2160377

Virtuelle Netzwerke mit Open VPN aufbauen - so geht's

16.09.2020 | 08:02 Uhr |

Viele VPN-Dienste setzen auf die Open-Source-Software Open VPN. Damit lässt sich eine sichere Verbindung ins Internet einfach einrichten. Auch den Fernzugriff aufs Heimnetz können Sie mit Open VPN bequem schützen.

Die Fritzbox ist der beliebteste Router hierzulande – vor allem, weil sie alle wichtigen Techniken unterstützt, die Sie für Heimnetz und Internet benötigen. Nur beim Thema VPN (virtuelles privates Netzwerk) beschreitet die Fritzbox einen Sonderweg. Denn für die sichere verschlüsselte Verbindung setzt der AVM-Router auf das Protokoll IPSec. Viele andere Router, die meisten NAS-Hersteller und fast alle VPN-Tools nutzen dagegen die freie Software Open VPN .

Bei den – meist kostenpflichtigen – Diensten eines VPN-Anbieters sorgt sie dafür, dass der Kunde von seinem PC oder Smartphone eine sichere VPN-Verbindung zu einem der zahlreichen VPN-Server des Anbieters in einem beliebigen Land erhält. Auf diese Weise kann ein Client sicher von unsicheren lokalen Netzwerken wie einem WLAN-Hotspot aus kommunizieren oder selbst beim Surfen von zu Hause aus nicht vom eigenen Internetprovider bespitzelt werden. Ein weiterer Vorteil: Verbindet sich der VPN-Nutzer mit einem Gateway in einem anderen Land, so erhält er am Ausgang des VPN-Tunnels eine länderspezifische IP-Adresse und umgeht damit das sogenannte Geoblocking.

Aber auch für den Remote-Zugang ins Heimnetz lässt sich Open VPN verwenden. So können Sie die Netzwerkgeräte zu Hause mit einem einzelnen Client, beispielsweise einem PC oder Smartphone, von unterwegs erreichen. Oder Sie verbinden gleich ein ganzes entferntes Netzwerk mit einem anderen – zum Beispiel das Home-Office mit dem Büro.

Tipp: Die besten VPN-Dienste 2020 im Vergleich

So kommen Sie mit Open VPN ins Heimnetz

Damit Sie sich per Open VPN in ein Netzwerk verbinden können, benötigen Sie dort einen VPN-Server. Das lässt sich auf mehrere Arten bewerkstelligen: Zum Beispiel können Sie einen PC im Heimnetz als Open- VPN-Server einrichten. Das ist zwar sehr einfach, weil Sie dafür keine zusätzlichen Geräte benötigen. Aber der PC muss dann rund um die Uhr laufen, damit Sie immer ins Heimnetz kommen. Sinnvoller wäre es also, wenn der Open-VPN-Server auf einem Gerät installiert ist, das sowieso rund um die Uhr eingeschaltet ist, wie beispielsweise ein Router oder ein NAS.

Es gibt einige Router, die sich ab Werk als Open-VPN-Gegenstelle einsetzen lassen – zum Beispiel von Asus oder Netgear.

Am sinnvollsten ist es aber, dafür ein vorhandenes NAS-System zu nutzen. Denn die Geräte der wichtigen Hersteller wie Qnap, Synology oder Asustor lassen sich alle kostenlos mit einem VPN-Server nachrüsten, der auch Open VPN unterstützt. In diesem Artikel zeigen wir deshalb am Beispiel einer Synology-NAS, wie das funktioniert.

Dazu sind mehrere Schritte erforderlich. Zunächst installieren Sie den VPN-Server auf dem NAS und exportieren die zugehörige Open-VPN-Datei samt SSL-Zertifikat. Mit einer Portweiterleitung veranlassen Sie Ihren Router, eine Open-VPN-Anfrage von außerhalb an die NAS weiterzuleiten. Außerdem richten Sie einen DynDNS-Dienst im Router ein, damit Ihr Heimnetz von außen immer unter derselben Webadresse erreichbar ist. Zu guter Letzt installieren Sie sich den Open-VPN-Client auf Ihrem PC oder Smartphone, importieren die Open- VPN-Dateien des NAS und stellen im fünften und letzten Schritt schließlich die verschlüsselte Verbindung zum NAS respektive Ihrem Heimnetz her.

1. VPN-Server auf dem NAS im Heimnetz installieren

NAS-Systeme von Herstellern wie Synology oder Asustor können per App mit einem VPN-Server erweitert werden. Geräte von Qnap haben eine entsprechende Software bereits vorinstalliert.
Vergrößern NAS-Systeme von Herstellern wie Synology oder Asustor können per App mit einem VPN-Server erweitert werden. Geräte von Qnap haben eine entsprechende Software bereits vorinstalliert.

