Erste Schritte

Falls nicht schon vorhanden, ist als erstes das OpenVPN-Paket zu installieren (siehe Kasten 3). OpenVPN nimmt keine Änderungen am Kernel vor. Damit das Umleiten der Pakete dennoch klappt, nutzt es den TUN/TAP-Treiber [2]. Das entsprechende Kernelmodul gehört längst zur Standardausstattung der großen Distributionen. Das Modul muss nur noch geladen werden. Folgendes Kommando als Root-User eingeben genügt:

modprobe tun

In Linux erhalten Netzwerk-Interfaces normalerweise kein Device-File, es gibt kein /dev/eth0. Das erscheint zwar nicht ganz konsequent, ist aber auch nicht nötig – für die Kommunikation kommt die Socket-Schnittstelle zum Einsatz. Das TUN-Interface nutzt diesen Umstand und legt gegen die Regel doch ein Device-File an. Damit kann ein Userspace-Daemon die IP-Pakete abgreifen, neu verpacken und weiter senden.

Der Daemon schreibt Pakete nach /dev/tun0 oder /dev/net/tun (siehe Kasten 1), beim Kernel kommen sie über das tun0-Interface an. Jedes Paket, das der Kernel zu tun0 leitet, erhält der Daemon über /dev/tun0 oder /dev/net/tun (siehe Abbildung 3). Das Interface funktioniert wie jedes gewöhnliche Netzwerk-Interface, man kann IP-Adressen daran binden, es in das Routing aufnehmen und Firewall-Regeln anwenden – nur sendet es die Daten nicht über eine Ethernet-Karte ins Netz, sondern über ein Device-File zu einem Prozess.

Schlüsselfrage

OpenVPN benötigt Schlüssel, um sicher zu arbeiten. In der einfachsten Variante verwenden beide zu verbindenden Rechner den gleichen geheimen Schlüssel, Shared Secret genannt. Folgendes Kommando erzeugt einen Schlüssel und legt ihn in der Datei geheimer.key ab:

openvpn --genkey --secret geheimer.key

Diesen Key dürfen nur die beiden Rechner kennen, und dort nur für Root lesbar sein – wer den Schlüssel kennt, kann den Tunnel problemlos knacken. Das Kopieren der Key-Datei auf den zweiten Rechner muss abhörsicher ablaufen. Auf der Funkstrecke könnte schon jemand mitlauschen. Am besten eignet sich eine Diskette, die man anschließend vollständig formatiert. Wer bereits OpenSSH, PGP, GnuPG oder ähnliches installiert hat, kann auch diese Programme benutzen, um die Datei sicher zu übermitteln.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Sichere WLAN-Vernetzung mit verschlüsseltem OpenVPN-Tunnel
    Drahtlose Netzwerke sind zwar praktisch, aber auch gefährlich: Die eingebaute WEP-Verschlüsselung ist für einen Angreifer kein ernstes Hindernis, er kann Daten abhören, manipulieren und Pakete einschmuggeln. Abhilfe schafft ein verschlüsselter Tunnel: OpenVPN schützt die Daten.
  • Verschlüsselte Tunnel mit OpenVPN einrichten
    Viele WLAN-Geräte verschlüsseln die Verbindungen nur unzureichend. Mit OpenVPN und wenigen Befehlen richten Sie ihr eigenes verschlüsseltes Netzwerk ein und können sich sogar aus dem Internet zu Hause einloggen.
  • Sicher unterwegs im Wireless LAN
    Wireless LAN endet nicht an der Grundstücksgrenze, und gerade in Städten finden sich immer wieder unerwünschte Zaungäste. Wir zeigen Ihnen, wie Sie es Angreifern möglichst schwer machen, in Ihr drahtloses Netz einzudringen.
  • Durchgetunnelt
    Der Einsatz eines virtuellen privaten Netzwerks erlaubt die sichere Kommunikation über unsichere Netzwerke. Mit OpenVPN steht dafür ein einfach zu konfigurierendes, mächtiges Werkzeug bereit.
  • Tag der offenen Tür
    Fast jede öffentliche Einrichtung und jedes Hotel bieten heute ein kostenpflichtiges WLAN an. Kreative Zeitgenossen finden jedoch meist schnell eine Möglichkeit, ein solches Netz unautorisiert zu nutzen.
Kommentare

Infos zur Publikation

LU 11/2017: Server für Daheim

Digitale Ausgabe: Preis € 8,50
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 2 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...
Backup mit KUP unter Suse 42.3
Horst Schwarz, 24.09.2017 13:16, 3 Antworten
Ich möchte auch wieder unter Suse 42.3 mit Kup meine Backup durchführen. Eine Installationsmöglic...
kein foto, etc. upload möglich, wo liegt mein fehler?
kerstin brums, 17.09.2017 22:08, 5 Antworten
moin, zum erstellen einer einfachen wordpress website kann ich keine fotos uploaden. vom rechne...
Arch Linux Netzwerkkonfigurationen
Franziska Schley, 15.09.2017 18:04, 0 Antworten
Moin liebe Linux community, ich habe momentan Probleme mit der Einstellung des Lan/Wlan in Arc...