VPN. am Beispiel von OpenVPN. BZTG Oldenburg. Internet. Zertifikate Integrität. Identität. CA Digitale Unterschrift

Transkript

1 am Beispiel von OpenVPN PC_Intern VPN-Server Internet PC_Extern PHYS-IP PHYS-IP VPN-IP PHYS-IP PHYS-IP VPN-IP X Zertifikate Integrität CA Digitale Unterschrift Identität Vertraulichkeit Asymmetrische Verschlüsselung TUN/TAP Hash Symmetrische Verschlüsselung Gert Mora Motta Stefan Rosemann BZTG Oldenburg Version 1.45 Mai 2012

2 Inhalt 1 KUNDENAUFTRAG LETHE APOTHEKE VPN ALLGEMEIN VERBINDUNGSTYPEN End-to-End End-to-Site Site-to-Site INSTALLATION VON OPENVPN INSTALLATION WIRESHARK INKL. PCAP VORBEREITUNG DES RECHNERS DER ERSTE TUNNEL (END-TO-END) Übung: End-to-End-Tunnel Übung: Konfigurationsdateien erstellen Start der Verbindung mit OpenVPN GUI VERBINDUNGEN SYMMETRISCHER VERSCHLÜSSELUNG Übung: Tunnel mit symmetrischer Verschlüsselung ASYMMETRISCHE VERSCHLÜSSELUNG Erstellen von Zertifikaten Konfiguration des Servers Konfiguration des Clients MULTICLIENT-KONFIGURATION Server-Konfiguration Client-Konfigurationen TUNNEL VOM CLIENT IN DAS NETWORK (END-TO-SITE) Windows-XP als Router Server-Konfiguration Client-Konfiguration Version 1.45 Mai 2012

3 Eingangsvoraussetzung Nennen Sie ihrem Lehrer die geheime Botschaft! 1

4 1 Kundenauftrag Lethe Apotheke Die Kundin Frau Möller ist Eigentümerin der Lethe-Apotheke in Wardenburg. Einmal im Monat hat sie am Samstag oder Sonntag Notdienst. Damit sie nicht in der Apotheke übernachten muss, ist die Türklingel der Apotheke mit ihrem Telefon in dem nahegelegenen Wohnhaus verbunden. Sie kann dann mit den Patienten sprechen und bei Bedarf in Apotheke fahren. Um den Patienten nicht unnötig warten zu lassen, weil z. B. ein Medikament nicht am Lager ist, möchte sie gerne während des Notdienstes, von zu Hause aus auf den Bürorechner in der Apotheke zugreifen. Auf dem Apotheken-Rechner befindet sich die Apothekensoftware Aposoft und andere Programme, die zur Beratung des Patienten benötigt werden. Der Rechner ist durchgehend in Betrieb, da hierüber die Faxe empfangen werden. Sie erhalten von ihrem Chef den Auftrag, eine verschlüsselte Remotedesktop-Verbindung zwischen dem Heimarbeitsplatz-Rechner (Windows-XP) und dem Apotheken-Rechner (Windows-XP) aufzubauen. Als Lösung für solche Probleme, setzt ihre Firma seit langem die Software OpenVPN mit einer zertifikatsbasierten, asymmetrischen Verschlüsselung ein. 2

5 2 VPN In diesem Kapitel werden die wichtigsten Begriffe in Zusammenhang mit VPN erklärt. Zudem werden anhand von praktischen Laborübungen der Umgang und der Einsatz in Netzwerken gezeigt. Bei den Beispielen und Erklärungen werden wir uns weitestgehend auf OpenVPN 1 beziehen. 2.1 Allgemein Ein Virtuelles Privates Netzwerk verbindet einzelne Rechner oder ganze Netzwerke über einen Tunnel (z. B. durchs Internet) miteinander. Dieser Tunnel kann durch den Einsatz von Verschlüsselungstechnologien vor Abhören geschützt werden, so dass Firmen den Tunnel zur Verbindung zweier Standorte benutzen können. Für andere Teilnehmer (z.b. Hacker) besteht keine Möglichkeit die Daten zu entschlüsseln. Dies geschieht erst wieder beim Empfänger

