Ein virtuelles, privates Netzwerk (VPN) ermöglicht den sicheren und verschlüsselten Zugriff von unterwegs auf Ressourcen in Ihrem Heimnetz. Mit OpenVPN machen Sie Ihre Mobilgerät zu Clients im VPN-Netz. Die Software ist leicht einzurichten und gehört zu den Standardpaketen der großen Distributionen.

Das private Netzwerk im eigenen Zuhause gewinnt zusehends an Bedeutung: Nicht zuletzt das “Internet of Things” sorgt dafür, dass immer mehr netzwerkfähige Geräte zum Haushalt gehören und über das Netz eine Reihe sinnvoller Funktionen bieten. Drei Beispiele machen das besonders deutlich.

Klassische Desktop-PCs etwa haben in den vergangenen Jahren zusehends an Bedeutung verloren: Immer öfter fällt die Wahl auf Notebooks, wenn die Anschaffung eines neuen Computers ansteht. Kein Wunder – Laptops sind portabel und ermöglichen den Betrieb auch unterwegs, etwa im Zug oder im Flugzeug. Aber nicht in allen Punkten sind Notebooks einem klassischen PC überlegen: Regelmäßig haben Desktop-PCs etwa größere Festplatten, auf denen sich deutlich mehr Daten speichern lassen.

Mit der mobilen Revolution einher geht deshalb der Trend zu Netzwerkspeichern: Geräte von Qnap oder Synology sind mittlerweile weit verbreitet. Sie bieten problemlos Kapazitäten im zweistelligen TByte-Bereich und nehmen so ganze Film- oder Musiksammlungen auf. Zum Teil ersetzen solche Zusatzgeräte also Funktionen, die klassisch PCs (als Dateiserver) übernommen haben. Für Anwender sind damit auch Einschränkungen verbunden: Wer seinen Laptop unterwegs benutzt, hat in der Regel nicht mehr alle Daten bei sich; auf dem Laptop liegen dann nur die wichtigsten Dateien, und die weniger wichtigen und seltener genutzten Dateien landen auf dem Netzwerkspeicher. Wer darauf von unterwegs zugreifen möchte, muss also Zugang zu seinem privaten Netz erhalten.

Auch das Thema Heimautomatisierung (“Smart Home”) nimmt zusehends Fahrt auf: Einsteigersets sind bereits für kleines Geld zu haben und bieten praktische Features. So lässt sich mit einer “intelligenten” Steckdose Strom für bestimmte Geräte von einem Rechner aus an- oder abschalten. Wer sich im Urlaub befindet, kann so aus der Ferne Lampen anknipsen, um seine Abwesenheit zu verschleiern und Einbrecher abzuschrecken.

Hinzu gesellen sich klassische Elektrogeräte für Endanwender: Schlaue Fernseher (“Smart-TVs”) bieten immer mehr Netzwerkfunktionalität. Moderne Geräte ermöglichen etwa über das Netz die Konfiguration oder bieten eine Möglichkeit, den Einschaltstatus des Fernsehers zu prüfen.

Heimnetz als Dreh- und Angelpunkt

Die beiden Trends zu mobilen Computern und zur Heimvernetzung scheinen nicht zueinander zu passen: Notebooks zeichnen sich ja gerade dadurch aus, dass sie eben nicht immer im Heimnetz sind, sondern durchaus auch mal unterwegs zum Einsatz kommen. Für Smartphones gilt das noch mehr: Das eigene Notebook hat man nicht immer dabei, das Telefon in der Regel schon. Viele der erwähnten Funktionen lassen sich aus der Ferne per Smartphone genauso wie mit dem Laptop steuern. Damit von unterwegs der Zugriff auf die Dateien des Netzwerkspeichers möglich ist oder sich Licht und Fernseher aus der Ferne steuern lassen, bedarf es also einer Brücke zwischen dem mobilen Gerät und dem heimischen Netz.

