OpenVPN - s3-eu-west-1.amazonaws.com · dows- und Apple-Systeme sollten nur VP N-Clients sein. Dies ist zwar nicht zwingend notwendig, es erspart Ihnen aber häufig das »Umdenken«,

Dirk Becker

OpenVPNDas Praxisbuch

1671.book Seite 1 Dienstag, 5. Oktober 2010 4:38 16

Auf einen Blick

1 Einführung .......................................................................... 17

2 Netzwerkgrundlagen .......................................................... 41

3 Software ............................................................................. 87

4 Authentisierung und Verschlüsselungsarten ...................... 105

5 OpenVPN konfigurieren ..................................................... 135

6 Plugins ................................................................................ 189

7 Weitere Konfigurationen .................................................... 193

8 Tipps ................................................................................... 219

9 Fehlersuche und Probleme ................................................. 237

10 Optionen ............................................................................. 247

11 Skripte ................................................................................ 283


5

Inhalt

Vorwort ........................................................................................................ 11

1 Einführung ................................................................................ 17

1.1 VPN (Virtual Private Network) ..................................................... 181.2 Alternativen zu einem VPN .......................................................... 21

1.2.1 Telnet ............................................................................. 221.2.2 File Transfer Protocol – FTP ............................................. 231.2.3 Secure Shell – SSH ........................................................... 241.2.4 Sonstige .......................................................................... 25

1.3 IPSec, FreeS/WAN & Co. .............................................................. 261.3.1 Internet Protocol Security – IPSec ................................... 261.3.2 FreeS/WAN, Openswan und strongSwan ......................... 27

1.4 OpenVPN .................................................................................... 281.4.1 Informationen zu OpenVPN ............................................ 281.4.2 Verschlüsselung bei OpenVPN ........................................ 291.4.3 Verbindungsarten ............................................................ 301.4.4 Sonstiges ......................................................................... 31

1.5 Szenario ....................................................................................... 321.5.1 Hintergründe .................................................................. 331.5.2 Netzwerkdaten ............................................................... 35

1.6 Weitere Dokumentationen .......................................................... 381.7 Newsgroups ................................................................................. 39

2 Netzwerkgrundlagen ................................................................ 41

2.1 ISO/OSI-Schichtenmodell ............................................................ 422.2 Topologien .................................................................................. 462.3 Ethernet ...................................................................................... 522.4 LAN & WAN ................................................................................ 542.5 Protokolle .................................................................................... 552.6 TCP/IP – das Internetprotokoll ..................................................... 58

2.6.1 DoD-Schichtenmodell ..................................................... 582.6.2 IP (Internet Protocol) ...................................................... 602.6.3 TCP (Transmission Control Protocol) ............................... 642.6.4 UDP (User Datagram Protocol) ........................................ 652.6.5 DNS (Domain Name System) ........................................... 662.6.6 Routing ........................................................................... 69

2.7 WLAN ......................................................................................... 71


Inhalt

6

2.8 Sicherheit im Netzwerk ................................................................ 752.9 Netzwerktools und Diagnose ....................................................... 77

2.9.1 ifconfig/ipconfig .............................................................. 772.9.2 ping ................................................................................ 782.9.3 nslookup ......................................................................... 792.9.4 netio ............................................................................... 80

2.10 Einrichtung .................................................................................. 812.10.1 Windows ........................................................................ 822.10.2 Linux ............................................................................... 832.10.3 Apple .............................................................................. 84

2.11 Sonstiges ..................................................................................... 85

3 Software ................................................................................... 87

3.1 OpenVPN .................................................................................... 883.1.1 Installation unter Linux ................................................... 883.1.2 Installation unter Windows ............................................. 923.1.3 Installation unter Mac OS X ............................................ 95

3.2 bridge-utils .................................................................................. 953.2.1 Installation unter Linux ................................................... 953.2.2 Installation unter Windows ............................................. 96

3.3 OpenSSL ...................................................................................... 973.3.1 Installation unter Linux ................................................... 973.3.2 Cygwin – OpenSSL unter Windows ................................. 98

3.4 Grafische Oberflächen .................................................................. 1003.4.1 OpenVPN GUI für Windows ............................................ 1003.4.2 OpenVPN Control ........................................................... 1013.4.3 OpenVPN-Admin ............................................................ 1013.4.4 Tunnelblick für Mac OS X ................................................ 1023.4.5 Viscosity ......................................................................... 102

3.5 Sonstiges ..................................................................................... 1023.5.1 Weitere Quellen .............................................................. 1033.5.2 Virtuelle Maschinen ........................................................ 103

4 Authentisierung und Verschlüsselungsarten ........................... 105

4.1 SSL/TLS ........................................................................................ 1064.1.1 Authentisierung .............................................................. 1084.1.2 Schlüsselaustausch .......................................................... 1084.1.3 Verschlüsselung .............................................................. 1084.1.4 Sonstiges ......................................................................... 108


Inhalt

7

4.2 Symmetrische Verschlüsselung (statischer Schlüssel) .................... 1094.3 Asymmetrische Verschlüsselung (zertifikatbasiert) ........................ 113

4.3.1 Digitale Zertifikate .......................................................... 1134.3.2 Ablauf bei Verwendung eines Zertifikates ........................ 1154.3.3 Ablauf bei der Erstellung eines Zertifikates ...................... 116

4.4 Zertifizierungsstelle mit OpenSSL ................................................. 1174.4.1 Eigene Zertifizierungsstelle (Certification Authority) ........ 1174.4.2 Zertifikate erstellen ......................................................... 1214.4.3 Zertifikate zusammenfassen (PKCS#12) ........................... 1224.4.4 Zertifikate übergeben ...................................................... 1234.4.5 Zertifikatssperrliste (Certificate Revocation List – CRL) ..... 124

4.5 Zertifikate mit OpenVPN – Easy-RSA ........................................... 1264.5.1 Mini-Zertifizierungsstelle ................................................. 1274.5.2 Zertifikate erstellen ......................................................... 1294.5.3 Zertifikate übergeben ...................................................... 1304.5.4 Zertifikate im PKCS#12-Format ....................................... 1304.5.5 Zertifikate sperren ........................................................... 131

