Aktuelle Version vom 7. September 2022, 13:03 Uhr

Authentifizierung

Kommunikation

OpenVPN Kommunikation

Netzwerkmodi

Quellen

https://www.thomas-krenn.com/de/wiki/OpenVPN_Grundlagen

@@ Zeile 3: / Zeile 3: @@
 *[[Zertifikate]]
 =Kommunikation=
+*[[OpenVPN Kommunikation]]
-Ein VPN mit OpenVPN kann Clients mit einem Server verbinden (Road Warrior) oder auch eine Site-to-Site Verbindung zwischen zwei oder mehreren Standorten ermöglichen. Der Router muss entweder über eine feste IP-Adresse verfügen, oder mit Hilfe eines dynamischen DNS-Eintrages erreichbar sein. Standardmäßig wird ein OpenVPN über das zustandslose UDP-Protokoll mit dem Standardport 1194 konfiguriert. Es kann jedoch auch über das TCP Protokoll aktiviert werden, falls im Netzwerk UDP blockiert wird.[9] Hier bietet sich der HTTPS-Port 443 an, da er in den meisten Netzwerken geöffnet ist.
+=Netzwerkmodi=
-=Netzwerkmodi
 *[[Bridging (TAP-Device)]]
 *[[Routing (TUN-Device)]]
+=Quellen=
-Routing (TUN-Device)
+*https://www.thomas-krenn.com/de/wiki/OpenVPN_Grundlagen
-Der Routing-Modus stellt einen verschlüsselten Tunnel her, in dem ausschließlich IP-Pakete (Layer3) geleitet werden. Es wird jeder Gegenstelle eine virtuelle IP-Adresse eines fiktiven Subnetzes zugewiesen. Ein Zugriff auf das dahinter liegende Netzwerk ist standardmäßig nicht möglich, kann aber mittels IP-Forwarding und Einträgen in der Routingtabelle der Firewall ermöglicht werden.
-Routing (TUN-Device)
-Vorteile	Nachteile
-Weniger Traffic-Overhead
-Geringere Bandbreitenbelastung, weil kein Ethernet-Layer
-Gute Skalierbarkeit
-Nur IP-Pakete
-Keine Broadcasts
-Authentifizierung
-Wie bereits in der Einleitung erwähnt, kann die Authentifizierung über zwei unterschiedliche Arten erfolgen. Zum einen über einen statischen Schlüssel (Pre-shared Key) oder über Zertifikate.
-Pre-shared Key
-Die Authentifizierung mittels eines Pre-shared Keys (PSK) stellt ein symmetrisches Verfahren dar. Der Schlüssel wird am OpenVPN Server erstellt und an den Client verteilt. Diese Verbindung wird zwischen einem Server und einem Client aufgebaut. Die Daten werden bei der Kommunikation der Clients mit dem Server mittels des PSK ver- und entschlüsselt. Das Verfahren ist dadurch einfach anzuwenden. Es besteht jedoch der Nachteil, dass der Schlüssel nicht abhandenkommen bzw. kompromittiert werden darf. In diesem Fall muss ein neuer Schlüssel an alle Kommunikationspartner verteilt werden.[6][7]
-Informationen zur Einrichtung finden Sie im Artikel OpenVPN mit Pre-shared Key.
-Zertifikatsbasiert
-Die zertifikatsbasierte Authentifizierung über das TLS-Protokoll stellt aktuell das sicherste Verfahren dar. Es beruht auf privaten und öffentlichen Schlüsselpaaren bzw. X.509-Zertifikate. Der OpenVPN Server und die Clients besitzen je ein eigenes öffentliches und privates Zertifikat. OpenVPN liefert mit dem Paket easy-rsa eine Skriptsammlung zur bequemen Erstellung der nötigen Zertifikate. Der Nachteil im Gegensatz zum Pre-shared Key-Verfahren liegt in der höheren Komplexität und Konfigurationsaufwand.[8]
-KommunikationAuthentifizierung
-Wie bereits in der Einleitung erwähnt, kann die Authentifizierung über zwei unterschiedliche Arten erfolgen. Zum einen über einen statischen Schlüssel (Pre-shared Key) oder über Zertifikate.
