Die Schlüsselfrage

OpenVPN unterstützt zwar auch Public- und Private-Key-Paare, für den Einsatz im Heimnetz ist dies aber nicht erforderlich – hier reicht es, wenn sich Server und Client den gleichen Schlüssel teilen. Auch können so mehrere Clients mit dem gleichen Schlüssel arbeiten. Um das VPN nicht zu kompromittieren, darf der Schlüssel jedoch nur für Root lesbar sein und sollte in einem Verzeichnis liegen, das nur Root lesen kann – etwa /etc/openvpn. Den Schlüssel erzeugt dann OpenVPN selbst mit dem Aufruf:

openvpn --genkey --secret /etc/openvpn/geheimer.key

Die Schlüssel-Datei müssen Sie nun auf sicherem Weg auf den Client, etwa ein Notebook mit einer WLAN-Karte, transferieren. Am besten eignet sich dafür das Programm scp, da es die Daten ohnehin verschlüsselt. Einen USB-Stick oder gar eine CD sollten Sie besser nicht einsetzen, wenn Ihnen die Sicherheit des VPN etwas wert ist: Um den Schlüssel vollständig vom USB-Stick zu entfernen, müssten Sie den Flash-Speicher mehrmals komplett mit Nullen und Einsen überschreiben. Bei CDs hilft es nicht einmal, das Medium durchzubrechen, die Informationen ließen sich noch immer mittels Mikroskop auslesen.

Tunnelbohrung leicht gemacht

Der Aufruf von OpenVPN ist einfach und erfordert ab Version 2.0 nur wenige Parameter. Auf dem Desktop-Rechner, der die Internet-Verbindung für das Notebook bereit stellt, rufen Sie OpenVPN folgendermaßen auf:

openvpn --daemon --dev tun0 --remote 192.168.1.109 --ifconfig 192.168.8.254 192.168.8.96 --secret /etc/openvpn/geheimer.key

Der Parameter --daemon sorgt dafür, dass OpenVPN im Hintergrund läuft. Strenggenommen ist es nicht nötig, das Tunnel-Device per --dev tun0 festzulegen: Ohne diesen Parameter würde OpenVPN das nächste freie Tunnel-Device verwenden. Wenn Sie jedoch ihre eigene Firewall betreiben, ist es einfacher, wenn Sie die Regeln auf ein bestimmtes Netzwerk-Device ausrichten können. Der Angabe --remote 192.168.1.109 entnimmt OpenVPN, welchen Rechner es kontaktieren soll. Da der Parameter --port mit der Port-Nummer fehlt, versucht OpenVPN dies über den Standard-Port 1194.

Die Angabe --ifconfig 192.168.8.254 192.168.8.96 beeinflusst die Netzmaske für das Tunnel-Device: Normalerweise würde das System erwarten, alle anderen Geräte aus dem IP-Bereich 192.168.8.0 bis 192.168.8.255 ebenfalls über tun0 zu erreichen (Netzmaske 255.255.255.0). Der Parameter --ifconfig sorgt jedoch dafür, dass lediglich die IP-Adresse 192.168.8.96 dem Tunnel-Device zugeordnet wird, was einer Netmask 255.255.255.255 entspricht. Dies ist auch sinnvoll, da der Tunnel stets nur zu einer Gegenstelle besteht.

Auf dem Notebook kommt der Parameter --redirect-gateway zum OpenVPN-Aufruf hinzu, außerdem ändern sich die IP-Adressen bei den Parametern --remote und --ifconfig:

openvpn --daemon --dev tun0 --remote 192.168.1.1 --ifconfig 192.168.8.96 192.168.8.254 --redirect-gateway --secret /etc/openvpn/geheimer.key

Auch die Option --redirect-gateway beeinflusst nur das Routing: Ist der Tunnel aufgebaut, trägt sie die Gegenstelle fest in der Routing-Tabelle ein und leitet alle zukünftigen Datentransfers über den Tunnel um. Bricht der Tunnel zusammen oder wird das Programm beendet, stellt OpenVPN die alten Einstellungen wieder her. Die Entwickler von OpenVPN haben diesen Parameter noch als experimentell eingestuft, im Test funktionierte OpenVPN jedoch einwandfrei.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Sichere WLAN-Vernetzung mit verschlüsseltem OpenVPN-Tunnel
    Drahtlose Netzwerke sind zwar praktisch, aber auch gefährlich: Die eingebaute WEP-Verschlüsselung ist für einen Angreifer kein ernstes Hindernis, er kann Daten abhören, manipulieren und Pakete einschmuggeln. Abhilfe schafft ein verschlüsselter Tunnel: OpenVPN schützt die Daten.
  • Sicher unterwegs im Wireless LAN
    Wireless LAN endet nicht an der Grundstücksgrenze, und gerade in Städten finden sich immer wieder unerwünschte Zaungäste. Wir zeigen Ihnen, wie Sie es Angreifern möglichst schwer machen, in Ihr drahtloses Netz einzudringen.
  • OpenVPN-Grundlagen
    VPNs stehen seit jeher im Ruf, kompliziert und umständlich in der Konfiguration zu sein. OpenVPN zeigt, dass es auch anders geht: Mit einem Fünfzeiler bauen Sie einen sicheren Tunnel über das Internet auf.
  • Durchgetunnelt
    Der Einsatz eines virtuellen privaten Netzwerks erlaubt die sichere Kommunikation über unsichere Netzwerke. Mit OpenVPN steht dafür ein einfach zu konfigurierendes, mächtiges Werkzeug bereit.
  • VPN-Verbindungen mit OpenVPN einrichten
    OpenVPN hilft dabei, von unterwegs sicher auf die Daten auf dem eigenen Computer zurückzugreifen. Dabei ist die Software leicht einzurichten und gehört bei den großen Distributionen zu den Standardpaketen.
Kommentare

Infos zur Publikation

LU 12/2017: Perfekte Videos

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Huawei
Pit Hampelmann, 13.12.2017 11:35, 2 Antworten
Welches Smartphone ist für euch momentan das beste? Sehe ja die Huawei gerade ganz weit vorne. Bi...
Fernstudium Informatik
Joe Cole, 12.12.2017 10:36, 2 Antworten
Hallo! habe früher als ich 13 Jahre angefangen mit HTML und später Java zu programmieren. Weit...
Installation Linux mint auf stick
Reiner Schulz, 10.12.2017 17:34, 3 Antworten
Hallo, ich hab ein ISO-image mit Linux Mint auf einem Stick untergebracht Jetzt kann ich auch...
Canon Maxify 2750 oder ähnlicher Drucker
Hannes Richert, 05.12.2017 20:14, 4 Antworten
Hallo, leider hat Canon mich weiterverwiesen, weil sie Linux nicht supporten.. deshalb hier die...
Ubuntu Server
Steffen Seidler, 05.12.2017 12:10, 1 Antworten
Hallo! Hat jemand eine gute Anleitung für mich, wie ich Ubuntu Server einrichte? Habe bisher...