Thomas.will am 7. September 2022 um 13:03 Uhr

2022-09-07T13:03:24Z

Thomas.will: /* Authentifizierung */

2022-09-07T12:56:48Z

Authentifizierung

Thomas.will: /* Kommunikation */

2022-09-07T12:56:24Z

Kommunikation

Thomas.will: /* Kommunikation */

2022-09-07T12:53:43Z

Kommunikation

Änderungen zeigen

Thomas.will: Die Seite wurde neu angelegt: „=Authentifizierung= Pre-shared Key Zertifikate =Kommunikation= Ein VPN mit OpenVPN kann Clients mit einem Server verbinden (Road Warrior) oder auch…“

2022-09-07T12:46:56Z

Die Seite wurde neu angelegt: „=Authentifizierung= *Pre-shared Key *Zertifikate =Kommunikation= Ein VPN mit OpenVPN kann Clients mit einem Server verbinden (Road Warrior) oder auch…“

Neue Seite

=Authentifizierung=
*[[Pre-shared Key]]
*[[Zertifikate]]
=Kommunikation=

Ein VPN mit OpenVPN kann Clients mit einem Server verbinden (Road Warrior) oder auch eine Site-to-Site Verbindung zwischen zwei oder mehreren Standorten ermöglichen. Der Router muss entweder über eine feste IP-Adresse verfügen, oder mit Hilfe eines dynamischen DNS-Eintrages erreichbar sein. Standardmäßig wird ein OpenVPN über das zustandslose UDP-Protokoll mit dem Standardport 1194 konfiguriert. Es kann jedoch auch über das TCP Protokoll aktiviert werden, falls im Netzwerk UDP blockiert wird.[9] Hier bietet sich der HTTPS-Port 443 an, da er in den meisten Netzwerken geöffnet ist.

=Netzwerkmodi
*[[Bridging (TAP-Device)]]
*[[Routing (TUN-Device)]]

Routing (TUN-Device)
Der Routing-Modus stellt einen verschlüsselten Tunnel her, in dem ausschließlich IP-Pakete (Layer3) geleitet werden. Es wird jeder Gegenstelle eine virtuelle IP-Adresse eines fiktiven Subnetzes zugewiesen. Ein Zugriff auf das dahinter liegende Netzwerk ist standardmäßig nicht möglich, kann aber mittels IP-Forwarding und Einträgen in der Routingtabelle der Firewall ermöglicht werden.

Routing (TUN-Device)
Vorteile Nachteile
Weniger Traffic-Overhead
Geringere Bandbreitenbelastung, weil kein Ethernet-Layer
Gute Skalierbarkeit
Nur IP-Pakete
Keine Broadcasts
Authentifizierung
Wie bereits in der Einleitung erwähnt, kann die Authentifizierung über zwei unterschiedliche Arten erfolgen. Zum einen über einen statischen Schlüssel (Pre-shared Key) oder über Zertifikate.

Pre-shared Key
Die Authentifizierung mittels eines Pre-shared Keys (PSK) stellt ein symmetrisches Verfahren dar. Der Schlüssel wird am OpenVPN Server erstellt und an den Client verteilt. Diese Verbindung wird zwischen einem Server und einem Client aufgebaut. Die Daten werden bei der Kommunikation der Clients mit dem Server mittels des PSK ver- und entschlüsselt. Das Verfahren ist dadurch einfach anzuwenden. Es besteht jedoch der Nachteil, dass der Schlüssel nicht abhandenkommen bzw. kompromittiert werden darf. In diesem Fall muss ein neuer Schlüssel an alle Kommunikationspartner verteilt werden.[6][7]

Informationen zur Einrichtung finden Sie im Artikel OpenVPN mit Pre-shared Key.

Zertifikatsbasiert
Die zertifikatsbasierte Authentifizierung über das TLS-Protokoll stellt aktuell das sicherste Verfahren dar. Es beruht auf privaten und öffentlichen Schlüsselpaaren bzw. X.509-Zertifikate. Der OpenVPN Server und die Clients besitzen je ein eigenes öffentliches und privates Zertifikat. OpenVPN liefert mit dem Paket easy-rsa eine Skriptsammlung zur bequemen Erstellung der nötigen Zertifikate. Der Nachteil im Gegensatz zum Pre-shared Key-Verfahren liegt in der höheren Komplexität und Konfigurationsaufwand.[8]

KommunikationAuthentifizierung
Wie bereits in der Einleitung erwähnt, kann die Authentifizierung über zwei unterschiedliche Arten erfolgen. Zum einen über einen statischen Schlüssel (Pre-shared Key) oder über Zertifikate.