-Pre-shared Key
-Die Authentifizierung mittels eines Pre-shared Keys (PSK) stellt ein symmetrisches Verfahren dar. Der Schlüssel wird am OpenVPN Server erstellt und an den Client verteilt. Diese Verbindung wird zwischen einem Server und einem Client aufgebaut. Die Daten werden bei der Kommunikation der Clients mit dem Server mittels des PSK ver- und entschlüsselt. Das Verfahren ist dadurch einfach anzuwenden. Es besteht jedoch der Nachteil, dass der Schlüssel nicht abhandenkommen bzw. kompromittiert werden darf. In diesem Fall muss ein neuer Schlüssel an alle Kommunikationspartner verteilt werden.[6][7]
-Informationen zur Einrichtung finden Sie im Artikel OpenVPN mit Pre-shared Key.
-Zertifikatsbasiert
-Die zertifikatsbasierte Authentifizierung über das TLS-Protokoll stellt aktuell das sicherste Verfahren dar. Es beruht auf privaten und öffentlichen Schlüsselpaaren bzw. X.509-Zertifikate. Der OpenVPN Server und die Clients besitzen je ein eigenes öffentliches und privates Zertifikat. OpenVPN liefert mit dem Paket easy-rsa eine Skriptsammlung zur bequemen Erstellung der nötigen Zertifikate. Der Nachteil im Gegensatz zum Pre-shared Key-Verfahren liegt in der höheren Komplexität und Konfigurationsaufwand.[8]
-Kommunikation
-Ein VPN mit OpenVPN kann Clients mit einem Server verbinden (Road Warrior) oder auch eine Site-to-Site Verbindung zwischen zwei oder mehreren Standorten ermöglichen. Der Router muss entweder über eine feste IP-Adresse verfügen, oder mit Hilfe eines dynamischen DNS-Eintrages erreichbar sein. Standardmäßig wird ein OpenVPN über das zustandslose UDP-Protokoll mit dem Standardport 1194 konfiguriert. Es kann jedoch auch über das TCP Protokoll aktiviert werden, falls im Netzwerk UDP blockiert wird.[9] Hier bietet sich der HTTPS-Port 443 an, da er in den meisten Netzwerken geöffnet ist.
-Authentifizierung
-Wie bereits in der Einleitung erwähnt, kann die Authentifizierung über zwei unterschiedliche Arten erfolgen. Zum einen über einen statischen Schlüssel (Pre-shared Key) oder über Zertifikate.
-Pre-shared Key
-Die Authentifizierung mittels eines Pre-shared Keys (PSK) stellt ein symmetrisches Verfahren dar. Der Schlüssel wird am OpenVPN Server erstellt und an den Client verteilt. Diese Verbindung wird zwischen einem Server und einem Client aufgebaut. Die Daten werden bei der Kommunikation der Clients mit dem Server mittels des PSK ver- und entschlüsselt. Das Verfahren ist dadurch einfach anzuwenden. Es besteht jedoch der Nachteil, dass der Schlüssel nicht abhandenkommen bzw. kompromittiert werden darf. In diesem Fall muss ein neuer Schlüssel an alle Kommunikationspartner verteilt werden.[6][7]
-Informationen zur Einrichtung finden Sie im Artikel OpenVPN mit Pre-shared Key.
-Zertifikatsbasiert
-Die zertifikatsbasierte Authentifizierung über das TLS-Protokoll stellt aktuell das sicherste Verfahren dar. Es beruht auf privaten und öffentlichen Schlüsselpaaren bzw. X.509-Zertifikate. Der OpenVPN Server und die Clients besitzen je ein eigenes öffentliches und privates Zertifikat. OpenVPN liefert mit dem Paket easy-rsa eine Skriptsammlung zur bequemen Erstellung der nötigen Zertifikate. Der Nachteil im Gegensatz zum Pre-shared Key-Verfahren liegt in der höheren Komplexität und Konfigurationsaufwand.[8]
