Einführung
Möchten Sie von Ihrem Smartphone oder Laptop aus sicher auf das Internet zugreifen, wenn Sie sich mit einem nicht vertrauenswürdigen Netzwerk verbinden (z. B. WLAN in einem Hotel oder Café)? Glücklicherweise gibt es eine Möglichkeit, Ihnen diesen Wunsch zu erfüllen. Sie können sich sicher mit einem nicht vertrauenswürdigen Netzwerk verbinden, als ob Sie sich in einem privaten Netzwerk befinden würden, und zwar über ein Virtuelles Privates Netzwerk (VPN).
Was ist ein VPN?
VPN steht für Virtual Private Network (Virtuelles Privates Netzwerk). Es bietet die Möglichkeit, einen sicheren Tunnel zu einem vertrauenswürdigen Server aufzubauen. Alle Anfragen werden dann über diesen Server gesendet und empfangen. Der Vorteil liegt in der Absicherung Ihres Zugangs und Ihrer Transaktionen bei der Nutzung öffentlicher Netzwerke, wie z. B. dem kostenlosen WLAN in einem Hotel.
Durch das VPN werden alle Daten verschlüsselt und über den Server verarbeitet. Dazwischengeschaltete Geräte wie Router von Drittanbietern und Ähnliches haben keine Möglichkeit, den Datenverkehr an unerwünschte Ziele umzuleiten. Sobald die Verbindung erfolgreich hergestellt wurde, sind Sie außerdem Teil des Netzwerks des Servers. Andere Server, Computer oder Geräte wie Drucker, die normalerweise nur im lokalen Netzwerk des Servers erreichbar wären, können nun ebenfalls über den VPN-Tunnel erreicht werden. Da jedoch nicht alle Daten durch einen verschlüsselten Tunnel gesendet werden müssen, ist es möglich, den VPN-Client so zu konfigurieren, dass nur ein definierter Teil der Anfragen durch den VPN-Tunnel gesendet wird. Der restliche Datenverkehr wird normal über das Internet abgewickelt.
In dieser Anleitung führen wir Sie durch die Schritte zur Einrichtung eines OpenVPN-Servers auf Ubuntu 18.04.
Voraussetzungen
Sie müssen Zugriff auf einen Ubuntu 18.04-Server haben, um Ihren OpenVPN-Dienst zu hosten, um diese Anleitung abzuschließen. Bevor Sie mit dieser Anleitung beginnen, müssen Sie außerdem einen Nicht-Root-Benutzer mit sudo-Rechten konfigurieren. Sie können Ihren Server ganz einfach installieren, indem Sie unserer Anleitung zur Einrichtung eines Ubuntu-Servers folgen.
Zusätzlich benötigen Sie einen separaten Computer, der als Zertifizierungsstelle (CA) fungiert. Technisch gesehen können Sie Ihren OpenVPN-Server oder Ihren lokalen Computer als Zertifizierungsstelle verwenden. Wir empfehlen dies jedoch nicht, da dies Ihr VPN für Sicherheitslücken anfällig macht. Gemäß der offiziellen OpenVPN-Dokumentation sollten Sie die Zertifizierungsstelle auf einem separaten Computer einrichten, der ausschließlich für das Importieren und Signieren von Zertifikatsanfragen vorgesehen ist. Wir gehen daher davon aus, dass sich Ihre Zertifizierungsstelle auf einem separaten Ubuntu 18.04-Server befindet, der ebenfalls über einen Nicht-Root-Benutzer mit sudo-Rechten und eine einfache Firewall verfügt. In dieser Anleitung werden alle Installations- und Konfigurationsschritte für jede der Installationen so einfach wie möglich gehalten. Sie können auch einen Blick auf unsere Anleitung zur Einrichtung eines OpenVPN-Servers unter Docker werfen.
