Konfigurieren eines OpenVPN-Servers im Router

Der Router soll als Server für ein OpenVPN-Netzwerk mit zwei Clients konfiguriert werden. Im zugrunde liegenden Beispiel hat der OpenVPN-Server das lokale Netzwerk 192.168.10.0/24. Der OpenVPN-Client mit dem Common Name Client1 hat das lokale Netzwerk 192.168.20.0/24 und der OpenVPN-Client mit dem Common Name Client2 hat das lokale Netzwerk 192.168.30.0/24.

Mit dem Schnellstart-Assistenten des Routers kann neben der Konfiguration des Internet-Zugangs optional auch eine OpenVPN-Verbindung vorbereitet werden. Die erforderliche Zertifikatsstruktur muss im Vorfeld erstellt werden. Der Configuration Guide für das Erzeugen einer Zertifikatsstruktur mit XCA bietet eine Anleitung für deren Erstellung.

Folgende Zertifikate und Schlüssel sind erforderlich:

Halten Sie Ihren CA-Schlüssel sicher!

Laden Sie den CA-Schlüssel auf keinen Fall an irgendeiner Stelle hoch; er muss auf jeden Fall unter Verschluss bleiben.

Für folgende Vorgehensweise wird davon ausgegangen, dass sich der Router in Werkseinstellungen befindet.

Bitte beachten Sie!

Wenn Sie einen OpenVPN-Server auf Ihrem Router konfigurieren, machen Sie dessen Netzwerk von außen zugänglich. Auch wenn ein OpenVPN-Netzwerk einen hohen Grad an Sicherheit ermöglicht, kann es bei Mängeln in der Konfiguration eine Sicherheitslücke darstellen. Folgende Vorgehensweise gibt Ihnen eine Hilfestellung für die einfache Konfiguration eines Servers für ein OpenVPN-Netzwerk. Für die Absicherung des OpenVPN-Netzwerks sind Sie selbst verantwortlich!

Halten Sie Ihren Router aktuell!

Aktualisieren Sie Ihren Router zuerst auf iom OS 7.3 oder höher! Ab dieser Version wurden sämtliche Verschlüsselungsalgorithmen entfernt, die mittlerweile als nicht mehr ausreichend sicher betrachtet werden, was eine versehentliche Verwendung solcher Algorithmen ausschließt.

1. Öffnen Sie die Bedienoberfläche des Routers: https://insys.icom

2. Klicken sie auf dem Startbildschirm unter Schnellstart-Assistent auf Zum Schnellstart-Assistenten.

3. Klicken Sie im Menü Assistenten → Schnellstart-Assistent auf STARTEN .

4. Optional: ändern sie die Zeit- und Synchronisierungseinstellungen und klicken Sie auf WEITER .

5. Geben Sie die für die Authentifizierung gewünschten Zugangsdaten ein (oder konfigurieren Sie eine Authentifizierung durch Zertifikate) und klicken Sie auf WEITER .

6. Konfigurieren Sie die Internetverbindung und klicken Sie auf WEITER .

7. Aktivieren Sie den Schalter VPN konfigurieren und wählen Sie unter Art der VPN-Verbindung OpenVPN server.

8. Optional: markieren sie die Checkbox Kommunikation zwischen Clients erlauben wenn dies möglich sein soll.
   

9. Laden Sie die erforderlichen Zertifikate und Schlüssel hoch.

   Bitte beachten Sie!

   Für den Server handelt es sich dabei um das CA-Zertifikat, den geheimen CA-Schlüssel, das Server-Zertifikat und den geheimen Server-Schlüssel. Die Zertifikate und der Schlüssel können auch in einem PKCS12-Container gebündelt sein. Ein Passwort kann für den Import erforderlich sein.

   
   

10. Klicken sie hinter OpenVPN-Server-Routen auf , um eine Route hinzuzufügen, die dem Server mitteilt, dass sich das Netzwerk 192.168.20.0 hinter dem Client Client1 im OpenVPN-Netzwerk befindet:

    • Netzwerkadresse: 192.168.20.0 / 24

    • Common name: Client1

11. Klicken sie hinter OpenVPN-Server-Routen auf , um eine Route hinzuzufügen, die dem Server mitteilt, dass sich das Netzwerk 192.168.30.0 hinter dem Client Client2 im OpenVPN-Netzwerk befindet:

    • _Netzwerkadresse: 192.168.30.0 / 24

    • Common name: Client2

      Bitte beachten Sie!

      Diese zwei Routen legen gleichzeitig auch Push-Routen an, die den anderen Client-Routern mitteilen, dass die Netzwerke 192.168.20.0 und 192.168.30.0 über das OpenVPN-Netzwerk zu erreichen sind.

      
      

12. Klicken Sie auf WEITER .

13. Klicken sie hinter LAN-Einstellungen auf , um ein IP-Netz hinzuzufügen:

    • IP-Adresse: 192.168.10.1 / 24

    • Ports: markieren Sie Port 1.2

    • Deaktivieren Sie DHCP-Server oder legen sie den Bereich der zu vergebenden Adressen fest, wenn der Router im lokalen Netzwerk als DHCP-Server fungieren soll.

      Bitte beachten Sie!

      Hiermit geben Sie dem Router die Adresse 192.169.10.1 im lokalen Anlagen-Netzwerk und ordnen Port 1.2 diesem Netzwerk zu. Gleichzeitig wird eine Push-Route angelegt, die den anderen Client-Routern mitteilt, dass das Netzwerk 192.168.10.0 über das OpenVPN-Netzwerk zu erreichen ist.

      
      

14. Klicken Sie auf WEITER .

15. Optional: Aktivieren Sie den Schalter icom Router Management konfigurieren und laden Sie eine Konfiguration für das icom Router Management auf den Router.

16. Klicken Sie auf WIZARD AUSFÜHREN.

17. Verfolgen Sie die Ausführung des Assistenten und klicken Sie auf WIZARD VERLASSEN.

Bitte beachten Sie!

Weitere Optionen zur Konfiguration des OpenVPN-Servers sind möglich und gegebenenfalls entsprechend vorzunehmen. Die Tunneladressen werden nur für das interne VPN-Routing verwendet und müssen nur angepasst werden, wenn sie sich mit bereits verwendeten IP-Bereichen überschneiden.

Weil mehrere Tunnel gleichzeitig möglich sind, muss der Server die Netzwerke der Clients kennen und die entsprechenden lokalen Routen anlegen. Mit Hilfe dieser Routen bestimmt der Server, welche Datenpakete durch welchen Tunnel zum richtigen Client gesendet werden sollen. Zur Unterscheidung der Tunnel werden die Routen anhand des Common Name des Client-Zertifikats bestimmt, das bei der Authentifizierung zum Server gesendet wurde. Diese Routen erscheinen in der Routing-Tabelle des Routers.
Die Push-Routen werden den Client-Routern mitgeteilt, so dass sie wissen, welche Netzwerke sich hinter dem Tunnel auf der OpenVPN-Server-Seite befinden. Die Clients tragen diese Routen in ihre lokale Routing-Tabelle ein.
Es erfolgt keine Überprüfung der Routen auf ihre Plausibilität.