Verschlüsselte Tunnel mit OpenVPN einrichten

Schlüsseldienst

Viele WLAN-Geräte verschlüsseln die Verbindungen nur unzureichend. Mit OpenVPN und wenigen Befehlen richten Sie ihr eigenes verschlüsseltes Netzwerk ein und können sich sogar aus dem Internet zu Hause einloggen.

Die große Verbreitung von WLAN-Netzen stellt nicht nur in Firmen ein ernstes Sicherheitsproblem dar, sondern betrifft auch Privatanwender: Die meisten Geräte verschlüsseln noch nach dem leicht knackbaren WEP-Standard (Wired Equivalent Privacy) – was Angreifern ermöglicht, selbst aus einigen hundert Metern Entfernung in das Hausnetz einzubrechen. Das Ziel sind dann entweder die Computer des Anwenders oder aber dessen Internet-Verbindung, die der Einbrecher zum Spammen, zu Denial-of-Service-Attacken oder zu Angriffe gegen Dritte missbrauchen will. Der Dumme ist im Zweifel der Anwender, von dessen Computer aus die Angriffe gestartet wurden.

Die Lösung ist, zusätzlich zur WEP-Verschlüsselung ein VPN zu verwenden, das die Daten nur verschlüsselt zwischen den Computern überträgt. OpenVPN [1] zeichnete sich von je her durch die einfache Konfiguration aus: Anstelle einer ellenlangen Konfigurationsdatei, wie sie bei vielen IP-Sec-Lösungen üblich ist, genügen wenige Parameter für einen verschlüsselten Tunnel. Die Einfachheit geht dabei nicht zulasten der Sicherheit, wie eine einschlägige Untersuchung [3] nachweist.

Einfache Einrichtung

Ab Version 2.0 können Sie OpenVPN auch als Server für dutzende Clients einsetzen, was zusammen mit dem Schlüssel-Management allerdings schnell unübersichtlich und kompliziert wird. Wer für den Hausgebrauch nur ein oder zwei Rechner über OpenVPN verbinden möchte, weil er der WEP-Verschlüsselung seines WLANs nicht traut, sollte besser weiterhin für jeden Client einen OpenVPN-Prozess auf dem Server starten.

Für die verschlüsselte Kommunikation benutzt Open-VPN eigene Netzwerk-Devices, im nachfolgenden Beispiel tun0. Für Programme, die für ihre Kommunikation Gerätedateien benötigen, gibt es zudem das Gerät /dev/tun0. Alle Daten, die in /dev/tun0 oder tun0 geschrieben werden, transportiert OpenVPN zur Gegenstelle und gibt sie dort wiederum über das entsprechende Tunnel-Device aus. Somit funktioniert der Tunnel wie eine virtuelle Netzwerkkarte und bekommt auch eine eigene IP zugewiesen, die in einem anderen Class-C-Netz liegen sollte als die IP Ihrer Netzwerkkarte.

IP-Adressen und Subnetze

In den folgenden Beispielen besitzen die WLAN-Karten des Notebooks und des Desktop-Rechners die IP-Adressen 192.168.1.109 und 192.168.1.1, während die Tunnel-Devices die IP-Adressen 192.168.8.96 und 192.168.8.254 besitzen (Abbildung 1). Die IP-Adressen der Tunnel-Devices wurden übrigens willkürlich gewählt. Wichtig ist nur, dass sie nicht zwischen 192.168.1.0 und 192.168.1.255 liegen, da dies das Class-C-Netz (Subnetz) der WLAN-Karten ist.

Abbildung 1: Ist die Tunnel-IP-Adresse des Desktops als Default-Gateway auf dem Notebook eingetragen, laufen die Internet-Zugriffe über den verschlüsselten Tunnel.

Der Grund dafür, dass Sie für die Tunnel-Devices IP-Adressen aus einem anderen Subnetz wählen sollen, ist das Routing: Linux geht nach dem Standard davon aus, dass ein Gerät mit einer IP-Adresse aus dem Bereich 192.168.0.x bis 192.168.255.x an einem Class-C-Subnetz mit der Netzmaske 255.255.255.0 betrieben wird – und erwartet, dass sich auch alle anderen Geräte aus dem gleichen Adressbereich direkt und ohne Gateway über das Netzwerkgerät erreichen lassen. Dies könnten Sie zwar ändern, jedoch wäre zusätzlicher Konfigurationsaufwand damit verbunden. Es ist daher einfacher, ein anderes Class-C-Netz rein für die Tunnel zu verwenden.

