Openvpn-Client einrichten

OpenVPN ist eine Software um virtuelle private Netzwerke aufzubauen - also sichere Netzwerke über unsichere Verbindungen. Auf diese Weise können Computer über das Internet so an ein lokales Netzwerk angebunden werden, als ob diese sich selbst darin befinden würden.

Voraussetzungen:

1. Das Programm OpenVPN
2. Eine spezielle Konfigurationsdatei mit einem privaten Schlüssel (diese erhaltet ihr von eurer Organisation bzw. auf Anforderung beim datenkollekiv.net).

Das Programm OpenVPN ist quasi in allen Distributionen enthalten. Ihr installiert es einfach mit eure Paketmanager - und zwar die Pakete:

• openvpn
• network-manager-openvpn
• network-manager-openvpn-gnome

(die beiden letzten sind zur Konfiguration per Network-Manager notwendig).

Der Network-Manager ist das Standard-Programm zum Verwalten von Netzwerken und wird in den meisten aktuellen Desktop-Oberflächen wie Gnome, Cinnamon, KDE oder Unity genutzt. Zwar sieht die Oberfläche von Desktop zu Desktop etwas unterschiedlich aus, aber die Funktionalität ist die Selbe.

Am einfachsten ist es, wenn eine .ovpn Konfigurationsdatei hat, in der bereits alle Schlüssel enthalten sind.

Steht keine komplette .ovpn Konfigurationsdatei zur Verfügung, muss diese selbst aus den Schlüsseln und ein paar weiteren Angaben erstellt werden.

Näheres findet sich unter manual-ovpn-config.

Für die Konfiguration auf der Kommandozeile ist folgende Anleitung hilfreich:

• https://wiki.ubuntuusers.de/OpenVPN

Für Windows existiert ein freier OpenVPN-Client Community Version. Er lässt sich unter https://openvpn.net/index.php/download/community-downloads.html downloaden. Bitte unter diesem Link nach der neuesten Version suchen.

• https://openvpn.net/community-downloads/

Für Windows eine der beiden Versionen:

• Windows 7/8/8.1/Server 2012r2 installer (NSIS)
• Windows 10/Server 2016/Server 2019 installer (NSIS)

herunter laden und mit Administratorenrechten installieren.

Beim Installieren sollte neben der Standardeinstellung folgende Komponente gewählt werden:

• OpenSsl Utilities

Als Programmpfad wird die Standardeinstellung gelassen: C:\Programme\OpenVPN\

Und eine entsprechende Nachfrage muss akzeptiert werden:

Auch der Aufruf des Programms muss künftig mit Administratorenrechten erfolgen. Am einfachsten geht das, indem in der Verknüpfung zum OpenVPN-Client, die auf dem Desktop liegt, das entsprechende Häkchen gesetzt wird.

→ Rechte Maustaste auf „OpenVPN Gui“ auf dem Desktop → Eigenschaften → Reiter „Kompatibilität“ → Programm als Administrator ausführen aktivieren.

Wenn eine .ovpn Konfigurationsdatei zur Verfügung steht, in der bereits alle Schlüssel enthalten sind, muss diese nur importiert werden:

Anschließend die persönliche Konfigurationsdatei auf den Desktop kopieren. Die Openvpn-Gui muss zwingend mit Administratorrechten gestartet werden („Als Administrator ausführen“ wählen):

Dann befindet sich ein kleines Icon in der Taskleiste. Mit der rechten Maustaste stehen Optionen zur Verfügung:

Als erstes muss die Konfiguration importiert werden. Dazu die Option „Datei importieren“ wählen: Als Datei die auf den Desktop kopierte Konfigurationsdatei angeben.

Zum Starten des VPNs wird noch ein Passwort benötigt, das persönlich vergeben wurde. Dieses Passwort muss sicher aufbewahrt oder erinnert werden. Es darf keinesfalls zusammen mit dem Rechner verwahrt werden.

Steht keine komplette .ovpn Konfigurationsdatei zur Verfügung, muss diese selbst aus den Schlüsseln und ein paar weiteren Angaben erstellt werden.

Näheres findet sich unter unter_windows.

OpenVPN muss als Administrator laufen. Dazu mit der rechten Maustaste auf den Programmstarter klicken und „Als Administrator ausführen“ wählen. Jetzt muss das Administrator-Passwort eingegeben werden.

Um nicht jedesmal nach dem Admin-Passwort gefragt zu werden lässt sich dieses auch speichern. Dazu muss eine Verknüpfung auf dem Desktop zur Programmdatei erstellt werden (ist nach der Installation in der Regel schon vorhanden). Mit der rechten Maustaste auf das Symbol klicken und → „Eigenschaften“ wählen. Unter „Ziel:“ muss jetzt folgendes eingetragen werden:

runas /user:ComputerName\Administrator /savecred "C:\Program Files\OpenVPN\bin\openvpn-gui.exe"

(ComputerName u. Administrator-Login entsprechend ändern)

• Zum Entfernen der gespeicherten Passwörter

Nach dem Start des Programms mit Doppelklick auf die Desktop-Datei, findet sich unten in der Taskleiste ein kleines Symbol. Mit der rechten Maustaste kann, nach der Konfiguration, eine Verbindung hergestellt werden.