-Kommunikation
-Ein VPN mit OpenVPN kann Clients mit einem Server verbinden (Road Warrior) oder auch eine Site-to-Site Verbindung zwischen zwei oder mehreren Standorten ermöglichen. Der Router muss entweder über eine feste IP-Adresse verfügen, oder mit Hilfe eines dynamischen DNS-Eintrages erreichbar sein. Standardmäßig wird ein OpenVPN über das zustandslose UDP-Protokoll mit dem Standardport 1194 konfiguriert. Es kann jedoch auch über das TCP Protokoll aktiviert werden, falls im Netzwerk UDP blockiert wird.[9] Hier bietet sich der HTTPS-Port 443 an, da er in den meisten Netzwerken geöffnet ist.
-Netzwerkmodi
-OpenVPN bietet aktuell zwei verschiedene Netzwerkmodi an:[10][11][12]
-Bridging (TAP-Device)
-Routing (TUN-Device)
-Der Routing-Modus (TUN-Device) wird als effizientere und modernere Methode empfohlen.
-Bridging (TAP-Device)
-Bei dem Bridging-Modus wird ein vollständiges Tunneln von Ethernet-Frames (Layer2) vorgenommen. Hier ist der Einsatz von alternativen Protokollen wie IPX oder auch das Senden von Wake-On-LAN Paketen möglich. Der Client wird transparent in das Einwahlnetz eingewählt und erhält eine IP-Adresse des dortigen Subnetzes. Somit werden auch Broadcasts weitergeleitet, um z.B. die Namensauflösung des SMB-Protokolls zu ermöglichen.
-Bridging (TAP-Device)
-Vorteile	Nachteile
-Verhält sich wie ein echter Netzwerkadapter
-Beliebige Netzwerkprotokolle
-Client transparent im Zielnetz
-Broadcasts und Wake-On-LAN
-Ineffizient
-Hoher Broadcast-Overhead am VPN-Tunnel
-Schlechte Skalierbarkeit
-Routing (TUN-Device)
-Der Routing-Modus stellt einen verschlüsselten Tunnel her, in dem ausschließlich IP-Pakete (Layer3) geleitet werden. Es wird jeder Gegenstelle eine virtuelle IP-Adresse eines fiktiven Subnetzes zugewiesen. Ein Zugriff auf das dahinter liegende Netzwerk ist standardmäßig nicht möglich, kann aber mittels IP-Forwarding und Einträgen in der Routingtabelle der Firewall ermöglicht werden.
-Routing (TUN-Device)
-Vorteile	Nachteile
-Weniger Traffic-Overhead
-Geringere Bandbreitenbelastung, weil kein Ethernet-Layer
-Gute Skalierbarkeit
-Nur IP-Pakete
-Keine Broadcasts
-Netzwerkmodi
-OpenVPN bietet aktuell zwei verschiedene Netzwerkmodi an:[10][11][12]
-Bridging (TAP-Device)
-Routing (TUN-Device)
-Der Routing-Modus (TUN-Device) wird als effizientere und modernere Methode empfohlen.
-Bridging (TAP-Device)
-Bei dem Bridging-Modus wird ein vollständiges Tunneln von Ethernet-Frames (Layer2) vorgenommen. Hier ist der Einsatz von alternativen Protokollen wie IPX oder auch das Senden von Wake-On-LAN Paketen möglich. Der Client wird transparent in das Einwahlnetz eingewählt und erhält eine IP-Adresse des dortigen Subnetzes. Somit werden auch Broadcasts weitergeleitet, um z.B. die Namensauflösung des SMB-Protokolls zu ermöglichen.
-Bridging (TAP-Device)
-Vorteile	Nachteile
-Verhält sich wie ein echter Netzwerkadapter
-Beliebige Netzwerkprotokolle
-Client transparent im Zielnetz
-Broadcasts und Wake-On-LAN
-Ineffizient
-Hoher Broadcast-OverheaAuthentifizierung
