Von draußen rein

Eine beliebte Anwendung von OpenVPN ist, sich von unterwegs mit dem heimischen Netz zu verbinden. Da ein per DSL oder ISDN angebundener Rechner jedoch keine feste IP-Adresse besitzt, müssen Sie zum Beispiel bei DynDNS [4] eine dynamische IP-Adresse registrieren, die der Desktop-Computer bei jeder Einwahl aktualisiert. Da der Desktop die spätere offizielle Adresse des Notebook-Computers nicht kennt, fehlt beim Aufruf der Parameter --remote – damit wartet OpenVPN darauf, dass sich das Notebook meldet:

openvpn --daemon --dev tun0 --ifconfig 192.168.8.254 192.168.8.96 --secret /etc/openvpn/geheimer.key

Der OpenVPN-Aufruf beim Notebook unterscheidet sich nur geringfügig von der Variante für das eigene WLAN – die Remote-IP des Desktop-Rechners ersetzen Sie einfach nur durch die dynamische Adresse:

openvpn --daemon --dev tun0 --remote desktop.dyndns.org --ifconfig 192.168.8.96 192.168.8.254 --redirect-gateway --secret /etc/openvpn/geheimer.key

Durch die Firewall

OpenVPN verwendet normalerweise das verbindungslose Protokoll UDP für den verschlüsselten Tunnel, was bei vielen Firmen-Firewalls oder auch in Internet-Cafes ein Problem darstellt. Viele Firewalls erlauben nur den normalen Surf-Betrieb, die UDP-Pakete von OpenVPN kommen also nicht durch. Die Lösung sind die Parameter --proto tcp-server auf dem Desktop-Rechner und --proto tcp-client auf dem Notebook: Das Notebook baut eine TCP-Verbindung, ähnlich der eines Browsers, zum Desktop-Rechner auf; der Desktop wartet wie bisher auf die eingehende Verbindung. Auf diese Weise lassen sich nahezu alle Firewalls problemlos untertunneln – was allerdings ein Sicherheitsproblem darstellt, schließlich könnte ein Angreifer nun vom Desktop-Rechner aus das Firmen-Netzwerk angreifen, mit dem das Notebook gerade verbunden ist.

Neuerungen in OpenVPN 2.0

Die wichtigsten Neuerungen in OpenVPN 2.0 betreffen den Einsatz als VPN-Server für mehrere Rechner oder gar Firmen-Netzwerke. Aber auch für den privaten Einsatz bei einem oder zwei VPN-Clients gibt es ein paar interessante neue Optionen – die meisten betreffen das Routing.

War ein Tunnel eingerichtet, musste sich der Benutzer bisher selbst um das Routing kümmern, es also von Hand einrichten oder ein Skript dafür benutzen. Die Schwierigkeit bestand darin, festzustellen, ab wann ein Tunnel tatsächlich etabliert war – so fragen die OpenVPN-Skripte von [5] per ifconfig den Status des Netzwerkgeräts ab und versuchen dann, die Routen einzurichten. Dies kann durchaus auch fehlschlagen. Damit die Skripte nicht in einer Endlosschleife hängen bleiben, unternehmen sie maximal zehn Versuche, das Routing einzurichten.

In der Version 2.0 kennt OpenVPN die Parameter --route, --route-gateway sowie --redirect-gateway: Ist der Tunnel aufgebaut und in Betrieb, richtet OpenVPN gleich die angegebenen Routen ein, ändert das Standard-Gateway oder leitet gar den gesamten Datentransfer über den Tunnel um. Bricht die VPN-Verbindung zusammen, setzt OpenVPN automatisch das Routing wieder auf die Anfangswerte zurück. Über die Parameter --up und --down lassen sich nun sogar externe Skripte aufrufen, die zum Beispiel zusätzliche Dienste starten oder beenden, sobald der Tunnel auf- oder abgebaut ist.

Glossar

VPN

Virtual Private Network. Ein virtuelles Netz, bei dem ein öffentliches Netzwerk zum Austausch privater Daten genutzt wird.

Tunnel

Zum Transport der privaten Daten verpackt das VPN diese in verschlüsselter Form in Pakete des genutzten öffentlichen Netzwerks. So baut es quasi einen Tunnel zwischen Sender und Empfänger durch das öffentliche Netz auf.

Infos

[1] OpenVPN: http://openvpn.net

[2] Windows-Frontend für OpenVPN: http://openvpn.se

[3] Peter Guntmann, "Schutz (be)dürftig": Linux-Magazin 01/2004, S. 84

[4] DynDNS, Dynamische Adressen: http://www.dyndns.org

[5] Server- und Client-Skript für OpenVPN 1.x: http://www.mirko-doelle.de/linux/openvpn-server.sh, http://.../openvpn-client.sh

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Sichere WLAN-Vernetzung mit verschlüsseltem OpenVPN-Tunnel
    Drahtlose Netzwerke sind zwar praktisch, aber auch gefährlich: Die eingebaute WEP-Verschlüsselung ist für einen Angreifer kein ernstes Hindernis, er kann Daten abhören, manipulieren und Pakete einschmuggeln. Abhilfe schafft ein verschlüsselter Tunnel: OpenVPN schützt die Daten.
  • Sicher unterwegs im Wireless LAN
    Wireless LAN endet nicht an der Grundstücksgrenze, und gerade in Städten finden sich immer wieder unerwünschte Zaungäste. Wir zeigen Ihnen, wie Sie es Angreifern möglichst schwer machen, in Ihr drahtloses Netz einzudringen.
  • OpenVPN-Grundlagen
    VPNs stehen seit jeher im Ruf, kompliziert und umständlich in der Konfiguration zu sein. OpenVPN zeigt, dass es auch anders geht: Mit einem Fünfzeiler bauen Sie einen sicheren Tunnel über das Internet auf.
  • Durchgetunnelt
    Der Einsatz eines virtuellen privaten Netzwerks erlaubt die sichere Kommunikation über unsichere Netzwerke. Mit OpenVPN steht dafür ein einfach zu konfigurierendes, mächtiges Werkzeug bereit.
  • VPN-Verbindungen mit OpenVPN einrichten
    OpenVPN hilft dabei, von unterwegs sicher auf die Daten auf dem eigenen Computer zurückzugreifen. Dabei ist die Software leicht einzurichten und gehört bei den großen Distributionen zu den Standardpaketen.
Kommentare

Infos zur Publikation

LU 10/2017: Daten retten & sichern

Digitale Ausgabe: Preis € 8,50
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 2 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...
Backup mit KUP unter Suse 42.3
Horst Schwarz, 24.09.2017 13:16, 3 Antworten
Ich möchte auch wieder unter Suse 42.3 mit Kup meine Backup durchführen. Eine Installationsmöglic...
kein foto, etc. upload möglich, wo liegt mein fehler?
kerstin brums, 17.09.2017 22:08, 5 Antworten
moin, zum erstellen einer einfachen wordpress website kann ich keine fotos uploaden. vom rechne...
Arch Linux Netzwerkkonfigurationen
Franziska Schley, 15.09.2017 18:04, 0 Antworten
Moin liebe Linux community, ich habe momentan Probleme mit der Einstellung des Lan/Wlan in Arc...