Für Zugriffe vom Notebook auf den Desktop müssen Sie allerdings ebenfalls die Tunnel-IP-Adresse des Desktops, also 192.168.8.254 angeben: Wenn Sie sich etwa per FTP über die IP-Adresse 192.168.1.1 auf dem Desktop einloggen, verwendet das Notebook die nur unzureichend verschlüsselte WLAN-Schnittstelle, da die IP-Adresse 192.168.1.1 im gleichen Subnetz wie die IP-Adresse der Notebook-WLAN-Karte liegt und folglich direkt über WLAN erreichbar sein müsste. Öffnen Sie hingegen eine FTP-Verbindung zur IP-Adresse 192.168.8.254, landen Sie zwar ebenfalls auf dem Desktop-Rechner – die IP-Adresse liegt jedoch im gleichen Subnetz wie die IP-Adresse des Notebook-Tunnel-Devices, folglich läuft der Datentransfer durch den Tunnel und wird verschlüsselt.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Sichere WLAN-Vernetzung mit verschlüsseltem OpenVPN-Tunnel
    Drahtlose Netzwerke sind zwar praktisch, aber auch gefährlich: Die eingebaute WEP-Verschlüsselung ist für einen Angreifer kein ernstes Hindernis, er kann Daten abhören, manipulieren und Pakete einschmuggeln. Abhilfe schafft ein verschlüsselter Tunnel: OpenVPN schützt die Daten.
  • Sichere WLAN-Vernetzung mit verschlüsseltem OpenVPN-Tunnel
    Drahtlose Netze sind praktisch und gefährlich zugleich: Die eingebaute WEP-Verschlüsselung hält keinem Angreifer stand. Abhilfe schaffen zusätzliche Sicherheitsmaßnahmen bis hin zum verschlüsselten OpenVPN-Tunnel.
  • Durchgetunnelt
    Der Einsatz eines virtuellen privaten Netzwerks erlaubt die sichere Kommunikation über unsichere Netzwerke. Mit OpenVPN steht dafür ein einfach zu konfigurierendes, mächtiges Werkzeug bereit.
  • OpenVPN-Grundlagen
    VPNs stehen seit jeher im Ruf, kompliziert und umständlich in der Konfiguration zu sein. OpenVPN zeigt, dass es auch anders geht: Mit einem Fünfzeiler bauen Sie einen sicheren Tunnel über das Internet auf.
  • Sicher unterwegs im Wireless LAN
    Wireless LAN endet nicht an der Grundstücksgrenze, und gerade in Städten finden sich immer wieder unerwünschte Zaungäste. Wir zeigen Ihnen, wie Sie es Angreifern möglichst schwer machen, in Ihr drahtloses Netz einzudringen.
Kommentare

Infos zur Publikation

LU 08/2016: Multimedia

Digitale Ausgabe: Preis € 5,99
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

Wie kann man das berichtigen
Udo Muelle, 17.07.2016 20:39, 1 Antworten
Fehlschlag beim Holen von http://extra.linuxmint.com/dists/rosa/main/binary-i386/Packages Hash-S...
Installation Genimotion
Horst Müller, 15.07.2016 17:00, 1 Antworten
Hallo, ich kann Genimotion nicht installieren. Folgende Fehlermeldung habe ich beim Aufruf erh...
Probleme beim Hochfahren der Terastaion 5400 mit Unix-Distrib
Sheldon Cooper, 10.07.2016 09:32, 0 Antworten
Hallo ihr lieben, habe seit zwei Tagen das Problem, das das NAS (Raid5) nicht mehr sauber hoch...
Mit Firewire Videos improtieren?
Werner Hahn, 09.06.2016 11:06, 5 Antworten
Ich besitze den Camcorder Panasonic NV-GS330, bei dem die Videos in guter Qualität nur über den 4...
lidl internetstick für linux mint
rolf meyer, 04.06.2016 14:17, 3 Antworten
hallo zusammen ich benötige eure hilfe habe einen lidl-internetstick möchte ihn auf linux mint i...