OpenVPN
OpenVPN ist ein Werkzeug zum Aufbau eines virtuellen privaten Netzwerks über eine SSL-Verbindung, welche eine flexible Klienten-Authentifizierung ermöglicht. In der TightGate™-Firewall wird OpenVPN mit einer SSL-Verschlüsselung ermöglicht. OpenVPN ist keine Web-Applikation und verfügt nicht über eine Web-Oberfläche.
Grundlagen zu OpenVPN
Funktionsweise des OpenVPN
Grundlage des OpenVPN-Tunnels ist der OpenVPN-Dienst, welcher sowohl auf dem Server als auch auf der Klientenseite auf einem Port läuft und mit Hilfe eines Treibers eine virtuelle Netzwerkschnittstelle (tun-Interface) anlegt, welche jeweils ein Ende des Tunnels darstellt. Der gesamte Netzwerkverkehr kann dabei mit OpenSSL verschlüsselt werden. Beispiel einer OpenVPN-Verbindung:
Zum Aufbau eines OpenVPN-Netzwerkes (wie in obiger Abbildung dargestellt) werden drei Netzwerke benötigt. Es müssen zur Einrichtung der Verbindung die IP-Adressen für alle Netzwerke bekannt sein. Das sind im einzelnen:
- Lokales internes Netz (das eigene interne Netzwerk)
- Fernes internes Netz (das Netzwerk, welches sich intern hinter der fernen Firewall befindet)
- Virtuelles OpenVPN-Netz (Das virtuelle Netzwerk, in welchem OpenVPN kommuniziert)
Beteiligte Schnittstellen
An der Konfiguration einer OpenVPN-Verbindung sind an der jeweiligen Firewall drei Interfaces beteiligt. Das nachfolgende Schaubild verdeutlicht dies noch einmal:
Es wird deutlich, dass neben den physikalischen Schnittstellen (eth0 und eth1) ein zusätzliches Interface (tun) auftaucht. Dies ist Teil des virtuellen OpenVPN-Netzes, welches zwischen den beteiligten Firewalls für das OpenVPN aufgebaut wird. Das virtuelle Netzwerk (tun) darf in keinem Fall im IP-Bereich eines beteiligten Netzwerks liegen.
Multi-Klienten
Eine weitere Anwendungsmöglichkeit neben der Firewall zu Firewall Verbindung ist die Verbindung von mehreren mobilen Klienten (Außenstellen, Notebooks etc.) hin zu einer TightGate™-Firewall. Diese Möglichkeit sollte nur verwendet werden, wenn mobile Endgeräte an eine TightGate™-Firewall angeschlossen werden. Werden zwei TightGate™ Firewalls oder Geräte mit fester IP-Adresse verbunden, so ist die Shared-Key-Authentifizierung vorzuziehen. Die nachfolgende Abbildung zeigt beispielhaft, wie eine solche aussehen könnte:
Authentifizierung
Zur Authentifizierung der Gegenstellen können grundsätzlich zwei Verfahren verwendet werden:
- Shared-Key-Authentifizierung (zu empfehlen bei statischen Verbindungspunkten)
- Zertifikat-basierte Authentifizierung (zu empfehlen bei Verbindungen mit mobilen Klienten)
Die TightGate™-Firewall unterstützt beide Authentifizierungsverfahren.
Statische Verbindungen mit Shared-Key
Einsatzgebiet
Das Shared-Key Verfahren wird empfohlen zum Einsatz, wo zwei feste Gegenstellen eine sichere Tunnelverbindung untereinander aufbauen sollen. Dies kann z.B. die Anbindung von Außenstellen an eine Zentrale.
Einrichtung
Zum Einrichten einer neuen OpenVPN-Verbindung benötigen Sie die IP-Informationen für die beteiligten Netzwerke, sowie einen Überblick der für die Verbindung benutzen Schnittstellen. Sie haben die Möglichkeit die Schlüsseldatei für die Gegenstelle von der TightGate™-Firewall erzeugen zu lassen. Diese kann dann exportiert werden oder, sofern die Gegenstelle auch ein TightGate™-Produkt ist, einfach auf die Gegenstelle übertragen werden.