Schritt 1 – OpenVPN und EasyRSA installieren
Aktualisieren Sie zunächst den Paketindex Ihres VPN-Servers und installieren Sie OpenVPN. Sie können OpenVPN mit apt installieren, da es in den Standard-Ubuntu-Repositories verfügbar ist:
|
1 2 |
sudo apt update sudo apt install openvpn |
Schritt 2: Erstellen einer Zertifizierungsstelle
Erstellen Sie eine einfache Zertifizierungsstelle (CA), um vertrauenswürdige Zertifikate für den OpenVPN-Server auszustellen. Laden Sie dazu die neueste Version von EasyRSA sowohl auf Ihren CA-Rechner als auch auf den OpenVPN-Server mit wget herunter. Um die neueste Version zu erhalten, rufen Sie die Releases-Seite des offiziellen EasyRSA-GitHub-Projekts auf, kopieren Sie den Download-Link für die Datei mit der Endung .tgz und fügen Sie ihn in den folgenden Befehl ein:
|
1 |
wget -P ~/ https://github.com/OpenVPN/easy-rsa/releases/download/v3.0.4/EasyRSA-3.0.4.tgz <span class="s1">--no-check-certificate</span> |
Entpacken Sie anschließend den Tarball:
|
1 2 |
cd ~ tar xvf EasyRSA-3.0.4.tgz |
An diesem Punkt wurde die gesamte erforderliche Software erfolgreich auf Ihrem CA-Computer und Server installiert.
Schritt 3 – EasyRSA-Variablen konfigurieren und die CA erstellen
EasyRSA wird mit einer Konfigurationsdatei geliefert, die Sie bearbeiten können, um mit diesem Befehl eine Reihe von Variablen für Ihre CA zu definieren:
|
1 |
cd ~/EasyRSA-3.0.4/ |
In dem Verzeichnis befindet sich eine Datei mit dem Namen vars.example. Erstellen Sie eine Kopie dieser Datei und nennen Sie die Kopie vars ohne Dateiendung:
|
1 |
cp vars.example vars |
Verwenden Sie Ihren bevorzugten Texteditor, um diese neue Datei zu öffnen:
|
1 |
nano vars |
Suchen Sie als Nächstes nach den Einstellungen, die Standardwerte für Felder neuer Zertifikate festlegen. Dies wird in etwa so aussehen:
|
1 2 3 4 5 6 |
#set_var EASYRSA_REQ_COUNTRY "US" #set_var EASYRSA_REQ_PROVINCE "California" #set_var EASYRSA_REQ_CITY "San Francisco" #set_var EASYRSA_REQ_ORG "Copyleft Certificate Co" #set_var EASYRSA_REQ_EMAIL "me@example.net" #set_var EASYRSA_REQ_OU "My Organizational Unit" |
Aktualisieren Sie diese Variablen nach Ihren Wünschen, wie unten gezeigt:
|
1 2 3 4 5 6 |
set_var EASYRSA_REQ_COUNTRY "SL" set_var EASYRSA_REQ_PROVINCE "Zurich" set_var EASYRSA_REQ_CITY "Zurich City" set_var EASYRSA_REQ_ORG "CloudSigma" set_var EASYRSA_REQ_EMAIL "admin@example.com" set_var EASYRSA_REQ_OU "Community" |
Speichern und schließen Sie die Datei, sobald Sie fertig sind. Der nächste Schritt besteht darin, das easyrsa-Skript aufzurufen und mit der Option init-pki auszuführen, um die Public-Key-Infrastruktur auf dem CA-Server zu initiieren:
|
1 |
./easyrsa init-pki |
Führen Sie als Nächstes den Befehl build-ca mit der Option nopass aus, damit Sie nicht bei jeder Interaktion mit Ihrer CA nach einem Passwort gefragt werden:
|
1 |
./easyrsa build-ca nopass |
In der Ausgabe werden Sie aufgefordert, den Common Name für Ihre CA zu bestätigen:
Damit ist Ihre CA eingerichtet und bereit, Zertifikatsanfragen zu signieren.
