1379501

OpenVPN für den ersten Start konfigurieren

08.03.2012 | 10:01 Uhr | David Wolski

Nach der Erzeugung aller Schlüssel kommt nun die eigentliche Server-Konfiguration für OpenVPN. Die Konfiguration erfolgt hier nach Linux-Tradition in einer Textdatei, was Maus-verwöhnte Windows-Anwender erst mal abschrecken dürfte. Textdateien haben allerdings den unbestreitbaren Vorteil, dass alle Einstellungen und Optionen übersichtlich an einem Ort untergebracht sind. Für den Server begnügen wir uns mit einer möglichst einfachen Konfiguration für die Verbindung eines Clients, ohne Routing. Erstellen Sie eine neue Textdatei mit dem Namen server.ovpn im Verzeichnis C:\Program Files\OpenVPN\config (C:\Program Files (x86)\OpenVPN\config bei 64-Bit-Systemen).

Hinweis: Für die Bearbeitung der Konfigurationsdateien empfiehlt sich ein fähiger Texteditor wie etwa das Freeware-Programm Notepad++ . Das traditionelle Notepad von Windows ist wenig hilfreich, da es bis heute die UNIX-Zeilenumbrüche in den Konfigurationsdateien nicht richtig erkennt.

Für das folgende Konfigurationsbeispiel gehen wir der Einfachhalt halber von diesen Netzwerkadressen aus: Die Adresse des OpenVPN-Servers im internen LAN ist 192.168.1.6. Das VPN wird im Subnetz 192.168.10.0 aufgebaut. Ausgehend von diesen Beispieladressen bekommt die Konfigurationsdatei server.ovpn für den Server diese Zeilen als Inhalt:

# Zertifikate
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\MeinServer.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\MeinServer.key"
dh "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\dh1024.pem"

# Server und Netzwerk
local 192.168.1.6 #LAN-Adresse des Servers
port 1194
proto udp
dev tap
server 192.168.10.0 255.255.255.0 #Subnetz
ifconfig-pool-persist ipp.txt
comp-lzo
persist-key
persist-tun
keepalive 10 120

# Log
status "C:\\Program Files\\OpenVPN\\log\\openvpn-status.log"
log "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
log-append "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
verb 3

Im ersten Abschnitt der Konfigurationsdatei sind die Pfade der benötigten Zertifikate definiert. Beachten Sie hier, dass die Pfadangaben von Anführungszeichen eingefasst sind und dass Sie jeweils einen doppelten Backslash angeben müssen. Auf 64-Bit-Systemen passen Sie den Pfad zum Programm-Ordner entsprechend an. Im Abschnitt „Server und Netzwerk“ erfolgt zuerst die Angabe der lokalen IP-Adresse des Servers im LAN, in diesem Beispiel 192.168.1.6. Passen Sie diese Adresse so an, dass hier die tatsächliche interne IP Ihres OpenVPN-Server steht. Darunter folgt die Angabe des Ports. Die Portnummer 1194 ist ein empfohlener Standardwert für OpenVPN und braucht nicht geändert zu werden.

Anzupassen wieder ist die Zeile „server 192.168.10.0 255.255.255.0 #Subnetz“. Die erste IP-Adresse gibt an, in welchem Subnetz das VPN laufen soll. Bei dem hier angegebenen Netz 192.168.10.0 bekommt der Server automatisch 192.168.10.1 als zweite IP und der Client die Adresse 192.168.10.2. Im Abschnitt Log definieren Sie die Pfade zu Log-Dateien im Programm-Ordner von OpenVPN. Diese Dateien müssen noch nicht existieren, da sie der Server beim ersten Start selbstständig anlegt. Bei den Pfaden ist wieder auf die Anführungszeichen und den doppelten Backslash zu achten.

Wenn die Konfiguration fertig ist, starten Sie auf dem Server den OpenVPN-Dienst. Dies gelingt am schnellsten in der Eingabeaufforderung mit Administratorrechten, in der Sie mit dem Kommandozeilenbefehl

net start OpenVPNService

den Dienst starten. Es empfiehlt sich, gleich einen Blick auf die Logdateien zu werfen. Sollte die Konfiguration nämlich Fehler enthalten, beschwert sich OpenVPN sofort und gibt recht ausführliche Fehlermeldungen in den Log-Dateien im Verzeichnis C:\Program Files\OpenVPN\log aus.

Client für OpenVPN konfigurieren

Wer die bisherigen Einrichtungsschritte obskur und umfangreich fand, kann beruhigt sein: Die Konfiguration des Clients fällt deutlich knapper und geradliniger aus. Um den Client auf Trab zu bringen, installieren Sie dort zuerst wie auf dem Server auch OpenVPN 2.2.2 mit allen Komponenten. Um den Aufbau einfach zu halten, kann hier die gesamte Konfiguration in einem Verzeichnis liegen. Kopieren Sie deshalb kurzerhand die Client-Schlüssel MeinClient.crt, MeinClient.key und das allgemeine Zertifikat ca.crt nach C:\Program Files\OpenVPN\config (C:\Program Files(x86)\OpenVPN\config bei 64-Bit-Systemen). Anschließend legen Sie im gleichen Verzeichnis die neue Textdatei mit dem Namen client.ovpn an, der Sie folgenden Inhalt geben:

# Zertifikate
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\MeinClient.crt"
key "C:\\Program Files\\OpenVPN\\config\\MeinClient.key"

# Client-Setup
client
dev tap
proto udp
remote hostname.myip.org 1194 #Hostname anpassen
resolv-retry infinite
nobind
persist-key
persist-tun
route-metric 512
route 0.0.0.0 0.0.0.0
comp-lzo
verb 3

Der erste Abschnitt bindet auch hier die Zertifikate ein, nur diesmal jene des Clients. Anzupassen ist bei dieser Beispielkonfiguration ansonsten lediglich die Zeile „remote hostname.myip.org 1194 #Hostname anpassen“. Hier muss anstatt  „hostname.myip.org“ der tatsächliche Hostname des Routers stehen, der über DynDNS erreichbar ist und dann die Anfragen korrekt an den OpenVPN-Server im LAN weiterleitet. Bei den Angaben „route-metric 512“ und „route 0.0.0.0 0.0.0.0“ handelt es sich um einen Trick, um die virtuelle Netzwerkschnittstelle von OpenVPN unter Windows Vista/7 korrekt zu registrieren.

Windows fügt auf dem Client die neue, virtuelle Netzwerkschnittstelle von OpenVPN als „LAN-Verbindung 2“ hinzu und das System behandelt die Schnittstelle als „Nicht identifiziertes Netzwerk“. Netzwerkschnittstellen dieser Art bekommen standardmäßig immer den Typ „Öffentliches Netzwerk“ zugeteilt, in dem nicht alle Netzwerkprotokoll zur Verfügung stehen. Zwar können Sie Netzwerkdienste wie Windows-Freigaben vom OpenVPN-Server nutzen, der Client antwortet jedoch selbst nicht auf Ping-Anfragen und kann keine Freigaben über das VPN anbieten. Um dies zu umgehen, trickst unsere Client-Konfiguration Windows mit einer neuen Standard-Route aus, die jedoch leer ist. Auf diese Weise können Sie der VPN-Verbindung auch die Kategorie „Arbeitsplatznetzwerk“ zuweisen, um auch vom Server aus Ping-Anfragen an den Client senden zu können oder auf dortige Freigaben zuzugreifen.

PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
1379501