openVPN - Virtual Private Network
Die Konfiguration des Dienstes openVPN unter Linux ist nicht so kompliziert wie einige vermuten. Im Internet findet man viele Konfigurationsbeispiele die auch sehr oft funktionieren. Wenn es dennoch nicht funktioniert, dann meistens nur aus diesem Grund, dass die Routing nicht gesetzt ist, falsch gesetzt ist oder auf falschem Gerät gesetzt ist. Auf diesen Seiten findet man drei Szenarien. Abhängig von der Struktur der Netzes und der Anforderungen findet man möglicherweise hier eine Lösung.
Hier werden drei Lösungen vorgestellt.
- openVPN-Server und mehrere Clients
- Zwei Subnetze werden miteinander Verbunden
- Zwei Standorte werden miteinander Verbunden und alle sind im einem Netz.
Wie die Konfigurationen im einzelnen aussieht, kommen wir später dazu. Zuerst müssen wir die Standard Aufgaben ausführen, die Erstellung von Zertifikaten.
Als Betriebssystem für den Server nehmen wir openSuSE 13.2, hier werden auch die Zertifikate erstellt.
Für den Client nehmen wir Windows 7
openVPNzl: # zypper up
openVPNzl: # mkdir /install
openVPNzl: # cd /install
openVPNzl: # wget -O easy-rsa-2.x.tar.gz https://github.com/OpenVPN/easy-rsa/archive/release/2.x.tar.gz
openVPNzl: # tar xvf easy-rsa-2.x.tar.gz
openVPNzl: # cp -r easy-rsa-release-2.x/easy-rsa /etc/openvpn/
openVPNzl: # cd /etc/openvpn/easy-rsa/2.0/
Hier ein Beispiel
export KEY_COUNTRY="DE"
export KEY_PROVINCE="Bayern"
export KEY_CITY="Stein (Mittelfranken)"
export KEY_ORG="Mechanical"
export KEY_EMAIL="info@test.com"
export KEY_OU="IT"
openVPNzl: # source ./vars
NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/easy-rsa/2.0/keys
openVPNzl: # ./clean-all
openVPNzl: # ./build-ca
kommt. Bei Common Name bitte den Servername eintragen. Bei Passwort kein Passwort eintragen und weiter mit Enter-Taste. Letztendlich mit "Yes" abschließen.
openVPNzl: # ./build-key-server server
openVPNzl: # ./build-dh
openVPNzl: # ./build-key client1
openVPNzl: # echo 1 > /proc/sys/net/ipv4/ip_forward
Dazu muss man folgenden Schlüssel in der Windows Registry bearbeiten:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
Hier finden Sie den Eintrag "IPEnableRouter" als Datentyp REG_DWORD. Setzen Sie den Wert auf 1.
PC muss man neu starten.
Bei einfachen Router z.B. Fritzbox könnte es heißen Freigabe bzw. Portfreigabe.