4.6 Zertifikate mit einer GUI .............................................................. 1314.7 Zusammenfassung ........................................................................ 132

4.7.1 Statischer Schlüssel ......................................................... 1324.7.2 Zertifikate ....................................................................... 133

5 OpenVPN konfigurieren ........................................................... 135

5.1 Netzwerkschnittstellen ................................................................ 1365.1.1 Punkt-zu-Punkt-Verbindungen ........................................ 1375.1.2 Multi-Client-Verbindungen ............................................. 138

5.2 Firewall und Routing ................................................................... 1385.2.1 Internetrouter ................................................................. 1395.2.2 Portfreigabe .................................................................... 1405.2.3 IP-Forwarding ................................................................. 1405.2.4 Firewall auf dem Tunnel .................................................. 141

5.3 Testverbindung ............................................................................ 1425.4 Verbindungsarten ........................................................................ 1455.5 Die Konfigurationsdatei ............................................................... 1475.6 Verbindungen mit statischem Schlüssel ........................................ 149

5.6.1 Gateway-to-Gateway-Verbindung (G2G) ......................... 1495.6.2 Client-to-Gateway-Verbindung (C2G) .............................. 1545.6.3 Debug-Level ................................................................... 159

5.7 Zertifikatbasiert ........................................................................... 1635.7.1 Client-to-Gateway-Verbindung ....................................... 163


Inhalt

8

5.7.2 Client-to-Network-Verbindung (C2N) ............................. 1685.7.3 Network-to-Network-Verbindung (N2N) ........................ 1755.7.4 Ethernet-Tunnel .............................................................. 179

5.8 Server-Login ................................................................................ 1845.8.1 Eigene Benutzerverwaltung unter Linux ........................... 1855.8.2 Eigene Benutzerverwaltung unter Windows .................... 187

6 Plugins ...................................................................................... 189

6.1 auth-pam-Plugin .......................................................................... 1906.2 Quellcode .................................................................................... 1906.3 Einsatz ......................................................................................... 190

7 Weitere Konfigurationen ......................................................... 193

7.1 Management-Interface ................................................................ 1937.1.1 Management-Interface konfigurieren .............................. 1947.1.2 Interface-Befehle ............................................................. 195

7.2 WLAN absichern .......................................................................... 1997.2.1 Szenario .......................................................................... 2007.2.2 Konfiguration .................................................................. 2017.2.3 Verbindungsaufbau ......................................................... 2037.2.4 Wichtige Optionen ......................................................... 204

7.3 Sichere Remotesteuerung ............................................................ 2057.3.1 Firewall-Einstellungen ..................................................... 2057.3.2 Konfiguration .................................................................. 2077.3.3 Remotezugriff ................................................................. 208

7.4 OpenVPN auf einem PocketPC oder Smartphone ......................... 2097.4.1 Installation ...................................................................... 2107.4.2 Konfiguration .................................................................. 2137.4.3 Einschränkungen ............................................................. 216

8 Tipps ......................................................................................... 219

8.1 Sicherheiten ................................................................................. 2208.1.1 Server-Zertifikate ............................................................. 2208.1.2 Zertifikate mit gleichem »Common Name« ...................... 2218.1.3 OpenVPN-Benutzer ........................................................ 2228.1.4 Verschlüsselung deaktivieren ........................................... 224

8.2 Optimierungen ............................................................................ 2248.2.1 OpenVPN als Dämon ...................................................... 224


Inhalt

9

8.2.2 comp-lzo ......................................................................... 2298.2.3 Limitierte Bandbreite ...................................................... 2308.2.4 Mehrere Server ............................................................... 230

8.3 Sonstige ....................................................................................... 2318.3.1 Normaler Benutzer .......................................................... 2318.3.2 push-Optionen ................................................................ 2328.3.3 VPN-Gateway und Standardgateways .............................. 2338.3.4 DNS unter Linux ............................................................. 2338.3.5 IP-Forward per Skript ...................................................... 235

9 Fehlersuche und Probleme ....................................................... 237

9.1 OpenVPN startet nicht ................................................................ 2389.1.1 Syntax- bzw. Parameterfehler .......................................... 2389.1.2 TUN-/TAP-Device wurde nicht gefunden ........................ 238

9.2 OpenVPN startet ......................................................................... 2399.2.1 Systemzeit ....................................................................... 2409.2.2 Zugriffsprobleme ............................................................. 2409.2.3 Ein Ping kommt an, eine Datenübertragung ist

jedoch nicht möglich ....................................................... 2419.2.4 Die Verbindung bricht ständig ab .................................... 2429.2.5 Unter Windows XP wird keine IP-Adresse zugewiesen .... 242

9.3 Fehler- und Warnmeldungen ....................................................... 2429.3.1 Fehlermeldungen ............................................................ 2439.3.2 Warnmeldungen ............................................................. 244

10 Optionen .................................................................................. 247

10.1 Allgemeine Optionen ................................................................... 24810.2 Tunnel ......................................................................................... 24910.3 Server .......................................................................................... 26810.4 Client ........................................................................................... 27210.5 Data Channel Encryption ............................................................. 27310.6 TLS-Mode .................................................................................... 27410.7 SSL-Informationen ....................................................................... 27710.8 Statischer Schlüssel ...................................................................... 27810.9 Windows-spezifische Optionen .................................................... 27810.10 Signale ......................................................................................... 282


Inhalt

10

11 Skripte ...................................................................................... 283

11.1 Zertifizierungsstelle erstellen ........................................................ 28311.2 Zertifikate erstellen ...................................................................... 28511.3 Zertifikate sperren ........................................................................ 286

Index ............................................................................................................ 289


87

In diesem Kapitel erfahren Sie, welche Software Sie zum Testen der späteren Beispiele benötigen und wie Sie diese installieren.