-Wie bereits in der Einleitung erwähnt, kann die Authentifizierung über zwei unterschiedliche Arten erfolgen. Zum einen über einen statischen Schlüssel (Pre-shared Key) oder über Zertifikate.
-Pre-shared Key
-Die Authentifizierung mittels eines Pre-shared Keys (PSK) stellt ein symmetrisches Verfahren dar. Der Schlüssel wird am OpenVPN Server erstellt und an den Client verteilt. Diese Verbindung wird zwischen einem Server und einem Client aufgebaut. Die Daten werden bei der Kommunikation der Clients mit dem Server mittels des PSK ver- und entschlüsselt. Das Verfahren ist dadurch einfach anzuwenden. Es besteht jedoch der Nachteil, dass der Schlüssel nicht abhandenkommen bzw. kompromittiert werden darf. In diesem Fall muss ein neuer Schlüssel an alle Kommunikationspartner verteilt werden.[6][7]
-Informationen zur Einrichtung finden Sie im Artikel OpenVPN mit Pre-shared Key.
-Zertifikatsbasiert
-Die zertifikatsbasierte Authentifizierung über das TLS-Protokoll stellt aktuell das sicherste Verfahren dar. Es beruht auf privaten und öffentlichen Schlüsselpaaren bzw. X.509-Zertifikate. Der OpenVPN Server und die Clients besitzen je ein eigenes öffentliches und privates Zertifikat. OpenVPN liefert mit dem Paket easy-rsa eine Skriptsammlung zur bequemen Erstellung der nötigen Zertifikate. Der Nachteil im Gegensatz zum Pre-shared Key-Verfahren liegt in der höheren Komplexität und Konfigurationsaufwand.[8]
-Kommunikation
-Ein VPN mit OpenVPN kann Clients mit einem Server verbinden (Road Warrior) oder auch eine Site-to-Site Verbindung zwischen zwei oder mehreren Standorten ermöglichen. Der Router muss entweder über eine feste IP-Adresse verfügen, oder mit Hilfe eines dynamischen DNS-Eintrages erreichbar sein. Standardmäßig wird ein OpenVPN über das zustandslose UDP-Protokoll mit dem Standardport 1194 konfiguriert. Es kann jedoch auch über das TCP Protokoll aktiviert werden, falls im Netzwerk UDP blockiert wird.[9] Hier bietet sich der HTTPS-Port 443 an, da er in den meisten Netzwerken geöffnet ist.
-Netzwerkmodi
-OpenVPN bietet aktuell zwei verschiedene Netzwerkmodi an:[10][11][12]
-Bridging (TAP-Device)
-Routing (TUN-Device)
-Der Routing-Modus (TUN-Device) wird als effizientere und modernere Methode empfohlen.
-Bridging (TAP-Device)
-Bei dem Bridging-Modus wird ein vollständiges Tunneln von Ethernet-Frames (Layer2) vorgenommen. Hier ist der Einsatz von alternativen Protokollen wie IPX oder auch das Senden von Wake-On-LAN Paketen möglich. Der Client wird transparent in das Einwahlnetz eingewählt und erhält eine IP-Adresse des dortigen Subnetzes. Somit werden auch Broadcasts weitergeleitet, um z.B. die Namensauflösung des SMB-Protokolls zu ermöglichen.
-Bridging (TAP-Device)
-Vorteile	Nachteile
-Verhält sich wie ein echter Netzwerkadapter
-Beliebige Netzwerkprotokolle
-Client transparent im Zielnetz
-Broadcasts und Wake-On-LAN
-Ineffizient
-Hoher Broadcast-Overhead am VPN-Tunnel
-Schlechte Skalierbarkeit
-Routing (TUN-Device)
-Der Routing-Modus stellt einen verschlüsselten Tunnel her, in dem ausschließlich IP-Pakete (Layer3) geleitet werden. Es wird jeder Gegenstelle eine virtuelle IP-Adresse eines fiktiven Subnetzes zugewiesen. Ein Zugriff auf das dahinter liegende Netzwerk ist standardmäßig nicht möglich, kann aber mittels IP-Forwarding und Einträgen in der Routingtabelle der Firewall ermöglicht werden.
