Kostenlose VPN-Lösung

Workshop - Sichere Einwahlverbindungen mit OpenVPN auf einem Windows-Server

Die Datei server.ovpn

Diese Datei enthält die Konfiguration des Serverdienstes. Die Entwickler raten, die Beispieldatei der server.ovpn zu nehmen und zu modifizieren. In unserem Beispiel finden Sie diese im Installationsverzeichnis von OpenVPN unter sample-config. Theoretisch können Sie die Datei dort lassen, wo sie ist. Wir haben sie allerdings in das config-Verzeichniskopiert, weil OpenVPN diese dann automatisch benutzt.

Serverkonfiguration: Die Beispieldatei ist ein guter Ausgangspunkt und ausgezeichnet dokumentiert.
Serverkonfiguration: Die Beispieldatei ist ein guter Ausgangspunkt und ausgezeichnet dokumentiert.

Das Benutzen der Beispieldatei erzeugt eine TUN-Netzwerkschnittstelle und horcht auf dem offiziellen OpenVPN-Port 1194 (UDP). Ebenso stellt es virtuelle Adressen für sich verbindende Client aus dem 10.8.0.0/24-Subnetz zur Verfügung. Bevor Sie den Server starten, müssen Sie ihm allerdings mitteilen, wo sich die Schlüsseldateien befinden und mit welcher Verschlüsselungsrate Sie den Diffie-Hellman-Parameter erzeugt haben. In unserem Fall kopieren wir daher die Schlüssel ca.crt, server.crt, server.key und dh1024.pem ebenfalls in das config-Verzeichnis. Diese befinden sich in unserem Beispiel unter c:\Program Files\OpenVPN\easy-rsa\keys. Sollten Sie die Zertifikate an anderer Stelle aufheben wollen oder haben Sie diese anders benannt, müssen Sie das natürlich ändern. Hierfür sind die Parameter ca, cert und key zuständig.

Alles durch VPN: Mit dieser Einstellung fordern wir den Client auf, den gesamten Datenverkehr durch das Virtual Private Network abzuhandeln.
Alles durch VPN: Mit dieser Einstellung fordern wir den Client auf, den gesamten Datenverkehr durch das Virtual Private Network abzuhandeln.

Soll der Server dem Client Zugriff auf weitere Subnetze nach einer Einwahl zur Verfügung stellen, erledigt dies der push-Parameter. In unserem Fall sorgt die Zeile push “route 192.168.150.0 255.255.255.0“dafür. Ebensomöchten wir, dass sämtlicher Datenverkehr durch das VPN-Netzwerk abgehandelt wird. Somit müssen wir die Zeile push “redirect-gateway def1 bypass-dhcp“ auskommentieren, indem der Strichpunkt vor dieser Zeile gelöscht wird.

Wichtig: Sollten Sie den gesamten Datenverkehr durch das VPN leiten wollen, müssen Sie höchstwahrscheinlich einige Einstellungen im Netzwerk vornehmen. In unserem Beispiel benötigten wir eine feste Route im Router: 10.8.0.0/24 -> 192.168.150.70 (Einwahlserver). Des Weiteren muss IP-Forwarding auf dem Windows-Rechner funktionieren. Dazu müssen Sie in der Registry folgenden Schlüssel editieren: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. Wenn Sie den Wert IPEnableRouter auf 1 setzen und das System neu starten, ist das erledigt.

Netzwerkeinstellungen: Soll jeglicher Datenverkehr durch das VPN gehen, sind Einstellungen am Netzwerk notwendig.
Netzwerkeinstellungen: Soll jeglicher Datenverkehr durch das VPN gehen, sind Einstellungen am Netzwerk notwendig.

Bei einigen aktivierten Parametern ist es wichtig, dass diese auch in der Konfigurationsdatei des Clients vorhanden sind. Dies betrifft zum Beispiel die Kompression comp-lzo oder cipher. Unsere Beispieldatei weist in solchen Fällen darauf hin. Somit ist anzuraten, die guten und verständlichen Kommentare vor der Aktivierung eines Parameters zu lesen.