Pre-shared Key
Die Authentifizierung mittels eines Pre-shared Keys (PSK) stellt ein symmetrisches Verfahren dar. Der Schlüssel wird am OpenVPN Server erstellt und an den Client verteilt. Diese Verbindung wird zwischen einem Server und einem Client aufgebaut. Die Daten werden bei der Kommunikation der Clients mit dem Server mittels des PSK ver- und entschlüsselt. Das Verfahren ist dadurch einfach anzuwenden. Es besteht jedoch der Nachteil, dass der Schlüssel nicht abhandenkommen bzw. kompromittiert werden darf. In diesem Fall muss ein neuer Schlüssel an alle Kommunikationspartner verteilt werden.[6][7]

Informationen zur Einrichtung finden Sie im Artikel OpenVPN mit Pre-shared Key.

Zertifikatsbasiert
Die zertifikatsbasierte Authentifizierung über das TLS-Protokoll stellt aktuell das sicherste Verfahren dar. Es beruht auf privaten und öffentlichen Schlüsselpaaren bzw. X.509-Zertifikate. Der OpenVPN Server und die Clients besitzen je ein eigenes öffentliches und privates Zertifikat. OpenVPN liefert mit dem Paket easy-rsa eine Skriptsammlung zur bequemen Erstellung der nötigen Zertifikate. Der Nachteil im Gegensatz zum Pre-shared Key-Verfahren liegt in der höheren Komplexität und Konfigurationsaufwand.[8]

Kommunikation
Ein VPN mit OpenVPN kann Clients mit einem Server verbinden (Road Warrior) oder auch eine Site-to-Site Verbindung zwischen zwei oder mehreren Standorten ermöglichen. Der Router muss entweder über eine feste IP-Adresse verfügen, oder mit Hilfe eines dynamischen DNS-Eintrages erreichbar sein. Standardmäßig wird ein OpenVPN über das zustandslose UDP-Protokoll mit dem Standardport 1194 konfiguriert. Es kann jedoch auch über das TCP Protokoll aktiviert werden, falls im Netzwerk UDP blockiert wird.[9] Hier bietet sich der HTTPS-Port 443 an, da er in den meisten Netzwerken geöffnet ist.
Authentifizierung
Wie bereits in der Einleitung erwähnt, kann die Authentifizierung über zwei unterschiedliche Arten erfolgen. Zum einen über einen statischen Schlüssel (Pre-shared Key) oder über Zertifikate.

Pre-shared Key
Die Authentifizierung mittels eines Pre-shared Keys (PSK) stellt ein symmetrisches Verfahren dar. Der Schlüssel wird am OpenVPN Server erstellt und an den Client verteilt. Diese Verbindung wird zwischen einem Server und einem Client aufgebaut. Die Daten werden bei der Kommunikation der Clients mit dem Server mittels des PSK ver- und entschlüsselt. Das Verfahren ist dadurch einfach anzuwenden. Es besteht jedoch der Nachteil, dass der Schlüssel nicht abhandenkommen bzw. kompromittiert werden darf. In diesem Fall muss ein neuer Schlüssel an alle Kommunikationspartner verteilt werden.[6][7]

Informationen zur Einrichtung finden Sie im Artikel OpenVPN mit Pre-shared Key.

Zertifikatsbasiert
Die zertifikatsbasierte Authentifizierung über das TLS-Protokoll stellt aktuell das sicherste Verfahren dar. Es beruht auf privaten und öffentlichen Schlüsselpaaren bzw. X.509-Zertifikate. Der OpenVPN Server und die Clients besitzen je ein eigenes öffentliches und privates Zertifikat. OpenVPN liefert mit dem Paket easy-rsa eine Skriptsammlung zur bequemen Erstellung der nötigen Zertifikate. Der Nachteil im Gegensatz zum Pre-shared Key-Verfahren liegt in der höheren Komplexität und Konfigurationsaufwand.[8]

Kommunikation
Ein VPN mit OpenVPN kann Clients mit einem Server verbinden (Road Warrior) oder auch eine Site-to-Site Verbindung zwischen zwei oder mehreren Standorten ermöglichen. Der Router muss entweder über eine feste IP-Adresse verfügen, oder mit Hilfe eines dynamischen DNS-Eintrages erreichbar sein. Standardmäßig wird ein OpenVPN über das zustandslose UDP-Protokoll mit dem Standardport 1194 konfiguriert. Es kann jedoch auch über das TCP Protokoll aktiviert werden, falls im Netzwerk UDP blockiert wird.[9] Hier bietet sich der HTTPS-Port 443 an, da er in den meisten Netzwerken geöffnet ist.

