Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
Forum
Shop
FAQ
Know How
Testberichte
Hardware-DB
Events
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Partner
Unser Partner für
SSL Zertifikate
ist Checkdomain GmbH.
Tutorial

OpenVPN

OpenVPN ist eine freie Software zum Aufbau von SSL-VPNs. OpenVPN ist für Windows, Linux und Apple Mac OS X verfügbar.

Diese Anleitung basiert auf OpenVPN 2.1 unter Windows.

Einfaches Beispiel einer OpenVPN-Verbindung

Im folgenden Beispiel wird ein einzelner Client mit einem OpenVPN-Server verbunden. Der Client spricht den Server über dessen Hostnamen (example.dyndns.org) an. Am DSL-Router des Servers muss der UDP-Port 1194 mittels Port Forwarding an den Server weitergeleitet werden.

Testaufbau für OpenVPN

Die für den VPN-Tunnel genutzten IP-Adressen (10.0.0.1 und 10.0.0.2) dürfen im bestehenden Netzwerk bisher nicht genutzt werden.

Schlüssel erzeugen

Für die Verwendung von statischen Schlüsseln benötigen OpenVPN-Server und -Client den gleichen Schlüssel. Um einen Schlüssel zu generieren, rufen Sie am Server aus dem Startmenü den Eintrag "OpenVPN / Utilities / Generate a static OpenVPN key" auf. Dadurch wird ein "C:\Programme\OpenVPN\config" eine Datei key.txt angelegt:

#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
513ab2f5e3ab5a4e0113a6d02c7a008a
4c7edf4eb049aad417463816dabdbdf1
d3399776bf54a86b4c9ee6ff2b94da4d
5692d41ace5dd66de7b7e04f31f095f5
6927ce8340f59b4d75c6a65123044259
8ddd5bda9fb653b2960f6c82a74ed388
75b9ea0c76eae686758b8bfe010dd62c
8819fb1b626c6de86b6c8fb193b6d2b5
3125390bef916862811968f6a59ef6f3
e33e8ee13ecfe579bce75bb58e8b7373
a9596c247329595929b765e10f83611b
869e4439790db60bf0a511302aa3cc14
71beb2dd6a6e015df15da483aa15d8ba
7c77c60bc4834d3b528c1a2b4361d772
ce447e063aac4350342f074b532afd78
a47f17eba766bc57ac0bc22b8b724f1f
-----END OpenVPN Static key V1-----

Kopieren Sie diese Datei in das gleiche Verzeichnis auf dem Client. Wer diese Datei besitzt, kann einen VPN-Tunnel aufbauen. In einer produktiven Umgebung sollte der Schlüssel daher entsprechend gesichert übertragen werden.

OpenVPN konfigurieren

Die Konfiguartion von OpenVPN erfolgt über Textdateien. Für unser Beispiel sieht die server.ovpn so aus:

dev tun
ifconfig 10.0.0.2 10.0.0.1
secret key.txt

Auf dem Client wird die Datei client.ovpn erstellt:

remote example.dyndns.org
dev tun
ifconfig 10.0.0.1 10.0.0.2
secret key.txt

Mit dem Eintrag remote wird der OpenVPN-Server festgelegt. Geben Sie hier den DynDNS-Hostnamen oder die WAN-IP-Adresse des Servers an.

VPN-Tunnel aufbauen

Um den VPN-Tunnel aufzubauen, starten Sie zuerst den OpenVPN-Server. Klicken Sie mit der rechten Maustaste auf die Datei server.ovpn und wählen Sie "Start OpenVPN on this config file". Die Ausgabe sollte etwa so aussehen:

