Sie sind auf Seite 1von 4

Newsle Open Source im professionellen Einsatz

HEFTARCHIV | NEWS | VIDEO | BLOGS | WHITEPAPER | EVENTS | ACADEMY | ABO Home Online Artikel OpenVPN fr Windows-Rechner

Ihre E-M Suche

Server Netzwerk Security Desktop Administration Entwicklung Hardware Szene Special IT-Profimarkt Heftarchiv Service Bestellen Kontakt
Live-Streaming IT-Profimarkt Stellenangebote Technical Review
Anzeigen

OpenVPN in vier Schritten einrichten

Howto OpenVPN: Heimischen Windows-Rechner fr sicheres Surfen unterwegs einrichten


von Markus Feilner und Norbert Graf

07.08.2008 Dieser Artikel zeigt, wie sich in vier einfachen Schritten der heimische Windows-PC zum Absichern eines Laptops und zum Umgehen von Systemen wie der "Great Firewall of China" verwenden lsst. Der mobile Benutzer surft dank Openvpn ohne Einschrnkungen, die sonst in seinem lokalen Netz greifen und kann abhrsicher und zensurfrei auf alle Internetinhalte zugreifen. Reisende in China leiden unter der Internetzensur, die den Zugriff auf viele Webseiten blockt und den kompletten Traffic untersucht, den ein Rechner verursacht. Aber auch in Deutschland schrnken zahlreiche Institutionen den WWW-Zugriff ein, wie die jngste Diskussion ber Nordrhein-Westfalen zeigt. Jeder Laptop-Benutzer kennt das Problem: Er fhlt sich unsicher, whnt sich in einem wenig vertrauenswrdigen Netz, muss aber ins Web. Egal, ob es das Internetcafe in einer fremden Stadt, das LAN am Arbeitsplatz, bei einem Kunden, oder einfach die leicht mitlesbare Verbindung ber Funknetze wie WLAN, Bluetooth, UMTS oder GPRS ist. Anonymitt und unbeschrnkten Zugriff empfinden viele Benutzer zwar als Grundrecht, aber sie akzeptieren die Einschrnkungen meist als notwendiges bel. Besser mit Openvpn Das muss aber nicht so sein. Die Freie VPN-Software OpenVPN steht fr Windows, Linux und Mac OS X zur Verfgung und hat sich seit Jahren im praktischen Einsatz bewhrt. Viele Benutzer surfen damit anonym und abhrsicher. Verschlsselungstechnologien auf militrischer Sicherheitsstufe stellen die Vertraulichkeit sicher, und dank der umfangreichen Optionen lsst sich in fast jedem Szenario eine sichere Verbindung, ein so genannter Tunnel zum eigenen Server benutzen. Typischerweise verwenden Admins dafr Linux-Server, Firewall-Appliances oder einen Linux-Root-Server bei den blichen Providern, der von berall erreichbar ist. Dieser Artikel beschreibt dagegen ein denkbar einfaches und fr viele Anwender passendes Setup: Ein Windows-Server an einer breitbandigen DSL-Leitung dient als Zugangspunkt ins Internet, der Laptop von unterwegs verbindet sich mit dem heimischen Anschluss und baut einen sicher verschlsselten Tunnel auf. Danach surft der mobile User, wie durch ein unsichtbares Kabel verbunden, ber den DSL-Anschluss. Dieses Beispiel lsst sich in vier Schritten einrichten. Schritt 1: Dyndns Zunchst braucht der DSL-Anschluss einen flexiblen Eintrag im Domain Name System. Mit dieser dynamischen DNS-Adresse ist auch der Windows-Rechner in der Wohnung immer von auen erreichbar, auch wenn er wie bei den meisten DSL-Anbietern blich, tglich eine neue IP-Adresse bekommt. Zahlreiche Anbieter wie dyndns.org, no-ip.com oder andere bieten bequeme, kostenlose Webformulare, in denen der Anwender einen Eintrag in der Form feilner.dyndns.org bekommt. Immer wenn sich die lokale IP ndert, aktualisiert passende Client-Software auf Windows oder dem DSL-Router den Eintrag auf dyndns.org automatisch. Fast alle gngigen Router und Linux-Systeme bringen diese Funktion bereits mit, fr Windows empfiehlt sich der Original-Client von dyndns.org. 1234 nchste Seite

Yatego Deutschlands grte Shoppingmall. 7000 Shops, 2.5 Mio Artikel. Alle Bestseller, Gutscheine und Liveshopping. Firewall bei Mercateo kaufen. Ein Preisvergleich bei Hardware lohnt sich. BalanceNG - der Software Load-Balancer.