6 2.2 Verbindungstypen Es gibt unterschiedliche Verbindungstypen beim Aufbau eines VPNs. Im Folgenden werden die wichtigsten Typen kurz erläutert End-to-End Dieser Verbindungstyp kann dazu benutzt werden, um z.b. von zu Hause eine verschlüsselte Remotedesktop-Verbindung zu einem anderen Rechner (Server) aufzubauen. Hierbei ist nur ein bestimmter Rechner im fremden Netz erreichbar. Server End-to-Site Typische Anwendung für diese Verbindung ist der externe Mitarbeiter, der von zu Hause aus auf das interne Netzwerk der Firma zugreifen will Site-to-Site Hierbei werden zwei Netzwerke durch einen Tunnel miteinander verbunden. Die Rechner der einen Seite können auf die Rechner der anderen Seite zugreifen. 4

7 2.3 Installation von OpenVPN Das Softwarepaket OpenVPN kann von der Seite unter Community als Windows-Version heruntergeladen werden. Abbildung 1: OPENVPN Download Die Installation wird wie vorgegeben durchgeführt (siehe Bilder). Abbildung 3: Installation auf c:\... Abbildung 4: Fehlermeldung ignorieren Nach der Installation befinden sich die Dateien im Order C:\Programme\OpenVPN. Weil wir des Öfteren auf diesen Ordner zugreifen müssen, empfehlen wir von diesem Ordner eine Verknüpfung auf den Desktop zu legen. 2.4 Installation WireShark inkl. Pcap Wireshark ist ein Freeware-Programm zur Analyse von Netzwerk-Kommunikation (Sniffer). Wir benötigen das Programm, um die (über VPN) versendeten Pakete/Frames mitzuschneiden und hineinzuschauen. Bitte installieren Sie die neueste Version des Programms. Sollte schon eine Version vorhanden sein, ist insbesondere darauf zu achten, dass die Pcap-Software mit installiert wird. Abbildung 2: Wireshark-Installation 5

8 2.5 Vorbereitung des Rechners Damit unnötige Fehlerquellen ausgeschlossen werden, stellen Sie bitte die Windows-Firewall aus. Start Einstellungen Systemsteuerung Windows-Firewall Abbildung 5: Alle Optionen installieren Damit wir die Dateiendungen unserer Konfigurationsdateien überprüfen können, sollte unter Extras Ordneroptionen dass Ausblenden der bekannten Dateiendungen ausgestellt werden. Abbildung 6: Alle Optionen installieren 6

9 Wichtig Behalten Sie die Übersicht! Schließen Sie alle nicht benötigten Fenster! Lesen Sie aktiv (Textmarker)! Jeder Satz ist wichtig! Halten Sie sich genau an die vorgegebenen Installationspfade und Dateinamen. Bearbeiten Sie die Konfigurationsdateien nicht mit Wordpad, da hier Sonderzeichen eingefügt werden

10 2.6 Der erste Tunnel (End-to-End) In unserem ersten Beispiel soll ein Tunnel von einem PC zu einem anderen PC (End-to-End) aufgebaut werden. Das Szenario könnte folgendermaßen aussehen: PC 1 Internet PC 2 VPN-IP PHYS-IP PHYS-IP VPN-IP Hier wird zwischen der IP-Adresse der physikalischen Schnittstelle (PHYS-IP) und der IP-Adresse der VPN-Schnittstelle (VPN-IP) unterschieden. Um eine VPN-Verbindung aufzubauen, müssen in der DOS- Eingabeaufforderung folgende Befehle eingegeben werden: PC1: openvpn --remote dev tun0 -ifconfig verb 3 PC2: openvpn --remote dev tun0 -ifconfig verb 3 Hat alles geklappt, so erscheint Initialization Sequence Complete und die beiden Rechner sind über einen VPN-Tunnel verbunden. Abbildung 7: Erfolgreicher Verbindungsaufbau Die VPN-Verbindung lässt sich mit F4 wieder beenden! 8

