Tux im Schlüsselloch

Linux-Tage-Weihnachtskalender: 10. Türchen

Kevin Hipp, 10.12.2008

Zu Hause sein - auch Unterwegs

Wäre es nicht sehr angenehm, wenn man z.B. mit dem Laptop unterwegs so arbeiten könnte, als ob man sich zu Hause im eigenen Netz befindet und somit direkten Zugriff auf alle anderen Rechner und auch z.B. Drucker hat? Dies ist nur ein kleines Anwendungsszenario, für das sich ein Virtuelles Privates Netz(VPN) eignet. Ein VPN verbindet dabei mehrere Rechner oder Netze über z.B. das Internet und lässt es so erscheinen, als ob dabei ein physisches Kabel existiert. Die Verbindung ist dabei verschlüsselt, damit niemand den Verkehr, der über das Internet vermittelt wird, mitlesen kann. Eine bekanntes und sehr leistungsfähiges Opensource-Produkt stellt dabei OpenVPN dar. Wie die meisten Opensource-Programme ist es dabei auf mehren Plattformen erhältlich und ermöglicht so die Anbindung von normalen PC's (Linux, MacOS? X, ...) bis hin zu Handys und PDA's.

Grundsätzlich wird bei OpenVPN eine Serverkomponente benötigt. Also der Rechner, zu dem man per VPN verbindet. Dazu wird sowohl auf dem Server, als auch auf dem Client eine virtuelle Netzwerkkarte eingerichtet, über die dann der Verkehr des Tunnels abgewickelt wird. Dieser Tunnel hat dabei einen eigenen, frei konfigurierbaren IP-Adressraum.

Es existieren prinzipiell mehrere Möglichkeiten einen Server zu konfigurieren. Es ist z.B. möglich, eine Verbindung mit "pre-shared-keys" einzurichten. Das ist eine Verbindung, in der man vorher die für die Verbindung nötigen Schlüssel über einen sicheren Kanal zwischen Server und Client austauscht. Der Nachteil dieses Verfahrens ist, dass für jede derartige Verbindung ein Port auf dem Server geöffnet werden muss (meist UDP) und für jeden Client ein neues Netzwerkinterface auf dem Server angelegt wird. Eine andere Möglichkeit, die diese Nachteile nicht besitzt, ist der Verbindungsaufbau über Zertifikate. Dies hat den Vorteil, dass es nur noch ein virtuelles Netzwerkinterface auf dem Server gibt und somit nur noch ein Port erreichbar sein muss. Über diesen Port können dann aber mehre Verbindungen aufgebaut werden.

Links

www.openvpn.org Sehr gut dokumentierte Anleitung für OpenVPN (Englisch)

Kevin Hipp ist seit 2007 für unseren Securitybereich verantwortlich.
zuletzt bearbeitet am 08.12.2008 von Kevin Hipp