3 Software

Damit Sie später sämtliche Beispiele testen können, müssen Sie einige Vor-kehrungen treffen. Das bedeutet in erster Linie: Sie müssen Softwareinstallieren.

Die wichtigste Installation ist selbstverständlich die von OpenVPN. Siesollten, wenn möglich, eine ähnliche Versuchsanordnung, wie ich sieIhnen in Abschnitt 1.5, »Szenario«, beschrieben habe, verwenden. Essollte auch ein VPN-Gateway mit Linux als Betriebssystem existieren. Win-dows- und Apple-Systeme sollten nur VPN-Clients sein. Dies ist zwar nichtzwingend notwendig, es erspart Ihnen aber häufig das »Umdenken«, daich hier nicht stets auf alle Einstellungen für sämtliche Systeme eingehenkann.

Ein VPN-Gateway muss auch zwei Netzwerkinterfaces (meist Internet undNetzwerkkarte) benutzen, da Sie ansonsten die Netzwerkverbindungennicht so einfach testen können. Hier möchte ich Sie auch wieder an die Mög-lichkeit erinnern, alles zunächst mit virtuellen Maschinen unter VirtualBoxoder VMware Server zu testen. Dort haben Sie auch eine (fast) unbegrenzteAuswahl an virtuellen Netzwerkkarten.

OpenSSL wird normalerweise nicht unbedingt benötigt. Da ich Ihnenjedoch auch zeige, wie Sie eine Zertifizierungsstelle verwalten, sollten Siees installieren. Für den Fall, dass Sie dies nicht wollen, können die Zertifi-kate jedoch auch mithilfe von OpenVPN erstellt werden.

Hinweis

Die aktuellen Versionen von OpenVPN können Sie sich unter http://openvpn.netherunterladen.


88

Software3

3.1 OpenVPN

OpenVPN ist inzwischen als Paket bei fast allen Linux-Distributionen ent-halten. Falls Ihr Paketmanager noch eine ältere Version anbietet, solltenSie auf die Installation des Quellcodes zurückgreifen.

Unter Windows wird eine typische Setup-Routine verwendet. Hier sindnur einige zusätztliche Punkte wegen des Pfades und eines Treibers zubeachten.

3.1.1 Installation unter Linux

Wenn der Linux-Rechner bereits einen Internetzugang besitzt und dasNetzwerk läuft, müssten fast alle benötigten Pakete installiert sein.

Installation mit einem Paketmanager

Die Installation mit einem Paketmanager können Sie entweder in der gra-fischen Oberfläche oder wie in Tabelle 3.1 dargestellt in einer Konsole alsroot vornehmen.

Bei fehlenden Abhängigkeiten kümmern sich die meisten Manager auto-matisch um die Installation der notwendigen Pakete.

Installation des Quellcodes

Linux-Profis (oder die, die es werden wollen) können sich auch die aktu-elle Version als Quellcode unter http://openvpn.net herunterladen. Umdiesen Quellcode zu installieren, stehen Ihnen zwei Möglichkeiten zurVerfügung:

System Befehl

SUSE/openSUSE yast -i openvpn

Debian apt-get install openvpn

Ubuntu apt-get install openvpn

Gentoo emerge openvpn

FreeBSD pkg_add -r openvpn

Fedora yum install openvpn

Tabelle 3.1 OpenVPN-Installation auf UNIX/Linux-Systemen


89

OpenVPN 3.1

� Kompilieren des Quellcodes

� Installation mit rpmbuild

Die Installation mit rpmbuild sollte nur bei Distributionen, die den Paket-manager RPM verwenden, eingesetzt werden!

KompilierenDen ersten Schritt der Installation können Sie als normaler Benutzer vor-nehmen. Nur die Installation muss der root-Benutzer durchführen. ZumKompilieren wird der Gnu C++ 4.1-Compiler (oder höher) benötigt. Stel-len Sie vorher sicher, dass dieser auch installiert ist. Lesen Sie sich auchbeim Ausführen von configure eventuell auftretende Fehlermeldungengenau durch, und verzweifeln Sie nicht! Bei manchen Distributionen feh-len nur bestimmte Pakete, die zum Kompilieren benötigt werden. Zu dennotwendigen Paketen zählen u.a.:

� openssl und openssl-develop (auch libssl-dev)

� lzo und lzo-devel (auch liblzo-dev)

� pam und pam-develop (auch libpam0g-dev)

Bei mir fehlten unter Debian 5.0 zusätzlich noch die Pakete build-essential,make und bin86.

Laden Sie nun den Quellcode von der OpenVPN-Homepage herunter. Imersten Schritt muss dieser zunächst entpackt werden:

tar -x -z -f openvpn-2.1.3.tar.gz

Danach wechseln Sie in das neue Verzeichnis und kompilieren den Code:

cd openvpn-2.1.3/./configuremake

Nach dem erfolgreichen Kompilieren können Sie OpenVPN als root-Benutzer installieren:

make install

Bis auf die gerade genannten kleinen Probleme wegen fehlender Paketefunktioniert bei mir die Installation des Quellcodes unter Debian und Gen-too ohne Weiteres.


90

Software3

rpmbuildDie Installation mit rpmbuild ist ebenfalls simpel. Zunächst werden diegleichen Pakete wie auch beim Kompilieren benötigt. Dann wird derQuellcode zunächst übersetzt und mit rpm installiert. Hierfür benötigtman root-Rechte:

rpmbuild -tb openvpn-2.1.3.tar.gzrpm -ivh openvpn-2.1.3.rpm

Wie bereits erwähnt, sollte diese Routine allerdings nur bei RPM-basiertenDistributionen eingesetzt werden.

Nach der Installation befinden sich die Konfigurationsdateien unter /etc/openvpn. Falls dieser Ordner nach der Installation nicht vorhanden ist,müssen Sie ihn mit root-Rechten selbst anlegen.