11 2.6.1 Übung: End-to-End-Tunnel 1. Überprüfen Sie von beiden PC die Erreichbarkeit der gegenüberliegenden IP-Adresse der physikalischen Schnittstelle und der gegenüberliegenden VPN-IP-Adresse. 2. Ermitteln Sie mittels Ipconfig /all den Eintrag Beschreibung der physikalischen- und der VPN- Schnittstelle. Physikalische Schnittstelle VPN-Schnittstelle 3. Starten Sie auf PC1 ein ping zur IP-Adresse der physikalischen Schnittstelle von PC2. Ermitteln Sie mit Wireshark, über welche Schnittstelle an PC1 der Netzwerkverkehr gesendet wird. Physikalische Schnittstelle VPN-Schnittstelle 4. Starten Sie auf PC1 ein ping zur VPN-IP-Adresse von PC2. Ermitteln Sie mit Wireshark, über welche Schnittstelle an PC1 der Netzwerkverkehr gesendet wird. Physikalische Schnittstelle VPN-Schnittstelle 5. Starten Sie von PC1 ein ping zur VPN-IP-Adresse von PC2. Untersuchen Sie mit Wireshark den Netzwerkverkehr auf der physikalischen Schnittstelle und der VPN-Schnittstelle. Listen Sie für jede Schnittstelle das benutzte Protokoll (der höchsten OSI-Schicht) auf. Protokoll auf der VPN-Schnittstelle Protokoll auf der physikalischen Schnittstelle 6. Starten Sie auf PC1 den Befehl route print. Dokumentieren Sie den Routingeintrag, der für das ping von PC1 zur VPN- IP-Adresse von PC2 zuständig ist. Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl 9

12 2.6.2 Übung: Konfigurationsdateien erstellen Beenden Sie alle bestehenden Verbindungen. Schreiben Sie die oben verwendeten Befehle für Ihren PC in eine Datei mit der Endung.ovpn (z.b. pc1.ovpn). Schreiben Sie einen Befehl pro Zeile ohne die beiden Minuszeichen. Kopieren Sie diese Datei jeweils in den OpenVPN config-ordner. Es darf nur ein Befehl pro Zeile stehen! Die Bindestriche und der Befehl openvpn fallen weg! Starten Sie die Verbindung über einen Rechtsklick auf die Konfigurationsdatei. Überprüfen Sie den erfolgreichen Verbindungsaufbau. Dokumentation: Fügen Sie ihren Konfigurationsdateien eine Kopfzeile hinzu und erläutern Sie (möglichst) jede Einstellung mit einer eigenen Dokumentationszeile. ################################################# # OpenVPN Server Configuration # BZTG MRA/RSE ################################################# # Verbindungen dev tun Start der Verbindung mit OpenVPN GUI Starten sie auf PC1 das Tool OpenVPN GUI mit Administratorrechten. In der Taskleiste erscheint dann ein neues Symbol. Klicken sie mit der rechten Maustaste auf das Symbol und es erscheint ein Menü. Wenn alles an der richtigen Stelle eingetragen worden ist, erscheint an der obersten Stelle der Eintrag Connect. Nach dem Klicken auf Connect wird die OpenVPN-Verbindung gestartet und es erscheinen zahlreiche Einträge im Log-Fenster. Auf PC2 wird dann analog die Gegenstelle der VPN-Verbindung gestartet. Hat alles geklappt, erscheint im Log-Fenster ein Initialization Sequence Complete und die beiden Rechner sind über einen VPN-Tunnel verbunden. Abbildung 8: GUI und erfolgreicher Verbindungsaufbau (PC1 mit PC2) Benutzen Sie für das Editieren und den Verbindungsstart zukünftig OpenVPN GUI! 10

