VPN einrichten

OpenVPN installieren und Schlüssel erzeugen

Donnerstag den 08.03.2012 um 10:01 Uhr

von David Wolski

OpenVPN auf dem Server konfigurieren: Diese
Beispielkonfiguration zeigt den einfachsten Weg, um einen
OpenVPN-Server im Netzwerk im Betrieb zu nehmen. Anzupassen sind in
jedem Fall die Zeile „local 192.168.1.6“, in der stattdessen die
tatsächliche, interne IP des OpenVPN-Servers im LAN stehen
muss.
Vergrößern OpenVPN auf dem Server konfigurieren: Diese Beispielkonfiguration zeigt den einfachsten Weg, um einen OpenVPN-Server im Netzwerk im Betrieb zu nehmen. Anzupassen sind in jedem Fall die Zeile „local 192.168.1.6“, in der stattdessen die tatsächliche, interne IP des OpenVPN-Servers im LAN stehen muss.
Auf dem als Server ausgewählten Windows-System installieren Sie OpenVPN, das in seinem Installationspaket sowohl die Serversoftware als auch die Programme für den Client bietet. Die Software liegt in einer 32-Bit-Version vor, die auch auf 64-Bit-Systemen funktioniert. Installieren Sie OpenVPN mit allen Komponenten. Der Speicherbedarf liegt nur bei rund 3,3 MB. OpenVPN richtet den neuen, virtuellen Netzwerkadapter „TAP-Win32 Adapter V9“ ein, der ab sofort in der Systemsteuerung unter den Netzwerkverbindungen auftaucht. Der Installation des dafür mitgebrachten Treibers müssen Sie in einem angezeigten Dialogfenster wie bei anderen Gerätetreibern erst noch manuell zustimmen. Damit der Server später OpenVPN-Verbindungen akzeptieren kann, müssen Sie zudem die Windows-Firewall deaktivieren.

Schritt 1: Schlüsseldateien erzeugen

Bevor Sie den OpenVPN-Server starten können, müssen Sie die Schlüsseldateien mit Hilfe einiger mitgelieferter Batchdateien erzeugen und die Netzwerkeinstellungen vornehmen. Gehen Sie mit einem Dateimanager wie etwa dem Windows Explorer ins Programm-Verzeichnis von OpenVPN. Dies finden Sie üblicherweise unter C:\Program Files\OpenVPN und bei 64-Bit-Systemen unter C:\Program Files (x86)\OpenVPN. Gehen Sie dort ins Unterverzeichnis easy-rsa und benennen Sie die Batchdatei vars.bat.sample nach vars.bat um. Öffnen Sie dann eine Eingabeaufforderung mit Administratorrechten, was durch einen Rechtsklick auf die entsprechende Verknüpfung im Startmenü und dem Kontextmenüpunkt „Als Administrator“ gelingt. Gehen Sie dann ins Verzeichnis C:\Program Files\OpenVPN und führen Sie mit den folgenden zwei Befehlen diese beiden Batchdateien aus:

vars.bat
clean-all.bat

Diese beiden Batchdateien geben zunächst die nötigen Umgebungsvariablen vor und erstellen dann im Programmordner von OpenVPN das neue Unterverzeichnis keys. Bei einer Standard-Installation von OpenVPN auf Windows Vista/7 liegt dieses beispielsweise unter C:\Program Files\OpenVPN\ easy-rsa\keys, beziehungsweise C:\Program Files (x86)\OpenVPN\ easy-rsa\keys bei den 64-Bit-Varianten. Beachten Sie, dass Sie die Batchdatei vars.bat immer dann vor der Schlüsselerzeugung aufrufen müssen, wenn Sie die Eingabeaufforderung zwischendurch geschlossen haben.

Schritt 2: Zertifikat erzeugen
Server-Zertifikate erstellen: OpenVPN bringt für die
Erzeugung aller benötigten Schlüssel und Zertifikate einige
Batchdateien mit, die dann jeweils in der Eingabeaufforderung Ihre
Eingaben erwarten. Dieser Beispiel zeigt die Eingaben für
build-ca.bat.
Vergrößern Server-Zertifikate erstellen: OpenVPN bringt für die Erzeugung aller benötigten Schlüssel und Zertifikate einige Batchdateien mit, die dann jeweils in der Eingabeaufforderung Ihre Eingaben erwarten. Dieser Beispiel zeigt die Eingaben für build-ca.bat.

