Authentifizierung

Kommunikation

Ein VPN mit OpenVPN kann Clients mit einem Server verbinden (Road Warrior) oder auch eine Site-to-Site Verbindung zwischen zwei oder mehreren Standorten ermöglichen. Der Router muss entweder über eine feste IP-Adresse verfügen, oder mit Hilfe eines dynamischen DNS-Eintrages erreichbar sein. Standardmäßig wird ein OpenVPN über das zustandslose UDP-Protokoll mit dem Standardport 1194 konfiguriert. Es kann jedoch auch über das TCP Protokoll aktiviert werden, falls im Netzwerk UDP blockiert wird.[9] Hier bietet sich der HTTPS-Port 443 an, da er in den meisten Netzwerken geöffnet ist.

=Netzwerkmodi

Routing (TUN-Device) Der Routing-Modus stellt einen verschlüsselten Tunnel her, in dem ausschließlich IP-Pakete (Layer3) geleitet werden. Es wird jeder Gegenstelle eine virtuelle IP-Adresse eines fiktiven Subnetzes zugewiesen. Ein Zugriff auf das dahinter liegende Netzwerk ist standardmäßig nicht möglich, kann aber mittels IP-Forwarding und Einträgen in der Routingtabelle der Firewall ermöglicht werden.

Routing (TUN-Device) Vorteile Nachteile Weniger Traffic-Overhead Geringere Bandbreitenbelastung, weil kein Ethernet-Layer Gute Skalierbarkeit Nur IP-Pakete Keine Broadcasts Authentifizierung Wie bereits in der Einleitung erwähnt, kann die Authentifizierung über zwei unterschiedliche Arten erfolgen. Zum einen über einen statischen Schlüssel (Pre-shared Key) oder über Zertifikate.

Pre-shared Key Die Authentifizierung mittels eines Pre-shared Keys (PSK) stellt ein symmetrisches Verfahren dar. Der Schlüssel wird am OpenVPN Server erstellt und an den Client verteilt. Diese Verbindung wird zwischen einem Server und einem Client aufgebaut. Die Daten werden bei der Kommunikation der Clients mit dem Server mittels des PSK ver- und entschlüsselt. Das Verfahren ist dadurch einfach anzuwenden. Es besteht jedoch der Nachteil, dass der Schlüssel nicht abhandenkommen bzw. kompromittiert werden darf. In diesem Fall muss ein neuer Schlüssel an alle Kommunikationspartner verteilt werden.[6][7]

Informationen zur Einrichtung finden Sie im Artikel OpenVPN mit Pre-shared Key.

Zertifikatsbasiert Die zertifikatsbasierte Authentifizierung über das TLS-Protokoll stellt aktuell das sicherste Verfahren dar. Es beruht auf privaten und öffentlichen Schlüsselpaaren bzw. X.509-Zertifikate. Der OpenVPN Server und die Clients besitzen je ein eigenes öffentliches und privates Zertifikat. OpenVPN liefert mit dem Paket easy-rsa eine Skriptsammlung zur bequemen Erstellung der nötigen Zertifikate. Der Nachteil im Gegensatz zum Pre-shared Key-Verfahren liegt in der höheren Komplexität und Konfigurationsaufwand.[8]

KommunikationAuthentifizierung Wie bereits in der Einleitung erwähnt, kann die Authentifizierung über zwei unterschiedliche Arten erfolgen. Zum einen über einen statischen Schlüssel (Pre-shared Key) oder über Zertifikate.

Pre-shared Key Die Authentifizierung mittels eines Pre-shared Keys (PSK) stellt ein symmetrisches Verfahren dar. Der Schlüssel wird am OpenVPN Server erstellt und an den Client verteilt. Diese Verbindung wird zwischen einem Server und einem Client aufgebaut. Die Daten werden bei der Kommunikation der Clients mit dem Server mittels des PSK ver- und entschlüsselt. Das Verfahren ist dadurch einfach anzuwenden. Es besteht jedoch der Nachteil, dass der Schlüssel nicht abhandenkommen bzw. kompromittiert werden darf. In diesem Fall muss ein neuer Schlüssel an alle Kommunikationspartner verteilt werden.[6][7]

Informationen zur Einrichtung finden Sie im Artikel OpenVPN mit Pre-shared Key.

Zertifikatsbasiert Die zertifikatsbasierte Authentifizierung über das TLS-Protokoll stellt aktuell das sicherste Verfahren dar. Es beruht auf privaten und öffentlichen Schlüsselpaaren bzw. X.509-Zertifikate. Der OpenVPN Server und die Clients besitzen je ein eigenes öffentliches und privates Zertifikat. OpenVPN liefert mit dem Paket easy-rsa eine Skriptsammlung zur bequemen Erstellung der nötigen Zertifikate. Der Nachteil im Gegensatz zum Pre-shared Key-Verfahren liegt in der höheren Komplexität und Konfigurationsaufwand.[8]

Kommunikation Ein VPN mit OpenVPN kann Clients mit einem Server verbinden (Road Warrior) oder auch eine Site-to-Site Verbindung zwischen zwei oder mehreren Standorten ermöglichen. Der Router muss entweder über eine feste IP-Adresse verfügen, oder mit Hilfe eines dynamischen DNS-Eintrages erreichbar sein. Standardmäßig wird ein OpenVPN über das zustandslose UDP-Protokoll mit dem Standardport 1194 konfiguriert. Es kann jedoch auch über das TCP Protokoll aktiviert werden, falls im Netzwerk UDP blockiert wird.[9] Hier bietet sich der HTTPS-Port 443 an, da er in den meisten Netzwerken geöffnet ist. Authentifizierung Wie bereits in der Einleitung erwähnt, kann die Authentifizierung über zwei unterschiedliche Arten erfolgen. Zum einen über einen statischen Schlüssel (Pre-shared Key) oder über Zertifikate.