Virtuelle private Netzwerke

Die Anforderung, von unterwegs auf das private Netz zuzugreifen, ist nicht neu. Unternehmen sehen sich mit dem Problem seit Jahren konfrontiert: Außendienstmitarbeiter etwa brauchen regelmäßig Zugriff auf Ressourcen, die eigentlich nur im Firmennetz vor Ort verfügbar sind. Die gute Nachricht ist, dass gerade wegen des kommerziellen Bedarfs das Problem bereits gelöst ist: Unter der Bezeichnung “Virtual Private Network” (virtuelles privates Netzwerk, kurz “VPN”) firmiert der Ansatz, zwischen einem mobilen Client (also Laptop oder Smartphone) und dem jeweiligen Zielnetz eine sichere Verbindung herzustellen.

Ein Computer, der tatsächlich im Heimnetz steht, dient dabei als Schnittstelle: Mit ihm verbindet sich das mobile Gerät, dessen Anfragen er anschließend in das lokale Netz weiterleitet. Die übrigen Geräte im Heimnetz sehen dadurch nur einen weiteren, lokalen Client – alle beteiligten Computer gehen davon aus, dass sie im gleichen physischen Netz stehen. Der Clou: Bei entsprechender Konfiguration läuft die VPN-Verbindung über das Internet. Solange der jeweilige Server also aus dem Internet zu erreichen ist, lässt sich mittels eines VPNs der Zugriff von Clients auf Daten sicherstellen, die auf Geräten im privaten Netz liegen. Da VPNs alle Arten von Netzwerkverbindungen ermöglichen, lässt sich so etwa auch die Heimautomatisierung steuern oder der Fernseher abfragen. Wer von unterwegs mit dem eigenen Heimnetz verbunden ist, kann im wesentlichen alle Dienste nutzen, die er auch vor Ort zur Verfügung hätte.

Um das Thema Sicherheit kümmern sich alle gängigen VPN-Lösungen automatisch: Die VPN-Verbindung läuft zwar über das Internet, verschlüsselt aber die übertragenen Daten. Der Client redet mit den anderen Servern im Netz dann so, als stünde er physisch in deren Netz, und zwar auch dann, wenn er gerade am anderen Ende der Welt ist. Sorgen um die Vertraulichkeit von via VPN ausgetauschten Daten sind deshalb unnötig.

Der Standard: OpenVPN

Es gibt mehrere Softwarelösungen für den Aufbau eines VPN. Im Unternehmensumfeld kennen Sie vielleicht bereits den Namen IPsec [4]: Das ist ein VPN-Protokoll mit eingebauer Verschlüsselung, das große Netzwerkhersteller wie Cisco einsetzen. IPsec gilt in der Industrie als Standard, hat aber ein großes Manko: Die Konfiguration ist umständlich und kompliziert. OpenVPN ist eine lohnende Alternative: Es bietet die meisten Features von IPsec, lässt sich aber relativ leicht einrichten. OpenVPN hilft Ihnen dabei, Verbindungen zwischen Systemen in Ihrem Haus und solchen, die an anderen Orten stehen, zu verschlüsseln, indem es eine VPN-Verbindung nach dem beschriebenen Prinzip einrichtet.

Wir beschreiben, wie Sie auf aktuellen Ubuntu- oder OpenSuse-Systemen sowohl den OpenVPN-Server wie auch den OpenVPN-Client einrichten und auch vom (Android-)Smartphone aus Zugriff erhalten.

Bei den meisten Desktop-Linux-Distributionen gehört OpenVPN zum Lieferumfang, manchmal sogar zur Standardinstallation. Clients sind aber auch für Windows- und OS-X-Systeme verfügbar, so dass es möglich ist, solche Rechner in ein OpenVPN-Netzwerk zu integrieren. Prüfen Sie auf Ihren Linux-Rechnern über die Paketverwaltung, ob OpenVPN (Paketname openvpn) installiert ist – falls nicht, spielen Sie die Software ein. (Abbildung 1 zeigt die Situation unter OpenSuse, Abbildung 2 jene unter Ubuntu – bei OpenSuse ist das Paket meist vorinstalliert.)

Abbildung 1: Unter OpenSuse heißt das OpenVPN-Paket “openvpn” und ist meist vorinstalliert.

Abbildung 2: Bei Ubuntu heißt das zu installierende Paket “openvpn”.