hnliche Artikel

Openvpn gegen Zensur Stromsparen mit Linux Embedded Systems Conference

Openvpn gegen Zensur Stromsparen fr jedermann Embedded Systems Conference

Newsle Open Source im professionellen Einsatz


HEFTARCHIV | NEWS | VIDEO | BLOGS | WHITEPAPER | EVENTS | ACADEMY | ABO Home Online Artikel OpenVPN fr Windows-Rechner

Ihre E-M Suche

Server Netzwerk Security Desktop Administration Entwicklung Hardware Szene Special IT-Profimarkt Heftarchiv Service Bestellen Kontakt
Live-Streaming IT-Profimarkt Stellenangebote Technical Review
Anzeigen

Schritt 2: DSL-Router konfigurieren Jetzt ist der heimische Anschluss unter der gewhlten Domain (zum Beispiel feilner.dyndns.org) erreichbar. Der Anwender sollte im zweiten Schritt seinem Router beibringen, die entsprechenden Verbindungsanfragen auf den Windows-PC weiterzuleiten. Auch das ist eine Standardfunktion, die in allen gngigen Routern implementiert ist, die Eingabemasken dafr tragen je nach Hersteller unterschiedliche Titel wie "Port Forwarding", "NAT" oder gar "Masquerading". Idealerweise reicht es dabei aus, den Port 443 (TCP) und die Adresse des Rechners im Webinterface des Routers einzutragen, und schon kommen alle OpenVPN-Pakete von auen auf dem Windows-PC an, und unerwnschte Angreifer bleiben der MicrosoftMaschine fern. Der heimische Rechner sollte dabei ber eine feste Adresse im LAN verfgen und sie nicht ber DHCP beziehen, Probleme sind sonst vorprogrammiert. Aber auch das lsst sich fast immer bequem am Router oder in den Eigenschaften der Netzwerkgerte einstellen. Abbildung 1 zeigt das fr Windows XP.

Im Eigenschaftenmen der Netzwerkkarte unter Windows XP lsst sich fr den heimischen Rechner eine feste IP eintragen. Auch die Adresse des Routers und des DNS-Servers findet sich hier.

Yatego Deutschlands grte Shoppingmall. 7000 Shops, 2.5 Mio Artikel. Alle Bestseller, Gutscheine und Liveshopping. Firewall bei Mercateo kaufen. Ein Preisvergleich bei Hardware lohnt sich. BalanceNG - der Software Load-Balancer.

Schritt 3: OpenVPN auf dem Windows-Server installieren und Zertifikate erzeugen Auf dem Windows-Server installiert der Benutzer die OpenVPN-Software von der Webseite des Projektes. Unter XP wird spter ein Dialogfenster der Firewall den den Benutzer um die Erlaubnis fr OpenVPN bitten, auf das Internet zuzugreifen und Verbindungen von auen zu erlauben. Damit die Verschlsselung sicher funktioniert, sind unter Windows ein paar Befehle an der Kommandozeile notwendig. Mit Ihnen erzeugt der Anwender Zertifikate und Schlssel, die OpenVPN in seiner Konfiguration verwendet. Fr dieses eigentlich sehr komplexe Thema haben die Entwickler von OpenVPN eine ganze Reihe von praktischen Skripten in das Softwarepaket mit bernommen, die sich im Unterverzeichnis "easy-rsa" finden. (Abbildung 2).

Openvpn bringt mit Easy-rsa einige Skripte mit, die das komplexe Thema Verschlsselung, Keys, Zertifikate und PKI fr den Laien anwendbar machen. Gleichzeitig lassen sich vom Administrator damit auch komplette Infrastrukturen verwalten.

An diesem Ort erstellt der mit Adminrechten ausgestattete Benutzer zunchst ein neues Unterverzeichnis namens "keys", kopiert die Dateien index.txt.start und serial.start hinein und ndert er deren Namen auf index.txt und serial (letztere ohne jede Dateinamenserweiterung). Jetzt kommen die mit OpenVPN mitgelieferten Programme ins Spiel. An der WindowsBefehlszeile wechselt der User ins Verzeichnis easy-rsa und gibt nacheinander folgende Befehle ein: "vars", "init-config", "build-dh", "build-ca", "build-key-server server", "build-key client". Nach dem Beantworten einiger Fragen wie Rechnername, Organisation und E-Mail-Adresse finden sich im Verzeichnis "keys" alle Dateien, die fr den OpenVPN Tunnel ntig sind. Die Dateien "ca.crt", "server.crt" und "server.key" und "dh1024.pem" mssen jetzt noch ins "config"-Verzeichnis von OpenVPN kopiert werden, fr den Laptop kopiert der Benutzer "ca.crt", "client.crt" und "client.key" auf einen USB-Stick. Wer mchte, kann auch mit einem Editor vor dem Aufruf von "vars" die Datei "vars.bat" editieren und in der Zeile "set KEY_SIZE" die gewnschte Schlssellnge hochsetzen. Alles ber 1024 ist ein sicherer Wert, allerdings wird mit zunehmender Schlssellnge auch die Verbindung langsamer. Optional lassen sich hier noch Ort, Stadt und Organisationseinheit eintragen, damit stellen die anderen Skripte spter weniger Fragen. vorige Seite 1234 nchste Seite