Netzwerkmodi
OpenVPN bietet aktuell zwei verschiedene Netzwerkmodi an:[10][11][12]

Bridging (TAP-Device)
Routing (TUN-Device)
Der Routing-Modus (TUN-Device) wird als effizientere und modernere Methode empfohlen.

Bridging (TAP-Device)
Bei dem Bridging-Modus wird ein vollständiges Tunneln von Ethernet-Frames (Layer2) vorgenommen. Hier ist der Einsatz von alternativen Protokollen wie IPX oder auch das Senden von Wake-On-LAN Paketen möglich. Der Client wird transparent in das Einwahlnetz eingewählt und erhält eine IP-Adresse des dortigen Subnetzes. Somit werden auch Broadcasts weitergeleitet, um z.B. die Namensauflösung des SMB-Protokolls zu ermöglichen.

Bridging (TAP-Device)
Vorteile Nachteile
Verhält sich wie ein echter Netzwerkadapter
Beliebige Netzwerkprotokolle
Client transparent im Zielnetz
Broadcasts und Wake-On-LAN
Ineffizient
Hoher Broadcast-Overhead am VPN-Tunnel
Schlechte Skalierbarkeit
Routing (TUN-Device)
Der Routing-Modus stellt einen verschlüsselten Tunnel her, in dem ausschließlich IP-Pakete (Layer3) geleitet werden. Es wird jeder Gegenstelle eine virtuelle IP-Adresse eines fiktiven Subnetzes zugewiesen. Ein Zugriff auf das dahinter liegende Netzwerk ist standardmäßig nicht möglich, kann aber mittels IP-Forwarding und Einträgen in der Routingtabelle der Firewall ermöglicht werden.

Routing (TUN-Device)
Vorteile Nachteile
Weniger Traffic-Overhead
Geringere Bandbreitenbelastung, weil kein Ethernet-Layer
Gute Skalierbarkeit
Nur IP-Pakete
Keine Broadcasts

Netzwerkmodi
OpenVPN bietet aktuell zwei verschiedene Netzwerkmodi an:[10][11][12]

Bridging (TAP-Device)
Routing (TUN-Device)
Der Routing-Modus (TUN-Device) wird als effizientere und modernere Methode empfohlen.

Bridging (TAP-Device)
Bei dem Bridging-Modus wird ein vollständiges Tunneln von Ethernet-Frames (Layer2) vorgenommen. Hier ist der Einsatz von alternativen Protokollen wie IPX oder auch das Senden von Wake-On-LAN Paketen möglich. Der Client wird transparent in das Einwahlnetz eingewählt und erhält eine IP-Adresse des dortigen Subnetzes. Somit werden auch Broadcasts weitergeleitet, um z.B. die Namensauflösung des SMB-Protokolls zu ermöglichen.

Bridging (TAP-Device)
Vorteile Nachteile
Verhält sich wie ein echter Netzwerkadapter
Beliebige Netzwerkprotokolle
Client transparent im Zielnetz
Broadcasts und Wake-On-LAN
Ineffizient
Hoher Broadcast-OverheaAuthentifizierung
Wie bereits in der Einleitung erwähnt, kann die Authentifizierung über zwei unterschiedliche Arten erfolgen. Zum einen über einen statischen Schlüssel (Pre-shared Key) oder über Zertifikate.

Pre-shared Key
Die Authentifizierung mittels eines Pre-shared Keys (PSK) stellt ein symmetrisches Verfahren dar. Der Schlüssel wird am OpenVPN Server erstellt und an den Client verteilt. Diese Verbindung wird zwischen einem Server und einem Client aufgebaut. Die Daten werden bei der Kommunikation der Clients mit dem Server mittels des PSK ver- und entschlüsselt. Das Verfahren ist dadurch einfach anzuwenden. Es besteht jedoch der Nachteil, dass der Schlüssel nicht abhandenkommen bzw. kompromittiert werden darf. In diesem Fall muss ein neuer Schlüssel an alle Kommunikationspartner verteilt werden.[6][7]

Informationen zur Einrichtung finden Sie im Artikel OpenVPN mit Pre-shared Key.