13 2.7 Verbindungen symmetrischer Verschlüsselung Bisher können die Nachrichten, die über den VPN-Tunnel geschickt werden relativ leicht mitgelesen werden. Damit dies nicht passieren kann, müssen die Daten verschlüsselt werden. Eine Möglichkeit ist die Verwendung von symmetrischen Schlüsseln. Kennzeichen von symmetrischen Schlüsseln ist, dass beide Kommunikationspartner zum Ver- und Entschlüsseln den gleichen Schlüssel verwenden. Diesen Schlüssel nennt man auch statischen Schlüssel oder Preshared Key. Abbildung 9: Verbindung mit einem symmetrischen Schlüssel Ein statischer Schlüssel kann mit OpenVPN erzeugt werden und muss dann auf sicherem Wege auf die Teilnehmer verteilt werden. Im einfachsten Fall über einen passwortgeschützte ZIP-Datei. Ein mit OpenVPN erzeugter statischer Schlüssel steht in einer Textdatei und hat folgendes Aussehen: # # 2048 bit OpenVPN static key # -----BEGIN OpenVPN Static key V f07f8615b7e5d7d560f792715d31f eb83bbfbad762d4af2e7a68dc163e d02a41825db1f1eb091f46 50b410d56e4de26e8d70836c9e28b578 1be2b6b04a0fd35e269bf61c895225e1 e39709c75e10697eafe74aca924892e2 0ca1222a43c211fd3c387e5ae79953d cf774ae779d9c0ccd7a8dd0f3 5e8932fa498fff16dab754a0b8b5bac6 de9bb2bafddc1acaff7757dc0f0a ce543ca ba8d8d07c5d ac8527be3d9e30e8c69d5fca2e f41082a6ded3d7a aebf5522d ed376a674957eb75dc6894ea77b27fe af48f33ed69a5ec352dd0e b872b7cd3bb97edbbab7ad4ee1c -----END OpenVPN Static key V

14 2.7.1 Übung: Tunnel mit symmetrischer Verschlüsselung 1. Erstellen Sie auf PC1 mit dem folgenden Befehl einen statischen Schlüssel und kopieren Sie ihn auf PC2. Der Schlüssel wird üblicherweise im Ordner C:\Programme\OpenVPN\config\ abgelegt. 2. Ergänzen Sie die Konfigurationsdateien auf beiden PC durch folgenden Befehl: secret C:\\Programme\\OpenVPN\\config\\static_key.txt Testen Sie die Verbindung. 3. Der in der Datei static_key.txt abgespeicherte Schlüssel besteht aus ASCII-Zeichen. Weisen Sie rechnerisch nach, dass der Schlüssel 2048 Bit lang ist! 4. Ändern Sie in einem der beiden statischen Keys das letzte Zeichen. Bauen Sie anschließend die Verbindung neu auf (Disconnect und Connect auf beiden PC). Die Verbindung funktioniert: Ja Nein 5. Ändern Sie in einem der beiden statischen Keys das erste Zeichen. Bauen Sie anschließend die Verbindung neu auf. Die Verbindung funktioniert: Ja Nein 6. Finden Sie heraus, wie viele Schlüsselbits zur Verschlüsselung benutzt werden. Verwendete Schlüssellänge: Bits 7. Ihr Chef möchte, dass zukünftig 20 Außendienstmitarbeiter über VPN-Tunnel mit symmetrischer Verschlüsselung arbeiten. Sie als Informatiker bekommen Bauchschmerzen bei dem Gedanken. Warum? 12