Tue Apr 07 21:48:04 2009 OpenVPN 2.1_rc15 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 19 2008
Tue Apr 07 21:48:04 2009 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  
                         OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Tue Apr 07 21:48:04 2009 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Apr 07 21:48:04 2009 TAP-WIN32 device [LAN-Verbindung 5] opened: \\.\Global\{CC44CDC4-77E0-418D-8DA9-3AD11EDE302C}.tap
Tue Apr 07 21:48:04 2009 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.0.2/255.255.255.252 on 
                         interface {CC44CDC4-77E0-418D-8DA9-3AD11EDE302C} [DHCP-serv: 10.0.0.1, lease-time: 31536000]
Tue Apr 07 21:48:04 2009 Successful ARP Flush on interface [2] {CC44CDC4-77E0-418D-8DA9-3AD11EDE302C}
Tue Apr 07 21:48:04 2009 UDPv4 link local (bound): [undef]:1194
Tue Apr 07 21:48:04 2009 UDPv4 link remote: [undef]

Nun starten Sie am Client die client.ovpn auf dem gleichen Weg:

Tue Apr 07 21:49:25 2009 OpenVPN 2.1_rc15 i686-pc-mingw32 [SSL] [LZO2] [PKCS11]built on Nov 19 2008
Tue Apr 07 21:49:25 2009 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  
                         OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Tue Apr 07 21:49:25 2009 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Apr 07 21:49:25 2009 TAP-WIN32 device [LAN-Verbindung 4] opened: \\.\Global\{B478A131-A506-4BA7-9FAD-FF4BDED11A1A}.tap
Tue Apr 07 21:49:25 2009 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.0.1/255.255.255.252 on 
                         interface {B478A131-A506-4BA7-9FAD-FF4BDED11A1A} [DHCP-serv: 10.0.0.2, lease-time: 31536000]
Tue Apr 07 21:49:25 2009 Successful ARP Flush on interface [1310725] {B478A131-A506-4BA7-9FAD-FF4BDED11A1A}
Tue Apr 07 21:49:25 2009 UDPv4 link local (bound): [undef]:1194
Tue Apr 07 21:49:25 2009 UDPv4 link remote: 172.16.0.2:1194
Tue Apr 07 21:49:35 2009 Peer Connection Initiated with 172.16.0.2:1194
Tue Apr 07 21:49:42 2009 Initialization Sequence Completed

In diesem Beispiel läuft der Server auf der WAN-IP-Adresse 172.16.0.2. Bei einem erfolgreichen Aufbau des VPN-Tunnels sind am Server die folgenden Meldungen zu sehen:

Tue Apr 07 21:49:37 2009 Peer Connection Initiated with 172.16.0.1:1194
Tue Apr 07 21:49:43 2009 Initialization Sequence Completed

Kontrolle und Fehlersuche

Bei aktivem Tunnel sind auf Server und Client jeweils ein zusätzlicher Netzwerkadapter aktiv. Kontrollieren Sie das mit dem Kommando ipconfig:

C:\Dokumente und Einstellungen\root>ipconfig

Windows-IP-Konfiguration

Ethernetadapter LAN-Verbindung 5:

        Verbindungsspezifisches DNS-Suffix:
        IP-Adresse. . . . . . . . . . . . : 10.0.0.2
        Subnetzmaske. . . . . . . . . . . : 255.255.255.252
        Standardgateway . . . . . . . . . :

Ethernetadapter LAN-Verbindung:

        Verbindungsspezifisches DNS-Suffix:
        IP-Adresse. . . . . . . . . . . . : 192.168.1.2
        Subnetzmaske. . . . . . . . . . . : 255.255.255.0
        Standardgateway . . . . . . . . . : 192.168.1.1

Die LAN-Verbindung 5 gehört hier zu OpenVPN. Die Nummer kann variieren. Auf dem Client muss ebenfalls ein neuer Netzwerkadapter mit der entsprechenden IP-Adresse sichtbar sein. Die IP-Adressen müssen per Ping erreichbar sein:

C:\Dokumente und Einstellungen\xuser>ping 10.0.0.2

Ping wird ausgeführt für 10.0.0.2 mit 32 Bytes Daten:

Antwort von 10.0.0.2: Bytes=32 Zeit=5ms TTL=128
Antwort von 10.0.0.2: Bytes=32 Zeit=4ms TTL=128
Antwort von 10.0.0.2: Bytes=32 Zeit=4ms TTL=128
Antwort von 10.0.0.2: Bytes=32 Zeit=4ms TTL=128