Kernel

Um Verbindungen herzustellen, wird das sogenannte TUN- oder TAP-Device benutzt. Dieses muss vom Kernel unterstützt werden oder alsModul vorhanden sein. In den meisten Distributionen ist es standardmä-ßig mit eingebunden. Wenn Sie einen eigenen Kernel benutzen oder beiProblemen müssen Sie (natürlich als root) die im Folgenden beschriebeneEinstellung aktivieren.

Zunächst rufen Sie das Konfigurationsmenü für den Kernel auf:

cd /usr/src/linuxmake menuconfig

Wechseln Sie nun in den Unterpunkt Device Drivers � Network device

support und aktivieren Sie dort den Eintrag Universal TUN/TAP device

driver support als Modul (empfohlen) oder bauen ihn fest in den Kernelein (siehe Abbildung 3.1).

Achtung

Beim Entpacken des Quellcodes wurden auch Beispielskripte und andere Toolsentpackt (unter sample-…). Diese können Ihnen später noch hilfreich sein.Löschen Sie sie daher vorläufig nicht.


91

OpenVPN 3.1

Abbildung 3.1 Wichtig ist die Einstellung Universal TUN/TAP …

Falls Sie später nicht nur einfache Punkt-zu-Punkt-Verbindungen herstel-len, sondern komplette Netzwerke bridgen (überbrücken) wollen, müssenSie auch noch unter Networking � Networking support � Networking

options das 802.1d Ethernet Bridging aktivieren (siehe Abbildung 3.2).Wie auch die TUN- und TAP-Devices ist diese Option in den meisten Stan-dardkerneln jedoch bereits aktiviert.

Abbildung 3.2 Ethernet Bridging

Nach der Einstellung müssen Sie, je nach Auswahl, entweder den komplet-ten Kernel oder aber nur die Module neu kompilieren.

Bei fester Implementierung im Kernel:

make bzImage


92

Software3

Vergessen Sie nicht die Integration des neuen Kernels in den Bootloader.

Als Modul: make modules modules_install

Benutzung als Modul: modprobe tun

Gelegentlich kommt es auch zu Problemen beim Erstellen von Modulen,wenn ein Standardkernel verwendet wird. In diesem Fall müssen Sie sichleider auch einen eigenen Kernel kompilieren, da die Module ansonstennicht zum Kernel passen.

3.1.2 Installation unter Windows

Windows-Benutzer finden eine Version auf der OpenVPN-Homepage(http://www.openvpn.net).

Bei der Installation wird u.a. auch ein Eintrag in der UmgebungsvariablePATH vorgenommen. Dadurch müssen Sie bei späteren Aktionen in derEingabeaufforderung keine kompletten Pfadangaben benutzen.

Abbildung 3.3 Start der Installation unter Windows

Hinweis

In diesem Buch verwende ich Windows 7. In der Erstauflage des Buches wurdenoch Windows XP eingesetzt. Sie können daher davon ausgehen, dass es auchunter XP keine Probleme gibt.


93

OpenVPN 3.1

Als Zielordner sollte man den Standardordner beibehalten, da ich diesenauch in den Beispielen verwende. Vergleichen Sie hierzu Abbildung 3.4und beachten Sie bitte auch den folgenden Hinweis.

Abbildung 3.4 Als Ziel sollte der Standardordner verwendet werden.

Während der Installation wird ein Treiber für das TUN-/TAP-Device instal-liert (TAP-Win32 Adapter V9). Dieser hat keine Windows-Signatur. DieWarnmeldung müssen Sie jedoch mit Installieren bestätigen, da Open-VPN ohne diesen Treiber nicht lauffähig ist.

Hinweis

Seit Windows Vista hat Microsoft Änderungen an den Systempfaden vorgenom-men. Die Ihnen sicher gut bekannten Pfade C:\Dokumente und Einstellungenbzw. C:\Programme sind nur noch sogenannte Verbindungen zu C:\User bzw.C:\Program Files. Daher kann es zu Irritationen bei den Pfaden kommen. DerExplorer zeigt z. B. C:\Programme noch an, manche Programme zeigen jedochstattdessen den Originalpfad. Vergleichen Sie einfach in der Eingabeaufforde-rung die Ausgabe von dir /ogn C:\ und dir /ah /ogn C:\. Aus Gründen derAbwärtskompatibilität funktionieren sowohl die alten als auch die neuen Pfa-dangaben. Allerdings sollten ab Windows Vista in Skripten o.Ä. die neuen Pfadeverwendet werden. Achten Sie dabei darauf, Pfade mit »Program Files« wegendes Leerzeichens in Anführungszeichen zu setzen.


94

Software3

Abbildung 3.5 Bestätigen des Treibers

In manchen Fällen wird das Device nicht korrekt installiert. Die Installa-tion kann in einem solchen Fall mit dem Skript addtap.bat nachgeholtwerden. Es ist im Verzeichnis C:\Program Files\OpenVPN\bin\ zu finden.

Nach Abschluss der Installation befindet sich im Startmenü ein neuer Ein-trag mit dem Namen OpenVPN und in den Netzwerkeigenschaften einneuer Netzwerkadapter (der keine Verbindung hat).

Unter Windows sind die Konfigurationsdateien unter C:\Program Files\OpenVPN\ config zu finden.

Abbildung 3.6 www.tunnelblick.net


95

bridge-utils 3.2

3.1.3 Installation unter Mac OS X

Die Version für Apple-Rechner finden Sie nicht auf der OpenVPN-Home-page, sondern unter http://www.tunnelblick.net (oder unter http://code.google com/p/tunnelblick). Dort erhalten Sie die aktuelle OpenVPN-Versioninklusive einer grafischen Oberfläche zum Verwalten der Verbindungen.

Die Konfigurationsdateien können Sie unter Users/BENUTZERNAME/Library/openvpn finden.

3.2 bridge-utils

Die bridge-utils werden unter Linux benötigt, um eine Netzwerkbrücke ein-zurichten. Dies ist u.a. bei Ethernet-Tunneln notwendig. Sie sind in allen mirbekannten Distributionen enthalten. Aktuell ist zurzeit die Version 1.4.