Zur Erstellung einer neuen OpenVPN-Verbindung mit Shared-Keys melden Sie sich bitte als Benutzer config an und wählen dann den Menüpunkt Einstellungen>OpenVPN>Neu aus.
Geben Sie der neuen OpenVPN-Verbindung eine Nummer. Diese dient nur der eindeutigen Identifizierung und hat im Gegensatz zu selbst definierten Firewall-Regeln keinen Einfluss auf eine priorisierende Ausführung. Nehmen Sie die Einstellungen auf der TightGate™-Firewall entsprechend der nachfolgenden Tabelle vor. Es müssen die Optionen mit den laufenden Nummern 1 bis 13 geeignet eingestellt werden, wobei sich die einzutragenden Werte aus der Beschreibung und der Bemerkung dazu ergeben.
| Lfd. Nr. | Beschreibung | Wert | Bemerkung |
|---|---|---|---|
| 1 | VPN-Modus | p2p | P2P ist einzustellen für Shared-Key Verbindungen, client/server für Zertifikate. |
| 2 | Transportprotokoll | udp | UDP sollte immer dann verwendet werden, wenn beide Partner vollen Internetzugang haben und über feste IP-Adressen verfügen. Ebenfalls ist dieses Verfahren einzusetzen, wenn beide Gegenstellen DSL-Zugang haben und über dynamische IP-Adressen angesprochen werden können. Ist dieses nicht der Fall, verwenden Sie bitte tcp-client am eingeschränkteren und tcp-server am anderen Ende der Verbindung. |
| 3 | Lokale externe IP (Externe IP der Firewall) | a.b.c.d | IP-Adresse des Interfaces an der TightGate™-Firewall, welches mit dem Internet verbunden ist. Bei dynamischen Adressen lassen Sie dieses Feld leer. |
| 4 | Lokaler externer Tunnel-Port (Externer Port der Firewall) | ‘1200+x’ | Es wird empfohlen den Port nach der Formel “1200 + Nummer der Verbindung” auszuwählen. Also für die erste OpenVPN-Verbindung: 1200 + 1 = Port 1201. Beim Protokoll tcp-server kann es nötig sein, den HTTPS-Port 443 zu verwenden, damit die Gegenstelle sich über einen HTTPS-Proxy verbinden kann. |
| 5 | Ferne externe Adresse | a.b.c.d | IP-Adresse des Interfaces der Gegenstelle, welches mit dem Internet Verbunden ist. Ist die IP-Adresse der Gegenstelle dynamisch lassen Sie dieses Feld leer. |
| 6 | Ferner externer Port (Externer Port der Gegenstelle) | = Lfd. Nr.4 | Leer lassen, wenn dynamische Adressen und Ports vergeben werden, ansonsten den konfigurierten Port der Gegenstelle übernehmen. |
| 7 | Lokale interne Tunnel-IP-Adresse (tun-Interface der TightGate™-Firewall) | a.b.c.d | IP-Adresse des virtuellen tun-Interface auf der TightGate™-Firewall. Das virtuelle tun-Netzwerk darf in keinem anderen beteiligten Netzwerk liegen. Vergeben Sie die tun-Interface-Adresse z.B. nach folgender Formel: 192.168.(200+Verbindung).1, wobei die TightGate™-Firewall lokal immer die a.b.c.1 bekommen sollte. |
| 8 | Ferne interne Tunnel-IP-Adresse (tun-Interface der Gegenstelle) | a.b.c.d | IP-Adresse des virtuellen tun-Interface der Gegenstelle. Die IP Adresse wird analog der Lfd. Nr. 7 vergeben nach folgender Formel: 192.168.(200+Verbindung).2, wobei die Gegenstelle immer die a.b.c.2 bekommen sollte (dort natürlich entsprechend anders herum eintragen). |
| 9 | Ferne interne Netze (Netzwerk hinter der Gegenstelle) | a.b.c.d./n | IP-Adresse/Valid-Bit des Netzwerks, das hinter der Gegenstelle erreichbar sein soll. Leer lassen, wenn keine weiteren Netzwerke hinter der Gegenstelle zu erreichen sind. |
| 10 | Sende-Rate | 0 | Möglichkeit, die Sende-Rate für die VPN-Verbindung zu beschränken. Dies wird im Normalfall nicht nötig sein. Um keine Beschränkung der Sende-Rate vorzunehmen, bitte 0 eintragen. |
| 11 | Weitere Optionen | comp-lzo comp-noadapt keepalive passtos | Bitte alle Optionen anschalten. |
| 12 | Voller Firewallzugriff | Ja/Nein | Erlaubt der Gegenstelle über die OpenVPN-Verbindung alle auf der Firewall laufenden Dienste zu nutzen (z.B. Mailserver, interner FTP- oder Web-Server)*. |
| 13 | Voller Zugriff auf intern | Ja/Nein | Erlaubt der Gegenstelle über die OpenVPN-Verbindung auf alle Ressourcen des lokalen Netzwerks zuzugreifen. (z.B. TightGate™-Pro)*. |
*Soll kein allgemeiner Zugriff auf die Firewall oder das interne Netz freigegeben werden, so sind die Einträge für die Lfd. Nr. 12 + 13 auf Nein zu setzen. Es können aber einzelne Dienste gezielt und kontrolliert freigeschaltet werden. Per Custom-Regel kann für das jeweilige Interface der Zugriffe geregelt werden. z.B. für die OpenVPN-Verbindung Nr. 5 ist das Interface tun5 zuständig.