Ebenfalls mit Hilfe der OpenVPN GUI lässt sich das Passwort ändern. Auch dazu auf das kleine Symbol in der Taskleiste mit der rechten Maustaste klicken und „Passwort ändern“ wählen.

Für Mac-OS steht das Programm „Tunnelblick“ zur Verfügung, das auch weitgehend per hand konfiguriert werden muss.

• Der Download steht unter https://tunnelblick.net/ zur Verfügung
• Die Dokumentation findet sich unter: https://tunnelblick.net/documents.html

• Dokumentation unter: https://tunnelblick.net/cInstall.html

Die Installation funktioniert einfach per Installer. Bei der Installation wird eine Beispielkonfiguration in einem Verzeichnis auf dem Desktop angelegt.

• Dokumentation unter https://tunnelblick.net/cConfigT.html

Grundsätzlich erwartet Tunnelblick seine Konfigurationsdateien zusammen mit Schlüssel und Serverzertifikat in einem Verzeichnis - z.B. auf dem Schreibtisch. Dieses wird anschließend als Tunnelblick-Konfiguration dadurch „gekennzeichnet“, dass es einen Verzeichnisnamen bekommt, der mit .tblk endet. Z.B. „meineconfig.tblk“.

Die Konfigurationen können auch unter /Library/Application Support/Tunnelblick/… gespeichert sein.

Einmal umbenannt bekommt das Verzeichnis ein Tunnelblick-Icon - und anschließend kann durch Doppelklick diese Konfiguration installiert werden. Das Administratorpasswort ist nötig und anschließend steht die Konfiguration zur Verfügung.

Soll eine Konfiguration geändert werden, kann folgenden Schritten gefolgt werden:

• Verzeichnis meineconfig.tblk umbenennen in meineconfig - ohne die Endung
• dadurch kann wieder per Doppelklick in das Verzeichnis gewechselt werden (nur nötig, wenn die Änderungen in der grafischen Oberfläche erfolgen sollen. Auf der Kommandozeile funktioniert es ohne Umbenennung).
• Jetzt kann die Konfigurationsdatei geändert werden - oder Zertifikate können ersetzt werden etc.
• Nach Abschluss der Änderungen das Verzeichnis wiederum umbenennen - jetzt mit der Endung .tblk
• Doppelklick und Bestätigung der Frage, ob die Konfiguration ersetzt werden soll.

Um bei einem aufgebauten VPN auf Netzwerklaufwerke (Samba-/Windows-Freigaben) zugreifen zu können, muss nun der Name des internen Fileservers bzw. dessen IP-Adresse bekannt sein.

Mit dem VPN haben wir nun einen Tunnel in das interne Netz aufgebaut. Auf die Dateifreigaben kann dort prinzipiell wie gewohnt zugegriffen werden.

Allerdings ist es möglich, dass die Freigaben nicht automatisch erkannt werden. Dann muss in die Adresszeile des Dateimanager manuell die Adresse eingetragen werden.

Unter Windows klickt man hierzu auf die Adresszeile des Dateibrowsers (oben, dort, wo der aktuelle Ort angezeigt wird. Nach dem Mausklick kann dort per Hand eine Adresse eingegeben werden. Für Samba-/Windows-Freigaben ist die Notation folgende:

Bei Angabe der IP-Adresse (Achtung: Adresse ist nur ein Beispiel):

\\192.168.1.14\NAME_DES_SHARES

ggf. kann auch der Name des Shares weggelassen werden. Der Server listet dann alle bekannten Shares auf.

Oder per Name:

\\Name_des_Servers\NAME_DES_SHARES

Das funktioniert nur, wenn im VPN auch die Auflösung von Namen zu IP-Adressen des internen Netzes funktioniert.

Achung: die Zeichen \\ sind sog. Backslahs - also umgekehrte Schrägstriche, übl. mit der Alt-Gr. Taste + dem ß zu generieren.

Unter Linux funktioniert das ähnlich: In den meisten Dateimanagern von den Desktop-Umgebungen (Mate/Gnome/XFCE/KDE) kann auch die Adresszeile eines Dateibrowsers (Caja/Nautilus/Thunar/Dolphin, etc.) per Mausklick per Hand eingegeben werden. Die Adressen lauten hier:

Bei Angabe der IP-Adresse (Achtung: Adresse ist nur ein Beispiel):

smb://192.168.1.14/NAME_DES_SHARES

ggf. kann auch der Name des Shares weggelassen werden. Der Server listet dann alle bekannten Shares auf.

Oder per Name:

smb://Name_des_Servers/NAME_DES_SHARES

Das funktioniert nur, wenn im VPN auch die Auflösung von Namen zu IP-Adressen des internen Netzes funktioniert.