Zertifikatsbasiert
Die zertifikatsbasierte Authentifizierung über das TLS-Protokoll stellt aktuell das sicherste Verfahren dar. Es beruht auf privaten und öffentlichen Schlüsselpaaren bzw. X.509-Zertifikate. Der OpenVPN Server und die Clients besitzen je ein eigenes öffentliches und privates Zertifikat. OpenVPN liefert mit dem Paket easy-rsa eine Skriptsammlung zur bequemen Erstellung der nötigen Zertifikate. Der Nachteil im Gegensatz zum Pre-shared Key-Verfahren liegt in der höheren Komplexität und Konfigurationsaufwand.[8]

Kommunikation
Ein VPN mit OpenVPN kann Clients mit einem Server verbinden (Road Warrior) oder auch eine Site-to-Site Verbindung zwischen zwei oder mehreren Standorten ermöglichen. Der Router muss entweder über eine feste IP-Adresse verfügen, oder mit Hilfe eines dynamischen DNS-Eintrages erreichbar sein. Standardmäßig wird ein OpenVPN über das zustandslose UDP-Protokoll mit dem Standardport 1194 konfiguriert. Es kann jedoch auch über das TCP Protokoll aktiviert werden, falls im Netzwerk UDP blockiert wird.[9] Hier bietet sich der HTTPS-Port 443 an, da er in den meisten Netzwerken geöffnet ist.

Netzwerkmodi
OpenVPN bietet aktuell zwei verschiedene Netzwerkmodi an:[10][11][12]

Bridging (TAP-Device)
Routing (TUN-Device)
Der Routing-Modus (TUN-Device) wird als effizientere und modernere Methode empfohlen.

Bridging (TAP-Device)
Bei dem Bridging-Modus wird ein vollständiges Tunneln von Ethernet-Frames (Layer2) vorgenommen. Hier ist der Einsatz von alternativen Protokollen wie IPX oder auch das Senden von Wake-On-LAN Paketen möglich. Der Client wird transparent in das Einwahlnetz eingewählt und erhält eine IP-Adresse des dortigen Subnetzes. Somit werden auch Broadcasts weitergeleitet, um z.B. die Namensauflösung des SMB-Protokolls zu ermöglichen.

Bridging (TAP-Device)
Vorteile Nachteile
Verhält sich wie ein echter Netzwerkadapter
Beliebige Netzwerkprotokolle
Client transparent im Zielnetz
Broadcasts und Wake-On-LAN
Ineffizient
Hoher Broadcast-Overhead am VPN-Tunnel
Schlechte Skalierbarkeit
Routing (TUN-Device)
Der Routing-Modus stellt einen verschlüsselten Tunnel her, in dem ausschließlich IP-Pakete (Layer3) geleitet werden. Es wird jeder Gegenstelle eine virtuelle IP-Adresse eines fiktiven Subnetzes zugewiesen. Ein Zugriff auf das dahinter liegende Netzwerk ist standardmäßig nicht möglich, kann aber mittels IP-Forwarding und Einträgen in der Routingtabelle der Firewall ermöglicht werden.

Routing (TUN-Device)
Vorteile Nachteile
Weniger Traffic-Overhead
Geringere Bandbreitenbelastung, weil kein Ethernet-Layer
Gute Skalierbarkeit
Nur IP-Pakete
Keine Broadcasts
d am VPN-Tunnel
Schlechte Skalierbarkeit
Routing (TUN-Device)
Der Routing-Modus stellt einen verschlüsselten Tunnel her, in dem ausschließlich IP-Pakete (Layer3) geleitet werden. Es wird jeder Gegenstelle eine virtuelle IP-Adresse eines fiktiven Subnetzes zugewiesen. Ein Zugriff auf das dahinter liegende Netzwerk ist standardmäßig nicht möglich, kann aber mittels IP-Forwarding und Einträgen in der Routingtabelle der Firewall ermöglicht werden.