Zunächst installieren Sie in der Benutzeroberfläche Ihres NAS den VPN-Server, sofern dieser nicht schon installiert ist. Bei Synology nennt sich der Bereich zur Installation zusätzlicher Anwendungen „Paketzentrum“. Dort benötigen Sie das Paket „VPN-Server“.

Mit einem Klick auf „Installieren“ laden Sie die Anwendung herunter und installieren sie. Anschließend richten Sie sie mit „Öffnen“ ein. Im Konfigurationsfenster des VPN-Servers markieren Sie in der linken Spalte unter „VPN-Server einrichten“ die Option „OpenVPN“ und setzen anschließend oben rechts einen Haken vor „Open- VPN-Server aktivieren“. Belassen Sie alle bestehenden Einstellungen und setzen Sie nur einen Haken vor „Clients den Server- LAN-Zugriff erlauben“. Mit dieser Einstellung erhalten Sie später mit Ihrem entfernten VPN-Client auch Zugriff auf das Heimnetz, in das das NAS eingebunden ist.

Nach einem Klick auf „Übernehmen“ erscheint der Hinweis, dass in der Firewall des Routers noch eine Portweiterleitung auf das NAS einzurichten ist – und zwar auf den UDP-Port 1194. Dies erledigen Sie gleich im nächsten Schritt 2.

Belassen Sie alle vorkonfigurierten VPN-Server-Einstellungen in der Synology-NAS und aktivieren Sie nur den Haken vor „Clients den Server-LAN-Zugriff erlauben“.
Vergrößern Belassen Sie alle vorkonfigurierten VPN-Server-Einstellungen in der Synology-NAS und aktivieren Sie nur den Haken vor „Clients den Server-LAN-Zugriff erlauben“.

Aber zuvor laden Sie sich die Konfigurationsdaten des Open-VPN-Servers herunter: Die benötigen Sie später für Schritt 4, wenn Sie den Open-VPN-Client an dem PC oder Notebook einrichten, von dem Sie später auf das NAS zugreifen möchten. Dazu klicken Sie auf die Schaltfläche „Konfigurationsdaten exportieren“ und öffnen das „openvpn.zip“ per Klick auf „OK“ direkt im Explorer. Von den drei Dateien verschieben Sie die Datei „ca.crt“ und „VPNConfig.ovpn“ auf einen USB-Stick, den Sie dann in Schritt 4 benötigen.

2. Portweiterleitung für Open VPN im Router einrichten

So sieht eine Open-VPN-Portfreigabe auf ein NAS in einem Fritzbox-Router aus, sofern die Fritzbox über IPv4 (Dual Stack) ans Internet angebunden ist.
Vergrößern So sieht eine Open-VPN-Portfreigabe auf ein NAS in einem Fritzbox-Router aus, sofern die Fritzbox über IPv4 (Dual Stack) ans Internet angebunden ist.

Damit Ihre Verbindungsanfrage zum Open-VPN-Server der NAS korrekt ankommt, richten Sie eine entsprechende Portweiterleitung im Router ein. Bei der Fritzbox funktioniert das über das Menü „Internet –› Freigaben –› Portfreigaben“. Hier gehen Sie zunächst auf „Gerät für Freigaben hinzufügen“, wählen im Anschluss das entsprechende Gerät – nämlich Ihr NAS – aus und fügen mit einem Klick auf „Neue Freigabe“ eine „Andere Anwendung“ mit dem Protokoll „UDP“ und dem Port „1194“ in allen drei Porteingabefeldern hinzu.

Vergessen Sie nicht, nach dem Anlegen der Portfreigabe mit „OK“ anschließend noch einmal mit „OK“ zu bestätigen, um die Freigabe zu aktivieren. Achtung: Diese Beschreibung bezieht sich ausschließlich auf Internetzugänge mit öffentlicher IPv4-Adresse (Dual Stack).

3. DynDNS-Dienst für eine garantierte Verbindung einrichten

Die meisten Router haben einen DynDNS-Client integriert, mit dem Sie zum Beispiel über ein kostenloses Konto des Dienstes No-IP eine feste DynDNS-Webadresse einrichten können.
Vergrößern Die meisten Router haben einen DynDNS-Client integriert, mit dem Sie zum Beispiel über ein kostenloses Konto des Dienstes No-IP eine feste DynDNS-Webadresse einrichten können.

Fast alle Internetprovider vergeben wechselnde öffentliche IP-Adressen an ihre Kunden. Damit Sie Ihr Heimnetz immer unter der gleichen feststehenden Webadresse erreichen, sollten Sie einen DynDNS-Dienst nutzen. Diese DynDNS-Domain-Adresse benötigen Sie, um sie in Schritt 4 in die Konfigurationsdatei des Open-VPN-Clients eintragen zu können.

