Kostenlose VPN-Lösung
Workshop - Sichere Einwahlverbindungen mit OpenVPN auf einem Windows-Server
Die Datei server.ovpn
Diese Datei enthält die Konfiguration des Serverdienstes. Die Entwickler raten, die Beispieldatei der server.ovpn zu nehmen und zu modifizieren. In unserem Beispiel finden Sie diese im Installationsverzeichnis von OpenVPN unter sample-config. Theoretisch können Sie die Datei dort lassen, wo sie ist. Wir haben sie allerdings in das config-Verzeichniskopiert, weil OpenVPN diese dann automatisch benutzt.
Das Benutzen der Beispieldatei erzeugt eine TUN-Netzwerkschnittstelle und horcht auf dem offiziellen OpenVPN-Port 1194 (UDP). Ebenso stellt es virtuelle Adressen für sich verbindende Client aus dem 10.8.0.0/24-Subnetz zur Verfügung. Bevor Sie den Server starten, müssen Sie ihm allerdings mitteilen, wo sich die Schlüsseldateien befinden und mit welcher Verschlüsselungsrate Sie den Diffie-Hellman-Parameter erzeugt haben. In unserem Fall kopieren wir daher die Schlüssel ca.crt, server.crt, server.key und dh1024.pem ebenfalls in das config-Verzeichnis. Diese befinden sich in unserem Beispiel unter c:\Program Files\OpenVPN\easy-rsa\keys. Sollten Sie die Zertifikate an anderer Stelle aufheben wollen oder haben Sie diese anders benannt, müssen Sie das natürlich ändern. Hierfür sind die Parameter ca, cert und key zuständig.
Soll der Server dem Client Zugriff auf weitere Subnetze nach einer Einwahl zur Verfügung stellen, erledigt dies der push-Parameter. In unserem Fall sorgt die Zeile push “route 192.168.150.0 255.255.255.0“dafür. Ebensomöchten wir, dass sämtlicher Datenverkehr durch das VPN-Netzwerk abgehandelt wird. Somit müssen wir die Zeile push “redirect-gateway def1 bypass-dhcp“ auskommentieren, indem der Strichpunkt vor dieser Zeile gelöscht wird.
Wichtig: Sollten Sie den gesamten Datenverkehr durch das VPN leiten wollen, müssen Sie höchstwahrscheinlich einige Einstellungen im Netzwerk vornehmen. In unserem Beispiel benötigten wir eine feste Route im Router: 10.8.0.0/24 -> 192.168.150.70 (Einwahlserver). Des Weiteren muss IP-Forwarding auf dem Windows-Rechner funktionieren. Dazu müssen Sie in der Registry folgenden Schlüssel editieren: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. Wenn Sie den Wert IPEnableRouter auf 1 setzen und das System neu starten, ist das erledigt.
Bei einigen aktivierten Parametern ist es wichtig, dass diese auch in der Konfigurationsdatei des Clients vorhanden sind. Dies betrifft zum Beispiel die Kompression comp-lzo oder cipher. Unsere Beispieldatei weist in solchen Fällen darauf hin. Somit ist anzuraten, die guten und verständlichen Kommentare vor der Aktivierung eines Parameters zu lesen.