Tunnel graben

Nun geht es daran, den Tunnel zu erzeugen. Dazu benötigt OpenVPN die (feste) IP-Adresse des Zielrechners, den Namen des Tunnel-Devices (standardmäßig tun0) sowie die beiden virtuellen IP-Adressen für das VPN und die Datei mit dem Schlüssel. Auf dem Laptop sieht das so aus:

openvpn --dev tun0 --remote [Reale_DesktopIP] \
 --ifconfig [Virtuelle_LaptopIP] [Virtuelle_DesktopIP] \
 --secret geheimer.key

Das Kommando muss von Root aufgerufen werden, wie auch alle folgenden Befehle. Auf dem Desktop lautet dieser Aufruf mit angepassten IP-Adressen:

openvpn --dev tun0 --remote [Reale_LaptopIP] \
 --ifconfig [Virtuelle_DesktopIP] [Virtuelle_LaptopIP] \
 --secret geheimer.key

Die virtuellen Tunneladressen sind (fast) beliebig, es müssen aber private Adressen sein. Die virtuellen Adressen sollten auch aus einem anderen Block stammen als die realen Adressen, da somit das Routing einfacher wird – reales und virtuelles Netz sind leicht zu unterscheiden.

Adressvergabe

Als konkretes Beispiel könnte die WLAN-Karte des Laptops die reale IP-Adresse 172.16.0.1 haben, der Desktop 172.16.0.2. Das VPN braucht eigene Adressen aus einem privaten Adressraum, etwa 10.0.0.1 als virtuelle Laptop-IP-Adresse und 10.0.0.2 für den Desktop. Damit lautet das Kommando auf dem Laptop:

openvpn --dev tun0 --remote 172.16.0.2 \
 --ifconfig 10.0.0.1  10.0.0.2 \
 --secret geheimer.key

Und auf dem Desktop:

openvpn --dev tun0 --remote 172.16.0.1 \
 --ifconfig 10.0.0.2  10.0.0.1 \
 --secret geheimer.key

Ob der Tunnel steht, zeigt ein abschließender Ping-Test. Auf dem Laptop sollte ping 10.0.0.2 funktionieren und zeigen, dass die virtuelle IP-Adresse des Desktops erreichbar ist.

Wenn alles klappt, darf OpenVPN auch als Daemon laufen, der im Hintergrund arbeitet und seine Meldungen über Syslog ausgibt. Dazu muss der Aufruf die Option --daemon enthalten. Aber Vorsicht: Jetzt ist die Datei, die den geheimen Schlüssel enthält, mit ihrem absoluten Pfad anzugeben.

Kasten 4: Funktionsvielfalt in OpenVPN

Neben dem hier dargestellten einfachen Client-to-Site-VPN kann OpenVPN auch ganze Standorte vernetzen, dazu ist lediglich das Routing anzupassen. Im Bridge-Modus verbindet es sogar transparent zwei Teile eines LAN, die beide die gleichen Adressräume nutzen.

Das im Artikel beschriebene Shared-Secret-Verfahren stößt schnell an seine Grenzen, wenn viele Knoten im VPN eingebunden sind. Dann zeigt sich die TLS-Basis von ihrer besten Seite: Sie ist für den Einsatz von X.509-Zertifikaten ausgelegt. Version 2.0 (derzeit im Beta-Stadium) bringt Admins eine zusätzliche Vereinfachung: Sie müssen dann nicht mehr für jeden VPN-Client eine eigene Server-Konfiguration erstellen, gültige X.509-Zertifikate genügen. Außerdem soll der neue Server unter hoher Last deutlich performanter arbeiten.