Wenn man für alle Tunnel gemeinsame Regeln setzen möchte, muss man als Interface in der Custom-Regel tun+ eintragen.
Wenn alle Einstellungen vorgenommen sind, ist der erste Schritt der Konfiguration abgeschlossen. Sie sehen nun eine Liste der von Ihnen konfigurierten OpenVPN-Verbindungen. Wählen Sie bitte Ihre Konfiguration aus. Um die Konfiguration abzuschließen ist noch die Erzeugung oder der Import eines Schlüssels notwendig. Wählen Sie zum Erzeugen den Menüpunkt Schlüsseldatei erzeugen aus.
ACHTUNG:
Nur wenn hinter dem Menüpunkt Schlüsseldatei erzeugen ein nicht vorhanden steht hat die OpenVPN-Verbindung keinen Schlüssel. Steht hinter dem Menüpunkt Schlüsseldatei erzeugen ein vorhanden, so existiert bereits eine Schlüsseldatei. Durch wiederholtes Anklicken auf eine vorhandene Schlüsseldatei wird diese überschrieben. Es muss dann ebenfalls die Schlüsseldatei auf der Gegenstelle neu eingespielt werden. Ist eine Schlüsseldatei vorhanden, so kann diese über den Menüpunkt Schlüsseldatei ansehen zur Anzeige gebracht werden. Das Beenden der Anzeige geschieht mit der taste q.
Zum Export der Schlüsseldatei und zur Einrichtung der Gegenstelle/Klienten gehen Sie bitte vor, wie im Abschnitt Schlüssel- und Zertifikats-Management beschrieben.
ACHTUNG Wenn Sie alle Einstellungen vorgenommen haben, verlassen Sie das Menü. Speichern Sie nun alle Änderungen über den Menüpunkt Speichern ab und wenden Sie diese mit dem Menüpunkt Voll Anwenden an. Erst nach dem Anwenden werden die Einstellungen wirksam.
Multi-Klienten Verbindungen mit Zertifikat
Einsatzgebiet
Das Zertifikats-Verfahren wird empfohlen, falls zu einer TightGate™-Firewall von mehreren mobilen Klienten aus eine sichere Tunnelverbindung aufgebaut werden soll. Das kann z.B. die Anbindung von AußendienstmitarbeiterInnen mit Notebooks an eine Zentrale sein.
Einrichtung
Zum Einrichten einer neuen OpenVPN-Verbindung benötigen Sie die IP-Informationen für die beteiligten Netzwerke sowie einen Überblick der für die Verbindung benutzen Schnittstellen. Mit der TightGate™-Firewall können Sie problemlos die OpenVPN-Verbindung einrichten. Sie haben auch die Möglichkeit, die Konfigurationen für die Gegenstellen (Notebooks) von der TightGate™-Firewall mit erzeugen zu lassen. Diese können dann auf einfache Weise exportiert werden. Somit sparen Sie Zeit und Mühe, da keine doppelte Konfiguration vorgenommen werden muss.
Zur Erstellung einer neuen zertifikatsbasierten OpenVPN-Verbindung melden Sie sich bitte als Benutzer config an und wählen dann den Menüpunkt Einstellungen>OpenVPN>Neu aus. Geben Sie der neuen OpenVPN-Verbindung eine Nummer. Diese dient nur der eindeutigen Identifizierung und hat im Gegensatz zu selbst definierten Firewall-Regeln keinem Einfluss auf eine priorisierende Ausführung.
Nehmen Sie die Einstellungen auf der TightGate™-Firewall entsprechend der nachfolgenden Tabelle vor. Es müssen die Optionen mit den laufenden Nummern 1 bis 13 eingestellt werden, wobei sich die einzutragenden Werte aus der Beschreibung und der Bemerkung dazu ergeben.
| Lfd. Nr. | Beschreibung | Wert | Bemerkung |
|---|---|---|---|
| 1 | VPN-Modus | server | P2P ist einzustellen für Shared-Key Verbindungen, server für Zertifikate, client, wenn die TightGate™-Firewall die Gegenstelle einer Verbindung ist. |
| 2 | Transportprotokoll | tcp-server | UDP sollte immer dann verwendet werden, wenn alle Partner unbeschränkten Internetzugang haben. Ist dieses nicht der Fall, verwenden Sie bitte tcp-server im VPN-Modus server und tcp-client im VPN-Modus client. |
| 3 | Lokale externe IP (Externe IP der Firewall) | a.b.c.d | IP-Adresse des Interfaces an der TightGate™-Firewall, welches mit dem Internet Verbunden ist. |
| 4 | Lokaler externer Tunnel-Port (Externer Port der Firewall) | ‘1200+x’ | Es wird empfohlen den Port nach der Formel “1200 + Nummer der Verbindung” auszuwählen. Also für die erste OpenVPN-Verbindung: 1200 + 1 = Port 1201. Beim Protokoll tcp-server kann es nötig sein, den HTTPS-Port 443 zu verwenden, damit die Gegenstelle sich über einen HTTPS-Proxy verbinden kann. |
| 5 | Ferne externe Adresse | a.b.c.d | IP-Adresse des Interfaces der Gegenstelle, welches mit dem Internet Verbunden ist. Ist die IP-Adresse der Gegenstelle dynamisch lassen Sie dieses Feld leer. |
| 6 | Ferner externer Port (Externer Port der Gegenstelle) | = Lfd. Nr.4 | Leer lassen, wenn dynamische Adressen und Ports vergeben werden, ansonsten den konfigurierten Port der TightGate™-Firewall übernehmen. |
| 7 | Lokale interne Tunnel-IP-Adresse (tun-Interface der TightGate™-Firewall) | a.b.c.d | IP-Adresse des virtuellen tun-Interface auf der TightGate™-Firewall. Das virtuelle tun-Netzwerk darf in keinem anderen beteiligten Netzwerk liegen. Vergeben Sie die tun-Interface-Adressen z.B. nach folgender Formel: 192.168.(100+Verbindung).1, wobei die TightGate™-Firewall lokal immer die a.b.c.1 und die ferne .2 bekommen sollte. |
| 8 | Ferne interne Tunnel-IP-Adresse (tun-Interface der Gegenstelle) | a.b.c.d | IP-Adresse des virtuellen tun-Interface der Gegenstelle. Die IP Adresse wird analog der Lfd. Nr. 7 vergeben nach folgender Formel: 192.168.(100+Verbindung).2, wobei die Gegenstelle immer die a.b.c.2 bekommen sollte. |
| 9 | Ferne interne Netze (Netzwerk hinter der Gegenstelle) | a.b.c.d./n | IP-Netzwerk/Valid-Bits der Netzwerke, die hinter der Gegenstelle erreichbar sein sollen. Leer lassen, wenn keine weiteren Netzwerke hinter der Gegenstelle zu erreichen sind. Achtung: Dieses funktioniert nicht im VPN-Modus server mit Multi-Klienten. |
| 10 | Sende-Rate | 0 | Möglichkeit Sende-Raten für die VPN-Verbindung zu beschränken. Dies wird im Normalfall nicht nötig sein. Um keine Beschränkung der Sende-Rate vorzunehmen bitte 0 eintragen. |
| 11 | Weitere Optionen | comp-lzo comp-noadapt keepalive passtos | Bitte alle Optionen anschalten. |
| 12 | Voller Firewallzugriff | Ja/Nein | Erlaubt dem Klienten über die OpenVPN-Verbindung alle auf der Firewall laufenden Dienste zu nutzen (z.B. Mailserver, interner FTP- oder Web-Server)*. |
| 13 | Voller Zugriff auf intern | Ja/Nein | Erlaubt dem Klienten über die OpenVPN-Verbindung auf alle Ressourcen des lokalen Netzwerks zuzugreifen. (z.B. TightGate™-Pro)*. |
*Soll kein allgemeiner Zugriff auf die Firewall oder das interne Netz freigegeben werden, so sind die Einträge für die Lfd. Nr. 12 + 13 auf Nein zu setzen. Es können aber einzelne Dienste gezielt und kontrolliert freigeschaltet werden. Per Custom-Regel kann für das jeweilige Interface der Zugriffe geregelt werden. Z.B. für die OpenVPN-Verbindung Nr. 5 ist das Interface tun5 zuständig.
Wenn man für alle Tunnel gemeinsame Regeln setzen möchte, muss man als Interface in der Custom-Regel tun+ eintragen.
Wenn alle Einstellungen vorgenommen sind ist der erste Schritt der Konfiguration abgeschlossen. Sie sehen nun eine Liste der von Ihnen konfigurierten OpenVPN-Verbindungen. Wählen Sie bitte Ihre Konfiguration aus. Bevor die einzelnen Zertifikate erzeugt werden können, sind ein ein paar weitere Einstellungen notwendig. Bitte tragen Sie die entsprechenden Werte laut der unten stehenden Tabelle für Ihre OpenVPN-Verbindung ein.
| Wert | Beschreibung |
|---|---|
| Server-CN | Die Server CN sollte dem vollständigen Namen + Domain entsprechen, unter dem die TightGate™-Firewall von den VPN-Gegenstellen angesprochen wird. Bsp. Heißt Ihre TightGate™-Firewall gateway und befinden Sie sich in der Domäne m-privacy.de, so lautet die Server-CN gateway.m-privacy.de. Sollen mobile Klienten angebunden werden, so ist die Eintragung der korrekten Server-CN zwingend erforderlich. |
| Anzahl Klienten | Anzahl der Gegenstellen, die sich über das Zertifikat mit der TightGate™-Firewall verbinden sollen. Es sind pro OpenVPN-Zertifikat maximal 63 Klienten zugelassen (Beschränkung durch die Größe des Klienten-Netzwerkes mit 24 Bit, falls Sie mehr benötigen, fragen Sie bitte den m-privacy Support nach der korrekten Konfiguration). |
| Klienten-Netzwerk | IP-Adresse des Klienten Netzwerkes. Das Netzwerk ist in der Form a.b.c.d/n anzugeben. Das Klienten-Netzwerk entspricht dem unter der Lfd. Nr.7 festgelegten tun-Netzwerk. In dem Beispiel vom Anfang würde das Klienten-Netzwerk so aussehen: 192.168.101.0/24 |
| Erste Klienten-IP | IP-Adresse des ersten Klienten, der sich verbinden soll. Diese muss aus dem Klienten-Netzwerk stammen und sollte als hintere Stelle die .4 haben. In dem Beispiel vom Anfang würde die erste Klienten-IP die 192.168.101.4 sein. (Anmerkung: Die IP-Adressen a.b.c.1/2/3 sind schon durch die tun-Interfaces und die Broadcast-Adresse vergeben. Daher beginnt die erste Klienten-IP mit der a.b.c.4). |
| Letzte Klienten-IP | IP-Adresse des letzten Klienten, der sich verbinden soll. Diese muss aus dem Klienten-Netzwerk stammen und sollte als hintere Stelle die .252 haben. In dem Beispiel vom Anfang würde die letzte Klienten-IP die 192.168.101.252 sein. (Anmerkung. Die IP-Adressen der Klienten werden als 2-Bit-/4-Adressen-Blöcke vergeben, daher hat die letzte Klienten-IP die a.b.c.252). |
| Push Route | Mit dieser Funktion können Sie den Gegenstellen automatisch Routen mitgeben, wie diese die Netzwerke hinter Ihrer TightGate™-Firewall erreichen können. |
| Push DNS | Mit dieser Funktion können Sie auf den Gegenstellen automatisch einstellen, dass alle DNS-Anfragen der Gegenstellen nur über die TightGate™-Firewall beantwortet werden. |
| Benutzeranmeldung fordern | Mit der Anforderung einer Benutzeranmeldung haben Sie einen weiteren Sicherheitsbaustein für die OpenVPN-Verbindungen. Die Benutzeranmeldung ergänzt das Prinzip “Etwas haben” um das Prinzip “Etwas wissen”. Ohne die Benutzeranmeldung werden zum Aufbau einer OpenVPN-Verbindung nur die von der Firewall bereitgestellten Zertifikate und Schlüssel benötigt. Das heißt, dass ein Nutzer sich allein durch den Besitz der notwendigen Dateien an der TightGate™-Firewall anmelden kann. Gelangt jemand unberechtigtes in den Besitz dieser Dateien (z.B. Diebstahl eines Notebooks) so kann er damit eine Verbindung aufbauen. Mit einer geforderten Benutzeranmeldung ist zusätzlich zum Besitz der notwendigen Dateien noch der Benutzername und das Passwort eines gültigen Benutzers der TightGate™-Firewall notwendig. |
Sind alle Einstellungen aus der Liste vorgenommen, müssen beim VPN-Modus server nun noch die Certification Authority (CA) und die Zertifikate für die Klienten erzeugt werden.
SSL-CA erzeugen
Um das CA-Zertifikat der OpenVPN-Verbindung zu erzeugen, gehen Sie bitte auf den Menüpunkt SSL-CA erzeugen und wählen Sie diesen aus. Das Erzeugen des SSL-CA kann ein wenig Zeit in Anspruch nehmen. Bitte haben Sie etwas Geduld.
Klienten-Zertifikate erzeugen
Um die Klienten-Zertifikate zu erzeugen, gehen Sie bitte auf den Menüpunkt Klienten-Zertifikate erzeugen und wählen Sie diesen aus. Das Erzeugen der Zertifikate dauert ebenfalls etwas, da für jeden Klienten ein eigenes Zertifikat erzeugt wird. Haben Sie 3 oder mehr Klienten eingestellt, könnte die Zeit für einen Kaffee reichen.
Zum Export der Schlüsseldateien und zur Einrichtung der Gegenstelle/Klienten gehen Sie bitte vor, wie in den nachfolgenden Abschnitten beschrieben.
ACHTUNG
Wenn Sie alle Einstellungen vorgenommen haben, verlassen Sie das Menü. Speichern Sie nun alle Änderungen über den Menüpunkt Speichern ab und wenden Sie diese mit dem Menüpunkt Voll Anwenden an. Erst nach dem Anwenden werden die Einstellungen wirksam.
Schlüssel- und Zertifikats-Management
In diesem Kapitel wird Ihnen gezeigt, welche Möglichkeiten es gibt die erzeugten Dateien für Pre-Shared-Key oder Zertifikats-Verbindungen von der TightGate™-Firewall zu exportieren.
Schlüsselmanagement
Es ist sicherzustellen, dass für den Aufbau des OpenVPN-Tunnels für Server und Client der gleiche Schlüssel hinterlegt wird.
Pre-Shared Schlüsseldatei exportieren:
Zur Übertragung der Schlüsseldatei gibt es für Pre-Shared Key Verbindungen verschiedene Möglichkeiten:
- Direktes Kopieren der Schlüsseldatei auf die Gegenstelle.
Zum Exportieren der Schlüsseldatei den Menüpunkt Schlüsseldatei hochladen auswählen. Über einen Dialog kann per SSH-verschlüsselter Verbindung die Schlüsseldatei auf die Gegenstelle kopiert werden. Dazu muss die IP-Adresse, der Benutzername sowie der Zielpfad auf der Gegenstelle bekannt sein. Die Datei wird dabei in das angegebene Verzeichnis des Zielservers kopiert. - Schlüsseldatei über Transfer-Verzeichnis exportieren und dann auf der Gegenstelle einspielen.
