OpenVPN Firmennetz und die Clients

Konfiguration eines openVPN Servers. Ein openVPN Server und mehrere openVPN Clients.

Es wird angenommen, dass die Zertifikate erstellt sind und einige Einstellungen auf dem Client als auch auf dem Server schon gemacht sind. Wenn nicht dann bitte zuerst hier lesen.

Unsere erste Lösung: Es existiert ein Firmennetz mit mehreren Server und vielen Clients. Einige Mitarbeiter von von Unterwegs auf den Firmennetz per VPN zugreifen.

 

Unsere openVPN Netz ist: 10.0.0.0/24
Domäne in dem Firmennetz: monoplan.lokal
Weitere Daten finden wir auf der obere Zeichnung.

 

Es wird angenommen, dass Port 1194 auf der Firewall geöffnet ist, eine NAT wurde erstellt, bedeutet die Anfragen von außen die an Port 1194 angekommen sind an den Server 192.168.1.144 weitergeleitet werden.
Bei Fritzbox heißt das "Neue Freigabe erstellen".

Wir wollen allerdings auch andere Server in der Firma erreichen, deshalb müssen wir noch eine Route an der Firewall setzen. Im Kurzform würde das so lauten: Alle Pakete die das Netz 10.0.0.0/24 erreichen sollen, bitte an den Server: 192.168.1.144 schicken. Im Klartext, wir erstellen eine statische Route.
In dem Ordner /etc/openvpn auf dem Server wird eine Datei mit dem Namen server.conf erstellt. Hier der Inhalt dieser Datei.

 

port 1194
proto udp
mode server
dev tap
ifconfig 10.0.0.1 255.255.255.0
push "redirect-gateway def1"
push "dhcp-option DOMAIN monoplan.lokal"
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS 192.168.1.150"
push "dhcp-option WINS 192.168.1.150"
ifconfig-pool 10.0.0.2 10.0.0.22
ifconfig-pool-persist ipp.txt
client-to-client
tls-server
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
key /etc/openvpn/easy-rsa/2.0/keys/server.key
cert /etc/openvpn/easy-rsa/2.0/keys/server.crt
dh /etc/openvpn/easy-rsa/2.0/keys/dh2048.pem
comp-lzo
push "route-gateway 10.0.0.1"
tun-mtu 1500
tun-mtu-extra 32
max-clients 20
verb 3
status /etc/openvpn/openvpn-status.log
log-append /etc/openvpn/openvpn.log
mute 50
keepalive 10 60
ping-timer-rem
persist-key
persist-tun
push "ping 10"
push "ping-restart 60"
push "ping-timer-rem"

In der Konfiguration finden Sie einen Dateinamen ipp.txt. In diese Datei könnten wir dem openVPN client eine IP-Adresse zuweisen. Der openVPN Client bekommt dann immer die selber IP Adresse. So könnte wir besser das Einloggen der Clients überwachen. Der Inhalt der Datei die sich im Ordner /etc/openvpn befindet, könnte so aussehen.

 

client1,10.0.0.2
client2,10.0.0.5

Jetzt starten wir noch den openvpn Server. Unter openSuSE 13.2 ist das folgender Befehl

openVPNzl:~ # systemctl start openvpn@server.service

 

 
Die Konfiguration des Servers ist damit beendet.


Installation und Konfiguration des Clients

 

Zuerst müssen wir auf dem PC openVPN Client installieren, am besten mit GUI. Gehen Sie auf die www.openvpn.net Webseite und laden Sie das entsprechende Programm runter.
Installieren Sie das Programm. Danach öffnen Sie Windows Explorer und wechseln Sie in den Ordner
C:\Program Files\OpenVPN\config. Hier erstellen Sie bitte eine Datei mit dem Namen z.B. Client1.ovpn und fügen Sie den Inhalt wie unten ein.

 

 
Die IP-Adresse muss man selbstverständlich anpassen. Sollte die Firewall in Ihrer Firma keine Feste IP-Adresse haben, dann sollten Sie sich mit DynDNS befassen. Für den Client1 wird die Datei z.B. Client1.ovpn heißen, für den Client 2 wird die Datei Client2.ovpn erstellt und so weiter, oder nach Ihre Wahl.

 

port 1194
proto udp
remote IP-Adresse-Der-Firmen-Firewall
dev tap
tls-client
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\client1.key"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\client1.crt"
ns-cert-type server
comp-lzo
pull
tun-mtu 1500
tun-mtu-extra 32
verb 3
mute 50
persist-key
persist-tun

Erstellen Sie bitte in OpenVPN Pfad einen Ordner C:\Program Files\OpenVPN\easy-rsa und
C:\Program Files\OpenVPN\easy-rsa\keys. Übertragen Sie bitte auf sicherem Wege von Server zu Client folgende Dateien: ca.crt, client1.crt und client1.key und kopieren Sie die in den Ordner
C:\Program Files\OpenVPN\easy-rsa\keys, so wie in der Client1.ovpn Datei steht.
Jetzt starten wir auf dem Client den OpenVPN GUI. Wir sollte auf jeden Fall das Programm "Als Administrator ausführen" (Rechte Maustaste). Nach dem Start erscheint in der Taskleiste ein Icon mit einem Schlosszeichen. Jetzt nur noch mit der rechte Maustaste auf das Icon und auf "Verbinden". Wenn die Verbindung stattfindet, wird das Icon grün.
 
Wenn alles richtet gemacht war, haben wir jetzt VPN Verbindung.