OpenVPN unterscheidet im UDP-Modus nicht zwischen Client und Server, sondern arbeitet als Peer-to-Peer-Applikation. Wenn bei aktivierter Option --float einer der Endpunkte eine neue IP erhält, etwa durch den verbreiteten Zwangs-Reset nach 24 Stunden, kann er mit seiner neuen realen Adresse den Tunnel unterbrechungsfrei weiterführen. TCP-Verbindungen bleiben bestehen – besonders praktisch beim FTP-Transfer wirklich großer Dateien.

Wer häufiger große Files durch den Tunnel sendet, wird auch die Option --shaper [Bandbreite] schätzen. Sie begrenzt die Bandbreite in den Tunnel hinein auf die angegebenen Bytes pro Sekunde. Um beide Richtungen zu begrenzen, ist die Option an beiden Enden anzugeben. Für administrative Aufgaben besonders interessant: OpenVPN kann gleichzeitig mehrere Tunnel zwischen zwei Partnern öffnen und ihnen unterschiedliche Bandbreiten zuteilen. Das Routing entscheidet, welche Daten durch welchen Tunnel laufen.

Seit Version 1.5 unterstützt OpenVPN ersatzweise auch TCP. Wer hinter einer Firewall sitzt, die nur TCP akzeptiert, hat kaum eine andere Wahl als auf dieses Verfahren zu setzen. Der Nachteil: Treten auf dem Netzwerk Probleme auf, dann verschlimmert die Kombination VPN-über-TCP die Situation. Wo möglich, sollte OpenVPN daher den klassischen Weg über UDP wählen.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Sichere WLAN-Vernetzung mit verschlüsseltem OpenVPN-Tunnel
    Drahtlose Netzwerke sind zwar praktisch, aber auch gefährlich: Die eingebaute WEP-Verschlüsselung ist für einen Angreifer kein ernstes Hindernis, er kann Daten abhören, manipulieren und Pakete einschmuggeln. Abhilfe schafft ein verschlüsselter Tunnel: OpenVPN schützt die Daten.
  • Verschlüsselte Tunnel mit OpenVPN einrichten
    Viele WLAN-Geräte verschlüsseln die Verbindungen nur unzureichend. Mit OpenVPN und wenigen Befehlen richten Sie ihr eigenes verschlüsseltes Netzwerk ein und können sich sogar aus dem Internet zu Hause einloggen.
  • Sicher unterwegs im Wireless LAN
    Wireless LAN endet nicht an der Grundstücksgrenze, und gerade in Städten finden sich immer wieder unerwünschte Zaungäste. Wir zeigen Ihnen, wie Sie es Angreifern möglichst schwer machen, in Ihr drahtloses Netz einzudringen.
  • Durchgetunnelt
    Der Einsatz eines virtuellen privaten Netzwerks erlaubt die sichere Kommunikation über unsichere Netzwerke. Mit OpenVPN steht dafür ein einfach zu konfigurierendes, mächtiges Werkzeug bereit.
  • Tag der offenen Tür
    Fast jede öffentliche Einrichtung und jedes Hotel bieten heute ein kostenpflichtiges WLAN an. Kreative Zeitgenossen finden jedoch meist schnell eine Möglichkeit, ein solches Netz unautorisiert zu nutzen.
Kommentare

Infos zur Publikation

LU 10/2017: Daten retten & sichern

Digitale Ausgabe: Preis € 8,50
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 2 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...
Backup mit KUP unter Suse 42.3
Horst Schwarz, 24.09.2017 13:16, 3 Antworten
Ich möchte auch wieder unter Suse 42.3 mit Kup meine Backup durchführen. Eine Installationsmöglic...
kein foto, etc. upload möglich, wo liegt mein fehler?
kerstin brums, 17.09.2017 22:08, 5 Antworten
moin, zum erstellen einer einfachen wordpress website kann ich keine fotos uploaden. vom rechne...
Arch Linux Netzwerkkonfigurationen
Franziska Schley, 15.09.2017 18:04, 0 Antworten
Moin liebe Linux community, ich habe momentan Probleme mit der Einstellung des Lan/Wlan in Arc...