Geschützter Tunnel

Adressvergabe

Als konkretes Beispiel könnte die WLAN-Karte des Laptops die reale IP-Adresse 172.16.0.1 haben, der Desktop 172.16.0.2. Das VPN braucht eigene Adressen aus einem privaten Adressraum, etwa 10.0.0.1 als virtuelle Laptop-IP-Adresse und 10.0.0.2 für den Desktop. Damit lautet das Kommando auf dem Laptop:

openvpn --dev tun0\
--remote 172.16.0.2\
--ifconfig 10.0.0.1  10.0.0.2\
--secret geheimer.key

Und auf dem Desktop:

openvpn --dev tun0\
--remote 172.16.0.1\
--ifconfig 10.0.0.2  10.0.0.1\
--secret geheimer.key

Ob der Tunnel steht, zeigt ein abschließender Ping-Test. Auf dem Laptop sollte ping 10.0.0.2 funktionieren und zeigen, dass die virtuelle IP-Adresse des Desktops erreichbar ist.

Wenn alles klappt, kann man OpenVPN auch als Daemon starten, der im Hintergund arbeitet und seine Meldungen über Syslog ausgibt. Dazu muss der Aufruf die Option --daemon enthalten. Aber Vorsicht: Jetzt muss man die Datei, die den geheimen Schlüssel enthält, mit ihrem absoluten Pfad angeben.

Der richtige Weg

Der Tunnel steht und die Pakete wandern brav zum anderen Ende – aber Laptop und Desktop müssen auch wissen, welche Pakete durch den Tunnel gehen sollen. Ist die virtuelle IP-Adresse des Gegenübers angegeben, dann klappt das schon. Der OpenVPN-Aufruf setzt die Route für genau diese Adresse passend. Alle anderen Adressen werden wie vorher geroutet – am Tunnel vorbei.

Der Weg vom Desktop zum Laptop klappt schon, wenn der Laptop mit seiner neuen virtuellen Adresse angesprochen wird. Die alten realen Adressen der WLAN-Karten in Laptop und Desktop erfüllen nur noch einen Zweck: Sie sind die Endpunkte des Tunnels. In normalen Verbindungen haben sie nichts zu suchen.

Der Weg vom Laptop zurück zum Desktop und weiter zu den anderen Rechnern im eigenen Netz und im Internet benötigt noch etwas Handarbeit: Die Default-Route ist neu zu setzen. Mit folgendem Aufruf sendet der Laptop alle Pakete durch den Tunnel:

route del default
route add default gw 10.0.0.2

Nicht von der Default-Route betroffen sind die Pakete, die zur realen WLAN-IP-Adresse des Desktops (172.16.0.2) gehen. Das ist auch gut so, da der Tunnel selbst an dieser Adresse angedockt ist. Nun muss der Desktop noch wissen, dass er die ausgepackten Pakete bei Bedarf weiterzuleiten hat. Dies geschieht mit folgendem Befehl:

echo "1" > /proc/sys/net/ipv4/\
ip_forward