Suchen

Definition OpenVPN Was ist OpenVPN?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Bei OpenVPN handelt es sich um eine frei verfügbare Open-Source-Software, mit der sich verschlüsselte virtuelle private Netze (VPNs) aufbauen lassen. Die Software unterstützt viele verschiedene Betriebssysteme und kann einzelne Clients aber auch ganze Netzwerke koppeln.

OpenVPN ist eine freie Software (GNU GPL) zum Aufbau eines Virtuellen Privaten Netzwerkes (VPN) über eine verschlüsselte TLS-Verbindung.
OpenVPN ist eine freie Software (GNU GPL) zum Aufbau eines Virtuellen Privaten Netzwerkes (VPN) über eine verschlüsselte TLS-Verbindung.
(Bild: OpenVPN Inc.)

Die Software OpenVPN steht unter GNU GPL Lizenz und ist frei verfügbar. Sie lässt sich verwenden, um verschlüsselte private Netzwerke zwischen einzelnen Clients oder ganzen Netzwerken zu realisieren. Für den Verbindungsaufbau muss auf beiden Seiten die OpenVPN-Software vorhanden und passend konfiguriert sein. Die OpenVPN-Software kann auf Rechnern, Servern oder Netzwerkgeräten wie Routern installiert werden und unterstützt Betriebssysteme wie Windows, Linux, macOS, Solaris, OpenBSD, Android und viele weitere. Die Nutzdaten überträgt die Software über TCP- oder UDP-Pakete. Auch über NAT-Grenzen hinweg (NAT - Network Address Translation) ist die VPN-Software nutzbar. Die im VPN ausgetauschten Daten sind per SSL/TLS verschlüsselt. Für die Verschlüsselung kommt die Bibliothek OpenSSL zum Einsatz.

Funktionsweise und Einsatz von OpenVPN

Ein oft genutztes Anwendungsszenarium ist die sichere Verbindung eines Außendienstmitarbeiters oder eines Home-Office-Rechners über das Internet mit dem Firmennetz. In diesem Fall baut der Client die Verbindung zum zentralen Server des Unternehmens auf. Dieser ist unter einer festen IP-Adresse oder Domain im Internet erreichbar und wartet auf eingehende Verbindungen. Bei dynamischen, ständig wechselnden IP-Adressen werden häufig dynamische DNS-Dienste verwendet. Der Server authentifiziert den Client über ein zuvor festgelegtes Passwort oder ein Zertifikat. Sind die Daten korrekt, lässt sich eine verschlüsselte Verbindung etablieren, bei der die übertragenen Daten für externe nicht mehr lesbar sind. Das Ver- und Entschlüsseln der Daten erfolgt jeweils an den Endpunkten der Kommunikationsverbindung durch den Client oder den Server. Neben einzelnen Clients können auch ganze Netzwerk per OpenVPN verbunden werden.

Vorteile von OpenVPN

Die freie Software bietet zahlreiche Vorteile. Sie unterstützt eine Vielzahl an verschiedenen Betriebssystemen und besitzt eine hohe Stabilität. Um große VPNs zu realisieren, lässt sich OpenVPN problemlos für tausende von Clients skalieren. Dank der Verwendung von OpenSSL sowie SSL/TLS und PKI (Public Key Infrastructure) für die Session Authentication gelten die VPNs als sehr sicher. Die Installation der Software ist relativ einfach und sie funktioniert auch mit dynamisch vergebenen IP-Adressen oder hinter NAT-Routern.

Die verschiedenen Arten der Authentifizierung

OpenVPN unterstützt verschiedene Arten der Authentifizierung. Es lassen sich sowohl preshared Keys als auch digitale Zertifikate verwenden. Beim preshared Key handelt es sich um statische Schlüssel oder Passwörter, die zuvor an alle beteiligten Kommunikationspartner zu verteilen sind. Ein Abhandenkommen des Keys ist durch entsprechende Maßnahmen zu verhindern. Die zertifikatsbasierte Authentifizierung nutzt private und öffentliche Schlüsselpaare oder digitale Zertifikate nach X.509-Standard. Die Schlüsselpaare können von einer Certification Authority (CA) unterzeichnet werden. Server und Clients besitzen jeweils eigene Zertifikate und öffentliche/private Schlüsselpaare. Nach der erfolgreichen gegenseitigen Überprüfung der Zertifikate/Schlüssel erfolgt die Erstellung eines Sitzungsschlüssels. Dieser dient zur Verschlüsselung der übertragenen Daten und wird durch OpenVPN automatisch in bestimmten Zeitabständen ersetzt.

Die Netzwerkmodi Bridging und Routing

Bei OpenVPN sind zwei verschiedene Betriebsarten möglich. Diese sind Routing und Bridging. Während im Routing-Modus ausschließlich IP-Pakete transportiert werden, überträgt der Bridging-Modus Ethernet-Frames des Layer 2 und ermöglicht den Einsatz von alternativen Protokollen wie IPX.

(ID:45150396)

Über den Autor