OpenVPN-Zugang

Neben dem VPN-Zugang mit Cisco-AnyConnect-Client gibt es auch einen VPN-Zugang mit OpenVPN (ausführliche Informationen zu OpenVPN gibt es auf den Webseiten des OpenVPN-Projekts).

Es gibt zwei Möglichkeiten eines OpenVPN-Tunnels. Die erste baut einen Tunnel über eine IPv4-Verbindung auf und tunnelt zusätzlich den gesamten IPv6-Verkehr zu den Netzen der Universität (IPv6-over-IPv4). Die zweite macht das genau umgekehrt und bietet sich besonders für die Clients an, die einen IPv6-only oder einen IPv6-Anschluß mit einer DSlite-Anbindung für IPv4 haben. Hier wird der Tunnel über den IPv6-Link aufgebaut und der IPv4-Verkehr zur Universität darüber getunnelt (IPv4-over-IPv6).
In beiden Fällen erhält der Client sowohl eine IPv4- als auch eine IPv6-Adresse aus dem OpenVPN-Netz zugeteilt, und in beiden Fällen können alle Ziele innerhalb der Universität, ob v4 oder v6, erreicht werden.

Zur Nutzung dieses OpenVPN-Zugangs werden benötigt:

1. Benutzerberechtigung:
   Der Username und das Passwort der normalen Benutzerberechtigung, bei Mitarbeitern aus der jeweiligen Abteilung, bei Studierenden aus den zentralen Rechnerpools.
2. Das CA-Zertifikat:
   Dieses CA-Zertifikat muss heruntergeladen und im OpenVPN-Installationsdirectory (siehe unten) gespeichert werden. In der Client-Konfigurationsdatei (siehe unten) muss der Pfad zum CA-Zertifikat angegeben werden.
   Hinweise:
   • Es genügt nicht, das CA-Zertifikat z. B. in Windows oder im Webbrowser zu installieren, das CA-Zertifikat muss in einer Datei abgespeichert werden und der Pfad zu dieser Datei muss in der Client-Konfigurationsdatei angegeben werden, sonst findet der OpenVPN-Client das Zertifikat nicht.
   • Wenn man das Zertifikat mit dem Internet Explorer herunterlädt, bietet er als Dateiname infcacert.cer an statt infcacert.crt.
3. Die Client-Konfigurationsdatei:
   Die Client-Konfigurationsdatei muss heruntergeladen und im Subdirectory config des OpenVPN-Installationsdirectories abgespeichert werden (siehe unten). In der Konfigurationsdatei muss ggf. der Pfad zur Datei mit dem CA-Zertifikat (infcacert.crt) geändert werden.
   Client-Konfigurationsdatei für:
   • Microsoft Windows 2000 und XP
   • Microsoft Windows Vista, Windows 7 und höher
   • IPv6-over-IPv4 (UNIX / Linux / MacOS)
   • IPv4-over-IPv6 (UNIX / Linux / MacOS)
   • Pritunl-Client (enthält CA-Zertifikat; auch für OpenVPN-Kommandoclient nutzbar)
4. Die OpenVPN-Clientsoftware:
   Es gibt Clients für Linux, Windows (32 Bit und 64 Bit), OpenBSD, FreeBSD, NetBSD, Mac OS X und Solaris.
   • Microsoft Windows:
     • Download von http://openvpn.net/
     • Aktuelle Versionen des Windows-Clients enthalten den eigentlichen Client (Kommandozeilen-Client) und das OpenVPN GUI für Windows. Im folgenden werden die Installation und Nutzung mit dem GUI beschrieben.
     • Zuerst wird der Client durch Ausführen der heruntergeladenen Datei installiert (z. B. in das Installationsdirectory C:\Programme\OpenVPN). Dies muss mit einem Benutzer erfolgen, der administrative Rechte hat. Hinweis: diese Installation kann etwas länger dauern, der Installationsvorgang sollte nicht abgebrochen werden, wenn er mehrere Minuten an einer Stelle hängt, das ist normal.
     • Danach das CA-Zertifikat und die Client-Konfigurationsdatei in das Subdirectory config des Installationsdirectories kopieren. Ggf. den Pfad zur Zertifikatsdatei in der Konfigurationsdatei anpassen.
     • Dann kann das Programm durch Doppelklick aufgerufen werden. Der OpenVPN-Client wird in der Notification Area (auch als Systemtray bezeichnet) der Taskbar angezeigt. Ein Rechtsklick auf dieses Icon in der Taskbar öffnet ein Menü, das u. a. die Möglichkeit zur Herstellung einer Verbindung anbietet ("Connect").
       Hinweis für Windows 7: In den Eigenschaften des Desktop-Icons, mit dem man OpenVPN startet, sollte man unter Kompatibilität 'Programm im Kompatibilitätsmoduls ausführen für: Windows Vista' einstellen und 'Programm als Administrator ausführen' auswählen.
     • Wenn man eine Verbindung herstellt, öffnen sich ein Statusfenster sowie ein Fenster für die Eingabe von Username und Passwort. Im Statusfenster kann man den Verbindungsaufbau verfolgen. Nach erfolgreichem Verbindungsaufbau schließt sich das Statusfenster.
     • Zum Beenden der Verbindung wählt man nach Rechtsklick auf das OpenVPN-Icon in der Taskbar "Disconnect" aus.
     • Nutzung als Benutzer ohne administrative Rechte:
       Unter Windows 2000 und Windows XP kann man den OpenVPN-Client auch als Benutzer ohne administrative Rechte einsetzen, unter Windows Vista muss nach unserem Kenntnisstand der OpenVPN-Client mit administrativen Rechten gestartet werden (z. B. mit "Run as"), sonst kann er die erforderlichen Einträge in die Routing-Tabelle nicht machen. Sollen Benutzer unter Windows 2000 und Windows XP ohne administrative Rechte OpenVPN verwenden können, sind noch einige Dinge als administrativer Benutzer einzurichten:
       • Der Benutzer, der OpenVPN ohne administrative Rechte nutzen soll, muss Mitglied der Gruppe Netzwerkkonfigurations-Operatoren (engl. Network Configuration Operators) sein.
       • Der Benutzer benötigt auch Schreibrechte auf die Subdirectories config bzw. log des OpenVPN-Installationsdirectories (z. B. C:\Programme\OpenVPN), wenn er in der Lage sein soll, die OpenVPN-Konfiguration zu ändern bzw. wenn OpenVPN ein Logfile schreiben soll (wenn der Benutzer keine Schreibrechte auf das Subdirectory log hat, kommt beim Aufbau einer Verbindung eine Fehlermeldung, der Verbindungsaufbau funktioniert aber trotzdem). Statt jedem einzelnen Benutzer Schreibrechte auf diesen Directories zu geben, kann man diese Schreibrechte auch der Gruppe Netzwerkkonfigurations-Operatoren geben.
       In der Dokumentation zu OpenVPN ist beschrieben, dass zusätzlich auch noch folgendes zu tun ist, bei unseren Tests war dies allerdings nicht erforderlich:
       • In der Registry muss unter HKEY_LOCAL_MACHINE\SOFTWARE\OpenVPN-GUI\ der Wert von service_only auf 1 gesetzt werden. Dadurch wird beim "Connect" und "Disconnect" der OpenVPN-Service gestartet bzw. angehalten.
       • Der Benutzer, der OpenVPN ohne administrative Rechte nutzen soll, muss das Recht haben, den OpenVPNService zu starten und zu stoppen. Dieses Recht kann man ihm z. B. mit dem Programm subinacl.exe geben, das Bestandteil des Windows Resource Kit ist und von den Microsoft-Webseiten heruntergeladen werden kann: Download von subinacl.
         Der Benutzer mit dem Namen user bekommt die Rechte zum Starten und Stoppen des OpenVPNService mit dem Kommando:
         subinacl /service "OpenVPNService" /grant=user=TO
     • UNIX/Linux:
       • Download von OpenVPN
       • Download von Pritunl
       • Unter Linux (bzw. UNIX im allgemeinen) benötigt man den TUN/TAP Gerätetreiber, z.B. als Modul tun.ko. Normalerweise sollte er bereits im System vorhanden sein. Bei manchen Installationen (z.B. eigener Kernel) ist ggf. das Modul extra zu generieren:
         In der Kernel-Konfiguration ist der Eintrag unter Device Drivers --> Network device support --> Universal TUN/TAP device driver support zu finden. Im Anschluss daran sollte man das Modul in /etc/modules (bei Debian) aufnehmen.
     • Mac OS X ab 10.4:
       Für Mac OS X gibt es das GUI Tunnelblick für OpenVPN. Die Downloads enthalten das GUI und den eigentlichen OpenVPN-Client.

Hinweise:

Im Gegensatz zum Cisco-VPN-Client wird bei der Nutzung des OpenVPN-Zugangs von außerhalb der Informatiknetze die resolv.conf auf dem Client nicht modifiziert, so dass weiterhin lokale Nameserver (z.B. im Heimnetz) benutzt werden können.