Die Installation der bridge-utils können Sie unter Linux auf die nachfol-gend beschriebenen zwei Arten vornehmen:

Installation mit einem Paketmanager

Die Installation mit einem Paketmanager können Sie entweder in der gra-fischen Oberfläche oder wie in Tabelle 3.2 dargestellt in einer Konsole alsroot vornehmen.

Hinweis

Wenn Sie nur Peer-to-Peer-Verbindungen aufbauen wollen, benötigen Sie diebridge-utils nicht.

System Befehl

SUSE/openSUSE yast -i bridge-utils

Debian apt-get install bridge-utils

Ubuntu apt-get install bridge-utils

Gentoo emerge bridge-utils

FreeBSD pkg_add -r bridge-utils

Fedora yum install bridge-utils

Tabelle 3.2 Installation von bridge-utils auf UNIX/Linux-Systemen


96

Software3

Installation des Quellcodes

Die Quelldateien der bridge-utils können Sie unter http://sourceforge.net/projects/bridge/ downloaden.

Diese müssen dann zunächst entpackt werden:

tar -x -z -f bridge-utils-1.4.tar.gz

Die Kompilierung und Installation erfolgt schließlich (mit root-Rechten)durch ein Skript:

cd bridge-utils-1.4./install.sh

3.2.2 Installation unter Windows

Unter Windows richten Sie eine Netzwerkbrücke in den Eigenschaften derNetzwerkverbindungen ein. Sie benötigen dabei keine zusätzliche Soft-ware. Diese Brücke muss jedoch erst aktiviert werden, wenn Sie zu demBeispiel »Ethernet-Tunnel« in Abschnitt 5.7.4 kommen.

Abbildung 3.7 Verbindungen überbrücken unter Windows


97

OpenSSL 3.3

Markieren Sie hierzu die betroffenen Verbindungen, und wählen Sie imKontextmenü die Option Verbindungen überbrücken. Danach befindetsich in den Netzwerkeigenschaften eine neue Netzwerkbrücke (sieheAbbildung 3.8).

Abbildung 3.8 Die fertige Netzwerkbrücke

3.3 OpenSSL

Das freie Paket OpenSSL wird benötigt, um eigene Schlüssel und Zertifi-kate zu generieren. Die Homepage lautet http://www.openssl.org. Wiebereits erwähnt, können Sie auch auf die Installation verzichten und dieOpenVPN-Tools zum Erstellen der Zertifikate nutzen.


OpenSSL ist schon seit Jahren fester Bestandteil fast aller Linux-Distribu-tionen. Den aktuellen Sourcecode finden Sie auf der Homepage. Er wirdjedoch nur sehr selten benötigt.

System Befehl

SUSE/openSUSE yast -i openssl

Debian apt-get install openssl

Ubuntu apt-get install openssl

Gentoo emerge openssl

FreeBSD pkg_add -r openssl

Fedora yum install openssl

Tabelle 3.3 Installation von OpenSSL auf UNIX/Linux-Systemen


98

Software3

In diesem Buch werde ich die Zertifikate mit OpenSSL unter Linux gene-rieren. Anwender, die nur Windows benutzen wollen, können hierzu aufCygwin zurückgreifen.

3.3.2 Cygwin – OpenSSL unter Windows

Mit Cygwin können Sie verschiedene Linux-Programme – u.a. auchOpenSSL – mit Windows benutzen. Cygwin ist jedoch kein Emulator. DieProgramme wurden alle für Windows angepasst und kompiliert. Die aktu-elle Version finden Sie unter http://www.cygwin.com.

Die Installation erfolgt über das Internet.

Abbildung 3.9 Start der Installation von »Cygwin« (unter Windows XP)

Falls Sie die Zertifikate unter Windows erstellen möchten, stellen Siesicher, dass das Paket OpenSSL mit installiert wird. Sie finden es in der Sek-tion net (siehe Abbildung 3.10).

Nach der Installation öffnet sich beim Start von Cygwin eine Eingabeauf-forderung, ähnlich der von Windows, mit dem kleinen Unterschied, dasssie sich wie eine Linux-Konsole verhält.


99

OpenSSL 3.3

Abbildung 3.10 OpenSSL aktivieren

Abbildung 3.11 Cygwin-Fenster


100

Software3

3.4 Grafische Oberflächen

Ich werde in diesem Buch OpenVPN hauptsächlich im Kern beschreiben,und zwar in der Konfigurationsdatei. Diese müssen Sie mit einem Texte-ditor bearbeiten und im entsprechenden Verzeichnis ablegen. Es gibt aberauch grafische Oberflächen für OpenVPN. Einige dieser Tools will ichIhnen hier nun kurz vorstellen.

Allerdings muss ich gleich vorwegschicken, dass die meisten der GUIsnicht wirklich dafür geeignet sind, OpenVPN zu konfigurieren. Die Toolsdienen hauptsächlich zum Verwalten der VPN-Verbindungen. Sie kom-men also an der Bearbeitung der Konfigurationsdatei in einem Editor nichtvorbei. Aber allein das Verwalten der Verbindungen über eine grafischeOberfläche kann, gerade bei vielen verschiedenen Verbindungen, sehrhilfreich sein.

Außer den hier vorgestellten grafischen Oberflächen existieren auch nochweitere. Eine aktuelle Aufzählung finden Sie auf der OpenVPN-Home-page. Des Weiteren finden Linux-Benutzer häufig entsprechende Tools inder verwendeten grafischen Oberfläche (meist KDE oder Gnome). Ubuntubietet z. B. im Network Manager die Möglichkeit an, OpenVPN-Verbin-dungen zu verwalten.

3.4.1 OpenVPN GUI für Windows

Die (fast) offizielle grafische Oberfläche für OpenVPN nennt sich Open-VPN GUI (Graphical User Interface). Diese wird ab der Version 2.1 mitge-liefert. Sie selbst ist zurzeit in der Version 1.0.3 vorhanden.