Zunächst wählen Sie einen Rechner aus, auf dem der OpenVPN-Server laufen soll. Dieser Server ist idealerweise von außen (aus dem Internet heraus) zu erreichen; es kann z. B. ein ausrangierter Desktop-PC sein, auf dem Sie lediglich eine Basisinstallation von Ubuntu oder OpenSuse eingespielt haben. Hängt der Rechner hinter einem Router (wie z. B. einer Fritzbox), müssen Sie auf dem Router eine Port-Weiterleitung einrichten, die eingehende Verbindungen auf UDP-Port 1194 direkt zum selben Port auf dem OpenVPN-Server weiterleitet [5].

Danach sind die Clients an der Reihe: Sie brauchen einen OpenVPN-Client, der die Verbindung mit dem Server aufbaut. Windows-kompatible Clients finden Sie direkt auf der OpenVPN-Seite [2], für OS X empfiehlt sich Tunnelblick [3]. Auf Linux-PCs enthält die Distribution ein Client-Paket.

Ist die Installation abgeschlossen, geht es schon los: Die Clients verbinden sich mit dem OpenVPN-Server, legen lokal ein virtuelles Netzwerk-Interface an und erhalten vom Server über DHCP (Dynamic Host Configuration Protocol) eine IP-Adresse für diese virtuelle Netzwerkkarte. Jeder so konfigurierte Rechner kann danach Informationen an den OpenVPN-Server schicken, der diese an den richtigen Zielrechner weiterleitet. Dabei sind alle Übertragungen verschlüsselt. Wir beschreiben nun die Installation eines OpenVPN-Servers unter Ubuntu und OpenSuse und erläutern auch, wie die Client-Konfiguration auf diesen Systemen abläuft.

OpenSSL-CA einrichten

Auf dem OpenVPN-Server benötigen Sie eine so genannte Certificate Authority (CA) für OpenSSL. Für die Einrichtung ist ein Ausflug auf die Kommandozeile nötig. Es gilt, eine Konfigurationsdatei zu ändern und im Anschluss ein paar Shell-Befehle einzugeben. Die folgende Schritt-für-Schritt-Anleitung gilt in gleicher Weise für Ubuntu und OpenSuse.

1. Drücken Sie [Alt]+[F2] und geben Sie den Befehl konsole ein, um ein Terminalfenster zu öffnen. Werden Sie mit sudo -i und Eingabe Ihres Benutzerpassworts (Ubuntu) bzw. des Root-Passworts (OpenSuse) zum Systemadministrator root.

2. Wechseln Sie unter OpenSuse mit

   cd /usr/share/openvpn/easy-rsa/2.0

   in den Ordner mit Easy-RSA und kopieren Sie mit

   cp vars /etc/openvpn/

   die Datei vars in den Ordner /etc/openvpn.

   Unter Ubuntu müssen Sie den Konfigurationsordner nach /etc kopieren, damit er bei Updates nicht verloren geht – der nötige Befehl ist

   cp -r /usr/share/doc/openvpn/examples/easy-rsa /etc/openvpn/easy-rsa

   Öffnen Sie im Editor die Datei vars – unter OpenSuse /etc/openvpn/vars, unter Ubuntu /etc/openvpn/easy-rsa/2.0/vars. Dazu öffnen Sie ein zweites Terminalfenster und geben darin den Befehl kdesu kwrite Dateiname ein.

3. Das Layout der Datei wirkt auf den ersten Blick etwas eigenartig, es handelt sich eine Bash-Skriptdatei. Scrollen Sie zu der Zeile, die mit export EASY_RSA anfängt. Ersetzen Sie `pwd` durch /usr/share/openvpn/easy-rsa/2.0 (OpenSuse) bzw. /etc/openvpn/easy-rsa/2.0 (Ubuntu). Scrollen Sie dann ans Ende der Datei.
4. Hier legen Sie die tatsächlichen Werte fest, die am Ende Bestandteil Ihrer Zertifikate sind. Jedes SSL-Zertifikat enthält detaillierte Informationen zur dahinter stehenden Organisation. Die voreinstellungen beschreiben eine Firma in San Francisco; setzen Sie die Werte für die Einträge ab KEY_COUNTRY nach Belieben; ein Beispiel finden Sie in Listing 1.

