Vorlage:VPN OpenVPN
OpenVPN
OpenVPN ist ein Programm zum Aufbau eines virtuellen privaten Netzwerks (VPN) über eine verschlüsselte Verbindung.
Connections
OpenVPN-Aufbau eines Virtuellen Privaten Netzwerkes (VPN) über eine verschlüsselte Verbindung. Es können bis zu 5 gleichzeitige OpenVPN Tunnel eingerichtet werden.
VPN >> OpenVPN >> Connections >> Tunnel >> Edit | |
---|---|
Name | Name der OpenVPN-Verbindung |
VPN | OpenVPN Tunnel aktiv (=Enable) oder inaktiv (=Disable) |
Event | Initiate: Tunnel dauernd gestartet
Initiate on SMS: Start / Stoppt den VPN-Tunnel mittels SMS Initiate on Call: Start / Stoppt den VPN-Tunnel mittels Anruf Initiate on XML: Start / Stoppt den VPN-Tunnel mittels XML Script Initiate on Input 1: Start / Stoppt den VPN-Tunnel mittels Input 1 Initiate on Input 2: Start / Stoppt den VPN-Tunnel mittels Input 2 |
Remote Host | IP-Adresse oder URL der Gegenstelle |
Remote Port | Port der Gegenstelle (Standard: 1194) |
Address Family | auto: Automatisch IPv4 oder IPv6
IPv4: Ipv4 IPv6: IPv6 |
Protocol | UDP- oder TCP-Protokoll für die OpenVPN-Verbindung festlegen! |
Compression | Disabled: Keine Kompression
LZO Adaptive: Adaptive Kompression LZO no: LZO yes: LZO enabled: Compress off: Compress LZO: Compress LZ4: |
Allow Remote Float | Option: Bei der Kommunikation mit dynamischen IP-Adressen akzeptiert die OpenVPN-Verbindung authentifizierte Pakte von jeder IP-Adresse |
Redirect default gateway | Das Default Gateway wird durch den Tunnel geleitet |
Local Port | Lokaler Port |
Authentication | Authentifizierungsart der OpenVPN-Verbindung festlegen (X.509, PSK oder Username/Password) |
Local Certifacate | Zertifikat vom Router für die Authentifizierung bei der Gegenstelle |
HMAC Authentication | MD5, SHA1, SHA224, SHA256, SHA384, SHA512, None |
TLS Authentication Key | None |
Check Remote Certificate Type | Option: Zertifikate der OpenVPN-Verbindung überprüfen |
Address Local Network | IP-Adresse/Subnetzmaske des lokalen Netzwerks |
Connection NAT | None: Keine Weiterleitung
Local 1:1 NAT: „Eins-zu-Eins“ Weiterleitung an ein lokales Netzwerk (NAT to local Network) Local Masquerading: Die durch den Tunnel ausgehenden Pakete werden auf die Quelladresse des Routers umgeschrieben, um Geräten am Router den Zugriff auf die Gegenseite des Tunnels zu ermöglichen Remote Masquerading: Die durch den Tunnel eingehenden Pakete werden auf die lokale Adresse des Routers umgeschrieben Port Forwarding: Weiterleitung mit den Einstellungen wie unter Punkt „Port Forwarding“ beschrieben Host Forwarding: Weiterleitung an die feste IP-Adresse eines angeschlossenen Endgerätes(Forward to local Host) |
Encryption | Verschlüsselungsalgorithmus der OpenVPN-Verbindung |
Keep Alive | Zeitintervall in Sekunden von Keep Alive-Anfragen an die Gegenstelle |
Restart | Zeitspanne in Sekunden nach der die Verbindung neu gestartet werden soll, falls keine Antwort auf die Keep Alive-Anfragen erfolgt |
Bridge
Durch die Überbrückung einer physischen Ethernet-Schnittstelle mit einer OpenVPN-gesteuerten TAP-Schnittstelle an zwei verschiedenen Standorten ist es möglich, beide Ethernet-Netzwerke logisch zusammenzuführen, als wären sie ein einziges Ethernet-Subnetz.
Die Einstellungen entsprechen den OpenVPN-Server-Einstellungen wie im folgenden Kapitel beschrieben.
Server
Einsatz des Routers als OpenVPN Server.
Zur Aktivierung des Servers wählen Sie unter dem Menüpunkt „Enabled“ den Eintrag „Yes“. Geben Sie unter „Name“ einen frei gewählten Namen des Servers ein. Klicken Sie anschließend auf „Apply“. Mit einem Klick auf „Edit“ erreichen Sie die OpenVPN Server Einstellungen.