Wenn Sie eine Fritzbox als Internetrouter haben, wählen Sie den kostenlosen DynDNS-Dienstes Myfritz von AVM. Router anderer Hersteller haben meist eine DynDNS-Funktion, die sich in den Einstellungen aktivieren lässt. Als passenden Gratis-DynDNS-Dienst nutzen Sie zum Beispiel No-IP.com  und tragen die entsprechenden Anmeldedaten im Routermenü ein.

Sobald der Myfritz- beziehungsweise DynDNS-Dienst erfolgreich eingerichtet ist, verweist die individuell zugewiesene Myfritz- oder DynDNS-Domain automatisch auf die aktuelle öffentliche IPv4-Adresse Ihres Heimnetzrouters, und das Heimnetz ist für Sie ständig von außen erreichbar.

4. Open VPN auf PC oder Notebook einrichten

Auf dem Rechner, der via Internet auf den VPN-Server im Heimnetz zugreifen sollen, installieren Sie die Client- Software für Open VPN: Sie ist für zahlreiche Betriebssysteme erhältlich.
Vergrößern Auf dem Rechner, der via Internet auf den VPN-Server im Heimnetz zugreifen sollen, installieren Sie die Client- Software für Open VPN: Sie ist für zahlreiche Betriebssysteme erhältlich.

Im nächsten Schritt richten Sie das Notebook ein, mit dem Sie von außerhalb über Open VPN auf Ihr NAS und Ihr Heimnetz zugreifen möchten. Dazu installieren Sie sich zunächst den offiziellen Open-VPNClient „OpenVPN GUI“ . Folgen Sie dem Setup-Assistenten, und ändern Sie keine der vorgegebenen Einstellungen.

Nach Abschluss der Installation öffnet sich eine Textdatei, die Sie in Englisch auf zwei fehlende Konfigurationsdateien hinweist, die Sie in ein bestimmtes Verzeichnis der Open-VPN-Installation einfügen sollen. Es handelt sich um die beiden Dateien „ca.crt“ und „VPNConfig.ovpn“ aus Schritt 1, die Sie auf einen USB-Stick kopiert haben.

Vorher nehmen Sie noch eine Anpassung an einer der beiden Dateien vor. Öffnen Sie dazu die Datei „VPNConfig.ovpn“ per Doppelklick, und wählen Sie als App zum Öffnen dieser Datei die Windows-Anwendung „Editor“, der die Datei als mehrzeiliges Skript öffnet.

Die beiden markierten Einträge müssen Sie in der VPNConfig.ovpn vornehmen, damit Sie von Ihrem Client aus eine Open-VPN-Verbindung herstellen können.
Vergrößern Die beiden markierten Einträge müssen Sie in der VPNConfig.ovpn vornehmen, damit Sie von Ihrem Client aus eine Open-VPN-Verbindung herstellen können.

Ersetzen Sie dort den Eintrag „YOUR_SERVER_IP“ in der vierten Zeile des Skripts durch Ihre individuelle DynDNS-Adresse aus Schritt 3. In unserem Beispiel lautet die MyFritz-Domain beispielsweise mmmseemann.myfritz.net. Dementsprechend wird in „VPNConfig.ovpn“ die ursprüngliche Skript-Zeile 

remote YOUR_SERVER_IP 1194 

durch den neuen Eintrag 

remote mmmseemann.myfritz.net 1194 

ersetzt.

Entfernen Sie außerdem etwas weiter unten im Skript bei dem Eintrag 

#redirect-gateway def1

ganz vorne das #-Zeichen, so dass der geänderte Eintrag nun wie folgt aussieht:

redirect-gateway def1 

Nun speichern Sie Ihre Änderungen mit der Tastenkombination Strg-S und schließen das Editorfenster. Öffnen Sie mit der Tastenkombination Windows-E ein Windows- Explorer-Fenster und wechseln Sie in das Verzeichnis „Dieser PC –› Lokaler Datenträger (C:) –› Benutzer –› IhrWindowsBenutzername –› OpenVPN –› config“. Kopieren Sie in dieses Verzeichnis die soeben geänderte Datei „VPNConfig.ovpn“ und ebenso die Datei „ca.crt“. Da dieses Verzeichnis von Windows besonders geschützt wird, müssen Sie jeden Kopiervorgang jeweils mit einem Klick auf „Fortsetzen“ bestätigen. Damit ist die Konfiguration bereits abgeschlossen.

5. Open-VPN-Verbindung ins Heimnetz herstellen

Für den sicheren Zugriff aufs Heimnetz müssen Sie sich beim NAS anmelden, das als Open-VPN-Server dient. Dafür verwenden Sie die NAS-Anmeldeinformationen.
Vergrößern Für den sicheren Zugriff aufs Heimnetz müssen Sie sich beim NAS anmelden, das als Open-VPN-Server dient. Dafür verwenden Sie die NAS-Anmeldeinformationen.