Schritt 4 – Serverzertifikat, Schlüssel und Verschlüsselungsdateien generieren
Nachdem die CA bereit ist, können Sie den privaten Schlüssel und die Zertifikatsanfrage vom Server generieren und diese dann zur Signierung an die CA senden, um das erforderliche Zertifikat zu erstellen. Navigieren Sie zunächst in das EasyRSA-Verzeichnis auf dem OpenVPN-Server:
|
1 |
cd EasyRSA-3.0.4 |
Führen Sie von dort aus das easyrsa-Skript mit der Option init-pki aus. Obwohl Sie diesen Befehl bereits auf dem CA-Computer ausgeführt haben, muss dieser Befehl auch hier ausgeführt werden. Das liegt daran, dass sich die PKI-Verzeichnisse des Servers und der CA voneinander unterscheiden:
|
1 |
./easyrsa init-pki |
Rufen Sie dann das easyrsa-Skript erneut auf, diesmal mit der Option gen-req, gefolgt vom generischen Namen des Computers’:
|
1 |
./easyrsa gen-req server nopass |
Dadurch wird ein privater Schlüssel für den Server und eine Zertifikatsanforderungsdatei namens server.req erstellt. Kopieren Sie den Serverschlüssel in das Verzeichnis /etc/openvpn/:
|
1 |
sudo cp ~/EasyRSA-3.0.4/pki/private/server.key /etc/openvpn/ |
Übertragen Sie die Datei server.req mit einer sicheren Methode (wie z. B. SCP im folgenden Beispiel) auf Ihren CA-Computer:
|
1 |
scp ~/EasyRSA-3.0.4/pki/reqs/server.req cloudsigma@your_CA_ip:/tmp |
Navigieren Sie als Nächstes zum EasyRSA-Verzeichnis auf Ihrem CA-Computer:
|
1 |
cd EasyRSA-3.0.4/ |
Verwenden Sie das easyrsa-Skript erneut, um die Datei server.req zu importieren, und fügen Sie deren Common Name nach dem Dateipfad hinzu:
|
1 |
./easyrsa import-req /tmp/server.req server |
Signieren Sie dann die Anfrage, indem Sie das easyrsa-Skript mit der Option sign-req ausführen, gefolgt vom Anfragetyp und dem Common Name. Stellen Sie bei der Zertifikatsanfrage des OpenVPN-Servers sicher, dass Sie den Anfragetyp „server“ verwenden:
|
1 |
./easyrsa sign-req server server |
Die Ausgabe fordert Sie auf, zu überprüfen, ob die Anfrage von einer vertrauenswürdigen Quelle stammt. Geben Sie yes ein und drücken Sie die Eingabetaste, um zu bestätigen. Bitte überprüfen Sie die unten gezeigten Details, um die Richtigkeit sicherzustellen. Bitte beachten Sie, dass diese Anfrage noch nicht passwortverifiziert wurde.
Fordern Sie den Betreff an und signieren Sie ihn als Serverzertifikat für 3650 Tage:
Wenn Sie den CA-Schlüssel verschlüsselt haben, werden Sie an dieser Stelle nach dem Passwort gefragt. Verwenden Sie als Nächstes eine sichere Methode, um das signierte Zertifikat zurück auf Ihren VPN-Server zu übertragen:
|
1 |
scp pki/issued/server.crt siigma@your_server_ip:/tmp |
Übertragen Sie die Datei ca.rt auf den Server, bevor Sie sich vom CA-Computer abmelden:
|
1 |
scp pki/ca.crt siigma@our_server_ip:/tmp |
Melden Sie sich als Nächstes wieder an Ihrem OpenVPN-Server an und kopieren Sie die Dateien server.crt und ca.crt in Ihr Verzeichnis /etc/openvpn/:
|
1 |
sudo cp /tmp/{server.crt,ca.crt} /etc/openvpn/ |
Navigieren Sie anschließend in Ihr EasyRSA-Verzeichnis:
|
1 |
cd ~/EasyRSA-3.0.4/ |
Geben Sie den folgenden Code ein, um einen starken Diffie-Hellman-Schlüssel zu erstellen, den Sie während des Schlüsselaustauschs verwenden können:
|
1 |
./easyrsa gen-dh |
Wenn Sie fertig sind, generieren Sie eine HMAC-Signatur, um die TLS-Health-Check-Funktionalität des Servers zu verbessern:
|
1 |
openvpn --genkey --secret ta.key |
Wenn der Befehl abgeschlossen ist, kopieren Sie die beiden neuen Dateien in das Verzeichnis /etc/openvpn/:
|
1 2 |
sudo cp ~/EasyRSA-3.0.4/ta.key /etc/openvpn/ sudo cp ~/EasyRSA-3.0.4/pki/dh.pem /etc/openvpn/ |
Auf diese Weise werden alle vom Server benötigten Zertifikate und Schlüsseldateien generiert. Jetzt können Sie das entsprechende Zertifikat und den Schlüssel erstellen, die der Client-Computer für den Zugriff auf den OpenVPN-Server verwenden wird.