Die Oberfläche bietet keine Konfigurationsmöglichkeiten. Der Menüein-trag Edit Config bewirkt lediglich, dass die entsprechende Konfigurati-onsdatei im Standardeditor (Notepad) geöffnet wird.

Abbildung 3.12 OpenVPN GUI


101

Grafische Oberflächen 3.4

Dafür erleichtert sie das Starten von VPN-Verbindungen. Normalerweisemüssen diese in der Eingabeaufforderung mit Übergabe der entsprechen-den Konfigurationsdatei gestartet werden. Dies kann bei mehreren Konfi-gurationen lästig werden. OpenVPN GUI zeigt hierzu auf einen Klick mitder rechten Maustaste automatisch sämtliche Verbindungen an. Diesemüssen aber im Konfigurationsverzeichnis liegen und die Dateiendung.ovpn besitzen! Neue Einstellungen müssen Sie also zunächst selbst im Edi-tor erstellen und dort abspeichern.

3.4.2 OpenVPN Control

OpenVPN Control dient wie auch OpenVPN GUI zum Verwalten der VPN-Verbindungen. Allerdings ist es eine plattformunabhängige Oberfläche,die sowohl unter Windows, Linux und Mac OS X läuft. Die GUI wurdedazu in Perl und TK entwickelt. Die aktuelle Version finden Sie unter:

http://sourceforge.net/projects/openvpn-control/

Abbildung 3.13 OpenVPN Control unter Windows

3.4.3 OpenVPN-Admin

Im Gegensatz zu den bisher beschriebenen GUIs können Sie mit OpenVPN-Admin auch Verbindungen konfigurieren. Es ist daher ein vielversprechen-des Tool. Programmiert wurde es in Mono und ist unter Linux und Win-dows lauffähig.

OpenVPN-Admin wie auch OpenVPN Control können Sie auf den Source-forge-Seiten unter http://sourceforge.net/projects/openvpn-admin/ finden.


102

Software3

Abbildung 3.14 OpenVPN-Admin unter Linux

3.4.4 Tunnelblick für Mac OS X

Die eingangs erwähnte Software »Tunnelblick« ist auch gleichzeitig diegrafische Oberfläche für Mac OS X-Benutzer.

Die aktuelle Version für Ihren Mac können Sie auf der Tunnelblick-Home-page http://www.tunnelblick.net (oder unter http://code.google.com/p/tunnelblick) finden.

3.4.5 Viscosity

Ich möchte hier auch noch einen kommerziellen Client für Mac OS Xerwähnen. Er nennt sich »Viscosity« und kostet zurzeit »nur« 9$. ImGegensatz zu Tunnelblick ist es mit diesem Client möglich, einen DNS-Ser-ver zu übergeben.

Die URL dieses Clients lautet:

http://www.viscosityvpn.com

3.5 Sonstiges

Zum Abschluss des Kapitels möchte ich Ihnen noch kurz einige Hinweisegeben, die Ihnen weiterhelfen können, wenn z.B. Pakete für die Installa-tion unter Linux fehlen.


103

Sonstiges 3.5

3.5.1 Weitere Quellen

Wenn bestimmte Pakete fehlen und Sie diese nicht im Paketmanager IhresVertrauens finden, können Sie es auch unter folgenden URLs versuchen:

� Allgemeine Seite für rpm- und Debian-Pakete:

http://rpmseek.com

� Homepage für Open-Source-Entwicklungen (fast immer Quellcode):

http://sourceforge.net

� Linux Application Finder:

http://www.linuxappfinder.com

� Großer Index für UNIX- und plattformübergreifende Software:

http://freshmeat.net

3.5.2 Virtuelle Maschinen

Wie bereits erwähnt, setze ich bei Tests häufig auch VMware oder Virtual-Box ein. Auf deren Installation werde ich hier jedoch nicht weiter einge-hen. Im Internet bzw. auf den jeweiligen Homepages existieren zahlreicheAnleitungen und Tipps zu deren Einsatz. VirtualBox ist im Gegensatz zuVMware in vielen Distributionen bereits als Paket enthalten:

� VirtualBox: http://www.virtualbox.org

� VMware Server: http://www.vmware.com


289

Index

# 1481194 � Port 11943DES � Data Encryption Standard802.11 72

A

Abschlusswiderstand 47Access Control Lists 200Access Point 71ACL 200adaptive 229addtap.bat 94Advanced Encryption Standard 110AES 110AH 27Alert 107allow-nonadmin 281Android 210A-Netz 61Anwendungsschicht 44, 59Application Data 107askpass 276Asymmetrische Verschlüsselung 113auth 172, 273Authentication Header 27Authentifikation 105Authentifizierung 108, 184auth-pam 190, 220auth-retry 273auth-user-pass 184, 272auth-user-pass-verify 184, 185, 271auto-proxy 251

B

Bandbreite 230Basic Service Set 73Benutzer 222BF-CBC 108bind 254Bitübertragungsschicht 46, 60Blowfish 110BNC 47B-Netz 62

bridge-utils 95, 179Bridging 86Bridging-Modus 30Broadcast-Adresse 63BSS 73build-ca.bat 128build-key.bat 129build-key-server.bat 129Bus-Netzwerk 46bytecount 195

C

C2G 34C2N 35CA 116, 117ca 166, 275ca.cnf 118ca.key 120Carrier Sense 52CD 52cd 156cd (OpenVPN) 264cert 166, 275Certificate Request 121Certificate Revocation List 116, 124Certification Authority 116, 117Change Cipher Spec 107chroot (OpenVPN) 264Cipher 108cipher 173, 273Cipher Spec 107Cipher Suite 108clean-all.bat 127client 146client (OpenVPN) 272client-cert-not-required 272client-config-dir 178, 270client-connect 270client-disconnect 270Client-Modus (WLAN) 73Client-Optionen 272client-to-client 183, 269Client-to-Gateway 34Client-to-Gateway-Verbindung 163