Routing (TUN-Device)
Vorteile Nachteile
Weniger Traffic-Overhead
Geringere Bandbreitenbelastung, weil kein Ethernet-Layer
Gute Skalierbarkeit
Nur IP-Pakete
Keine Broadcasts

Ein VPN mit OpenVPN kann Clients mit einem Server verbinden (Road Warrior) oder auch eine Site-to-Site Verbindung zwischen zwei oder mehreren Standorten ermöglichen. Der Router muss entweder über eine feste IP-Adresse verfügen, oder mit Hilfe eines dynamischen DNS-Eintrages erreichbar sein. Standardmäßig wird ein OpenVPN über das zustandslose UDP-Protokoll mit dem Standardport 1194 konfiguriert. Es kann jedoch auch über das TCP Protokoll aktiviert werden, falls im Netzwerk UDP blockiert wird.[9] Hier bietet sich der HTTPS-Port 443 an, da er in den meisten Netzwerken geöffnet ist.

Netzwerkmodi
OpenVPN bietet aktuell zwei verschiedene Netzwerkmodi an:[10][11][12]

Bridging (TAP-Device)
Routing (TUN-Device)
Der Routing-Modus (TUN-Device) wird als effizientere und modernere Methode empfohlen.

Bridging (TAP-Device)
Bei dem Bridging-Modus wird ein vollständiges Tunneln von Ethernet-Frames (Layer2) vorgenommen. Hier ist der Einsatz von alternativen Protokollen wie IPX oder auch das Senden von Wake-On-LAN Paketen möglich. Der Client wird transparent in das Einwahlnetz eingewählt und erhält eine IP-Adresse des dortigen Subnetzes. Somit werden auch Broadcasts weitergeleitet, um z.B. die Namensauflösung des SMB-Protokolls zu ermöglichen.

Bridging (TAP-Device)
Vorteile Nachteile
Verhält sich wie ein echter Netzwerkadapter
Beliebige Netzwerkprotokolle
Client transparent im Zielnetz
Broadcasts und Wake-On-LAN
Ineffizient
Hoher Broadcast-Overhead am VPN-Tunnel
Schlechte Skalierbarkeit
Routing (TUN-Device)
Der Routing-Modus stellt einen verschlüsselten Tunnel her, in dem ausschließlich IP-Pakete (Layer3) geleitet werden. Es wird jeder Gegenstelle eine virtuelle IP-Adresse eines fiktiven Subnetzes zugewiesen. Ein Zugriff auf das dahinter liegende Netzwerk ist standardmäßig nicht möglich, kann aber mittels IP-Forwarding und Einträgen in der Routingtabelle der Firewall ermöglicht werden.

Routing (TUN-Device)
Vorteile Nachteile
Weniger Traffic-Overhead
Geringere Bandbreitenbelastung, weil kein Ethernet-Layer
Gute Skalierbarkeit
Nur IP-Pakete
Keine Broadcasts

← Nächstältere Version		Version vom 7. September 2022, 13:03 Uhr
Zeile 7:		Zeile 7:
	*[[Bridging (TAP-Device)]]		*[[Bridging (TAP-Device)]]
	*[[Routing (TUN-Device)]]		*[[Routing (TUN-Device)]]
		+	=Quellen=
		+	*https://www.thomas-krenn.com/de/wiki/OpenVPN_Grundlagen

@@ Zeile 2: / Zeile 2: @@
 *[[Pre-shared Key]]
 *[[Zertifikate]]
 *[[OpenVPN Kommunikation]]
+=Netzwerkmodi=
 *[[Bridging (TAP-Device)]]
 *[[Routing (TUN-Device)]]

Openvpn Allgemein - Versionsgeschichte

Thomas.will am 7. September 2022 um 13:03 Uhr

Thomas.will: /* Authentifizierung */

Thomas.will: /* Kommunikation */

Thomas.will: /* Kommunikation */

Thomas.will: Die Seite wurde neu angelegt: „=Authentifizierung= *Pre-shared Key *Zertifikate =Kommunikation= Ein VPN mit OpenVPN kann Clients mit einem Server verbinden (Road Warrior) oder auch…“

Thomas.will: Die Seite wurde neu angelegt: „=Authentifizierung= Pre-shared Key Zertifikate =Kommunikation= Ein VPN mit OpenVPN kann Clients mit einem Server verbinden (Road Warrior) oder auch…“