In diesem Beitrag zeige ich, wie man unter Ubuntu einen OpenVPN-Server aufsetzt und die Clients sich mit einer Benutzer-Anmeldung authentifizieren. Der Internet-Traffic wird über den Server getunnelt.

Ubuntu auf den neuesten Stand bringen

Stelle sicher, dass dein OS auf dem neuesten Stand ist. Installiere zunächst alle Updates.

sudo apt-get update

sudo apt-get upgrade -y

OpenVPN installieren

Verwende folgende Befehle, um OpenVPN zu installieren und die dazugehörigen Verzeichnisse anzulegen.

sudo apt-get install -y openvpn openssl

sudo mkdir -p /etc/openvpn/server

sudo mkdir -p /var/log/openvpn

sudo cp /usr/share/doc/openvpn/examples/sample-keys/openssl.cnf /etc/openvpn/server/

Schlüssel und Zertifikate generieren

Erstelle eine gen.sh:

sudo nano gen.sh

Füge in diese Datei folgenden Inhalt ein (Quelle: medium.com)

#!/bin/bash
# Copyright © 2014 Steffan Karger <steffan@karger.me>

if [[ $EUID -ne 0 ]]; then
   echo "This script must be run as root" 
   exit 1
fi

set -eu

command -v openssl >/dev/null 2>&1 || { echo >&2 "Unable to find openssl. Please make sure openssl is installed and in your path."; exit 1; }

if [ ! -f openssl.cnf ]
then
	echo "Please run this script from the sample directory"
	exit 1
fi

# Generate static key for tls-auth (or static key mode)
openvpn --genkey --secret ta.key

# Create required directories and files
mkdir -p sample-ca
rm -f sample-ca/index.txt
touch sample-ca/index.txt
touch sample-ca/index.txt.attr
echo "01" > sample-ca/serial


# Generate CA key and cert
openssl req -new -newkey rsa:4096 -days 3650 -nodes -x509 \
	-extensions easyrsa_ca -keyout sample-ca/ca.key -out sample-ca/ca.crt \
	-subj "/C=VN/ST=SAIGON/L=SAIGON/O=OpenVPN-TEST/emailAddress=vpn@test.net" \
	-config openssl.cnf

# Create server key and cert
openssl req -new -nodes -config openssl.cnf -extensions server \
	-keyout sample-ca/server.key -out sample-ca/server.csr \
	-subj "/C=VN/ST=SAIGON/O=OpenVPN-TEST/CN=VPN-Server/emailAddress=vpn@test.net"

openssl ca -batch -config openssl.cnf -extensions server \
	-out sample-ca/server.crt -in sample-ca/server.csr

# Generate DH parameters
openssl dhparam -out dh2048.pem 2048

cp /etc/openvpn/server/dh2048.pem /etc/openvpn/
cp /etc/openvpn/server/sample-ca/server.crt /etc/openvpn/server/sample-ca/server.key /etc/openvpn/server/sample-ca/ca.crt /etc/openvpn/

Mache das Script ausführbar und führe es anschließend aus:

sudo chmod +x gen.sh

sudo ./gen.sh

OpenVPN-Server Config erstellen

Nun wird die serverseitige Config-File von OpenVPN erzeugt. Einige Zeilen können nach belieben angepasst werden, wie beispielsweise der DNS-Server, welcher verwendet werden soll.

/etc/openvpn/server.conf

Füge diesen Inhalt ein:

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
client-cert-not-required
username-as-common-name
plugin /usr/lib/x86_64-linux-gnu/openvpn/plugins/openvpn-plugin-auth-pam.so /etc/pam.d/login
push "redirect-gateway def1"
push "dhcp-option DNS 1.1.1.1"
push "dhcp-option DNS 9.9.9.9"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
log-append /var/log/openvpn/openvpn.log
verb 3

Stelle sicher, dass die Datei in der Zeile mit plugin existiert. Falls nicht, sind hier 3 weitere mögliche Pfade:

