08.03.2012, 10:01

David Wolski

VPN einrichten

OpenVPN installieren und Schlüssel erzeugen

Auf dem als Server ausgewählten Windows-System installieren Sie OpenVPN, das in seinem Installationspaket sowohl die Serversoftware als auch die Programme für den Client bietet. Die Software liegt in einer 32-Bit-Version vor, die auch auf 64-Bit-Systemen funktioniert. Installieren Sie OpenVPN mit allen Komponenten. Der Speicherbedarf liegt nur bei rund 3,3 MB. OpenVPN richtet den neuen, virtuellen Netzwerkadapter „TAP-Win32 Adapter V9“ ein, der ab sofort in der Systemsteuerung unter den Netzwerkverbindungen auftaucht. Der Installation des dafür mitgebrachten Treibers müssen Sie in einem angezeigten Dialogfenster wie bei anderen Gerätetreibern erst noch manuell zustimmen. Damit der Server später OpenVPN-Verbindungen akzeptieren kann, müssen Sie zudem die Windows-Firewall deaktivieren.

Schritt 1: Schlüsseldateien erzeugen

Bevor Sie den OpenVPN-Server starten können, müssen Sie die Schlüsseldateien mit Hilfe einiger mitgelieferter Batchdateien erzeugen und die Netzwerkeinstellungen vornehmen. Gehen Sie mit einem Dateimanager wie etwa dem Windows Explorer ins Programm-Verzeichnis von OpenVPN. Dies finden Sie üblicherweise unter C:\Program Files\OpenVPN und bei 64-Bit-Systemen unter C:\Program Files (x86)\OpenVPN. Gehen Sie dort ins Unterverzeichnis easy-rsa und benennen Sie die Batchdatei vars.bat.sample nach vars.bat um. Öffnen Sie dann eine Eingabeaufforderung mit Administratorrechten, was durch einen Rechtsklick auf die entsprechende Verknüpfung im Startmenü und dem Kontextmenüpunkt „Als Administrator“ gelingt. Gehen Sie dann ins Verzeichnis C:\Program Files\OpenVPN und führen Sie mit den folgenden zwei Befehlen diese beiden Batchdateien aus:

vars.bat
clean-all.bat

Diese beiden Batchdateien geben zunächst die nötigen Umgebungsvariablen vor und erstellen dann im Programmordner von OpenVPN das neue Unterverzeichnis keys. Bei einer Standard-Installation von OpenVPN auf Windows Vista/7 liegt dieses beispielsweise unter C:\Program Files\OpenVPN\ easy-rsa\keys, beziehungsweise C:\Program Files (x86)\OpenVPN\ easy-rsa\keys bei den 64-Bit-Varianten. Beachten Sie, dass Sie die Batchdatei vars.bat immer dann vor der Schlüsselerzeugung aufrufen müssen, wenn Sie die Eingabeaufforderung zwischendurch geschlossen haben.

Schritt 2: Zertifikat erzeugen
Für die verwendete Verschlüsselung von OpenVPN brauchen Sie auf Ihrem zukünftigen VPN-Server zuerst ein Zertifikat für Ihre eigene Certificate Authority (CA). Dazu führen Sie die Batchdatei

build-ca.bat

zur Erzeugung dieses Zertifikats aus, und geben in der Eingabeaufforderung die benötigten Eigenschaften ein. Die Eingaben erscheinen umfangreich, sind aber weitgehend beliebig. Die folgende Übersicht erklärt alle Parameter und die erwarteten Eingaben:

Country Name: Landeskürzel, beispielsweise „DE“ für Deutschland
State or Province Name: Bundesland, beliebiger Name
Locality Name: Ortsangabe, beliebiger Name
Organization Name: beliebiger Firmenname
Organizational Unit Name: beliebiger Abteilungsname, optional
Common Name: gewünschter Name des VPN-Servers, beispielsweise „MeinServer“
Name: gewünschter Name der VPN-Verbindung, Identisch mit „Common Name“, beispielsweise „MeinServer“
Email Address: Ihre Mail-Adresse

Schritt 3: Diffie-Hellman-Parameter erzeugen

OpenVPN benötigt für den Verbindungsaufbau einige kryptografische Parameter (Diffie-Hellman-Parameter), die Sie einmalig bei der Installation des Servers erzeugen müssen. Die dafür benötigte Konfigurationsdatei für den Verschlüsselungsalgorithmus erzeugen Sie ganz einfach mit dem Aufruf dieser Batchdatei:

build-dh.bat

Hier ist keine Angabe von Parametern erforderlich, OpenVPN erzeugt diese automatisch. Als Resultat legt der Befehl die Datei dh1024.pem im Schlüssel-Verzeichnis ab.