15 2.8 Asymmetrische Verschlüsselung Sollen mehrere Clients auf einen Server zugreifen, ist eine asymmetrische Verschlüsselung sinnvoll. Bei asymmetrischer Verschlüsselung wird ein Schlüsselpaar, bestehend aus einem öffentlichen Schlüssel (Public Key) und einen geheimen privaten Schlüssel (Private Key) benutzt. Daten, die mit einem öffentlichen Schlüssel verschlüsselt werden, können nur mit dem zugehörigen privaten Schlüssel entschlüsselt werden! Da ein öffentlicher Schlüssel von jedem erstellt und z.b. unter anderem Namen weitergegeben werden kann, muss die Echtheit des öffentlichen Schlüssels von einer Zertifizierungsstelle (Certification Authority - CA) beglaubigt werden. Der öffentliche Schlüssel wird dadurch zu einem Zertifikat. Ein Zertifikat ist also ein öffentlicher Schlüssel, bei dem eine Zertifizierungsstelle (Certification Authority - CA) mit ihrer digitalen Unterschrift bestätigt, dass die angegebene Identität korrekt ist. Speziell hierzu haben sich die X.509-Zertifikate 2 etabliert (standardisiert von der International Telecommunications Union (ITU) und der ISO). Bei einem Anmeldevorgang sendet der Client zunächst den öffentlichen Schlüssel (in Form eines Zertifikats) an den Server. Der Server überprüft die Echtheit anhand des Stammzertifikats der Zertifizierungsstelle. Wenn es glaubwürdig ist, erfolgt die Anmeldung. Der Server verschlüsselt seine Antworten mit dem Zertifikat (dem öffentlichen Schlüssel) des Clients und sendet ihm seinen eigenen öffentlichen Schlüssel in Form eines Zertifikats zu. Dieser entschlüsselt die Daten mit seinem privaten Schlüssel und verschlüsselt seine Daten nun mit dem Zertifikat des Servers. Da die Ver- und Entschlüsselung sehr lange dauern würde, wird nach erfolgreicher Verbindung ein temporärer, statischer Schlüssel erzeugt. Dieser wird mit dem Diffie-Hellman-Parameter ausgetauscht und die Pakete werden dann mit diesem verschlüsselt. Abbildung 10: Asymmetrische Verschlüsselung 2 Kostenlose Zertifikate für den -Verkehr 13

16 Ausgehend von der bisherigen Konfiguration soll im nächsten Schritt ein asymmetrisch verschlüsselter VPN-Tunnel zwischen einem Client und einem Server aufgebaut werden. Sowohl der Server als auch jeder angeschlossene Client benötigt dazu ein Schlüsselpaar, bestehend aus einem privaten und einem öffentlichen Schlüssel (Zertifikat). Außerdem werden wir eine eigene Zertifizierungsstelle erzeugen, die unsere selbst erstellten Zertifikate beglaubigt. Auch hierfür müssen wir ein Schlüsselpaar erzeugen. Server Internet Client VPN-IP PHYS-IP PHYS-IP VPN-IP Erstellen von Zertifikaten Das OpenVPN-Paket liefert eine Script-Sammlung (easy-rsa) mit, um eine einfache Installation einer zertifikatsbasierten Verbindung zu erstellen. Die Befehle zur Erstellung der Zertifikate werden nur auf dem Server ausgeführt! Die erzeugten Schlüssel werden später auf die Clients kopiert! Folgende Schritte sind zur Installation des Zertifikatsservers und zur Erzeugung der Schlüssel und Zertifikate erforderlich: 1. Wechseln sie in den Ordner easy-rsa (C:\Programme\OpenVPN\easy-rsa). 2. Erstellen sie hier einen Ordner mit dem Namen Keys. 3. Nun muss mit folgendem Befehl eine Erstkonfiguration durchgeführt werden. 4. Die folgenden Daten werden bei der Zertifikatserzeugung immer wieder benötigt und deshalb mit Hilfe der Batchdatei vars.bat als DOS-Umgebungsvariablen gesetzt. Editieren sie die Datei vars.bat und ändern sie folgende Zeilen: Ändern!! set KEY_COUNTRY=DE set KEY_PROVINCE=Niedersachsen set KEY_CITY=Oldenburg set KEY_ORG=BZTG set set KEY_CN=CA-Oldenburg set KEY_NAME=??? set KEY_OU=Schule 14

17 5. Starten Sie die Batchdatei vars.bat (im Verzeichnis C:\Programme\OpenVPN\easy-rsa ). 6. Kontrollieren Sie mit Hilfe des Befehls set, ob die DOS-Umgebungsvariablen richtig gesetzt sind. Starten Sie die Datei vars.bat jedes Mal, wenn Sie eine Eingabeaufforderung (DOS-Box) öffnen! 7. Führen sie zu zunächst folgende Batch-Datei aus: clean-all.bat Damit werden eventuell vorhandene alte Schlüssel gelöscht! 8. Die Zertifizierungsstelle wird folgendem Befehl erstellt: build-ca.bat Sie können alle Einstellungen mit Enter bestätigen. Lediglich der Name der Zertifizierungsstelle muss eingegeben werden. Name [???]: ca Abbildung 11: Zertifizierungsstelle wird erzeugt 15