Starten Sie nun die Anwendung „OpenVPN GUI“ über das Desktop-Icon. Rechts unten in der Taskleiste von Windows erscheint nun ein neues Symbol in Form eines Monitors mit Vorhängeschloss. Gehen Sie mit Rechtsklick darauf, und wählen Sie im Kontextmenü die Option „Verbinden“. Das Fenster „OpenVPN Verbindung“ öffnet sich, und Sie werden nach „Benutzer“ und „Passwort“ gefragt. Geben Sie hier die Zugangsdaten Ihres NAS-Benutzerkontos ein, mit denen Sie sich normalerweise im Webmenü Ihres NAS-Systems anmelden.

Falls Sie alles richtig gemacht haben, baut Open VPN nun eine geschützte Verbindung zu Ihrem NAS und Ihrem Heimnetz auf. Es erscheint für wenige Sekunden die Erfolgsmeldung „VPNconfig ist nun verbunden“. Außerdem ist der Monitor des Open-VPN-Symbols in der Taskleiste nun grün gefärbt. Um die Open-VPN-Verbindung wieder zu trennen, können Sie einfach per Doppelklick auf das Verbindungssymbol in der Taskleiste gehen und im Verbindungsfenster die Schaltfläche „Trennen“ betätigen. Die beiden rot markierten Warnungen im Logfile der Verbindung bezüglich „certificate“ und „cache passwords“ können Sie getrost ignorieren.

Open VPN & Co.: Die verschiedenen VPN-Protokolle

Für den Schutz eines VPNs sorgt ein Verbindungsprotokoll: PPTP, IPSec und SSL sind die drei derzeit wichtigsten. PPTP (Point-to-Point-Tunneling Protocol) ist das älteste VPN-Protokoll und wird von praktisch allen netzwerkfähigen Betriebssystemen unterstützt. Allerdings wurde es bereit 2012 geknackt und ist damit nicht mehr zu empfehlen. Das IPSec-Protokoll ist direkt in die Transportschicht des TCP/IP-Protokoll-Stacks integriert und sehr sicher, doch es stellt höhere Anforderungen an die Leistung der an der Übertragung beteiligten Hardware. Zudem benötigt IPSec eine Reihe von Portweiterleitungen im Router und kann deshalb relativ einfach von Firewalls geblockt werden. IPsec nutzt zum Beispiel eine Fritzbox für VPN-Verbindungen, 

Open VPN setzt auf das Protokoll SSL in der Anwendungsschicht des TCP-IP-Protokoll-Stacks. Damit ist es ebenfalls sehr sicher, aber ressourcensparender als IPSec. Es basiert auf offener Software (GPL) und kann auf allen wichtigen Betriebssystemen installiert werden. Da Open VPN nur einen offenen Port benötigt und theoretisch auch komplett über eine HTTP(S)-Verbindung laufen kann, ist es auch nicht so leicht zu blocken wie eine IPSec-Verbindung.

Das Galaxy Z Fold 2, ein Smartphone mit Monster-Akku, ein 20 Jahre alter Handy-Klassiker UND die neuesten Leaks kurz vor der Apple Keynote: Über all das sprechen wir heute in der ersten Folge von Technikliebe-News.

NEWS DER WOCHE

► Galaxy Z Fold 2: www.pcwelt.de/news/Samsung-Galaxy-Z-Fold-2-So-sollte-ein-faltbares-Smartphone-sein-10874936.html

► 7.000 mAh für 360 Euro: Das neue Samsung Galaxy M51 im Check: www.pcwelt.de/news/Samsung-Galaxy-M51-fuer-360-Euro-mit-7.000-mAh-Akku-10874647.html

► Nokia 3310 feiert Geburtstag: www.pcwelt.de/news/Nokia-3310-vor-20-Jahren-Erinnern-Sie-sich-noch-10876148.html

LEAKS DER WOCHE:

► Neue Hinweise auf ein neues iPad Air: www.macwelt.de/news/Neue-Hinweise-auf-ein-neues-iPad-Air-Das-verraten-die-Design-Skizzen-10873434.html

► AirPods 3: Interner Bericht verrät Starttermin: www.macwelt.de/news/Airpods-3-Interner-Bericht-verraet-Starttermin-10875825.html

► Neue Apple Watch bereits am 08.September: www.macwelt.de/news/Apple-Watch-Series-6-und-neue-iPads-am-08-September-erwartet-10876639.html

► Zum Technikliebe T-Shirt-Shop: 3dsupply.de/de/technikliebe/

PC-WELT Marktplatz

2160377