Zum Hauptinhalt springen

Linux VPN-Server: OpenVPN Ubuntu-Installation

Veröffentlicht am:
.
19 Minuten Lesezeit
.
Für die Englische Version

Die Sicherung der Datenübertragung über öffentliche und private Netzwerke ist in der heutigen vernetzten Welt zu einer obersten Priorität geworden. Eine der am weitesten verbreiteten Lösungen zur Erstellung sicherer Kommunikationskanäle ist OpenVPN, ein Open-Source-VPN-Protokoll, das für seine Flexibilität, starke Verschlüsselung und Zuverlässigkeit bekannt ist. Insbesondere auf Linux-basierten Systemen wie Ubuntu bietet OpenVPN Systemadministratoren und Benutzern eine robuste Plattform zum Aufbau sicherer und skalierbarer VPN-Infrastrukturen.

Dieser Artikel bietet eine umfassende Anleitung zur Installation und Konfiguration von OpenVPN auf Ubuntu, die es sowohl Anfängern als auch erfahrenen Nutzern erleichtert, ihren eigenen OpenVPN-Server einzurichten. Wir werden die entscheidende Rolle von VPN-Servern beim Schutz sensibler Daten und der Wahrung der Privatsphäre untersuchen. Darüber hinaus hebt der Artikel die Bedeutung der Client-Konfiguration hervor, um sicherzustellen, dass Geräte, die sich mit dem Server verbinden, ordnungsgemäß authentifiziert und sicher sind.

Da Sicherheit und Leistung für jede VPN-Konfiguration von entscheidender Bedeutung sind, werden wir uns mit den besten Praktiken zur Optimierung von OpenVPN auf Linux befassen, einschließlich der Anpassung von Verschlüsselungseinstellungen, Netzwerkparametern und Systemressourcen. Zuletzt werden wir häufige Probleme durch Fehlersuche angehen und Experten-Tipps teilen, um einen widerstandsfähigen VPN-Server in Produktionsumgebungen aufrechtzuerhalten.

Egal, ob Sie ein Ubuntu-VPN für den persönlichen Gebrauch einrichten oder ein Unternehmensnetzwerk verwalten möchten, dieser Leitfaden wird Sie mit dem notwendigen Wissen ausstatten, um eine sichere und zuverlässige OpenVPN-Linux-Serverkonfiguration aufzubauen.

Starten Sie noch heute kostenlos mit Zenarmor

Warum ist OpenVPN wichtig für die Sicherung von Ubuntu-Systemen?

OpenVPN ist ein wichtiges Werkzeug zur Sicherung von Ubuntu-Systemen, da es verschlüsselte Tunnel erstellt, die sensible Daten während der Übertragung schützen und einen sicheren Zugang zu privaten Netzwerken über öffentliche Infrastruktur gewährleisten.

Einer der Hauptvorteile von OpenVPN ist seine Fähigkeit, Datenverkehr mithilfe robuster kryptografischer Protokolle wie AES-256 und TLS zu verschlüsseln, wodurch verhindert wird, dass Dritte die Daten abfangen oder manipulieren, während sie über ungesicherte Netzwerke wie das Internet übertragen werden.

Während der Übertragung erstellt OpenVPN einen sicheren, authentifizierten Kanal zwischen dem Client und dem Server, der Informationen wie Anmeldeinformationen, Dateien und interne Ressourcen schützt. Dies ist besonders wichtig in Unternehmensumgebungen oder bei Remote-Arbeitsszenarien, in denen sensible Daten häufig zwischen verteilten Endpunkten fließen.

Zusätzlich bietet OpenVPN verschlüsselungsbasierten Zugriffskontrolle, die nur autorisierten Benutzern und Geräten den Zugriff auf das private Netzwerk ermöglicht. Die auf Verschlüsselung basierende Zugriffskontrolle gewährleistet nicht nur die Vertraulichkeit, sondern auch die Integrität und Verfügbarkeit kritischer Dienste innerhalb des Ubuntu Systems.

