diese Dateien müssen noch nicht existieren, da sie der Server beim ersten Start selbstständig anlegt.

Open-VPN-Server-Konfiguration

# Zertifikateca "C:\\\\Program Files\\\\OpenVPN\\\\easy-rsa\\\\keys\\\\ca.crt"cert "C:\\\\Program Files\\\\OpenVPN\\\\easy-rsa\\\\keys\\\\MeinServer.crt"key "C:\\\\Program Files\\\\OpenVPN\\\\easy-rsa\\\\keys\\\\MeinServer.key"dh "C:\\\\Program Files\\\\OpenVPN\\\\easy-rsa\\\\keys\\\\dh1024.pem"# Server und Netzwerklocal 192.168.1.77 #LAN-Adresse des Serversport 1194proto udpdev tapserver 192.168.10.0 255.255.255.0 #Subnetzifconfig-pool-persist ipp.txtcomp-lzopersist-keypersist-tunkeepalive 10 120# Logstatus "C:\\\\Program Files\\\\Open-VPN\\\\log\\\\openvpn-status.log"log "C:\\\\Program Files\\\\OpenVPN\\\\log\\\\openvpn.log"log-append "C:\\\\Program Files\\\\OpenVPN\\\\log\\\\openvpn.log"verb 3

Wenn die Konfiguration fertig ist, starten Sie auf dem Server den Open-VPN-Dienst. Dies geht am schnellsten in der Eingabeaufforderung (mit Administratorrechten), in der Sie mit

net start OpenVPNService


den Dienst starten. Es empfiehlt sich, gleich einen Blick auf die Logdateien im Verzeichnis "C:\Program Files\OpenVPN\log" zu werfen. Sollte die Konfiguration nämlich Fehler enthalten, beschwert sich Open VPN sofort und gibt ausführliche Fehlermeldungen in den Logdateien aus. Einen automatischen Start des Open-VPN-Dienstes können Sie in der Diensteverwaltung (services.msc) oder in der Eingabeaufforderung festlegen:

sc config OpenVPNService start= auto


Hinter dem Gleichheitszeichen vor "auto" ist ein Leerzeichen erforderlich.