18 9. Nun wird für den Server mit folgendem dem Befehl ein Zertifikat erstellt. build-key-server.bat server Sie können alle Einstellungen mit Enter bestätigen. Lediglich der Zertifikatsname Name [???]: server muss eingegeben werden. Alle anderen Einstellungen (auch das Passwort) können einfach mit Enter bzw. y bestätigt werden. Abbildung 12: Erstellung des Serverzertifikates 10. Nun wird für den Client mit folgendem Befehl ein Zertifikat erstellt. build-key.bat client Sie können alle Einstellungen mit Enter bestätigen. Lediglich der Zertifikatsname Name [???]: Client muss eingegeben werden. Alle anderen Einstellungen (auch das Passwort) können einfach mit Enter bzw. y bestätigt werden Abbildung 13: Client-Key und Zertifikat erzeugen Dieser Vorgang muss für jeden Client wiederholt werden! 16

19 11. Der Diffie-Hellmann-Algorithmus wird dazu benutzt, einen symmetrischen Schlüssel zu erzeugen, der später für eine schnelle Verschlüsselung benutzt wird. Hierzu wird ein DH-Parameter benötigt, der mit dem Befehl build-dh erzeugt wird. Achtung: Die Erzeugung des Parameters kann je nach Rechner einige Zeit dauern! Hier noch einmal die eingegebenen Befehle im Überblick: Abbildung 14: Erzeugung des DH-Parameters init-config.bat (Nur nach der Neuinstallation) vars.bat clean-all.bat build-ca.bat build-key-server.bat server build-key.bat client build-dh Damit sind alle relevanten Zertifikate und Schlüssel erzeugt worden und können auf die jeweiligen PCs verteilt werden. Die folgende Tabelle zeigt alle relevanten Dateien und deren Bestimmungsort. Hierbei ist das Zertifikat (crt) immer der öffentliche Schlüssel und die key -Datei der private Schlüssel. Nr. Dateiname Beschreibung Wo gebraucht? Geheim? 1 client.crt Client Zertifikat Client1 Öffentlich 2 client.key Client Schlüssel Client1 Geheim 3 server.crt Server Zertifikat Server Öffentlich 4 server.key Server Schlüssel Server Geheim 5 dh1024.pem Diffie Hellman Server Öffentlich 6 ca.crt Parameter Root CA Zertifikat Server Client Öffentlich 7 ca.key Root CA Schlüssel Zertifikataussteller Geheim ca.crt server.crt server.key dh1024.pem Server-Dateien ca.crt client.crt client.key Client-Dateien 17

20 2.8.2 Konfiguration des Servers Bevor die Konfigurationsdatei erstellt werden kann, müssen die Zertifikate und Keys auf den Server kopiert werden. Erstellen sie dafür einen Ordner z.b. C:\Programme\OpenVPN\server-keys und kopieren sie die oben in der Tabelle genannten Dateien in diesen Ordner. Hierbei ist das Zertifikat (crt) immer der öffentliche Schlüssel und die key -Datei der private Schlüssel. Erstellen sie im Ordner C:\Programme\OpenVPN\config mit einem Editor eine Datei mit dem Namen server.ovpn und folgendem Inhalt: ################################################# # OpenVPN Server Konfiguration mit DHCP # BZTG MRA/RSE 2012 ################################################# # Server-Setup tls-server dev tun0 # Verbindungen ifconfig # Zertifikate dh C:\\Programme\\OpenVPN\\server-keys\\dh1024.pem ca C:\\Programme\\OpenVPN\\server-keys\\ca.crt cert C:\\Programme\\OpenVPN\\server-keys\\server.crt key C:\\Programme\\OpenVPN\\server-keys\\server.key # Logging verb 3 Erklärung der zusätzlichen Befehle: tls-server dh C:\\Programme\\OpenVPN\\server-keys\\dh1024.pem ca C:\\Programme\\OpenVPN\\server-keys\\ca.crt Der PC wird TLS-Authentifizierungsserver Ort und Name der DH-Datei Ort und Name des Root-Zertifikats cert C:\\Programme\\OpenVPN\\server-keys\\server.crt Ort und Name des öffentlichen Schlüssels key C:\\Programme\\OpenVPN\\server-keys\\server.key Ort und Name des Privaten Schlüssels 18