VPN >> OpenVPN >> Connections >> Server | |
---|---|
VPN | OpenVPN Server aktiviert (=Enable) oder inaktiv (=Disable) |
Local Port | Einstellung des OpenVPN Ports des Servers (default 1194) |
Address Family | IPv4 oder IPv6 IP-Adressen |
Protocol | UDP- oder TCP-Protokoll für die OpenVPN-Verbindung festlegen! |
Compression | Disabled = Keine Kompression
Einstellung der gewünschten Kompressionsart |
Topology |
subnet: Die empfohlene Topologie für moderne Server. Die Adressierung erfolgt über IP & Netzmaske. net30: Dies ist die alte Topologie für die Unterstützung von Windows-Clients, auf denen 2.0.9 oder ältere Clients ausgeführt werden. Dies ist die Standardeinstellung ab OpenVPN 2.3, wird jedoch für die aktuelle Verwendung nicht empfohlen. Jedem Client wird ein virtuelles /30 zugewiesen, wobei 4 IPs pro Client plus 4 für den Server benötigt werden. |
HMAC Authentication | Keyed-Hash Message Authentication Code (HMAC) - Auswahl der Verschlüsselung |
TLS authentification key | None oder entsprechenden key auswählen. Der Key muss vorab geladen worden sein |
Local certificate | Auswahl des PKCS#12 Zertifikats (.p12) des OpenVPN Servers. Das Zertifikat muss vorab geladen worden sein
Achtung: Bitte stellen Sie sicher, dass die Systemzeit des Routers aktuell ist und somit mit in das zeitliche Gültigkeitsfenster der Zertifikate fällt |
Diffie-Hellman parameter | Standard ist 1024 Bit, kann auf 2048 Bit geändert werden (wird bei der Erstellung des Zertifikats Parameter definiert) |
Encryption | Verschlüsselungsalgorithmus für die OpenVPN Verbindung |
Client to client traffic | Client zu Client Verbindung zugelassen oder blockieren |
Client subnet base | Angabe des Basis Netzwerkes des OpenVPN Servers
Von dieser Einstellung werden die Netzwerkabschnitte der Clients automatisch abgeleitet (siehe Einstellung: Client Table unten) |
Virtual network base | Virtual Network Base Angabe des internen, virtuellen Basis Netzwerkes des OpenVPN Servers
Von dieser Einstellung werden die virtuellen IP-Adressen der Clients automatisch abgeleitet (siehe Einstellung: Client Table unten) |
Keep alive | Zeitspanne in Sekunden, nach welcher Keep Alive-Anfragen gesendet werden sollen. Diese Anfragen testen, ob die Gegenstelle noch verfügbar ist |
Restart | Zeitspanne in Sekunden nach der die Verbindung neu gestartet werden soll, falls keine Antwort auf die Keep Alive-Anfragen erfolgt |
Additional Options pushed to the Clients | |
Redirect Default Gateway | Wenn Sie „Redirect Default Gateway“ anklicken, werden die Routen des Clients durch den OpenVPN Tunnel geleitet |
Routes | Hier können den Clients Routen mitgeteilt werden, damit Geräte hinter dem Router erreicht werden können |
Client Table
Klicken Sie den „Clients“-Button um die OpenVPN Clients anzulegen.
Bitte definieren Sie hier Ihre OpenVPN Clients. Zur Identifizierung der Clients durch den OpenVPN Servers, muss hier unter „Common Name“ der Common Name eingegeben werden, welcher bei der Generierung des entsprechenden Zertifikates für den Client definiert wurde. Es findet hier also die Zuordnung des Client Zertifikats zu der durch den Server definierten Client Adresse statt.
Beispiel zur Abbildung oben: Ein Client hat ein Zertifikat mit dem Common Name Service PC geladen. Dieser Client ist dann hier über die virtuelle IP-Adresse 172.16.0.5 erreichbar. Das Netzwerk auf dem Client-(Router) kann hier über den IP Adressenabschnitt 10.8.1.0/24 erreicht werden.
Hinweise:
Die Client Adresse wird automatisch von der Virtual Network Base Einstellung unter: „OpenVPN Server“ abgeleitet. (z.B. Virtual Network Base = 172.16.0.0/24, erste Client Adresse = 172.16.0.5, zweite Client Adresse = 172.16.0.9 usw.) Der Client Subnet wird automatisch von der Client Subnet Base Einstellung unter: „OpenVPN Server“ abgeleitet. (z.B. Virtual Network Base = 10.8.1.0/24, erstes Client Subnet = 10.8.2.0/24, zweites Client Subnet = 10.8.3.0/24 usw.)
Klicken Sie „Advanced“ für weitere Spezial-Einstellungen.
Sie haben bei Bedarf die Möglichkeiten spezielle Einstellungen für die Größen: TUN-MTU, Fragment, MSS fix und für das Renegotiate Key Interval vorzunehmen.
Hinweise:
Bitte vergessen Sie nicht alle Eingaben oder Änderungen durch das Klicken auf den „Apply“ Button zu bestätigen/ zu aktivieren. Sollten die Einstellungen nicht unmittelbar wirken, so sollten Sie zur Sicherheit ein Reboot des Routers durchführen.
Port Forwarding OpenVPN
VPN >> OpenVPN >> Port Forwarding | |
---|---|
Protocol | Auswahl: TCP / UDP / ICMP |
In Port | Port Nr. eingehende Verbindung |
To IP | IP Adresse von Ziel |
To Port | Port Nr. Vom Ziel |
Masq | Masquerading ein-bzw. ausschalten |
Comment | Kommentarfeld |
Certificates OpenVPN
VPN >> OpenVPN >> Certificates | |
---|---|
Load Own PKCS#12 Certificate | Hochladen eines Zertifikats, das von Ihrem Provider stammt |
Password | Passwort für das PKCS#12 Zertifikat. Das Passwort wird beim Export vergeben |
Own Certificates | Tabellarische Übersicht aller "Own Certificates" / mit "Delete" werden die Zertifikate gelöscht |
Static Keys OpenVPN
VPN >> OpenVPN >> Static Keys | |
---|---|
Generate static Key | Einen statischen Schlüssel generieren und speichern |
Load static Key | Statischen Schlüssel in den Router laden (den gleichen statischen Schlüssel muss auch die Gegenstelle besitzen) |
Static Keys | Tabellarische Übersicht aller geladenen statischen Schlüssel |