Seite 5: OpenVPN in IPCop

Inhaltsverzeichnis

Wachtmeister

Für die Linux-Firewall IPCop hilft das OpenVPN-Paket Zerina beim Tunnelbau. Es integriert die komplette OpenVPN- inklusive Zertifikatsverwaltung in das IPCop-Web-Frontend. Der Clou ist die Möglichkeit, für Clients eine ZIP-Datei mit allen notwendigen Dateien herunterzuladen. Howtos erklären die notwendigen Schritte, um beispielsweise zwei Netze miteinander zu verbinden oder den WLAN-Clients im "blauen" Netz sicheren Zugang zum LAN zu verschaffen. Zerina befindet sich zwar noch in einem recht frühen Entwicklungsstadium, arbeitet jedoch schon sehr zufriedenstellend und stabil.

Ab Version 2.0 kann man OpenVPN auch mit OpenWRT einsetzen, einer Linux-Distribution für WLAN- und DSL-Router. Bei der Installation des kleinen Pakets spielt das Paketmanagement zusätzlich die Krypto-Bibliothek OpenSSL sowie die Komprimier-Bibliothek lzo ein und installiert das TUN-Interface als Kernelmodul kmod-tun. Aufgrund des geringen Speicherplatzes der Router fehlen der OpenVPN-Portierung für die MIPS-Architektur die Easy-RSA-Skripte zum einfachen Erzeugen der Schlüssel und Zertifikate. Alternativ lässt sich das auch von Hand mit OpenSSL erledigen, oder auf einen vollwertigen Linux- oder Windows-Rechner auslagern. Die Konfiguration von OpenVPN gleicht der unter einer normalen Distribution. Unter Umständen ist es sinnvoll, die MTU auf beispielsweise 1400 herabzusetzen, wenn Performance-Probleme auftreten.

OpenVPN kommt der Idealvorstellung von VPN schon ziemlich nahe: mächtige Technik, aber dabei nicht unnötig kompliziert, und das alles nicht nur kostenlos, sondern auch komplett offen gelegt. Schwachpunkte sind die noch nicht sonderlich weit entwickelten grafischen Frontends und der noch im Beta-Stadium befindliche TAP-Treiber für Windows, bei dessen Installation das Betriebssystem auch darauf hinweist, dass er nicht von Microsoft zertifiziert ist. Ein abstürzender Treiber kann das gesamte Betriebssystem in den Abgrund reißen, beim Einsatz in der Redaktion verzeichneten wir allerdings bislang keine Probleme. Vom Sicherheitsstandpunkt lässt OpenVPN ebenfalls kaum Wünsche offen. Neben den bereits erwähnten Punkten überzeugt die Möglichkeit, das Programm zumindest auf Unix-Systemen in eine chroot-Umgebung einzusperren und eine zusätzliche TLS-Authentifizierung vorzuschalten, die die Angriffsfläche weiter reduziert.

So macht Netzwerken Spaß. (je) ()