Schritt 4 – Client-Zertifikat und Schlüsselpaar generieren
Als Nächstes erstellen wir einen Client-Schlüssel und mehrere Zertifikate. Wenn Sie mehrere Clients haben, können Sie diesen Vorgang für jeden Client wiederholen. Beachten Sie jedoch, dass Sie dem Skript für jeden Client einen eindeutigen Namenswert übergeben müssen. In diesem Tutorial nennen wir das erste Zertifikat/Schlüsselpaar client1. Erstellen Sie zunächst eine Verzeichnisstruktur in Ihrem Home-Verzeichnis, um Client-Zertifikate und Schlüsseldateien zu speichern:
|
1 |
mkdir -p ~/client-configs/keys |
Da Sie das Zertifikat/Schlüsselpaar und die Konfigurationsdatei des Clients aus Sicherheitsgründen in diesem Verzeichnis speichern, sollten Sie nun die Berechtigungen einschränken:
|
1 |
chmod -R 700 ~/client-configs |
Navigieren Sie dann zurück zum EasyRSA-Verzeichnis und führen Sie das easyrsa-Skript mit den Optionen gen-req und nopass sowie dem generischen Namen des Clients aus:
|
1 2 |
cd ~/EasyRSA-3.0.4/ ./easyrsa gen-req client1 nopass |
Drücken Sie die Eingabetaste, um den Common Name zu bestätigen. Kopieren Sie danach die Datei client1.key in das zuvor erstellte Verzeichnis /client-configs/keys/:
|
1 |
cp pki/private/client1.key ~/client-configs/keys/ |
Verwenden Sie als Nächstes eine sichere Methode, um die Datei client1.req auf Ihren CA-Computer zu übertragen:
|
1 |
scp pki/reqs/client1.req sigma@your_CA_ip:/tmp |
Melden Sie sich an Ihrem CA-Computer an, navigieren Sie zum EasyRSA-Verzeichnis und importieren Sie die Zertifikatsanforderung:
|
1 2 3 |
ssh siigma@your_CA_ip cd EasyRSA-3.0.4/ ./easyrsa import-req /tmp/client1.req client1 |
Signieren Sie dann, wie im vorherigen Schritt, die Anfrage auf dem Server. Aber dieses Mal müssen Sie den Client-Anfragetyp angeben:
|
1 |
./easyrsa sign-req client client1 |
Geben Sie bei der Aufforderung yes ein, um zu bestätigen, dass Sie die Zertifikatsanforderung signieren möchten und dass die Zertifikatsanforderung von einer vertrauenswürdigen Quelle stammt. Bitte geben Sie das Wort “yes” ein, um fortzufahren, oder geben Sie etwas anderes ein, um abzubrechen:
|
1 |
Confirm Request Details: Yes |
Wenn Sie den CA-Schlüssel verschlüsselt haben, werden Sie auch hier aufgefordert, das Passwort einzugeben. Dadurch wird eine Client-Zertifikatsdatei namens client1.crt erstellt. Übertragen Sie diese Datei zurück auf den Server:
|
1 |
scp pki/issued/client1.crt siigma@your_server_ip:/tmp |
Verbinden Sie sich wieder per SSH mit Ihrem OpenVPN-Server und kopieren Sie das Client-Zertifikat in das Verzeichnis / client-configs / keys /:
|
1 |
cp /tmp/client1.crt ~/client-configs/keys/ |
Kopieren Sie als Nächstes die Dateien ca.crt und ta.key in das Verzeichnis / client-configs / keys /:
|
1 2 |
cp ~/EasyRSA-3.0.4/ta.key ~/client-configs/keys/ sudo cp /etc/openvpn/ca.crt ~/client-configs/keys/ |
Damit wurden alle Zertifikate und Schlüssel des Servers und des Clients generiert und in den entsprechenden Verzeichnissen auf dem Server gespeichert. Nun können Sie mit der Einrichtung von OpenVPN auf dem Server fortfahren.
Schritt 5 – Konfigurieren des OpenVPN-Dienstes
Nachdem Sie die Client- und Serverzertifikate generiert haben, können Sie den OpenVPN-Dienst so konfigurieren, dass er diese Anmeldedaten verwendet. Kopieren Sie zunächst die OpenVPN-Beispielkonfigurationsdatei in Ihr Konfigurationsverzeichnis und entpacken Sie sie anschließend, um sie als Basis für die Einrichtung zu verwenden:
|
1 2 |
sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/ sudo gzip -d /etc/openvpn/server.conf.gz |
Öffnen Sie die Serverkonfigurationsdatei in Ihrem bevorzugten Texteditor:
|
1 |
sudo nano /etc/openvpn/server.conf |
Suchen Sie anschließend den HMAC-Teil, indem Sie nach dem Befehl tls-auth suchen:
|
1 |
tls-auth ta.key 0 # Diese Datei ist geheim |
Suchen Sie den Passwort-Teil, indem Sie nach der auskommentierten Passwort-Zeile suchen. Die AES-256-CBC-Verschlüsselung bietet ein gutes Verschlüsselungsniveau und wird gut unterstützt. Die Zeile sollte nicht auskommentiert sein, aber falls doch, löschen Sie das “;” davor:
|
1 |
cipher AES-256-CBC |
Fügen Sie darunter einen Auth-Befehl hinzu, um den HMAC-Message-Digest-Algorithmus auszuwählen. SHA256 ist hierfür eine gute Wahl:
|
1 |
auth SHA256 |
Suchen Sie als Nächstes die Zeile mit der dh-Anweisung, die die Diffie-Hellman-Parameter definiert. Aufgrund einiger neuerer Änderungen an EasyRSA kann der Dateiname des Diffie-Hellman-Schlüssels von dem in der Beispiel-Serverkonfigurationsdatei aufgeführten Dateinamen abweichen. Ändern Sie gegebenenfalls den hier aufgeführten Dateinamen, indem Sie 2048 löschen, um ihn an den Schlüssel aus dem vorherigen Schritt anzupassen:
|
1 |
dh dh.pem |
Schließlich suchen Sie die Benutzer- und Gruppeneinstellungen und löschen Sie das “;” am Anfang jeder Zeile:
|
1 2 |
user nobody group nogroup |
Bisher sollten die Änderungen, die Sie an der Beispieldatei server.conf vorgenommen haben, ausreichen, damit OpenVPN funktioniert.
Schritt 6 – Server-Netzwerkkonfiguration
Konfigurieren Sie die IP-Weiterleitung, um den Datenverkehr ordnungsgemäß durch das VPN zu leiten. Dies ist für die VPN-Funktionalität, die Ihr Server bereitstellt, unerlässlich:
|
1 |
sudo nano /etc/sysctl.conf |
Suchen Sie nach der auskommentierten Zeile, die net.ipv4.ip_forward festlegt. Entfernen Sie das Zeichen „#“ am Anfang der Zeile, um diese Einstellung zu aktivieren:
|
1 |
net.ipv4.ip_forward=1 |
Speichern Sie die Datei und schließen Sie sie, wenn Sie fertig sind. Um die Datei einzulesen und die Werte für die aktuelle Sitzung zu übernehmen, geben Sie Folgendes ein:
|
1 |
sudo sysctl -p |
Fügen Sie als Nächstes die öffentliche Netzwerkschnittstelle Ihres Rechners hinzu:
|
1 |
ip route | grep default |
Ihre öffentliche Schnittstelle ist die Zeichenfolge in der Ausgabe dieses Befehls, die auf das Wort „dev“ folgt. Dieses Ergebnis zeigt beispielsweise die Schnittstelle mit dem Namen ens3.
Öffnen Sie die Datei /etc/ufw/before.rules, um die entsprechende Konfiguration hinzuzufügen:
|
1 |
$ sudo nano /etc/ufw/before.rules |
Fügen Sie im oberen Bereich der Datei die unten hervorgehobenen Zeilen hinzu, um die Standardrichtlinie für die POSTROUTING-Kette in der nat-Tabelle festzulegen und den gesamten aus dem VPN kommenden Datenverkehr zu maskieren. Ersetzen Sie ens3 in der folgenden Zeile -A POSTROUTING durch die Schnittstelle, die Sie im obigen Befehl ermittelt haben:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
# rules.before # Regeln, die vor den über die ufw-Befehlszeile hinzugefügten Regeln ausgeführt werden sollten. Benutzerdefinierte # Regeln sollten zu einer dieser Ketten hinzugefügt werden: # ufw-before-input # ufw-before-output # ufw-before-forward # START OPENVPN-REGELN # NAT-Tabellenregeln *nat :POSTROUTING ACCEPT [0:0] # Datenverkehr vom OpenVPN-Client an wlp11s0 zulassen (ändern Sie dies in die Schnittstelle, die Sie ermittelt haben!) -A POSTROUTING -s 10.8.0.0/8 -o ens3 -j MASQUERADE COMMIT # ENDE OPENVPN-REGELN # Löschen Sie diese erforderlichen Zeilen nicht, da sonst Fehler auftreten . . . |
Speichern und schließen Sie die Datei, wenn Sie fertig sind. Als Nächstes müssen Sie UFW anweisen, standardmäßig auch weitergeleitete Pakete zuzulassen. Öffnen Sie dazu die Datei /etc/default/ufw:
|
1 |
sudo nano /etc/default/ufw |
Suchen Sie darin nach der Richtlinie DEFAULT_FORWARD_POLICY und ändern Sie den Wert von DROP auf ACCEPT:
|
1 |
DEFAULT_FORWARD_POLICY="ACCEPT" |
Speichern und schließen Sie die Datei, wenn Sie fertig sind. Passen Sie als Nächstes die Firewall an, um den Datenverkehr zu OpenVPN zu aktivieren. Wenn Sie den Port und das Protokoll in der Datei /etc/openvpn/server.conf nicht geändert haben, müssen Sie den UDP-Datenverkehr für Port 1194 freigeben. Wenn Sie den Port und/oder das Protokoll geändert haben, ersetzen Sie die Werte durch die hier ausgewählten. Falls Sie beim Befolgen des vorbereitenden Tutorials vergessen haben, den SSH-Port hinzuzufügen, fügen Sie ihn hier ebenfalls hinzu:
|
1 2 |
sudo ufw allow 1194/udp sudo ufw allow OpenSSH |
Deaktivieren und aktivieren Sie UFW nach dem Hinzufügen dieser Regeln erneut, um es neu zu starten und die Änderungen aus allen geänderten Dateien zu laden:
|
1 2 |
sudo ufw disable sudo ufw enable |
Herzlichen Glückwunsch, Ihr Server ist nun so konfiguriert, dass er den OpenVPN-Datenverkehr korrekt verarbeitet!
Fazit
Wenn Sie diese Anleitung bis zum Ende befolgt haben, können Sie jetzt sicher im Internet surfen. Sie können Ihre Identität, Ihren Standort und Ihren Datenverkehr vor neugierigen Blicken schützen.
Viel Spaß beim Computing!
Kommentare
Noch keine Kommentare. Schreiben Sie den ersten.