Ping-Statistik für 10.0.0.2:
    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust),
Ca. Zeitangaben in Millisek.:
    Minimum = 4ms, Maximum = 5ms, Mittelwert = 4ms

Bei Problemen kontrollieren Sie die Meldungen in den Ausgabefenstern von Server und Client. Wenn am Server beim Verbindungsversuch keine zusätzlichen Meldungen angezeigt werden, kontrollieren Sie die Einstellungen der Windows-Firewall. Der Server muss UDP auf Port 1194 empfangen können. Stimmt die Portweiterleitung am DSL-Router des Servers?

Weiterführende Informationen

Die hier vorgestellt Konfiguration eignet sich für die schnelle Verbindung von zwei Rechnern. Für den Produktionsbetrieb bietet OpenVPN Features wie Zertifikate, Routing und ein GUI. Unter den folgenden Links finden Sie weitere Informationen zum OpenVPN. Bei Fragen wird Ihnen im Netzwerkforum geholfen.

Aktuelle Meldungen

Netgear präsentiert ProSAFE 28-Port 10-Gigabit Smart Managed Switches XS728T

Netgear bringt Speicherlösung für Großunternehmen

SFP-Transceiver für explosionsgefährdete Umgebungen

Neue Generation nicht-managebarer Switche von SMC Networks

Universeller IPsec VPN Client für Android

Diskussionen im Forum

Verständnisfrage: Kommunikation Router-PC

Zwei logisch getrennte Netz an einem Router erstellen

Sitecom Router als Accesspoint konfigurieren

Buchempfehlung

Wireshark - keine ausgehenden Pakete

Aktuelle Artikel
JPerf - grafische Oberfläche für iperf
Mit iperf kann die Übertragungsgeschwindigkeit von Netzwerken gemessen werden. JPerf ist eine grafische Oberfläche für iperf. Der Artikel beschreibt die Messung mit TCP und UDP und gibt Anregungen zur Fehlersuche bei Performanceproblemen.

Fehlersuche im VPN
Der Artikel liefert dem Admin einige Anregungen zur Fehlersuche in IPsev-VPN-Installationen. Was ist beim Aufbau von VPN-Tunneln zu beachten, was sind typische Fehler.

Alle Artikel...
Neue Tutorials
VPN mit der FritzBox
Die Fritz!Box von AVM unterstützt den Aufbau von VPN-Verbindungen mit dem Protokoll IPsec. AVM stellt dafür die Windows-Software FRITZ!Fernzugang zur Verfügung. Das Tutorial beschreibt die Konfiguration eines VPNs mit der AVM FRITZ!Box Fon WLAN 7270.

Virtuelle Netze mit VMware Server
VMware Server bietet drei Arten der virtuellen Vernetzung für ein Gastsystem an: Bridged Networking, Network Address Translation (NAT) und Host-only Networking. Das Tutorial beschreibt die Möglichkeiten der einzelnen Betriebsarten und deren Konfiguration.

Outlook einrichten
Sie möchten Ihre E-Mails von Web.de, GMX oder T-Online mit Outlook abrufen? Das Tutorial beschreibt die Einrichtung eines IMAP-Kontos mit Outlook 2007 an einem Beispiel.

Alle Tutorials...
Neue Testberichte
Net Optics iBypass Switch
Der iBypass von Net Optics ist Bypass Switch zum unterbrechungsfreien Einschleifen eines Intrusion Prevention Systems.

ePowerSwitch-4
Der ePowerSwitch-4 ist eine Schuko-Steckdosenleiste mit Ethernet-Interface und integriertem Webserver. Über einen Browser lassen sich die vier Schuko-Steckdosen über das Netzwerk schalten.

Alle Testberichte...

 

 
© 2004-2015, network lab - we make your net work - Netzwerkforum
aktualisiert am 22.03.2012