OpenVPN einrichten

Eine kurze Einführung ins Thema zeigt der Kasten "Was ist VPN". Die Konfiguration von OpenVPN erreichen Sie im Webinterface unter Dienste | OpenVPN (Abbildung 2). In diesem Beispiel verbinden wir zwei Subnetze, die das LAN am jeweiligen IPFire-System mit den Adressen 192.168.0.0/24 und 192.168.1.0/24 repräsentieren.

Abbildung 2: Die Konfigurationsoberfläche für OpenVPN erlaubt es, mit wenigen Klicks ein funktionierendes Tunnelsystem aufzubauen.

Was ist VPN

Ein Virtuelles privates Netzwerk verbindet zwei unterschiedliche Netzwerke miteinander. Es baut dafür einen Tunnel zum Datentransfer auf, der es erlaubt, über unsichere Netze hinweg sicher zu kommunizieren. Traditionell kommt zum Herstellen eines VPNs der IPSec-Standard zum Einsatz, der als Bestandteil des IPv6-Protokolls entwickelt und auf IPv4 zurückportiert wurde. Vorteil dieser Lösung ist die Kompatibilität mit kommerziellen Produkten verschiedener Hersteller und mit auf linuxbasierenden Lösungen. Die zweite Revision des Internet Key Exchange Protokolls (IKE) [4] verbesserte diesen Standard, welcher in IPFire zum Einsatz kommt.

Die zweite Implementierung namens OpenVPN und ist ein Vertreter aus der Riege der SSL-VPNs, welches seit einiger Zeit immer häufiger zum Einsatz kommt. Die Vorteile des SSL-Tunnels liegen auf der Hand: anders als IPSec durchquert er NAT-Router problemlos. Darüber hinaus erlaubt die Implementierung das leichtere Handhaben von Geräten mit dynamischer IP-Adresse. IPFire bringt von Hause aus beide Systeme mit und bietet daher die bestmögliche Kompatibilität zu anderen VPN-Gateways.

Zum Aktivieren von OpenVPN setzten Sie den Haken neben OpenVPN auf ROT und klicken danach auf Speichern. Zur Authentifizierung der Clients am Server erstellen Sie im nächsten Schritt eine sogenannte Public-Key-Infrastruktur (PKI). Dazu klicken Sie auf Erzeuge Root/Host Zertifikate und geben die benötigten Informationen zur Identität ein. Der Hostname lautet in diesem Beispiel ipfire.dyndns.org. Ein weiterer Klick auf Erzeuge Root/Host Zertifikate in der neuen Maske generiert automatisch alle Zertifikate und Schlüssel, die Sie zum späteren Verbindungsaufbau benötigen. Diesen Schritt gilt es einmalig auf beiden Tunnelpartnern zu erledigen.

Danach öffnen Sie via Hinzufügen den Dialog, in dem Sie verschiedene VPN-Verbindungen erstellen. Die Option Netz-zu-Netz Virtual Private Network koppelt beispielsweise zwei Netze. Dagegen wählen Sie Host-zu-Netz Virtual Private Network (RoadWarrior), wenn Sie einen Laptop via Internet am VPN anmelden möchten. Der darauf folgenden Dialog fragt alle nötigen Einstellungen ab: Als Namen wählen Sie eine prägnante Beschreibung, die keine Leer- oder Sonderzeichen enthalten darf. Bei Remote-Host/IP tragen Sie den Domain-Namen oder die IP-Adresse der Gegenstelle ein, als Remote-Subnetz dient in diesem Beispiel das Subnetz 192.168.1.0/255.255.255.0.

Die Transfernetzadresse benötigen Sie, um jeweils den Tunnelendpunkt zu adressieren. Es darf sich nicht mit dem grünen oder einem anderen Netz überschneiden und sollte mit der Subnetzmaske 255.255.255.252 versehen werden. Danach wählen Sie einen freien Zielport, über den sich der Client zum Server verbindet. Die LZO-Kompression steigert unter Umständen den Datendurchsatz des Tunnels, allerdings auf Kosten der CPU-Performance.

Bei allen weiteren Einstellungen im Abschnitt Verbindung übernehmen Sie die Vorgabewerte. Authentifizierung erlaubt Ihnen das Erstellen eines Zertifikats für die Gegenstelle. Es genügt, den Namen für den Zertifikatsnehmer einzutragen und es mit einem Klick auf Speichern anzulegen.