290

Index

Client-to-Network 35Client-to-Network-Verbindung 168, 191C-Netz 62Collision Detection 52Common Name 121comp-lzo 173, 229, 266config 248config_dir 226config_ext 227connect-freq 178connect-retry 251connect-retry-max 251CRL 116, 124crlnumber 120crls 119crl-verify 166, 276Cronjob 124CS 52CSMA/CD 52Cygwin 98

D

daemon 264Dämon 224Darstellungsschicht 44Data Channel Encryption 273Data Encryption Standard 110Datenverkehr 55Debug-Level 159Default-Routing 70Department of Defense 58DES � Data Encryption Standarddev 156, 254Device 85dev-node 256dev-type 255dh 165, 275DHCP 55dhcp-option 172, 233, 279dhcp-release 281dhcp-renew 281Dienst 225Diffie-Hellman 108Diffie-Hellman-Parameter 116, 120digitale Signatur 114DISABLE-NBT 280disable-occ 264DNS 66, 172, 233

DoD-Schichtenmodell 58Domain Name System 66Domainname 66Domäne 66down 236down (OpenVPN) 263down-pre 263dsniff 22duplicate-cn 221, 270Dynamic Host Configuration Protocol 55Dynamisches Routing 70

E

easy-rsa 127echo 265Encapsulated Security Payload 27ESP 27ESS 73ESSID 73Ethernet 50, 52Ethernet-Adresse 53Ethernet-Tunnel 35, 179exe 279exe_path 227exit 195Extended Service Set 73Extended Service Set IDentifier 73extensions server 220

F

fast-io 265Fehler 237Fehlermeldungen 243File Transfer Protocol 23, 56Firewall 37, 76, 81, 138Flags 70float 253forward 140Forward Lookup 69FQDN 66fragment 157, 259Frame 53FreeNX 26FreeS/WAN 26FTP 18, 23, 56Funknetzwerk 71


291

Index

G

G2G 34, 149GAN 55Gateway 86, 233Gateway-to-Gateway 34Gateway-to-Gateway-Verbindung 149genkey 111Global Area Network 55Gnome 100GNU General Public License 28GnuTLS 106GPL 28Grafische Oberflächen 100group 222group (OpenVPN) 264

H

Handshake 107Hardwareadresse 53help 38, 195, 248Hostname 66Host-to-Host-Verbindung 145HTTP 56http-proxy 251http-proxy-retry 252http-proxy-timeout 252HTTPS 29, 56, 107Hub 50, 53Hypertext Transfer Protocol 56Hypertext Transfer Protocol Secure 56

I

ICMP 58IETF 106ifconfig 77, 83, 158, 256ifconfig-noexec 256ifconfig-nowarn 257ifconfig-pool 269ifconfig-pool-persist 171, 269IGMP 58IGRP 71IKE 27IMAP 56inactive 260index.txt 120, 128inetd 265

Infrastruktur-Modus 73Initialization Sequence Completed 143,

152Interior Gateway Routing Protocol 71Internet Control Message Protocol 58Internet Engineering Task Force 106Internet Group Management Protocol 58Internet Key Exchange 27Internet Message Access Protocol 56Internet Protocol 57, 60Internet Protocol Security 26Internetprotokoll 58Internetprotokollfamilie 58Internetschicht 60IP 57, 60, 69IP-Adresse 60ipapi 278, 279ipchange 253ipconfig 77IPEnableRouter 141IP-Forward 235IP-Forwarding 140iproute 256IPSec 29iptables 140, 205IP-Tunnel 153IPv4 60IPv6 60ip-win32 278IPX 57iroute 269ISO/OSI-Schichtenmodell 42Issuer 115

K

Kategorie 7 53KDE 100keepalive 171, 261key 166, 275keysize 274kill 196Klartext 19, 22Kommentare 148Konfigurationsdatei 147Konsolenzugriff 22Kupferkabel 53


292

Index

L

LAN 54LDAP 57, 189link-mtu 259lladdr 256local 182, 249Local Area Network 54log 162, 265log_append 227log_dir 227log-append 162, 265Login 184Loopback 63lport 254

M

MAC 52MAC-Adresse 53make_ca.sh 283make_cert.sh 285make_crl.sh 287MAN 54man 38management 194, 267management-forget-disconnect 267Management-Interface 193management-query-passwords 195, 267management-signal 267Manual-Page 38mars 37master secret 115max-clients 230, 271Maximum Transmission Unit 157max-routes-per-client 271Metropolitan Area Network 54Mgt 212Mischformen 51mknod 135mode 146, 156, 170, 250mssfix 158, 260MTU-Probleme 241mtu-test 241, 259Multi-Client-Verbindung 138, 145Multiple Access 52mute 266mute-replay-warnings 274

N

N2N 35Namensauflösung 66Nameserver 69NAT 85, 207National Institute of Standards and

Technology 106NBDD 279NBS 280NBT 279net 199NetBEUI 58Netscape 106netsh 278Network Address Translation 85, 207Network Manager 100Network-to-Network 35Network-to-Network-Verbindung 175,

269Netzmaske 63Netzwerkadresse 61, 63Netzwerkanschluss 85Netzwerkbereich 61Netzwerkbrücke 86Netzwerkinterface 83, 85Netzwerkkarte 85Netzwerkklasse 61newcerts 119Newsgroups 39nice 265NIST 106nobind 254no-replay 274Normaler Benutzer 231Notepad++ 149ns-cert-type 221, 277nslookup 79NTP 279

O

Open Systems Interconnection Reference Model 42

OpenSSL 97, 106openssl.cnf 118openssl.exe 128Openswan 27


293

Index

OpenVPN 28Connection Manager 210Control 101for PocketPC 209GUI 100

OpenVPN-Admin 101Optionen 247Organization Name 121Organizational Unit Name 121OSI-Schichtenmodell 42ovpn 147

