VPN Client Konfiguration und Anleitung am Beispiel der OpenSource Software OpenVPN

VPN steht für die Abkürzung Virtual Private Network (deutsch für virtuelles privates Netz). Es dient als Schnittstelle und Bindung zwischen verschiedenen Netzwerken. Die Bezeichnung ''Privat'' bezieht sich auf den verwendeten, privaten Adressbereich. Der VPN Client stellt mit einer VPN Client Software die Verbindung von VPN Client und VPN Server über einen Tunnel (Tunneling) her. Die Tunnel Verbindung erfolgt sinnvollerweise über eine verschlüsselte, abhörsichere Verbindung. Das VPN wird als logisches Netzwerk bezeichnet und tunnelt Datenpakete über das Transportnetz. Es ist ein physisches Netzwerk (z.B. Internet oder WLAN) zum Transport von Daten. In Unternehmen werden VPNs erfolgreich für den Remote Access per Internet und Site to Site Verbindung dank ihrer SSL-Verschlüsselung eingesetzt.

Anonym surfen mit OpenVPN

Für das Tutorial verwenden wir OpenVPN als eine VPN-Lösung, die eine sichere, verschlüsselte SSL / TLS Verbindung für alle Linux-, Mac OS X- und Windows-PCs bereit hält. Die OpenSource Software OpenVPN greift auf das sicher eingestufte OpenSSL zur Verschlüsselung und Authentisierung zurück. Als Transportprotokoll verwendet OpenVPN zum anonymen Surfen in der Regel UDP (User Datagram Protocol). Der OpenVPN-Server kann zwar auch mit TCP verwendet werden, doch ist der Protokoll-Overhead bei maximalen Datendurchsatz bei UDP günstiger.

OpenVPN unterstützt Tunneling und Ethernet Bridging von IP Paketen.

Im Bridging-Modus wird ein Tunneling von Layer 2 Ethernet-Frames möglich und z.B. die Protokolle NetBUI, DHCP und Broadcasts über das VPN transportierbar. Wir beschäftigen uns an dieser Stelle allerdings mit dem Tunneling im Routing-Modus. Es ist die einfachste Form der SSL verschlüsselten Tunnel Kommunikation zwischen zwei Gegenstellen, bei der ausschließlich IP-Pakete durch den VPN Tunnel geleitet werden (Layer 3). Verbindet sich der VPN-Client mit dem Server, wird jeder Gegenstelle eine virtuelle IP-Adresse (z.B. 10.110.0.1, 10.110.0.2,...) eines rein fiktiven Subnetzes zugewiesen. Im Routing-Modus ist der Zugriff auf das dahinter liegende Netzwerk nur durch IP-Forwarding und Einträgen in der Routingtabelle möglich.

Authentifizierung einer OpenVPN Client / Server-SSL-Verbindung

OpenVPN stellt zur Authentifizierung die Methoden Pre-shared Key, zertifikatsbasiert, Austausch individueller Benutzernamen und Passwörter bereit. Die zertifikatsbasierte VPN Authentifizierung gilt als sicherste Anmeldeform.

Bei der Pre-shared Key Methode werden die Daten mit dem statischen Schlüssel ver- und entschlüsselt. Das Verfahren ist zwar einfach anzuwenden, doch muss bei Verlust oder Kompromittierung des Schlüssels bei allen VPN-Clients der Schlüssel durch einen neuen Pre-shared Key ersetzt werden.

Die zertifikatbasierten Authentifizierung verwendet Schlüsselpaare / X.509 Zertifikate mit Hilfe des TLS-Protokolls. Zur Erstellung der Zertifikate werden die Bibliotheken des Programms OpenSSL benutzt. Die OpenVPN-Software enthält vereinfachte Skripte (z.B. easy-rsa), die die Zertifikatserstellung einfach und ohne große ermöglichen. Wichtig ist bei der zertifikatbasierten Authentifizierung, dass der VPN-Server und der VPN-Client jeweils ein eigenes VPN Zertifikat besitzen, wobei der VPN Server nur ihm bekannte Zertifikate zulässt, die von einer dem VPN Server bekannten Zertifizierungsstelle signiert wurden. Nach Austausch von Daten, Überprüfung der jeweiligen Zertifikate und beidseitiger Authentifizierung erstellt der VPN-Client das sogenannte pre-master secret, verschlüsselt es mit den öffentlichen Schlüssel des VPN Servers, der wiederum die Daten mit seinen privaten Schlüssel entschlüsselt und sein master-secret erstellt. Es ist für die Sitzungsschlüssel für die einmalige Daten Ver- und Entschlüsselung zuständig. Ab sofort werden alle Daten mit dem Sitzungsschlüssel verschlüsselt. Wir surfen per VPN Tunneling anonym!

Währenddessen bezieht der VPN Client seine private Adresse vom Server mit all seinen nötigen Einstellungen (DNS, WINS etc.), um z.B. im Internet anonym zu surfen. Ohne die richtigen DNS-Einstellungen ist Websurfen möglich, da der Internet Browser die eingegebene Adresse nicht auflösen kann. Als Tunnelendpunkte verwendet eine richtig konfigurierte OpenVPN Installation virtuelle Interfaces (TUN oder TAP). Sofern die Routingtabelle des VPN-Clients sich richtig angepasst hat, laufen nun alle Pakete durch den Tunnel. Beim VPN Server wird die Kommunikation über das virtuelles TUN oder Tap Interface abgehandelt. Die getunnelten IP Pakete werden mit NAT (Network Address Translation) auf Adressen im lokalen Netz umgeschrieben.

VPN Client Installation, Einsatz und Verbindung mit einem VPN Server Anbieter