export KEY_COUNTRY="AT"
export KEY_PROVINCE="Vienna"
export KEY_CITY="Vienna"
export KEY_ORG="Private"
export KEY_EMAIL="admin@example.com"
export KEY_CN="EasyLinux Test-CA"
export KEY_NAME="EasyLinux Test-CA"
export KEY_OU="Free Journalist"

1. In der ersten noch offenen Shell, in der Sie sich im Verzeichnis /usr/share/openvpn/easy-rsa/2.0 oder /etc/openvpn/easy-rsa/2.0 befinden und als Administrator root arbeiten sollten, geben Sie nun folgenden Befehl ein:

   source Datei && ./clean-all && ./build-ca

   Ersetzen Sie Datei dabei durch /etc/openvpn/vars (OpenSuse) oder /etc/openvpn/easy-rsa/2.0/vars (Ubuntu).

2. Das Tool zum Anlegen des Schlüssels fragt nun sämtliche Werte von Ihnen nochmals ab, doch können Sie alle Fragen mit [Eingabe] bestätigen, weil Sie die Werte vorab festgelegt haben.
3. Nun erstellen Sie das Server-Zertifikat für OpenVPN und zugleich auch das für einen Client. Geben Sie in der noch immer offenen Shell zunächst den Befehl ./build-dh ein, gefolgt von ./build-key-server server. Es folgt eine ähnliche Abfrage wie eben. Achten Sie diesmal darauf, dass Sie einen anderen Wert beim Feld Common Name eingeben: Der Common Name legt bei SSL-Zertifikaten fest, für welchen Rechner das Zertifikat gilt – server wäre eine gute Wahl.

4. Den gleichen Vorgang wiederholen Sie für Key und Zertifikat für mindestens einen Client: ./build-key client. Nutzen Sie einen aussagekräftigen Namen bei der Abfrage nach dem Common-Name, zum Beispiel martin-notebook (Abbildung 3).

   

   Abbildung 3: Mit den Easy-RSA-Werkzeugen erzeugen Sie einen Client-Schlüssel.

5. Alle erzeugten Schlüssel liegen danach im Verzeichnis /usr/share/openvpn/easy-rsa/2.0/keys/ (OpenSuse) oder /etc/openvpn/easy-rsa/2.0/keys (Ubuntu). Dort finden Sie jeweils auch die zu den Keys gehörigen Zertifikate. Ihre eigene SSL-CA ist damit fertig konfiguriert, und Sie können mit der Einrichtung von OpenVPN fortfahren. Kopieren Sie jedoch vorher noch die entstandenen Zertifikate und Schlüssel: Unter OpenSuse erledigen Sie das mit

   cp /usr/share/openvpn/easy-rsa/2.0/keys/*.{pem,crt,key} /etc/openvpn/ssl

   und unter Ubuntu lautet der Befehl

   cp /etc/openvpn/easy-rsa/2.0/keys/*.{pem,crt,key} /etc/openvpn/ssl

OpenVPN-Server einrichten

Die Konfiguration des OpenVPN-Servers ist nicht weiter kompliziert: Die Konfigurationsdatei /etc/openvpn/server.conf benötigt keine größeren Anpassungen, zudem sind dieselben Inhalte für OpenSuse und Ubuntu passend. Listing 2 enthält ein vollständiges Beispiel, das als Server-IP-Adresse 192.168.1.120 nutzt. Wollen Sie eine andere Adresse verwenden, ändern Sie diesen Wert. Sie aktivieren OpenVPN danach mit rcopenvpn start (OpenSuse) oder service openvpn start (Ubuntu).

