Wenn auf einem Router von INSYS icom ein OpenVPN-Server läuft, kann von einem Computer aus eine OpenVPN-Verbindungen zu diesem aufgebaut werden.
Situation
Ein Windows-Computer soll als Client in ein bestehendes OpenVPN-Netzwerk auf einem INSYS-Router eingebunden werden.
Lösung
Auf dem Computer wird das OpenVPN-Paket installiert. Die Konfigurationsdatei wird mit Hilfe der OpenVPN-Server-Konfiguration des INSYS-Routers auf dem Computer erzeugt. Eine Anleitung zum Konfigurieren eines OpenVPN-Servers auf einem INSYS-Router finden Sie im entsprechenden Configuration Guide.
Es wird vorausgesetzt, dass die entsprechenden Zertifikate und Schlüssel zur Verfügung stehen sowie die Konfiguration des Servers bekannt ist.
Installieren des OpenVPN-Pakets auf dem Computer
Das neueste OpenVPN-Paket für Ihren Computer unter https://openvpn.net/community-downloads/ herunterladen.
Die Installationsdatei öffnen und die Installation entsprechend der Anweisungen durchführen.
Das OpenVPN-Paket wird auf Ihrem Computer im Standardverzeichnis C:\Program Files\OpenVPN installiert.
Hinterlegen der Zertifikate und Schlüssel auf dem Computer
Das CA-Zertifikat, das Client-Zertifikat und den Client-Schlüssel in das Verzeichnis C:\Program Files\OpenVPN\config auf den Rechner kopieren. Diese können auch in einem PKCS#12-Container enthalten sein.
Erstellen und Konfigurieren der OpenVPN-Konfigurationsdatei auf dem Computer
Die OpenVPN-Client-Vorlage herunterladen und in einem Texteditor öffnen oder den Inhalt aus dem Fenster unten kopieren und in den Texteditor einfügen.
Den Inhalt der Vorlage entsprechend den Kommentaren hinter den Parametern anpassen und unter einem geeigneten Namen abspeichern.
Die Datei in das Verzeichnis C:\Program Files\OpenVPN\config der OpenVPN-Installation kopieren.
OpenVPN Client-Vorlage
client # Konfiguriert den OpenVPN-Endpunkt als Client und aktiviert tls-auth und pull
remote 192.168.1.1 # <192.168.1.1> durch IP-Adresse oder Domainname des Routers mit dem OpenVPN-Server ersetzen
ca ca.crt # <ca.crt> durch Dateiname des Zertifikats der Certification Authority (CA) ersetzen
key client1.key # <client1.key> durch Dateiname des privaten Client-Schlüssels ersetzen
cert client1.crt # <client1.crt> durch Dateiname des Client-Zertifikats ersetzen
proto udp # <udp> durch tcp ersetzen, wenn das TCP-Protokoll vom Server verwendet wird
rport 1194 # <1194> durch den Port ersetzen, der im Server für das Remote-Tunnelende konfiguriert ist
lport 1194 # <1194> durch den Port ersetzen, der im Server für das lokale Tunnelende konfiguriert ist
comp-lzo # Aktiviert LZO-Komprimierung; löschen, wenn diese im Server nicht aktiviert ist
dev tun # Konfiguriert das virtuelle Netzwerk-Interface TUN für das RoutingBitte beachten Sie für die obige Konfigurationsdatei-Vorlage:
Für die IP-Adresse oder den Domainname des Routers, siehe Ermittlung der über das Internet erreichbare IP-Adresse des OpenVPN-Servers unten.
Um die Einstellungen für Protokoll, Port und LZO herauszufinden, öffnen Sie die Seite Netzwerk → Interfaces in der Bedienoberfläche des Routers und klicken Sie im Abschnitt OpenVPN auf (Bearbeiten). Klicken Sie auf zur erweiterten Ansicht und und prüfen Sie die entsprechenden Einstellungen der VPN-Verbindung.
OpenVPN-Client-Vorlage herunterladen (Rechtsklick und Speichern unter)
Bitte beachten Sie!
Falls sämtliche Zertifikate in einem PKCS#12-Container enthalten sind, die drei Zeilen für die Zertifikate und den Schlüssel löschen und dafür die Zeile
pkcs12 client1.p12einfügen. Dabei <client1.p12> durch den Dateinamen des PKCS#12-Containers ersetzen
Ermittlung der über das Internet erreichbare IP-Adresse des OpenVPN-Servers
Die über das Internet erreichbare IP-Adresse hängt von der Architektur des Router-Netzwerks ab. Befindet sich beispielsweise der Router wie in der folgenden Abbildung hinter einem DSL-Router, muss dessen WAN-IP-Adresse verwendet werden. Im DSL-Router muss eine entsprechende Port-Weiterleitung des Tunnels an den Router eingerichtet sein.
Befindet sich der Router wie in der folgenden Abbildung direkt an einem DSL-Modem ohne dazwischen liegenden Router, muss die IP-Adresse des Routers verwendet werden.
Hat der Router keine feste IP-Adresse, kann auch ein DynDNS-Domain-Name eingegeben werden, der dann vom Client aufgelöst wird. Dazu muss dann im DSL-Router (erstes Beispiel) bzw. im INSYS-Router (zweites Beispiel) DynDNS aktiviert werden. Hinweise dazu finden Sie in der Inline- und Online-Hilfe des INSYS-Routers. Im Client muss dazu auch ein DNS-Server eingetragen sein.
Starten des OpenVPN-Clients
Die OpenVPN GUI über Windows-Taste () → OpenVPN → Open-VPN GUI oder durch einen Click auf das Desktop-Icon starten.
Auf das Symbol zum Einblenden der ausgeblendeten Symbole in der Task-Leiste klicken ().
Mit der rechten Maustaste auf das Symbol der OpenVPN GUI klicken und Verbinden (bzw. <Name der Konfigurationsdatei> → Verbinden wenn mehrere Konfigurationsdateien hinterlegt sind) klicken.
Wenn das Client-Zertifikat mit einem Passwort versehen wurde, dieses Passwort nach Aufforderung eingeben.
Erfolgskontrolle
Das Symbol der Open-VPN GUI wird grün dargestellt, wenn die Verbindung zum OpenVPN-Server erfolgreich hergestellt wurde. Bleibt das Symbol gelb, versucht der OpenVPN-Client den Server zu erreichen, aber die Verbindung kann nicht aufgebaut werden. Ein Log der Verbindungen kann über den Menüpunkt View Log (bzw. <Name der Konfigurationsdatei> → View Log wenn mehrere Konfigurationsdateien hinterlegt sind) angezeigt werden.
Fehlersuche
Wenn die OpenVPN GUI die Konfigurationsdatei nicht im Verzeichnis findet, kann der Grund sein, dass ein Texteditor versehentlich die Dateiendung .txt anhängt hat.