21 2.8.3 Konfiguration des Clients Bevor die Konfigurationsdatei erstellt werden kann, müssen die Zertifikate und Keys auf Client1 kopiert werden. Erstellen sie dafür einen Ordner z.b. C:\Programme\OpenVPN\client-keys und kopieren sie die oben in der Tabelle genannten Dateien in diesen Ordner. Erstellen sie im Ordner C:\Programme\OpenVPN\config mit einem Editor eine Datei mit dem Namen client.ovpn und folgendem Inhalt: ################################################# # OpenVPN Client Konfiguration mit DHCP # BZTG MRA/RSE 2012 ################################################# # Client-Setup tls-client dev tun0 # Verbindungen remote ifconfig # Zertifikate ca C:\\Programme\\OpenVPN\\client-keys\\ca.crt cert C:\\Programme\\OpenVPN\\client-keys\\client.crt key C:\\Programme\\OpenVPN\\client-keys\\client.key # Logging verb 3 Erklärung der zusätzlichen Befehle: tls-client remote Der Client authentifiziert sich an einem TLS-Server. IP-Adresse der VPN-Gegenstelle ( Server) 19

22 1. Starten Sie die VPN-Verbindung und testen sie die Verbindung. 2. Öffnen Sie das Stammzertifikat unserer erstellten Zertfizierungsstelle mit einem Doppelklick auf die Datei ca.crt. Vergleichen Sie den Inhalt des Reiters Allgemein mit einem kommerzeillen Stammzertifikat der Firma VeriSign (über die Optionen eines Browsers erreichbar). Abbildung 15: Zertifikate Was ist der wesentliche Unterschied der beiden Zertifikate? 20

23 2.9 Multiclient-Konfiguration Wenn mehrere Clients gleichzeitig eine Verbindung zum VPN-Server aufbauen sollen, muss der Server die IP-Adressen für die Clients automatisch verteilen (DHCP) Server-Konfiguration In der folgenden Konfiguration sind die neuen Befehle rot markiert. ################################################# # OpenVPN Server Konfiguration mit DHCP # BZTG MRA/RSE 2010 ################################################# # Server-Setup tls-server dev tun0 # Modus Server und DHCP server # Zertifikate dh C:\\Programme\\OpenVPN\\server-keys\\dh1024.pem ca C:\\Programme\\OpenVPN\\server-keys\\ca.crt cert C:\\Programme\\OpenVPN\\server-keys\\server.crt key C:\\Programme\\OpenVPN\\server-keys\\server.key # Logging verb 3 Erklärung der zusätzlichen Befehle: server Konfiguration von DHCP auf dem Server. Die erste Adresse aus dem IP-Bereich erhält der Server. 21

24 2.9.2 Client-Konfigurationen Für jeden Client muss eine eigene Konfigurationsdatei und die entsprechenden Zertifikate und Schlüssel erstellt werden. In der folgenden Konfiguration sind die neuen Befehle rot markiert. Erstellen Sie die Konfiguration für Client1 und Client2. ################################################# # OpenVPN Client1 Konfiguration DHCP # BZTG MRA/RSE 2010 ################################################# # Clientkonfiguration tls-client dev tun0 # Verbindungen remote pull # Zertifikate ca C:\\Programme\\OpenVPN\\client1-keys\\ca.crt cert C:\\Programme\\OpenVPN\\client1-keys\\client1.crt key C:\\Programme\\OpenVPN\\client1-keys\\client1.key # Logging verb 3 Erklärung der zusätzlichen Befehle: Pull Umschalten in den Client-Modus 1. Starten Sie die Konfiguration auf beiden PCs, fassen Sie die IP-Adressen und Subnetmasken in der Tabelle zusammen und testen sie die Verbindung, in dem sie alle IPs anpingen. IP Server (physikalisch) IP Client 1 (physikalisch) IP Client 2 (physikalisch) IP Server (TUN) IP Client 1 (TUN) IP Client 2 (physikalisch) 2. Greifen sie mit dem Remote-Desktop vom Client auf den Server zu. 22