Über die Sicherheit hinaus bietet OpenVPN praktische Vorteile wie die Möglichkeit, geografische Einschränkungen zu umgehen und sicheren Remote-Zugriff zu ermöglichen. OpenVPN ermöglicht nahtlose und sichere Konnektivität, ohne das Netzwerk externen Bedrohungen auszusetzen, für Benutzer in eingeschränkten Regionen oder für diejenigen, die von externen Standorten auf interne Systeme zugreifen müssen.

Insgesamt stärkt OpenVPN die Netzwerksicherheitslage von Ubuntu, indem es Datenschutz, Authentifizierung und Zugriffskontrolle bietet, alles wesentliche Komponenten zum Schutz moderner Systeme.

Wie installiert man OpenVPN auf Ubuntu?

Die Installation von OpenVPN auf Ubuntu ermöglicht es Benutzern, sichere und private Verbindungen zwischen entfernten Clients und internen Netzwerken zu erstellen. Dieser Abschnitt konzentriert sich ausschließlich auf den Installationsprozess von OpenVPN und Easy-RSA über die Befehlszeilenschnittstelle. Sie können die nächsten Schritte befolgen, um OpenVPN auf Ubuntu zu installieren.

  1. Aktualisieren Sie die Systempakete: Um sicherzustellen, dass Ihr System vollständig aktualisiert ist und um Kompatibilitätsprobleme während der Installation zu vermeiden, führen Sie den folgenden Befehl aus.

    sudo apt update && sudo apt upgrade -y

  2. Installieren Sie OpenVPN und Easy-RSA: Installieren Sie das Kernpaket von OpenVPN zusammen mit Easy-RSA, einem Tool zur Verwaltung von SSL-Zertifikaten, mit dem folgenden Befehl.

    sudo apt install openvpn easy-rsa -y

  3. Überprüfen Sie die Installation: Überprüfen Sie, ob OpenVPN mit dem folgenden Befehl korrekt installiert ist.

    openvpn --version

    Optional können Sie überprüfen, ob das Easy-RSA-Verzeichnis vorhanden ist.

    ls /usr/share/easy-rsa

    Sobald die Installation abgeschlossen ist, können Sie mit der Konfiguration des OpenVPN-Servers fortfahren.

Was sind die Schritte zur Einrichtung eines OpenVPN-Servers auf Ubuntu?

Die Einrichtung eines OpenVPN-Servers auf Ubuntu umfasst die Erstellung einer kryptografischen Infrastruktur, die Konfiguration des Servers und die Anpassung der netzwerkbezogenen Systemeinstellungen. Dieser Abschnitt bietet eine vollständige Anleitung zur Sicherung und zum Betrieb Ihres OpenVPN-Servers. Die wichtigsten Schritte zur Einrichtung eines OpenVPN-Servers auf Ubuntu sind unten aufgeführt.

  1. Einrichten der Public Key Infrastructure (PKI): Das PKI-Verzeichnis speichert alle kryptografischen Dateien und Zertifikate, die zur Sicherung des VPN benötigt werden. Die folgenden Befehle erstellen ein Verzeichnis, in dem Sie Schlüssel und Zertifikate verwalten.

    mkdir -p ~/openvpn-ca
    cd ~/openvpn-ca
    cp -r /usr/share/easy-rsa/* ./

  2. Konfigurieren Sie die Zertifizierungsstelle (CA): Passen Sie die Zertifikat-Metadaten (wie Land, Organisation und E-Mail) an, indem Sie die vars-Datei bearbeiten. Öffnen Sie die Datei mit dem folgenden Befehl.

    nano vars

    Suchen Sie die folgenden Zeilen und aktualisieren Sie sie, indem Sie das führende #-Symbol entfernen und die Standardwerte ersetzen. Diese Werte werden in allen Zertifikaten verwendet, die Sie später generieren. Speichern und beenden Sie mit Ctrl + O, dann Ctrl + X.

    set_var EASYRSA_REQ_COUNTRY "US"
    set_var EASYRSA_REQ_PROVINCE "California"
    set_var EASYRSA_REQ_CITY "San Francisco"
    set_var EASYRSA_REQ_ORG "MyOrganization"
    set_var EASYRSA_REQ_EMAIL "[[email protected]](mailto:[email protected])"
    set_var EASYRSA_REQ_OU "IT"

  3. Erstellen Sie die Zertifizierungsstelle (CA): Um eine vertrauenswürdige Umgebung für OpenVPN-Verbindungen zu schaffen, ist der erste Schritt die Erstellung einer Zertifizierungsstelle (CA). Diese CA wird sowohl für die Signierung der Server- als auch der Client-Zertifikate verantwortlich sein.

    Beginnen Sie mit der Initialisierung des Public Key Infrastructure (PKI) Verzeichnisses mithilfe des Easy-RSA-Tools. Dies bereitet die notwendige Struktur für die Speicherung und Verwaltung kryptografischer Materialien vor.

    ./easyrsa init-pki

    Generieren Sie das CA-Zertifikat. Zur einfachen Nutzung in Testumgebungen oder automatisierten Setups erstellt der folgende Befehl eine passwortlose CA.

    ./easyrsa build-ca nopass

    Sie werden aufgefordert, einen allgemeinen Namen (CN) für die CA anzugeben (z.B. MyVPN CA). Wenn Sie die CA mit einem Passwort schützen möchten, lassen Sie nopass weg und verwenden Sie den folgenden Befehl.

    ./easyrsa build-ca

    Dieser Schritt führt zur Erstellung eines privaten Schlüssels und eines selbstsignierten Root-Zertifikats, die im Verzeichnis pki/ gespeichert werden. Diese werden später verwendet, um Server- und Client-Zertifikate auszustellen und zu validieren.

  4. Serverzertifikat und Schlüssel generieren: Nach der Erstellung der Zertifizierungsstelle (CA) besteht der nächste Schritt darin, den privaten Schlüssel und das Zertifikat des Servers zu generieren. Diese werden verwendet, um den VPN-Server gegenüber den sich verbindenden Clients sicher zu authentifizieren.

    1. Beginnen Sie mit der Erstellung einer Zertifikatsanforderung und der Signierung mit der CA mithilfe der folgenden Befehle.

      ./easyrsa gen-req server nopass

      Dies wird zwei Dateien generieren:

      • pki/private/server.key: der private Schlüssel des Servers
      • pki/reqs/server.req: die Zertifikatsanforderung (CSR)

    2. Signieren Sie die Anfrage mit der CA, um das tatsächliche Serverzertifikat mit dem folgenden Befehl zu erstellen.

      ./easyrsa sign-req server server

    3. Wenn Sie dazu aufgefordert werden, bestätigen Sie die Anfrage und geben Sie ja ein, um fortzufahren.

    4. Diffie-Hellman (DH) Parameter sind für den Schlüsselaustausch erforderlich. Generieren Sie sie mit dem folgenden Befehl.

      ./easyrsa gen-dh

    5. Zum zusätzlichen Schutz gegen UDP-basierte Angriffe (z.B. DoS) generieren Sie einen gemeinsamen geheimen Schlüssel mit dem folgenden Befehl.

      openvpn --genkey secret ta.key

  5. Client-Zertifikate generieren: Jeder Client muss ein einzigartiges Zertifikat haben, um sich sicher mit dem VPN-Server zu verbinden. Um ein Client-Zertifikat zu generieren, führen Sie den folgenden Befehl aus und bestätigen Sie mit ja, wenn Sie dazu aufgefordert werden.

    ./easyrsa gen-req client1 nopass
    ./easyrsa sign-req client client1

  6. ** Übertragen Sie Serverdateien in das OpenVPN-Verzeichnis**: Kopieren Sie alle erforderlichen Zertifikate und Schlüssel mit dem folgenden Befehl in das OpenVPN-Verzeichnis, damit der Dienst ordnungsgemäß darauf zugreifen kann.

    sudo cp pki/ca.crt pki/issued/server.crt pki/private/server.key pki/dh.pem ta.key /etc/openvpn/server/

  7. Erstellen und Bearbeiten der Server-Konfigurationsdatei: Erstellen Sie die Hauptkonfigurationsdatei für OpenVPN mit dem folgenden Befehl.

    sudo nano /etc/openvpn/server/server.conf

    Fügen Sie die folgende Konfiguration in die Datei ein.

