Möchten Sie eine Zweigstelle per verschlüsseltem VPN mit der Zentrale verbinden? Oder benötigt Ihr Einsatzteam Anschluss an das Firmennetzwerk? Darf ihr externes Projektteam beim Kunden nur auf ihr Firmen-VPN zugreifen, nicht aber direkt auf das Internet? - Mit einem zum OpenVPN Gateway umkonfigurierten (WLAN) Router ist das schnell, einfach und kostengünstig gelöst.

Dieses Setup ist mit dem TP-Link TL-WR1043ND Version 2.1 (Affiliate Link) getestet und funktioniert problemlos und performant mit 30 WIFI Clients im Projektteam - dabei sind Computer und Smartphones aller möglichen Hersteller im Einsatz.

Im ersten Schritt muss OpenWRT auf den Router geladen werden. Hierzu existieren im Netz diverse Anleitungen, sodass dies hier nicht näher erläutert wird. Erwähnt sei hier, dass die Hardware-Version des Routers von Bedeutung ist. Sie steht auf der Rückseite auf einem kleinen weißen Aufkleber.

Der zweite Schritt ist die Installation von OpenVPN auf dem Gerät. Auch das lässt sich mit im Internet bereits vorhandenen Anleitungen bewerkstelligen.

Dann kann es an die Konfiguration gehen. In unserem Fall haben wir dem Router die IP-Adresse 192.168.199.1 gegeben, dafür gesorgt, dass der Router erfolgreich mit dem Internet verbunden ist - und ein verschlüsseltes WLAN eingerichtet.

Die OpenVPN Konfiguration besteht wie bei allen OpenVPN Clients aus mindestens vier Dateien (Server Zertifikat, Client Zertifikat, privater Schlüssel und Konfigurationsdatei). Alle diese Dateien gehören in das Verzeichnis /etc/openvpn. Die Konfigurationsdatei /etc/openvpn/myvpn.ovpn sieht bei uns wie folgt aus:

client
dev tun
proto tcp
remote openvpn-server.line5.net 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/mein-zertifikat.crt
key /etc/openvpn/mein-zertifikat.key
comp-lzo
verb 3
redirect-gateway def1
#pull
log /tmp/log/openvpn.log
ns-cert-type server

# vista ready
route-method exe
route-delay 2

# eventuell einen Proxy (mit IP XXX.XXX.XXX.XXX und Zugangsdaten wie in /etc/openvpn/pw.txt definiert) nutzen...
#http-proxy XXX.XXX.XXX.XXX 8080 /etc/openvpn/pw.txt basic

Ein Symlink von /etc/rc.d/S90openvpn nach /etc/init.d/openvpn sorgt dafür, dass OpenVPN automatisch gestartet wird.

An dieser Stelle empfiehlt sich ein kurzer Test, ob das VPN aufgebaut wird. Am einfachsten geht das, indem man in der Log-Datei nach dem rechten sieht:

# tail /tmp/log/openvpn.log -f

Ein paar Pings in das auf der anderen Seite liegende Netzwerk sollten letzte Sicherheit darüber geben, dass alle Firewall Einstellungen korrekt gesetzt sind.

Letzter Schritt: Beim Start des Routers sollte die Default Route für angeschlossene Geräte automatisch so gesetzt werden, dass jeglicher Verkehr durch den VPN Tunnel geleitet wird.

Eine Datei /etc/init.d/vprnroutes mit folgendem Inhalt anlegen:

#!/bin/sh /etc/rc.common
# Sets routes for VPN

START=99
STOP=1

start() {
  echo "setting routes..."
  # Hier wird das NAT eingerichtet und sämtlicher Verkehr in den Tunnel gelenkt.
  # die IP-Adresse sollte die interne IP-Adresse des OpenVPN Gateway Routers sein.
  iptables -t nat -A POSTROUTING -s 192.168.199.1/24 -o tun0 -j MASQUERADE
  # hier könnten noch individuelle Routen angelegt werden...
  # route add -net 10.20.30.0/24 gw 172.17.13.1
}
stop() {
  echo "doing nothing to unset routes. sorry. not implemented."
}

Im Anschluss sollte der Router nach dem Einschalten automatisch eine Verbindung zum VPN Server aufbauen und sämtlichen Netzwerkverkehr aller angeschlossenen Clients über diesen leiten.

Line5 ist ein Systemhaus. Dürfen wir auch für Sie interessante und innovative Lösungen realisieren? - Kontaktieren Sie uns auf www.line5.de!