25 3. Im folgenden Bild ist eine Routing-Tabelle abgebildet, die bei einem Client mit route print erzeugt wurde. Abbildung 16: Routing-Tabelle Client Unter der IP-Adresse ist der Server zu erreichen, der Client hat die IP-Adresse und das Ende des Tunnels hat die Adresse a. Erklären Sie die Routing-Einträge 3,4 und 6. b. Was bedeutet die Subnetmaske c. Welche Bedeutung hat der Routing-Eintrag 5? d. Zu welchem Gerät gehört die Adresse des Standardgateways? e. Welche IP-Adresse hat der Client-PC auf seiner physikalischen Schnittstelle? 4. Lassen sie sich bei einem ihrer Client die Routing-Tabelle anzeigen und vergleichen sie ihre Daten. 23

26 2.10 Tunnel vom Client in das Network (End-to-Site) Möchte ein externer Mitarbeiter, von zu Hause auf das interne Netzwerk einer Firma zugreifen, so muss eine Client-to-Network -Konfiguration aufgesetzt werden. PC_Intern PHYS-IP VPN-Server Internet PC_Extern PHYS-IP VPN-IP PHYS-IP PHYS-IP VPN-IP X Für ein End-to-Site -VPN-Netzwerk muss die Konfiguration um zwei Funktionen erweitert werden: 1. Der VPN-Server muss als Router arbeiten und zwischen dem externen Netz und dem internen Netz routen. 2. Auf dem externen PC muss der Weg zum internen Netzwerk bekannt sein. Dazu kann auf dem externen PC die VPN-Schnittstelle als Standardgateway gesetzt werden - dann wird jedoch auch der gesamte Verkehr in das Internet über die VPN- Schnittstelle gesendet. Wir wollen hier stattdessen gezielt eine Route zum Firmennetzwerk einrichten, so dass der Internetverkehr über das bisherige Standardgateway weiter funktioniert. 24

27 Windows-XP als Router Damit ein Windows-XP-Rechner als Router arbeitet, muss in der registry (regedit) der Eintrag IPEnableRouter auf 1 gesetzt werden. 25

28 Server-Konfiguration In der folgenden Konfiguration sind die neuen/geänderten Konfigurationszeilen rot markiert. ################################################# # OpenVPN Server Konfiguration mit C2N # BZTG MRA/RSE 2010 ################################################# # Server-Setup tls-server dev tun0 # Modus Server und DHCP server # Route an Client verteilen push "route " # Zertifikate dh C:\\Programme\\OpenVPN\\server-keys\\dh1024.pem ca C:\\Programme\\OpenVPN\\server-keys\\ca.crt cert C:\\Programme\\OpenVPN\\server-keys\\server.crt key C:\\Programme\\OpenVPN\\server-keys\\server.key # Logging verb 3 Erklärung der zusätzlichen Befehle: push route " Eine Route an den Client übertragen. Der Client bekommt die Route, wenn er im Pull-Modus läuft Client-Konfiguration ################################################# # OpenVPN Server Konfiguration mit C2N # BZTG MRA/RSE 2010 ################################################# # Clientkonfiguration tls-client dev tun0 # Verbindungen remote pull # Zertifikate ca C:\\Programme\\OpenVPN\\client1-keys\\ca.crt cert C:\\Programme\\OpenVPN\\client1-keys\\client1.crt key C:\\Programme\\OpenVPN\\client1-keys\\client1.key # Logging verb 3 26

29 Quellen: