8/22/2009

OpenVPN

Auf den neuen FritzBoxen ist ein VPN-Server ja bereits installiert – auf meiner alten allerdings nicht, und außerdem mache ich mir gerne "die Hände schmutzig”, dabei kann man ja so einiges lernen!

Also habe ich mir auf meiner FritzBox OpenVPN installiert. Das verfügbare Binary ist allerdings eine recht alte Version und einige der neueren Optionen existieren hier nicht. Nachdem ich verschiedene Konfigurationen, die in Foren verfügbar waren, ausprobiert hatte, und sie zumindest bei mir nicht funktionierten, habe ich dann doch mal die Dokumentation gelesen (RTFM!). Danach hatte ich eine Konfiguration beisammen, die funktionierte, und hatte endlich auch die VPN-Grundlagen verstanden – und das war ja der eigentliche Zweck der Übung.

Die ganzen Keys und Konfigurationen nach dem Neustart der FritzBox von einem Web Server zu laden wäre nun wirklich nicht im Interesse der Sicherheit (außer der Server wäre im internen Netz), so daß einem da nur bleibt, das ganze in der debug.cfg zu speichern. Das geht, ist aber etwas aufwändig.

Aber was ist eigentlich der Zweck des VPNs? Ich will ja auf die Dateien auf meiner Linkstation zugreifen. Und da könnte man ja auch OpenVPN installieren … Die gibt es zwar nicht als Binary für die LS, aber mittels ipkg habe ich mir die nötigen Libraries und Files installiert, sowie einen Compiler. Dann konnte ich problemlos die neueste Version von OpenVPN kompilieren und starten. Die Konfigurationen blieben dieselben, alles lief problemlos. Und nach dem Einrichten einer zusätzlichen Route auf der FritzBox (die kam nun als einziges in die debug.cfg) kann ich nun auch auf diese über’s VPN zugreifen. Schöne Sache.

An dieser Stelle vielen Dank an die Entwickler von OpenVPN – ein prima Tool, und die Doku ist sehr gut!

Meine “Schlüsselerlebnisse”:

  • nimm keine Konfigurationen von anderen, die Du nicht verstehst
  • verwende für Dein VPN Tunneling, nicht Bridging, außer Du kennst den Unterschied und brauchst wirklich Briding
  • verwende UDP, nicht TCP – die Programme, die Du nutzen wirst, bauen ohnehin auf OSI Schicht 4 auf, und wenn sie TCP benötigen, machen sie das selbst – das verringert den Overhead durch den Tunnel
  • lege keine Keys auf öffentliche Sever (sollte eigentlich selbstverständlich sein) und mache sie lokal so sicher wie möglich
  • verwende die neueste Software, halte sie auf dem neuesten Stand und lies die Hinweise, wie das System sicher konfiguriert wird
Posted by at

No comments:

Post a Comment

adaxas Web Directory