Schritt 4: Schlüsselpaar für VPN-Server erstellen

Als nächstes erstellen Sie das eigentliche Schlüsselpaar für Ihren neuen VPN-Server. Dies gelingt mit der Batchdatei build-key-server.bat, der Sie den zuvor eingegeben Namen aus Schritt 2 als Parameter mitgeben. In unserem Beispiel wäre dies also diese Eingabe:

build-key-server.bat MeinServer

Diese Batchdatei verlangt wiederum die Eingabe der Schlüsselinformationen wie im Schritt 2. Die Angaben sind die gleichen wie schon beim der vorangegangenen Aufruf der Datei build-ca.bat. Nur haben Sie die Wahl, zum Abschluss noch ein Passwort zu definieren, mit dem der Schlüssel zusätzlich chiffriert wird. Das Passwort ist optional und Sie sollten es in dieser Anleitung leer lassen, um die Konfiguration vorerst nicht komplizierter als nötig zu machen. Ebenfalls leer lassen Sie die Eingabe von „An optional company name“, da diese nicht wirklich notwendig ist. Am Ende bestätigen Sie noch die beiden Rückfragen „Sign the certificate“ jeweils mit „y“ für yes.

Schritt 5: Schlüsselbund für Client erzeugen

Der Server hat nun alle benötigten Schlüssel und Zertifikate. Damit Sie sich aber mit einem VPN-Client später verbinden können, braucht der Client natürlich auch seinen eigenen Schlüsselbund. Dieses erzeugen Sie in diesem Schritt mit dem Aufruf der Batchdatei build-key.bat, die Sie jetzt mit dem gewünschten Client-Namen als Parameter aufrufen. In diesem Beispiel soll der Client einfach „MeinClient“ heißen:

build-key.bat MeinClient

Es erfolgen wieder die Rückfragen zu den bereits bekannten Feldern wie im Schritt 2, allerdings mit einem wichtigen Unterschied: Bei den Fragen nach „Common Name“ und „Name“ geben Sie jetzt den gewünschten Client-Namen an und nicht etwa versehentlich wieder den Server-Namen. Wenn alles geklappt hat, bekommen Sie im Unterverzeichnis keys die neuen Schlüsseldateien MeinClient.crt, MeinClient.csr und MeinClient.key. Für die Einrichtung des OpenVPN-Clients auf einem anderen Windows-PC benötigen Sie dort später nur diese drei Dateien:

MeinClient.crt
MeinClient.key
ca.crt

Kopieren Sie diese Dateien auf einen USB-Stick oder auf eine Netzwerkfreigabe, um Sie später auf dem Client einzurichten. Alle anderen Dateien im Unterverzeichnis C:\Program Files\OpenVPN\ easy-rsa\keys sind nur für den Server bestimmt und haben aus Sicherheitsgründen auf dem Client nichts verloren.
Lesen Sie auf der nächsten Seite:
Diskutieren Sie mit anderen Lesern über dieses Thema:
PC-WELT Hacks
PC-WELT Hacks Logo
Technik zum Selbermachen

3D-Drucker selbst bauen, nützliche Life-Hacks für den PC-Alltag und exotische Projekte rund um den Raspberry Pi. mehr

Angebote für PC-WELT-Leser
PC-WELT Onlinevideothek

PC-WELT Online-Videothek
Keine Abogebühren oder unnötige Vertragsbindungen. Filme und Games bequem von zu Hause aus leihen.

Tarifrechner
Der PC-WELT Preisvergleich für DSL, Strom und Gas. Hier können Sie Tarife vergleichen und bequem viel Geld sparen.

PC-WELT Sparberater
Das Addon unterstützt Sie beim Geld sparen, indem es die besten Angebote automatisch während des Surfens sucht.

Telekom Browser 7.0

Telekom Browser 7.0
Jetzt die aktuelle Version 7 mit neuem Design und optimierter Benutzerführung herunterladen!

- Anzeige -
Marktplatz
Amazon

Amazon Preishits
jetzt die Schnäpchen bei den Elektronikartikel ansehen! > mehr

UseNext

10 Jahre UseNeXT
Jetzt zur Geburtstagsaktion anmelden und 100 GB abstauben! > mehr

1379609
Content Management by InterRed