/usr/lib/x86_64-linux-gnu/openvpn/plugins/openvpn-plugin-auth-pam.so

/usr/lib/openvpn/openvpn-plugin-auth-pam.so

/usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so

Services starten

Jetzt ist es an der Zeit, den OpenVPN-Server zu starten und ihn automatisch beim Systemstart starten zu lassen:

sudo systemctl start openvpn@server

sudo systemctl enable openvpn@server

iptables konfigurieren

Damit NAT und Tunneling funktioniert, muss jetzt noch iptables konfiguriert werden. Diese Regeln werden gespeichert, damit sie für den nächsten Systemneustart beibehalten bleiben:

sudo echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf

sudo sysctl -p

sudo iptables -A FORWARD -i eth0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT

sudo iptables -A FORWARD -s 10.8.0.0/24 -o eth0 -j ACCEPT

iptables -t nat -A POSTROUTING -j MASQUERADE

sudo apt-get install -y iptables-persistent

sudo iptables-save > /etc/iptables/rules.v4

User anlegen

Die Server-Konfiguration ist jetzt abgeschlossen. Jetzt wird ein neuer User angelegt, welcher sich später für die VPN-Verbindung authentifizieren soll.

sudo adduser vpnuser

sudo echo "DenyUsers vpnuser" >> /etc/ssh/sshd_config

sudo systemctl reload sshd.service

Client-Config anlegen

Kopiere nun den Inhalt von /etc/openvpn/ca.crt in die Zwischenablage. Du brauchst diesen gleich.

Erstelle lokal eine neue Datei, welche für die OpenVPN-Config darstellt. Diese muss mit .ovpn enden. Füge dort diesen Inhalt ein:

client
nobind
dev tun
redirect-gateway def1
remote VPN_SERVER_IP_HIER 1194 udp
comp-lzo yes
auth-user-pass
auth-nocache
remote-cert-tls server
<ca>
ca.crt INHALT_HIER
</ca>

In Zeile 5 wird die IP-Adresse des Servers eingetragen.

In Zeile 11 fügst du den Inhalt von /etc/openvpn/ca.crt ein.

Speichere die Datei ab.

Das war's. Die Client-Config muss nun bei dem Client importiert werden, welcher die VPN-Verbindung aufbauen möchte. Anschließend wird sich mit diesem Server verbunden und er muss sich mit Benutzername und Passwort anmelden, um die Verbindung aufzubauen.

Client-Zertifikat unter Windows importieren

Ist OpenVPN auf dem Windows-Client installiert, findet sich in der Taskleiste ein weiteres Symbol:

Darauf wird ein Rechtsklick gemacht und im Kontextmenü Datei importieren ausgewählt. Navigiere zu der Datei und wähle diese aus.

Um sich nun mit dem VPN zu verbinden, machst du erneut einen Rechtsklick auf das Icon und klickst oben auf Verbinden. Ein neues Fenster erscheint. Melde dich mit dem Benutzernamen und Passwort an.

Zum Trennen der Verbindung wird im Kontextmenü von OpenVPN Trennen angeklickt.

Alle importierten Client-Zertifikat finden sich unter:

C:\Benutzer\BENUTZER\OpenVPN\config\

Client-Zertifikat unter Android importieren

Für Android benötigt man die App OpenVPN für Android aus dem Google Play Store, außerdem das für das Gerät erstellte Client-Zertifikat.

Starte diese und wähle im Menü OVPN Profile aus. Navigiere zu dem Pfad, wo sich das Client-Zertifikat befindet, und wähle es aus. Klicke anschließend oben rechts auf IMPORT.

Als nächstes kannst du der VPN-Verbindung noch einen Namen geben sowie deinen Benutzernamen eingeben. Klicke dann auf ADD.

In der OVPN Profiles Übersicht kannst du nun einfach auf die Verbindung klicken, um die Verbindung aufzubauen.

Windows Autostart: Verbindung bei Systemstart aufbauen

Möchte man, dass OpenVPN direkt nach der Windows-Anmeldung automatisch eine Verbindung aufbaut, muss man eine Verknüpfung im Autostart-Ordner erstellen. Als Speicherort des Elements wird folgender Pfad angegeben, für das Parameter connect wird der Name des Profils mit Dateiendung angegeben:

"C:\Program Files\OpenVPN\bin\openvpn-gui.exe" --connect "PROFIL_NAME.ovpn"

Wie funktioniert diese VPN-Verbindung?

Sobald die VPN-Verbindung besteht, läuft der gesamte Traffic des Clients über den VPN-Server. Deine IP-Adresse im Internet ist nun die des Servers, deine eigentliche IP-Adresse erfährt keiner.

Die Daten vom Client werden verschlüsselt zum VPN-Server übertragen, der Internet-Provider bzw. Inhaber des WLANs kann daher nicht sehen, was der Client im Internet macht.

Der VPN-Server überträgt nun die Anfragen vom Client in das Internet und leitet die Antworten wieder an den Client weiter.