Tools:OpenVPN

Aus Delixs
Version vom 4. März 2008, 23:12 Uhr von Schoffer (Diskussion | Beiträge) (6 Versionen)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen
Frei Seite wird nicht gesperrt: Hier können mitarbeitswillige Autoren ihre Artikel und Ergänzungen einbringen. Wenn Sie mitarbeiten wollen, dann können Sie dafür jederzeit einen Account beantragen. Schreibrecht in dieser Dokumentation haben nur eingetragene Nutzer.

OpenVPN

Vorwort

OpenVPN - Was ist das?

OpenVPN ist ein freies und recht einfach zu konfigurierendes VPN-Programm, das auf OpenSSL aufsetzt und ermöglicht, mehrere Netze über einen gesicherten Internet Tunnel miteinander zu verbinden. Ebenso ist es möglich, dass man sich mit einem Notebook von einem beliebigen Standort aus über das Internet mit seinem Netz verbindet und so arbeiten kann, als wäre man Lokal vor Ort.

Wie funktioniert OpenVPN?

OpenVPN baut über einen einzigen UDP-Port eine Verbindung über die vorhandenen virtuellen Netzwerkkarten Tun/Tap auf. Die Tun/Tap-Schnittstelle auf jedem Server stellt jeweils das Ende des Tunnels da. Der gesamte Netzwerkverkehr wird über OpenSSL verschlüsselt übertragen.

Tun und Tap

Tun und Tap sind virtuelle Netzwerkkarten, die bereits im Arktur 4 vorhanden sind. Mit diesen ist es erst möglich, VPN-Tunnel aufzubauen. Diese beiden Schnittstellen unterscheiden sich allerdings. Während sich durch Tun "nur" Pakete af IP-Basis transportieren lassen, so ist es mit Tap möglich, über das VPN komplett OSI Schicht 2 zu transportieren. Also auch z.B. IPX.


Was braucht man alles für ein VPN?

Um 2 Netze (z.B. Schulen) miteinander zu verbinden, benötigt man:

  • 2x Arktur V4 Schulserver
  • 2x Internetanschluss (Am besten DSL. Alles was langsamer ist, ist für ein VPN ungeeignet oder man braucht viel Geduld)
  • Ein paar Linux- und Netzwerk-Kenntnisse
  • Zeit!

Alternativ kann man seine Daten auch über eine Wireless LAN Verbindung Tunneln. So lässt sich z.B. eine WEP Verschlüsselung zu sparen oder einen Public Accesspoint zum Internet bereit zu stellen über den nur per VPN ein Zugriff aufs Lokale Netz möglich ist.


Vorbereitungen

Als erstes sollte man sich darüber Gedanken machen, dass man 2 separate Subnetze braucht. Wenn man 2 Schulen miteinander verbinden will und man hat beide Arktur V4 Schulserver mit dem gleichen Netz eingerichtet (z.B. 192.168.0.0), dann hat man schon das erste Problem. Denn man kann nicht von 192.168.0.0 in Schule 1 nach 192.168.0.0 in Schule 2 routen. Entweder teilt man nun das bestehende Netz auf, indem man die Subnetzmaske verlängert, wobei sich natürlich auch die möglichen IP-Adressen aufteilen, oder man gibt einer der Schule ein anderes Netz (z.B. 192.168.1.0). Das ist die einfachste Variante. Möglich sind aber beide. Hat man 2 unterschiedliche Netze, kann es auch schon losgehen mit der Installation.

<-- Diagramm eines Netzwerkes -->


Die Installation von OpenVPN

Um OpenVPN installieren zu können, muss man es sich von der Homepage http://openvpn.net/download.html herunterladen. Neben OpenVPN benötigt man das LZO-Paket von http://www.oberhumer.com/opensource/lzo/ Diese beiden Pakete lädt man in ein Verzeichnis (z.B. /root) auf dem Arktur herunter und packt sie aus (tar -xf Paketname). Da LZO von OpenVPN benötigt wird, muss man damit anfangen.
Also wechseln wir in das Verzeichnis von LZO und geben "./configure" ein. Das configure-Programm überprüft nun selbstständig, ob die Voraussetzungen für das Paket gegeben sind und erstellt dann die nötigen Dateien, um das Paket zu kompilieren (in Maschinensprache zu übersetzen). Ist "configure" fertig, startet man das Kompilieren mit dem Befehl "make".
Nun wird das Paket kompiliert. Das kann je nach Rechenleistung und Serverlast ein paar Minuten dauern. Ist das beendet, kann das Paket mit "make install" auf dem Arktur fest installiert werden. Damit wäre der erste Schritt zum VPN getan. Als nächstes muss OpenVPN selbst kompiliert werden, das ist im Grunde das gleiche in grün. Auspacken, "./configure", "make" und "make install".


Sicherheit muss sein - erstellen von Schlüsseln

Damit nicht jeder die Daten im Internet mit schnüffeln kann, müssen diese verschlüsselt werden. Bitte beachten Sie das der Server genug CPU Leistung hat, denn bei leistungsschwachen Servern können die Daten natürlich nur sehr langsam übertragen werden. Geringere Schlüssellängen lassen die Daten zwar schneller fließen, allerdings geht das auf kosten der Sicherheit. Hier muss jeder selbst entscheiden wie sicher er sein VPN haben möchte.

Erstellen von Schlüsselpaaren für die Tunnelenden

Hier steht eine Anleitung zur Erstellung von Schlüsseln


Konfiguration & Kopplung zweier Netze

Und hier wie man den Spass konfiguriert.


zurück | Hauptseite