Verschlüsselte Tunnel mit OpenVPN einrichten

Schlüsseldienst

Viele WLAN-Geräte verschlüsseln die Verbindungen nur unzureichend. Mit OpenVPN und wenigen Befehlen richten Sie ihr eigenes verschlüsseltes Netzwerk ein und können sich sogar aus dem Internet zu Hause einloggen.

Die große Verbreitung von WLAN-Netzen stellt nicht nur in Firmen ein ernstes Sicherheitsproblem dar, sondern betrifft auch Privatanwender: Die meisten Geräte verschlüsseln noch nach dem leicht knackbaren WEP-Standard (Wired Equivalent Privacy) – was Angreifern ermöglicht, selbst aus einigen hundert Metern Entfernung in das Hausnetz einzubrechen. Das Ziel sind dann entweder die Computer des Anwenders oder aber dessen Internet-Verbindung, die der Einbrecher zum Spammen, zu Denial-of-Service-Attacken oder zu Angriffe gegen Dritte missbrauchen will. Der Dumme ist im Zweifel der Anwender, von dessen Computer aus die Angriffe gestartet wurden.

Die Lösung ist, zusätzlich zur WEP-Verschlüsselung ein VPN zu verwenden, das die Daten nur verschlüsselt zwischen den Computern überträgt. OpenVPN [1] zeichnete sich von je her durch die einfache Konfiguration aus: Anstelle einer ellenlangen Konfigurationsdatei, wie sie bei vielen IP-Sec-Lösungen üblich ist, genügen wenige Parameter für einen verschlüsselten Tunnel. Die Einfachheit geht dabei nicht zulasten der Sicherheit, wie eine einschlägige Untersuchung [3] nachweist.

Einfache Einrichtung

Ab Version 2.0 können Sie OpenVPN auch als Server für dutzende Clients einsetzen, was zusammen mit dem Schlüssel-Management allerdings schnell unübersichtlich und kompliziert wird. Wer für den Hausgebrauch nur ein oder zwei Rechner über OpenVPN verbinden möchte, weil er der WEP-Verschlüsselung seines WLANs nicht traut, sollte besser weiterhin für jeden Client einen OpenVPN-Prozess auf dem Server starten.

Für die verschlüsselte Kommunikation benutzt Open-VPN eigene Netzwerk-Devices, im nachfolgenden Beispiel tun0. Für Programme, die für ihre Kommunikation Gerätedateien benötigen, gibt es zudem das Gerät /dev/tun0. Alle Daten, die in /dev/tun0 oder tun0 geschrieben werden, transportiert OpenVPN zur Gegenstelle und gibt sie dort wiederum über das entsprechende Tunnel-Device aus. Somit funktioniert der Tunnel wie eine virtuelle Netzwerkkarte und bekommt auch eine eigene IP zugewiesen, die in einem anderen Class-C-Netz liegen sollte als die IP Ihrer Netzwerkkarte.

IP-Adressen und Subnetze

In den folgenden Beispielen besitzen die WLAN-Karten des Notebooks und des Desktop-Rechners die IP-Adressen 192.168.1.109 und 192.168.1.1, während die Tunnel-Devices die IP-Adressen 192.168.8.96 und 192.168.8.254 besitzen (Abbildung 1). Die IP-Adressen der Tunnel-Devices wurden übrigens willkürlich gewählt. Wichtig ist nur, dass sie nicht zwischen 192.168.1.0 und 192.168.1.255 liegen, da dies das Class-C-Netz (Subnetz) der WLAN-Karten ist.

Abbildung 1: Ist die Tunnel-IP-Adresse des Desktops als Default-Gateway auf dem Notebook eingetragen, laufen die Internet-Zugriffe über den verschlüsselten Tunnel.

Der Grund dafür, dass Sie für die Tunnel-Devices IP-Adressen aus einem anderen Subnetz wählen sollen, ist das Routing: Linux geht nach dem Standard davon aus, dass ein Gerät mit einer IP-Adresse aus dem Bereich 192.168.0.x bis 192.168.255.x an einem Class-C-Subnetz mit der Netzmaske 255.255.255.0 betrieben wird – und erwartet, dass sich auch alle anderen Geräte aus dem gleichen Adressbereich direkt und ohne Gateway über das Netzwerkgerät erreichen lassen. Dies könnten Sie zwar ändern, jedoch wäre zusätzlicher Konfigurationsaufwand damit verbunden. Es ist daher einfacher, ein anderes Class-C-Netz rein für die Tunnel zu verwenden.