Für die verwendete Verschlüsselung von OpenVPN brauchen Sie auf Ihrem zukünftigen VPN-Server zuerst ein Zertifikat für Ihre eigene Certificate Authority (CA). Dazu führen Sie die Batchdatei

build-ca.bat

zur Erzeugung dieses Zertifikats aus, und geben in der Eingabeaufforderung die benötigten Eigenschaften ein. Die Eingaben erscheinen umfangreich, sind aber weitgehend beliebig. Die folgende Übersicht erklärt alle Parameter und die erwarteten Eingaben:

Country Name: Landeskürzel, beispielsweise „DE“ für Deutschland
State or Province Name: Bundesland, beliebiger Name
Locality Name: Ortsangabe, beliebiger Name
Organization Name: beliebiger Firmenname
Organizational Unit Name: beliebiger Abteilungsname, optional
Common Name: gewünschter Name des VPN-Servers, beispielsweise „MeinServer“
Name: gewünschter Name der VPN-Verbindung, Identisch mit „Common Name“, beispielsweise „MeinServer“
Email Address: Ihre Mail-Adresse

Schritt 3: Diffie-Hellman-Parameter erzeugen

OpenVPN benötigt für den Verbindungsaufbau einige kryptografische Parameter (Diffie-Hellman-Parameter), die Sie einmalig bei der Installation des Servers erzeugen müssen. Die dafür benötigte Konfigurationsdatei für den Verschlüsselungsalgorithmus erzeugen Sie ganz einfach mit dem Aufruf dieser Batchdatei:

build-dh.bat

Hier ist keine Angabe von Parametern erforderlich, OpenVPN erzeugt diese automatisch. Als Resultat legt der Befehl die Datei dh1024.pem im Schlüssel-Verzeichnis ab.

Schritt 4: Schlüsselpaar für VPN-Server erstellen

Als nächstes erstellen Sie das eigentliche Schlüsselpaar für Ihren neuen VPN-Server. Dies gelingt mit der Batchdatei build-key-server.bat, der Sie den zuvor eingegeben Namen aus Schritt 2 als Parameter mitgeben. In unserem Beispiel wäre dies also diese Eingabe:

build-key-server.bat MeinServer

Diese Batchdatei verlangt wiederum die Eingabe der Schlüsselinformationen wie im Schritt 2. Die Angaben sind die gleichen wie schon beim der vorangegangenen Aufruf der Datei build-ca.bat. Nur haben Sie die Wahl, zum Abschluss noch ein Passwort zu definieren, mit dem der Schlüssel zusätzlich chiffriert wird. Das Passwort ist optional und Sie sollten es in dieser Anleitung leer lassen, um die Konfiguration vorerst nicht komplizierter als nötig zu machen. Ebenfalls leer lassen Sie die Eingabe von „An optional company name“, da diese nicht wirklich notwendig ist. Am Ende bestätigen Sie noch die beiden Rückfragen „Sign the certificate“ jeweils mit „y“ für yes.

Schritt 5: Schlüsselbund für Client erzeugen

Der Server hat nun alle benötigten Schlüssel und Zertifikate. Damit Sie sich aber mit einem VPN-Client später verbinden können, braucht der Client natürlich auch seinen eigenen Schlüsselbund. Dieses erzeugen Sie in diesem Schritt mit dem Aufruf der Batchdatei build-key.bat, die Sie jetzt mit dem gewünschten Client-Namen als Parameter aufrufen. In diesem Beispiel soll der Client einfach „MeinClient“ heißen:

build-key.bat MeinClient

Es erfolgen wieder die Rückfragen zu den bereits bekannten Feldern wie im Schritt 2, allerdings mit einem wichtigen Unterschied: Bei den Fragen nach „Common Name“ und „Name“ geben Sie jetzt den gewünschten Client-Namen an und nicht etwa versehentlich wieder den Server-Namen. Wenn alles geklappt hat, bekommen Sie im Unterverzeichnis keys die neuen Schlüsseldateien MeinClient.crt, MeinClient.csr und MeinClient.key. Für die Einrichtung des OpenVPN-Clients auf einem anderen Windows-PC benötigen Sie dort später nur diese drei Dateien:

MeinClient.crt
MeinClient.key
ca.crt

Kopieren Sie diese Dateien auf einen USB-Stick oder auf eine Netzwerkfreigabe, um Sie später auf dem Client einzurichten. Alle anderen Dateien im Unterverzeichnis C:\Program Files\OpenVPN\ easy-rsa\keys sind nur für den Server bestimmt und haben aus Sicherheitsgründen auf dem Client nichts verloren.

Donnerstag den 08.03.2012 um 10:01 Uhr

von David Wolski

Kommentieren Kommentare zu diesem Artikel (1)
  • mgutt 00:29 | 30.07.2014

    OpenVPN Server in Windows einrichten

    Die [url=http://www.pcwelt.de/ratgeber/OpenVPN-fuer-den-ersten-Start-konfigurieren-VPN-einrichten-4984649.html]Anleitung[/url] ist schon was älter und beinhaltet ein paar Fehler:

    1.) Es gibt mittlerweile eine 64-bit Version von OpenVPN, entsprechend kann man sich die Erklärungen zu den unterschiedlichen Pfaden sparen.

    2.) Muss man die Pfade mit doppelten Backslashes schreiben (trotz der Anführungszeichen). Keine Ahnung ob das neu ist oder im Artikel versehentlich entfernt wurde, aber ich habe es erst nach einigen Stunden Rumprobieren herausgefunden:
    https://www.maxrev.de/wie-testet-ein-noob-eine-internetleitung-t335000,start,40.htm#4222628

    Antwort schreiben
1379501