# /etc/openvpn/server.conf
port 1194
proto udp
dev tun0
# Security
ca   /etc/openvpn/ssl/ca.crt
cert /etc/openvpn/ssl/server.crt
key  /etc/openvpn/ssl/server.key
dh   /etc/openvpn/ssl/dh1024.pem
server 192.168.1.120 255.255.255.0
ifconfig-pool-persist /var/run/openvpn/ipp.txt
# Privileges
user nobody
group nobody
# Other configuration
keepalive 10 120
comp-lzo
persist-key
persist-tun
status      /var/log/openvpn-status.log
log-append  /var/log/openvpn.log
verb 4

Client-Konfiguration

Die Konfiguration des Clients ist einfacher als die des Servers, weil Sie die dafür notwendigen Zertifikate schon erstellt haben. Außerdem steht für Ubuntu und OpenSuse ein Plug-in für den Network-Manager (Abbildung 4) zur Verfügung, mit dem sich Verbindungen zu OpenVPN-Servern per Mausklick einrichten lassen. So gehen Sie auf beiden Distributionen vor:

Abbildung 4: Die Client-Konfiguration erledigen Sie über den Network-Manager, die alle wichtigen Einstellungen zugänglich macht.

1. Kopieren Sie das Zertifikat samt dem dazu gehörenden Schlüssel für den Client auf den Rechner, der sich via OpenVPN mit dem Server verbinden soll. Im Beispiel heißt das Zertifikat martin-notebook.crt, der Schlüssel martin-notebook.key, und beide Dateien liegen auf dem Server in /etc/openvpn/ssl. Kopieren Sie auch die Datei ca.crt auf den Client.
2. Starten Sie auf dem Client den Network-Manager und öffnen Sie darin die Registerkarte für VPNs. Der Eintrag im K-Menü heißt Netzwerkverbindungen.
3. Klicken Sie rechts auf Hinzufügen und wählen Sie OpenVPN als Typ aus.
4. Legen Sie oben einen Verbindungsnamen fest. Tragen Sie beim Feld Gateway weiter unten die IP-Adresse ein, unter der Ihr Server öffentlich erreichbar ist. Falls Sie einen DynDNS-Dienst nutzen, können Sie hier auch den DynDNS-Namen einsetzen und ersparen sich so das lästige Ändern der Konfiguration nach jeder Zwangstrennung durch den heimischen Provider [5].
5. Im Feld Verbindungstyp wählen Sie X509-Zertifikate aus. Bei den Feldern darunter geben Sie jeweils die Pfade zu den Dateien an, die Sie eben kopiert haben, für CA-Datei also den Pfad zu ca.crt, für Zertifikat den Pfad zu martin-notebook.crt und für Schlüssel den zu martin-notebook.key.
6. Klicken Sie dann auf Zusätzliche Einstellungen und setzen Sie einen Haken bei der Option LZO-Kompression verwenden.

Damit ist die Konfiguration bereits abgeschlossen. Wenn Sie Ihren Key mit einem Passwort geschützt haben, wird der Client Sie danach fragen, sobald Sie die Verbindung aufbauen (Abbildung 5).

Abbildung 5: Bei aktiver OpenVPN-Verbindung klappt der Fernzugriff auf die heimischen Rechner: Das Bild zeigt den Login-Bildschirm eines Qnap-Speichers.

Smartphone einrichten

Auch ein Zugriff vom Smartphone ist oft nützlich. Für die gängigen mobilen Betriebssysteme Android und iOS finden sich VPN-Clients in Googles Play Store und Apples App Store. Am Beispiel der Android-App zeigen wir, wie Sie eine VPN-Verbindung aufbauen:

1. Weil Sie OpenVPN auf Basis von Server- und Client-Zertifikaten konfiguriert haben, braucht auch das Smartphone ein eigenes Zertifikat. Schließlich handelt es sich bei diesem auch um einen eigenständigen VPN-Client. Erzeugen Sie darum (wie im Abschnitt zu EasyRSA beschrieben) ein weiteres Client-Zertifikat. Im Beispiel heißt dieses “martin-smartphone”. Dadurch entstehen wieder drei Dateien: ca.crt, martin-smartphone.crt sowie martin-smartphone.key.

2. Android erwartet das Zertifikat in einem spezifischen Format (PKCS12). Aktuell liegt Ihr privater Schlüssel samt dem Zertifikat allerdings im alternativen PEM-Format vor. So konvertieren Sie es ins PKCS12-Format: Öffnen Sie eine Kommandozeile per [Alt]+[F2] und konsole und führen Sie den folgenden Befehl aus:

   openssl pkcs12 -export -out martin-smartphone.p12 -inkey martin-smartphone.key -in martin-smartphone.crt

   Die Dateinamen (mit “martin-smartphone”) ersetzen Sie jeweils durch die Namen, welche die Dateien bei Ihnen tatsächlich haben.