Pre-shared Key Die Authentifizierung mittels eines Pre-shared Keys (PSK) stellt ein symmetrisches Verfahren dar. Der Schlüssel wird am OpenVPN Server erstellt und an den Client verteilt. Diese Verbindung wird zwischen einem Server und einem Client aufgebaut. Die Daten werden bei der Kommunikation der Clients mit dem Server mittels des PSK ver- und entschlüsselt. Das Verfahren ist dadurch einfach anzuwenden. Es besteht jedoch der Nachteil, dass der Schlüssel nicht abhandenkommen bzw. kompromittiert werden darf. In diesem Fall muss ein neuer Schlüssel an alle Kommunikationspartner verteilt werden.[6][7]

Informationen zur Einrichtung finden Sie im Artikel OpenVPN mit Pre-shared Key.

Zertifikatsbasiert Die zertifikatsbasierte Authentifizierung über das TLS-Protokoll stellt aktuell das sicherste Verfahren dar. Es beruht auf privaten und öffentlichen Schlüsselpaaren bzw. X.509-Zertifikate. Der OpenVPN Server und die Clients besitzen je ein eigenes öffentliches und privates Zertifikat. OpenVPN liefert mit dem Paket easy-rsa eine Skriptsammlung zur bequemen Erstellung der nötigen Zertifikate. Der Nachteil im Gegensatz zum Pre-shared Key-Verfahren liegt in der höheren Komplexität und Konfigurationsaufwand.[8]

Kommunikation Ein VPN mit OpenVPN kann Clients mit einem Server verbinden (Road Warrior) oder auch eine Site-to-Site Verbindung zwischen zwei oder mehreren Standorten ermöglichen. Der Router muss entweder über eine feste IP-Adresse verfügen, oder mit Hilfe eines dynamischen DNS-Eintrages erreichbar sein. Standardmäßig wird ein OpenVPN über das zustandslose UDP-Protokoll mit dem Standardport 1194 konfiguriert. Es kann jedoch auch über das TCP Protokoll aktiviert werden, falls im Netzwerk UDP blockiert wird.[9] Hier bietet sich der HTTPS-Port 443 an, da er in den meisten Netzwerken geöffnet ist.

Netzwerkmodi OpenVPN bietet aktuell zwei verschiedene Netzwerkmodi an:[10][11][12]

Bridging (TAP-Device) Routing (TUN-Device) Der Routing-Modus (TUN-Device) wird als effizientere und modernere Methode empfohlen.

Bridging (TAP-Device) Bei dem Bridging-Modus wird ein vollständiges Tunneln von Ethernet-Frames (Layer2) vorgenommen. Hier ist der Einsatz von alternativen Protokollen wie IPX oder auch das Senden von Wake-On-LAN Paketen möglich. Der Client wird transparent in das Einwahlnetz eingewählt und erhält eine IP-Adresse des dortigen Subnetzes. Somit werden auch Broadcasts weitergeleitet, um z.B. die Namensauflösung des SMB-Protokolls zu ermöglichen.

Bridging (TAP-Device) Vorteile Nachteile Verhält sich wie ein echter Netzwerkadapter Beliebige Netzwerkprotokolle Client transparent im Zielnetz Broadcasts und Wake-On-LAN Ineffizient Hoher Broadcast-Overhead am VPN-Tunnel Schlechte Skalierbarkeit Routing (TUN-Device) Der Routing-Modus stellt einen verschlüsselten Tunnel her, in dem ausschließlich IP-Pakete (Layer3) geleitet werden. Es wird jeder Gegenstelle eine virtuelle IP-Adresse eines fiktiven Subnetzes zugewiesen. Ein Zugriff auf das dahinter liegende Netzwerk ist standardmäßig nicht möglich, kann aber mittels IP-Forwarding und Einträgen in der Routingtabelle der Firewall ermöglicht werden.

Routing (TUN-Device) Vorteile Nachteile Weniger Traffic-Overhead Geringere Bandbreitenbelastung, weil kein Ethernet-Layer Gute Skalierbarkeit Nur IP-Pakete Keine Broadcasts

Netzwerkmodi OpenVPN bietet aktuell zwei verschiedene Netzwerkmodi an:[10][11][12]

Bridging (TAP-Device) Routing (TUN-Device) Der Routing-Modus (TUN-Device) wird als effizientere und modernere Methode empfohlen.

Bridging (TAP-Device) Bei dem Bridging-Modus wird ein vollständiges Tunneln von Ethernet-Frames (Layer2) vorgenommen. Hier ist der Einsatz von alternativen Protokollen wie IPX oder auch das Senden von Wake-On-LAN Paketen möglich. Der Client wird transparent in das Einwahlnetz eingewählt und erhält eine IP-Adresse des dortigen Subnetzes. Somit werden auch Broadcasts weitergeleitet, um z.B. die Namensauflösung des SMB-Protokolls zu ermöglichen.

Bridging (TAP-Device) Vorteile Nachteile Verhält sich wie ein echter Netzwerkadapter Beliebige Netzwerkprotokolle Client transparent im Zielnetz Broadcasts und Wake-On-LAN Ineffizient Hoher Broadcast-OverheaAuthentifizierung Wie bereits in der Einleitung erwähnt, kann die Authentifizierung über zwei unterschiedliche Arten erfolgen. Zum einen über einen statischen Schlüssel (Pre-shared Key) oder über Zertifikate.