-Routing (TUN-Device)
-Vorteile	Nachteile
-Weniger Traffic-Overhead
-Geringere Bandbreitenbelastung, weil kein Ethernet-Layer
-Gute Skalierbarkeit
-Nur IP-Pakete
-Keine Broadcasts
-d am VPN-Tunnel
-Schlechte Skalierbarkeit
-Routing (TUN-Device)
-Der Routing-Modus stellt einen verschlüsselten Tunnel her, in dem ausschließlich IP-Pakete (Layer3) geleitet werden. Es wird jeder Gegenstelle eine virtuelle IP-Adresse eines fiktiven Subnetzes zugewiesen. Ein Zugriff auf das dahinter liegende Netzwerk ist standardmäßig nicht möglich, kann aber mittels IP-Forwarding und Einträgen in der Routingtabelle der Firewall ermöglicht werden.
-Routing (TUN-Device)
-Vorteile	Nachteile
-Weniger Traffic-Overhead
-Geringere Bandbreitenbelastung, weil kein Ethernet-Layer
-Gute Skalierbarkeit
-Nur IP-Pakete
-Keine Broadcasts
-Ein VPN mit OpenVPN kann Clients mit einem Server verbinden (Road Warrior) oder auch eine Site-to-Site Verbindung zwischen zwei oder mehreren Standorten ermöglichen. Der Router muss entweder über eine feste IP-Adresse verfügen, oder mit Hilfe eines dynamischen DNS-Eintrages erreichbar sein. Standardmäßig wird ein OpenVPN über das zustandslose UDP-Protokoll mit dem Standardport 1194 konfiguriert. Es kann jedoch auch über das TCP Protokoll aktiviert werden, falls im Netzwerk UDP blockiert wird.[9] Hier bietet sich der HTTPS-Port 443 an, da er in den meisten Netzwerken geöffnet ist.
-Netzwerkmodi
-OpenVPN bietet aktuell zwei verschiedene Netzwerkmodi an:[10][11][12]
-Bridging (TAP-Device)
-Routing (TUN-Device)
-Der Routing-Modus (TUN-Device) wird als effizientere und modernere Methode empfohlen.
-Bridging (TAP-Device)
-Bei dem Bridging-Modus wird ein vollständiges Tunneln von Ethernet-Frames (Layer2) vorgenommen. Hier ist der Einsatz von alternativen Protokollen wie IPX oder auch das Senden von Wake-On-LAN Paketen möglich. Der Client wird transparent in das Einwahlnetz eingewählt und erhält eine IP-Adresse des dortigen Subnetzes. Somit werden auch Broadcasts weitergeleitet, um z.B. die Namensauflösung des SMB-Protokolls zu ermöglichen.
-Bridging (TAP-Device)
-Vorteile	Nachteile
-Verhält sich wie ein echter Netzwerkadapter
-Beliebige Netzwerkprotokolle
-Client transparent im Zielnetz
-Broadcasts und Wake-On-LAN
-Ineffizient
-Hoher Broadcast-Overhead am VPN-Tunnel
-Schlechte Skalierbarkeit
-Routing (TUN-Device)
-Der Routing-Modus stellt einen verschlüsselten Tunnel her, in dem ausschließlich IP-Pakete (Layer3) geleitet werden. Es wird jeder Gegenstelle eine virtuelle IP-Adresse eines fiktiven Subnetzes zugewiesen. Ein Zugriff auf das dahinter liegende Netzwerk ist standardmäßig nicht möglich, kann aber mittels IP-Forwarding und Einträgen in der Routingtabelle der Firewall ermöglicht werden.
-Routing (TUN-Device)
-Vorteile	Nachteile
-Weniger Traffic-Overhead
-Geringere Bandbreitenbelastung, weil kein Ethernet-Layer
-Gute Skalierbarkeit
-Nur IP-Pakete
-Keine Broadcasts

Openvpn Allgemein: Unterschied zwischen den Versionen

Aktuelle Version vom 7. September 2022, 13:03 Uhr

Inhaltsverzeichnis

Authentifizierung

Kommunikation

Netzwerkmodi

Quellen

Navigationsmenü

Suche