3. Kopieren Sie die Datei mit der .p12-Endung sowie ca.crt auf Ihr Smartphone, z. B. über eine USB-Verbindung. Installieren Sie auf dem Smartphone im Anschluss die Anwendung “OpenVPN für Android” und starten Sie die App (Abbildung 6).

   

   Abbildung 6: Die Android-App “OpenVPN für Android” erweitert Android-Smartphones um Unterstützung für OpenVPN-Verbindungen.

4. Das Programm begrüßt Sie mit der Meldung, dass keine VPN-Profile definiert sind. Nutzen Sie das Symbol mit dem eingekreisten “+”-Zeichen oben rechts, um ein neues Profil anzulegen. Wählen Sie einen aussagekräftigen Namen für das Profil, etwa “VPN Zuhause”.

5. Die voreingestellte Auswahl “Android-Zertifikatsspeicher” beim Feld Typ übernehmen Sie. Nutzen Sie den Auswählen-Button bei Client-Zertifikat (Abbildung 7), um auf Ihrem Smartphone die .p12-Datei zu nutzen. In der Regel öffnet sich ein Dialog, der Sie darüber informiert, dass Sie noch keine Client-Zertifikate installiert haben (Abbildung 8). Drücken Sie dort auf Installieren und wählen Sie die auf Ihr Smartphone hochgeladene .p12-Datei aus.

   Wiederholen Sie den Vorgang für das CA-Zertifikat, den Eintrag finden Sie auf derselben Seite des Programms weiter unten.

   

   Abbildung 7: In der Android-App konfigurieren Sie die Zertifikate. Die App bezieht Ihre Zertifikatsdaten aus dem …

   

   Abbildung 8: … Android-eigenen Zertifikatsspeicher, den Sie bei der Konfiguration mit Zertifikaten befüllen.

6. Drücken Sie in der Menüleiste oben auf Serverliste. Geben Sie bei Server die IP-Adresse an, unter der Ihr OpenVPN-Server aus dem Netz erreichbar ist. Da sich diese Adresse meist alle 24 Stunden ändert, richten Sie am besten einen DynDNS-Dienst ein und tragen statt der IP-Adresse den Rechnernamen ein [5].

Die Konfiguration der Verbindung ist damit abgeschlossen: Im weiteren Verlauf aktivieren Sie die OpenVPN-Verbindung für Ihr Smartphone direkt aus der App “OpenVPN für Android”. Sobald sie steht, können Sie so auf Ihre heimischen Rechner zugreifen, als wäre das Smartphone daheim und über WLAN mit dem Netz verbunden.

VPN-Vorteile nutzen

Nach der Einrichtung haben Sie auf dem Notebook und dem Smartphone die Möglichkeit, sich direkt mit dem heimischen Netzwerk zu verbinden. OpenVPN ist ab Werk so eingestellt, dass viele Funktionen aus dem Stand verfügbar sind: Sobald Ihr Notebook etwa mit dem privaten Netz verbunden ist, sehen Sie die Freigaben von Netzwerkspeichern, auf die Sie dann per Mausklick zugreifen können. Dabei ist etwas mehr Geduld als direkt im lokalen Netz nötig, denn der gesamte Datenverkehr läuft über eine vergleichsweise langsame Internetverbindung.

Grundsätzlich können Sie über OpenVPN jeden Netzwerkdienst nutzen, der auch lokal verfügbar ist: Wenn es für Ihren Fernseher etwa eine Handy-App zur Fernsteuerung gibt, installieren Sie diese auf dem Smartphone und starten Sie sie. Eine Gerätesuche sollte bei aktiver VPN-Verbindung den Fernseher finden. Ähnliches gilt für jede Form von Heimautomatisierung: Wenn Sie auf Ihrem Laptop die passende Steueranwendung installiert haben, bauen Sie die Verbindung zum Kontrollgerät wie gewohnt auf und lassen daheim die Lampen an- und ausgehen.