Da die Weboberfläche den Export der Einstellungen erlaubt, gestaltet sich das Einrichten der Gegenseite denkbar einfach. Das exportierte ZIP-Archiv enthält die benötigte Konfigurationsdatei sowie das Zertifikat für den Client. Ein Klick auf das Diskettensymbol startet den Download der Einstellungen, die Sie anschließend auf den Partner übertragen. Vorsicht: Fällt einem Dritten dieses Archiv in die Hände, so kann er sich mit den darin befindlichen Daten Zugang zu Ihrem Netzwerk verschaffen.

Nach dem Erstellen der PKI auf der Gegenstelle klicken Sie auf den Button Hinzufügen. Im neuen Dialog aktivieren Sie zunächst Netz-zu-Netz Virtual Private Network (Upload Client Package). Mit Durchsuchen... navigieren Sie im Dateibrowser zum exportierten ZIP-Archiv und laden es abschließend via Hinzufügen hoch. Damit ist die Verbindung auch schon fertig eingerichtet und wird automatisch aufgebaut.

IPSec-Tunnel

Die Konfiguration eines IPSec-Tunnels beginnt, wie bei OpenVPN, mit dem Erzeugen der Zertifikate, das Sie mit Hinzufügen abschließen, um eine Netz-zu-Netz-Verbindung anzulegen. Die Felder Name, Host-/Remote-IP-Adresse sowie das lokale und entfernte Subnetz füllen Sie wie vorstehend im Abschnitt "OpenVPN einrichten" erklärt aus.

Die Felder Lokale ID und Remote ID dienen dazu, dass sich die Systeme gegenseitig identifizieren können. Sie müssen entweder mit dem FQDN oder einem führenden Klammeraffen ("@") ausgefüllt werden. Alternativ tragen Sie die IP-Adresse der Gegenstelle ein. Anleitungen für die Konfiguration mit einigen Geräten anderer Hersteller finden Sie im IPFire-Wiki.

Als Protokoll verwenden Sie entweder IKEv1 oder IKEv2. Letzteres nutzen Sie beispielsweise dann, wenn Sie das VPN mit einem anderen IPFire-System koppeln möchten. Als Sicherung wählen Sie den Pre-Shared-Schlüssel aus, der aus einer möglichst komplexen und langen Passphrase bestehen sollte. Nach der Eingabe speichern Sie die neue Verbindung und wiederholen auf der Gegenseite die genannten Schritte. Das Speichern der Verbindung baut danach automatisch das VPN auf.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Firewall-Distribution IPFire
    Die Firewall-Distribution IPFire sichert nicht nur Ihr Netz gegen Angriffe von außen ab, sondern ermöglicht auch das anonyme Surfen via Tor-Netzwerk.
  • IPfire bekommt Security-Fix

    Die Entwickler der Firewall-Distribution IPfire haben mit 2.11 Core Update 56 eine Sicherheitsaktualisierung veröffentlicht.
  • Netze absichern mit IPFire
    So gut wie jede Distribution bringt eine eingebaute Firewall mit. Professioneller Schutz eines Netzwerks erfordert aber mehr. Hier versieht die dedizierte Firewall-Distribution IPFire gute Dienste.
  • IPFire 2.17 Core Update 94
    Die auf den Betrieb als Firewall optimierte Distribution IPFire liegt in einer neuen Version vor. Sie behebt vor allem Fehler und erhöht die Sicherheit. So flog etwa die Unterstützung für DSA-Verschlüsselung von Bord.
  • Freie Firewall IPfire 2.11

    Die Firewall-/Router-Distribution IPfire bietet ihre Software in Version 2.11 auch für ARM-Prozessoren an.
Kommentare

Infos zur Publikation

LU 12/2017: Perfekte Videos

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Huawei
Pit Hampelmann, 13.12.2017 11:35, 1 Antworten
Welches Smartphone ist für euch momentan das beste? Sehe ja die Huawei gerade ganz weit vorne. Bi...
Fernstudium Informatik
Joe Cole, 12.12.2017 10:36, 2 Antworten
Hallo! habe früher als ich 13 Jahre angefangen mit HTML und später Java zu programmieren. Weit...
Installation Linux mint auf stick
Reiner Schulz, 10.12.2017 17:34, 3 Antworten
Hallo, ich hab ein ISO-image mit Linux Mint auf einem Stick untergebracht Jetzt kann ich auch...
Canon Maxify 2750 oder ähnlicher Drucker
Hannes Richert, 05.12.2017 20:14, 4 Antworten
Hallo, leider hat Canon mich weiterverwiesen, weil sie Linux nicht supporten.. deshalb hier die...
Ubuntu Server
Steffen Seidler, 05.12.2017 12:10, 1 Antworten
Hallo! Hat jemand eine gute Anleitung für mich, wie ich Ubuntu Server einrichte? Habe bisher...