Newsle Open Source im professionellen Einsatz


HEFTARCHIV | NEWS | VIDEO | BLOGS | WHITEPAPER | EVENTS | ACADEMY | ABO Home Online Artikel OpenVPN fr Windows-Rechner

Ihre E-M Suche

Server Netzwerk Security Desktop Administration Entwicklung Hardware Szene Special IT-Profimarkt Heftarchiv Service Bestellen Kontakt
Live-Streaming IT-Profimarkt Stellenangebote Technical Review
Anzeigen

Schritt 4: Konfiguration Der vierte und letzte Arbeitsschritt betrifft die OpenVPN-Konfiguration von Server und Client. Jetzt muss der Benutzer die mitgelieferte Konfigurationsdatei des OpenVPN-Servers anpassen und den Tunnel mit dem lokalen Ethernet verbinden. Weil Windows XP in der Standardausstattung einfache Masquerading-Funktionen nicht ohne weiteres beherrscht, ist auch dieser Schritt etwas umfangreicher als zum Beispiel bei Linux. Als Lsung bietet sich der so genannte "Bridging Mode" von OpenVPN an. Damit erscheint der Laptop hinter dem virtuellen Kabel wie ein Rechner im heimischen Netz, und erhlt automatisch Zugriff aufs Internet. Allerdings muss der Benutzer dafr die beiden Netzwerkgerte (lokales Ethernet und Tunneldevice) ber das Kontextmen in der Windows-Systemsteuerung bridgen. Abbildung 3 zeigt, wie das unter Windows XP funktioniert. Hufig lohnt es sich auch, zu kontrollieren, ob der Openvpn-Dienst in der Systemverwaltung auf "Automatisch Starten" gesetzt ist, das ist nicht immer der Fall.

Unter Windows kann der Anwender ber das Kontextmen der Systemsteuerung zwei Netzwerkgerte koppeln. Dieses Bridging sorgt dafr, dass in diesem Beispiel ein WLAN und der OpenvpnTunnel vom mobilen Laptop zusammengeschlossen werden und der Laptop Zugriff auf das heimische Lan und den DSL-Zugang bekommt.

Auf dem Server lautet die Minimalkonfiguration, zum Beispiel in einer Datei "server.ovpn". Als "port" ist hier bereits der HTTPS-Port 443 ausgewhlt, den auch viele sicherheitskritische Online-Dienste verwenden: port 443 proto tcp-server dev tap ca ca.crt cert server.crt key server.key dh dh1024.pem server-bridge Lokale_Adresse_des_Windows_PCs 255.255.255.0 192.168.0.240 192.168.0.250 push "redirect-gateway" push "route 0.0.0.0 0.0.0.0 IP_des_DSL_Routers" push "dhcp-option DNS IP_des_DSL_Routers" keepalive 10 120 comp-lzo persist-key persist-tun Der Benutzer muss hier nur in der Zeile "server-bridge ..." die lokale IP seines WindowsRechners zuhause eintragen, und in den beiden Zeilen, die mit "push route..." beziehungsweise push "dhcp-option... beginnen, die lokale IP des DSL-Routers, meist ist das standardmig die 192.168.0.1. Diese Datei speichert der User im Konfigurationsverzeichnis "config", zum Beispiel als "server.ovpn". Alle Tunnel, die dort in auf ".ovpn" endenden Dateien beschrieben sind, startet OpenVPN ab dem nchsten Reboot automatisch. Jetzt gilt es, OpenVPN auf dem Notebook zu installieren und die Client-Schlssel vom USB-Stick ins Konfigurationsverzeichnis einspielen. Fr den Client lautet die entsprechende Konfiguration, zum Beispiel als "client.ovpn": client dev tap proto tcp-client remote feilner.dyndns.org 443 resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert client.crt key client.key comp-lzo route-up myroute.cmd

Yatego Deutschlands grte Shoppingmall. 7000 Shops, 2.5 Mio Artikel. Alle Bestseller, Gutscheine und Liveshopping. Firewall bei Mercateo kaufen. Ein Preisvergleich bei Hardware lohnt sich. BalanceNG - der Software Load-Balancer.

