Suchen
Filter

Server in nur fünf Minuten über OpenVPN einbinden

Server in nur fünf Minuten über OpenVPN einbinden

Heim-Arbeitsplätze an das Firmennetzwerk anbinden

Möchten Sie OpenVPN selbst einrichten geben wir Ihnen in dieser mehrteiligen Reihe wertvolle Tipps, möchten Sie jedoch schnell zu einem Ergebnis kommen, bieten wir das Einrichtungs-Skript inkl. einer Anleitung zu 49.- EUR an.

Das Skript wurde entwickelt externe Arbeitsplätze sicher an das Unternehmensnetzwerk anzubinden, und das unabhägig welchen Router die Arbeitsplätze nutzen. Zum anderen wurde es entwickelt um virtuelle Windows-Rootserver über OpenVPN zu administrieren zu können. Das sind zum Beispiel Systeme, wie sie von Hosteurope angeboten werden.

Das Skript liegt im Quelltext als Powershell vor und kann dadurch auch für andere Szenarien angepasst werden.

 

Inhalt der Reihe OpenVPN

  • Allgemeines (Teil 1)
  • Installation mit dem Einrichtungs-Skript (Teil 2)
  • Alternativ, manuelle Einrichtung ohne Skript (Teil 3)
  • Alternativ, manuelle Erstellung einer eingebetteten client.ovpn (Teil 4)
  • Alternativ, Erstellung einer eingebetteten client.ovpn über Powershell (Teil 5)

 

Allgemeiner TEIL 1

Sie haben Mitarbeiter, die auch von Zuhause auf den Firmenserver zugreifen können sollen?

Das ist heute technisch kein Problem mehr, aber hier fallen einem sofort die Worte Sicherheit, Komfort und Geschwindigkeit ein. Die Daten, die über das Internet laufen, sind sehr einfach abzuhören. Fremde können sich so Zugang zu Ihrem Firmennetzwerk verschaffen, sei es um Ihr System auszuspionieren, es zu kompromittieren oder um Ihre Daten gegen Lösegeld in Geiselhaft zu nehmen. Andererseits möchte man auch eine komfortable Lösung. Der angebundene Heim-Arbeitsplatz soll sich nach Möglichkeit so verhalten als wäre er im Firmennetzwerk. Man möchte also auf dem Firmendrucker oder lokal drucken können, Dateien über die Zwischenablage oder auf den lokalen Arbeitsplatz kopieren usw. Natürlich sollen Programme, die im Firmennetzwerk vorhanden sind auch lokal zügig arbeiten.

Das virtuelle private Netzwerk

Eine Technik, mit der sich zum größten Teil alles lösen lässt, nennt sich VPN (= Virtuelles Privates Netzwerk). Hierbei wird zunächst der externe Arbeitsplatz so eingebunden, als ob er im Unternehmen direkt stehen würde. Dies geschieht über einen VPN-Tunnel, der durch das Internet hindurchläuft. Zusätzlich ist der Datenverkehr im Tunnel verschlüsselt.

VPN Schema
Es gibt ganz verschiedene Ansätze, VPN zu realisieren. Einige sind älter und gelten als inzwischen nicht mehr sicher, hierzu zählt PPTP, andere sind kompliziert oder haben hohe Anschaffungskosten wie bei IPSEC oder sie haben wenig Flexibilität wie reines SSL/TLS. Die vierte Gruppe ist OpenVPN, ein quelloffenes freies System, welches flexibel, sicher aber leider auch kompliziert einzurichten ist.

Wir beschäftigen uns in dieser mehrteiligen Reihe nur mit dem OpenVPN. Die Router zwischen diesen Systemen können ganz unterschiedlich sein. Lediglich ein Port im Router muss für den VPN-Tunnel geöffnet werden.

Standardszenarien

Ein einfaches, aber oft verlangtes Standardszenario ist die Anbindung eines externen Arbeitsplatzes. Ein ähnliches Szenario wäre es, einen Server, der bei einem Internet-Provider steht, von Firmenarbeitsplätzen anzubinden.

Für diese einfachen Szenarien haben wir ein Programm erstellt, welches anhand weniger und einfacher Angaben, das OpenVPN-System auf dem Server einrichtet und gleichzeitig die Konfiguration für den oder die externen Arbeitsplätze erstellt. Das Programm ist in Powershell, der Skriptsprache für Netzwerkadministratoren, erstellt und liegt im Quelltext vor.

Neben der Erzeugung von Schlüsseln und Zertifikaten wird auch eine Konfigurations-Datei erstellt, die alle relevanten Informationen einbettet, also in einer einzigen Datei enthält. Diese kann nicht nur vom externen Windows-Arbeitsplatz genutzt werden, sondern auch unter Linux, einem iPhone oder einem Android-System.

Die komplette Konfiguration des Servers und des Clients erfolgt beispielsweise zwei Zeilen:

C:\> powershell.exe .\PsEulOPen.ps1 -Server -Ip 192.168.10.0 -RestrictRDP
C:\> powershell.exe .\PsEulOPen.ps1 -Client MarkusExtern

Im VPN-Netzwerk arbeiten

An der Geschwindigkeit des Internets kann man nicht viel ändern, aber es gibt zwei Techniken wie mit dem Firmennetz gearbeitet werden kann. Die eine ist die direkte Nutzung des reinen Netzwerks und die andere ist es, einen PC oder virtuellen Desktop im Firmennetzwerk fernzubedienen. Bei der Nutzung des reinen Netzwerks werden die Programme immer im externen Arbeitsplatz ausgeführt, im Modus der Fernbedienung hingegen, werden die Programme jedoch im Firmennetzwerk ausgeführt. Dies kann ein dort stehender PC, der Server oder ein virtueller Desktop wie zum Beispiel ein Terminal-Server. Die Technik dahinter lautet Remote-Desktop.

Oft wird auch hier ein Mischbetrieb verwendet, also gewisse Programme werden im externen PC ausgeführt und andere per Fernbedienung auf einem System im Unternehmen.

Programme, wie die EULANDA Warenwirtschaft, lassen sich über beide Arten nutzen, also über eine reine TCP-Netzwerkverbindung als auch über eine Remote-Desktop Verbindung. Wird das Programm über eine reine TCP-Netzwerkverbindung genutzt, ist es wichtig, das Programm lokal im externen Arbeitsplatz zu speichern, da der Ladevorgang durch den VPN-Tunnel sonst Minuten dauern würde. EULANDA hat aber auch sehr viele Optimierungen für den Remote-Desktopbetrieb (z.B. Farbreduzierung, unnötige Animation abschalten etc.). Programme, die nur unter Windows lauffähig sind, lassen sich so über Remote-Desktop auch von fremden Systemen wie z.B. Android nutzen.

Die Einrichtung mit dem fertigen Skript dauert nur wenige Minuten und geschieht ohne weitere Benutzereingaben.

Einen Kommentar hinterlassen