Für Zugriffe vom Notebook auf den Desktop müssen Sie allerdings ebenfalls die Tunnel-IP-Adresse des Desktops, also 192.168.8.254 angeben: Wenn Sie sich etwa per FTP über die IP-Adresse 192.168.1.1 auf dem Desktop einloggen, verwendet das Notebook die nur unzureichend verschlüsselte WLAN-Schnittstelle, da die IP-Adresse 192.168.1.1 im gleichen Subnetz wie die IP-Adresse der Notebook-WLAN-Karte liegt und folglich direkt über WLAN erreichbar sein müsste. Öffnen Sie hingegen eine FTP-Verbindung zur IP-Adresse 192.168.8.254, landen Sie zwar ebenfalls auf dem Desktop-Rechner – die IP-Adresse liegt jedoch im gleichen Subnetz wie die IP-Adresse des Notebook-Tunnel-Devices, folglich läuft der Datentransfer durch den Tunnel und wird verschlüsselt.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Sichere WLAN-Vernetzung mit verschlüsseltem OpenVPN-Tunnel
    Drahtlose Netzwerke sind zwar praktisch, aber auch gefährlich: Die eingebaute WEP-Verschlüsselung ist für einen Angreifer kein ernstes Hindernis, er kann Daten abhören, manipulieren und Pakete einschmuggeln. Abhilfe schafft ein verschlüsselter Tunnel: OpenVPN schützt die Daten.
  • Sicher unterwegs im Wireless LAN
    Wireless LAN endet nicht an der Grundstücksgrenze, und gerade in Städten finden sich immer wieder unerwünschte Zaungäste. Wir zeigen Ihnen, wie Sie es Angreifern möglichst schwer machen, in Ihr drahtloses Netz einzudringen.
  • OpenVPN-Grundlagen
    VPNs stehen seit jeher im Ruf, kompliziert und umständlich in der Konfiguration zu sein. OpenVPN zeigt, dass es auch anders geht: Mit einem Fünfzeiler bauen Sie einen sicheren Tunnel über das Internet auf.
  • Durchgetunnelt
    Der Einsatz eines virtuellen privaten Netzwerks erlaubt die sichere Kommunikation über unsichere Netzwerke. Mit OpenVPN steht dafür ein einfach zu konfigurierendes, mächtiges Werkzeug bereit.
  • VPN-Verbindungen mit OpenVPN einrichten
    OpenVPN hilft dabei, von unterwegs sicher auf die Daten auf dem eigenen Computer zurückzugreifen. Dabei ist die Software leicht einzurichten und gehört bei den großen Distributionen zu den Standardpaketen.
Kommentare

Infos zur Publikation

LU 07/2017: VIDEOSCHNITT

Digitale Ausgabe: Preis € 0,00
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

Irgend ein Notebook mit Linux Mint - vllt der Dell Latitude 3480???
Universit Freiburg, 26.06.2017 13:51, 3 Antworten
Hey Leute, bin am Verzweifeln weil ich super gerne auf Linux umsteigen würde aber kein Noteboo...
scannen mit LINUXMINT 18.0 - Brother DCP - 195 C
Christoph-J. Walter, 21.06.2017 08:47, 5 Antworten
Seit LM 18.0 kann ich nicht mehr direkt scannen. Obwohl ich die notwendigen Tools von der Brothe...
Anfänger Frage
Klaus Müller, 24.05.2017 14:25, 2 Antworten
Hallo erstmal. Habe von linux nicht so viel erfahrung müsste aber mal ne doofe frage stellen. A...
Knoppix-Live-CD (8.0 LU-Edition) im Uefiboot?
Thomas Weiss, 26.04.2017 20:38, 4 Antworten
Hallo, Da mein Rechner unter Windows 8.1/64Bit ein Soundproblem hat und ich abklären wollte, o...
Grub2 reparieren
Brain Stuff, 26.04.2017 02:04, 8 Antworten
Ein Windows Update hat mir Grub zerschossen ... der Computer startet nicht mehr mit Grub, sondern...