Zum Exportieren der Schlüsseldatei auf eine Gegenstelle, die nicht per SSH von der TightGate™-Firewall aus erreicht werden kann, bitte den Menüpunkt Schlüsseldatei in Transfer auswählen. Über diesen Menüpunkt wird die Schlüsseldatei in das Transfer-Verzeichnis des Benutzers config geschrieben. Dabei sind die Schlüssel je nach definierter Verbindungsnummer benannt; z.B. 5.key = Key der Verbindung Nr. 5.
Um die Schlüsseldatei von der TightGate™-Firewall zu holen wird von einem Rechner, der SSH-Zugriff auf die TightGate™-Firewall hat, eine Verbindung als Benutzer config per Secure Copy (unter Windows mit dem Programm WinSCP) auf die TightGate™-Firewall aufgebaut. Die benötigte Schlüsseldatei kann nun aus dem Verzeichnis /home/config/transfer/ kopiert werden.
Zertifikate für zertifikatsbasierte OpenVPN-Verbindungen exportieren
Zur Übertragung der Zertifikate gibt es die Möglichkeit die Klienten-Zertifikate über das Transfer-Verzeichnis zu exportieren und dann auf den Gegenstellen einzuspielen.
Zum Exportieren der Klienten-Zertifikate samt Gegenstellen-Konfiguration bitte den Menüpunkt Klienten-Zertifikate in Transfer auswählen. Über diesen Menüpunkt werden die Zertifikatsdateien in das Transfer-Verzeichnis des Benutzers config geschrieben. Dabei wird für jeden Klienten ein Ordner je nach definierter Verbindungsnummer angelegt; z.B.im Ordner 1 = Verbindungsdateien für den Klienten Nr. 1.
In dem Ordner befinden sich alle benötigten Zertifikate und Konfigurationsdateien für die Gegenstelle. Diese müssen von der TightGate™-Firewall extrahiert werden und auf der Gegenstelle eingespielt werden. Um die Dateien von der TightGate™-Firewall zu holen wird von einem Rechner, der SSH-Zugriff auf die TightGate™-Firewall hat eine Verbindung als Benutzer config per Secure Copy (Für Windows mit dem Programm WinSCP) auf die TightGate™-Firewall aufgebaut. Die benötigten Schlüsseldateien können nun aus dem Verzeichnis /home/config/transfer/[OpenVPN-Nummer]/[Klienten-Nummer] kopiert werden. Am besten kopieren Sie einfach das gesamte Verzeichnis.
Einrichtung der Gegenstelle
Um die Gegenstelle für die erstelle OpenVPN-Verbindung richtig zu konfigurieren muss sicher gestellt sein, dass auf der TightGate™-Firewall wie auch auf der Gegenstelle die entsprechenden Schlüsseldateien verwendet werden. Weiterhin sind alle Einstellungen der TightGate™-Firewall analog auch auf der Gegenstelle vorzunehmen.
Die Einrichtung der OpenVPN-Konfiguration mit Pre-Shared Key muss für die Gegenstelle geschieht manuell. Den benötigten Schlüssel können Sie sich wie unter dem vorigen Kapitel Schlüssel- und Zertifikats-Management beschrieben von der TightGate™-Firewall holen.
Zur Einrichtung einer Gegenstelle für eine OpenVPN-Verbindung mit Zertifikaten wird die komplette Konfiguration für die Gegenstelle von der TightGate™-Firewall bereit gestellt. Diese kann ebenfalls wie unter Schlüssel- und Zertifikats-Management beschrieben extrahiert werden. Ist die Gegenstelle ein Windows-Klient, so können Sie bei der m-privacy ein Software-Paket erhalten, welches alle benötigen Programme und Anleitung zum Einrichten von OpenVPN-Verbindungen auf Windows-Rechnern enthält.
OpenVPN auf Notebooks mit Windows-Betriebssystem einrichten
Bitte wählen Sie die Anleitung für das gewünschte Betriebssystem:
Hinweis: Es ist zu beachten, dass in den E-Mail Programmen die Einstellung der Passwort-Verschlüsselung für IMAP oder POP3 mittels SSL eingestellt wird, wenn diese über den Mail-Server der TightGate™-Firewall abgerufen wird.