P

P12 123p12 119Paket 53Paketgröße 157PAM 189PAN 54password 198pause-exit 281PDA 209persist-key 183, 262persist-local-ip 262persist-remote-ip 262persist-tun 183, 262Personal Area Network 54Personal Firewall 76ping 78, 261ping-exit 261ping-restart 261ping-timer-rem 262PKCS#12 116, 122pkcs12 166, 276PKI 116Pluggable Authentication Modules 189plugin 192Plugins 189PocketPC 209Point-to-Point-Verbindung 145POP3 56port 157port (OpenVPN) 254Port 1194 139Portfreigabe 140Portnummern 65port-share 272Post Office Protocol 56

pre-master Secret 115Prerouting 207preshared key 109priority 227private 119Private Key 113proto 157, 174, 250Protokolle 55Proxy 200Public Key 113Public Key Infrastructure 116pull 146, 172, 272Punkt-zu-Punkt-Verbindung 145Punkt-zu-Punkt-Verbindungen 137Punycode 67push 171, 232, 268push-Optionen 232push-reset 269

Q

quit 195

R

RADIUS 189rcvbuf 260RDP 26Rechneradresse 61Rechnername 66Record Layer 107redirect-gateway 183, 204, 258Reichweite 73remap-usr1 266remote 156, 249Remote Authentication Dial-In User

Service 189Remote Desktop Protocol 26remote-random 230, 250Repeater 48, 85Repeating-Modus 73replay-persist 274resolv-retry 253Reverse Lookup 69Ring-Netzwerk 48Ringverteiler 49RIP 71Roadwarrior 33, 35Root-Domain 66


294

Index

Route 69route 171, 178route (OpenVPN) 257route-delay 258route-gateway 257route-method 279route-metric 258route-noexec 258route-nopull 258Router 85route-up 258Routing 69, 138Routing Information Protocol 71Routing-Modus 30rport 254RSA 108Runlevel 228

S

Samba 189Schichten 43Schichtenmodell 42Schlüsseltausch 108SCP 24Second-Level-Domain 67secret 111, 158, 273Secure Copy 24Secure Shell 24, 56Secure Sockets Layer 29, 106serial 120, 128server 170server (OpenVPN) 268server-bridge 183, 268Server-Login 184Server-Optionen 268Server-Zertifikate 220Session Key 115setenv 263SFTP 19, 24shaper 230, 260show-adapters 281show-ciphers 109, 277show-digests 277show-net 281show-net-up 280show-tls 277Sicherheit (WLAN) 74Sicherungsschicht 45

SIGHUP 282SIGINT 282signal 198Signale 282SIGTERM 282SIGUSR1 282SIGUSR2 282Simple Mail Transfer Protocol 56Sitzungsschicht 44Skripte 283Smartphone 209SMTP 56sndbuf 260socket-flags 260socks-proxy 252socks-proxy-retry 253sonne 36sputnik 37SPX 57SSH 24, 56SSH File Transfer Protocol 24SSL 29, 106SSL-Informationen 277Stammzertifikat 115, 120Standalone 248Standardgateway 233state 198Static Key 109statischer Schlüssel 109Statisches Routing 70status 196status-version 266Stern-Bus-Netz 51Stern-Netzwerk 49Stern-Stern-Netz 51strongSwan 27Subject 115Subnetmask 63Subnetze 60suppress-timestamps 265Switch 50, 53symmetrische Verschlüsselung 109Syntaxfehler 238syslog 163, 264Systemzeit 240Szenario 32


295

Index

T

TAP-Device 30tap-sleep 280TAP-Win32 136TCP 57, 64TCP/IP 58tcp-client 174tcpdump 22tcp-queue-limit 271tcp-server 174Telnet 22telnet 194Testverbindung 142TLS 29, 106tls-client 165, 275TLS-Mode 274tls-remote 178, 276tls-server 165, 275tmp-dir 271Token 48Token-Ring 48Top-Level-Domain 67Topologien 46topology 255Transmission Control Protocol 57, 64Transport Layer Security 29, 106Transportschicht 45, 59Triple-DES 110TUN-/TAP-Device 86TUN-Device 30tun-ipv6 255tun-mtu 157, 259tun-mtu-extra 259Tunnel 20, 138Tunnelblick 95, 102Tunnel-Optionen 249Twisted Pair 53Twofish 110txqueuelen 260

U

UDP 57, 65up 236up (OpenVPN) 262up-delay 263up-restart 263user 222

user (OpenVPN) 264User Datagram Protocol 57, 65username 197

V

vars.bat 127verb 159, 266Verbindungsarten 145verbindungsorientiert 64Vermittlungsschicht 45Verschlüsselung 29, 108Verschlüsselungsarten 105version 199, 249via-env 185via-file 185Virenscanner 75Virtual Network Computing 25Virtual Private Network 18VirtualBox 32, 103Virtuelle Maschinen 103virtuelles Netzwerk 136, 153Virtuelles Netzwerkinterface 86virtuelles privates Netzwerk 18VMware 32, 103VNC 25VPN 18VPN, Alternativen 20, 21VPN-Gateway 33VPN-Tunnel 20, 138, 153

W

WAN 54Warnmeldungen 244Weiterleitung 139WEP-Verschlüsselung 74Wide Area Network 54Widerrufliste 124Wi-Fi Protected Access 75Windows Mobile 209Windows-Firewall 142Windows-spezifische Optionen 278WINS 279Wired Equivalent Privacy 75Wireless LAN 54, 199, 210Wireless Local Area Network 71WLAN 35, 54, 71, 199, 210


296

Index

WPA-Verschlüsselung 75writepid 265

X

X.500 Distinguished Name 114X509 113

Z

Zeilenwechsel 148Zentrale 32, 35zertifikatbasiert 163Zertifikate 121Zertifikatssperrliste 116Zertifizierungsstelle 113, 116, 117Zonen 69Zonenverwalter 69Zugriffsprobleme 240Zweigstelle 32, 35


Documents

OpenVPN - s3-eu-west-1.amazonaws.com · dows- und Apple-Systeme sollten nur VP N-Clients sein. Dies ist zwar nicht zwingend notwendig, es erspart Ihnen aber häufig das »Umdenken«,