Hier sind nur zwei individuelle nderungen notwendig: In der Zeile "remote..." sollte der Anwender den von ihm gewhlten Dyndns-Namen eintragen. Darber hinaus muss der Client die IP des DSL-Routers im Heimnetzwerk kennen und verwenden. Dafr verwendet OpenVPN das folgende Skript "myroute.cmd", das der Benutzer ebenfalls im Konfigurationsverzeichnis speichert. Hier trgt der Benutzer einen Windows-Route-Befehl mit der IP seines WindowsRechners (zum Beispiel 192.168.0.71) ein: route delete 0.0.0.0 MASK 0.0.0.0 Lokale_IP_des_Windows-Rechners Nach einem Neustart sollte der Tunnel einwandfrei funktionieren, und der Internetzugriff des Laptops findet ausschlielich ber den VPN-Tunnel statt. Frs bequeme An- und Ausschalten des VPN-Zugriffs bietet sich die OpenVPN-GUI fr Windows an, die hier zum Download bereit steht. Beschrnkte Bandbreite Der offensichtlichste Nachteil der beschriebenen Lsung ist die Bandbreite: Beim heimischen DSL-Anschluss ist der Upload begrenzt, meist maximal 1Mbit, also etwas mehr als 128 Kbyte/s (Abbildung 4). Wem das nicht reicht, der braucht entweder eine dickere Leitung oder einen Root-Server bei den groen Hosting-Providern. Auerdem stellt der DSL-Anschluss oder der Root-Server den neuen Angriffspunkt fr eine vollstndige, unerwnschte berwachung durch Lauscher dar. Und Wer das vermeiden mchte, installiert entweder Anonymisierungsdienste wie Tor oder mietet einen Root-Server im Lndern, die die IP-Daten der Kunden nicht berwachen lassen, wie das in Deutschland ab nchstem Jahr Pflicht ist.

Ein (virtuelles) Windows-System benutzt als VPN-Client eine verschlsselte Verbindung mit einem Windows-VPN-Server hinter einem DSL-Anschluss. Der Download der aktuellen Ubuntu-CD luft ber diesen Tunnel mit dauerhaft zwischen 100 und 120 Kbyte/s, das heit er nutzte die verfgbare Uploadbandbreite der 16 Mbit-Leitung vollstndig aus. Der durch die Verschlsselung entstehende Overhead ist bei Openvpn minimal.

Benutzer von Windows Vista mssen wahrscheinlich noch ber einige weitere Hrden springen. Das beschriebene Bridging-Setup funktionierte im Test mit Vista nicht zufriedenstellend und instabil, und nur die aktuellste Version von OpenVPN (2.1, Release Candidate 8) ist an die Neuerungen in Microsofts jngstem Produkt angepasst. Linux und Linux-basierte Embedded Systeme wie OpenWRT oder FreeWRT lassen sich dagegen auch ohne Bridge durch einfaches Forwarding fr sichere Tunnel benutzen. Der Benutzer eines Linux-Servers hat deutlich weniger Aufwand, weil er weder Zertifikate noch die Konfiguration der Bridge mit eigens angepassten Routen erstellen muss. Da reicht dann ein einfacher Schlssel mit einem Passwort und ein Befehl, der das Forwarding auf dem VPN-Server aktiviert. Und mit einem gemieteten Root-Server geht dann auch verschlsselt richtig die Post ab. vorige Seite 1234 nchste Seite

hnliche Artikel

Openvpn gegen Zensur Stromsparen mit Linux Embedded Systems Conference Interview mit Arkeia-CEO Bill Evans und Frederic Renard

Openvpn gegen Zensur Stromsparen fr jedermann Embedded Systems Conference Backupspezialist Arkeia im Intevriew

Whitepaper

Usage Landscape Enterprise Open Source Data Integration Die Nachfrage nach Datenintegrationslsungen fr Unternehmen ist zunehmend gestiegen und vor allem das Interesse an Open Source Technologien wird immer grer. Doch wie und von wem werden Open Source Datenintegrationslsungen genutzt und welches Nutzungsverhalten lsst sich daraus ableiten? Das vorliegende White Paper prsentiert die Erfahrungswerte von ber 1000 Open Source Nutzern und liefert fundierte Antworten auf diese Fragen. Download PDF (Registrierung erforderlich) Daten Migration - Eine Publikation von Bloor Research Datenmigrationsprojekte berschreiten hufig das Budget, neigen zu Verzgerung und werden unter Umstnden komplett abgebrochen. Bloor Research ist eines der weltweit fhrenden IT-Forschungs-, Analyse- und Beratungsunternehmen und wird in dem vorliegenden White Paper die wichtigsten Aspekte dieser Problematik nher beleuchten.