    port 1194 # OpenVPN will listen on UDP port 1194
    proto udp # Use UDP protocol (faster and preferred for VPN)
    dev tun # Create a TUN virtual network interface
    ca ca.crt # Path to the Certificate Authority certificate
    cert server.crt # Server certificate
    key server.key # Server private key
    dh dh.pem # Diffie-Hellman parameters for key exchange
    auth SHA256 # Digest algorithm used for HMAC authentication
    tls-auth ta.key 0 # Enable HMAC packet authentication (0 = server side)
    key-direction 0 # Key direction for ta.key file (0 for server, 1 for client)
    server 10.8.0.0 255.255.255.0 # Define the virtual subnet and netmask for VPN clients
    persist-key # Avoid re-reading key across restarts
    persist-tun # Avoid re-creating the TUN device across restarts
    keepalive 10 120 # Ping every 10s, restart if no response in 120s
    cipher AES-256-CBC # Encryption algorithm
    data-ciphers AES-256-CBC:AES-256-GCM # Allow fallback for clients using new ciphers
    user nobody # Drop privileges to unprivileged user
    group nogroup # Drop to unprivileged group
    status /var/log/openvpn-status.log # Status log path
    verb 3 # Set log verbosity (3 = recommended for debugging)

  8. Aktivieren Sie die IPv4-Paketweiterleitung: Dieser Schritt ist erforderlich, um den Datenverkehr von VPN-Clients über den VPN-Server in die Außenwelt (oder ins lokale Netzwerk) weiterzuleiten. Öffnen Sie die Datei sysctl.conf mit dem folgenden Befehl.

    sudo nano /etc/sysctl.conf

    Aktivieren Sie das Weiterleiten, indem Sie net.ipv4.ip_forward=1 setzen, was für das Routing von VPN-Verkehr unerlässlich ist. Kommentieren Sie die folgende Zeile aus oder fügen Sie sie hinzu.

    net.ipv4.ip_forward = 1

    Dann wenden Sie die Änderungen mit dem folgenden Befehl an. Wendet die sysctl-Änderungen in Echtzeit an, ohne den Server neu zu starten. Jetzt ist das System berechtigt, Pakete zwischen Netzwerkinterfaces weiterzuleiten.

    sudo sysctl -p

  9. Firewall mit UFW konfigurieren: Wenn UFW (Uncomplicated Firewall) aktiv ist, müssen Sie den Verkehr für OpenVPN zulassen und Routing-Regeln aktivieren.

  10. Um eingehenden VPN-Verkehr auf UDP-Port 1194 zuzulassen und den fortgesetzten SSH-Zugriff auf den Server sicherzustellen, müssen die folgenden UFW-Regeln mit den folgenden Befehlen hinzugefügt werden.

    sudo ufw allow 1194/udp
    sudo ufw allow OpenSSH

  11. Um NAT (Network Address Translation) für VPN-Clients zu aktivieren, muss die UFW before.rules-Datei bearbeitet werden. Verwenden Sie den folgenden Befehl, um die Datei zu öffnen.

    sudo nano /etc/ufw/before.rules

    1. Um den VPN-Client-Verkehr über die öffentliche Netzwerkschnittstelle des Servers zu leiten, wird eine Maskierungsregel hinzugefügt. Dies ermöglicht es den Clients, auf externe Ressourcen unter Verwendung der IP-Adresse des Servers zuzugreifen. Fügen Sie den folgenden Block vor der *filter-Zeile ein.

      *nat
      :POSTROUTING ACCEPT [0:0]
      -A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE
      COMMIT
      tipp

      Ersetzen Sie eth0 durch Ihre tatsächliche Netzwerkschnittstelle, falls diese abweicht. Sie können es mit ip a überprüfen.

    2. Um das Weiterleiten von Paketen zwischen Schnittstellen (VPN ↔ Internet) zu ermöglichen, muss die Standardrichtlinie in UFW auf "ACCEPT" gesetzt werden. Um die Standardrichtlinie zu ändern, öffnen Sie die Datei mit dem folgenden Befehl.

      sudo nano /etc/default/ufw

    3. Suchen Sie die Zeile und ändern Sie sie wie folgt.

      DEFAULT_FORWARD_POLICY="ACCEPT"

    4. Nach diesen Änderungen muss UFW neu gestartet werden, um die neuen Routing- und NAT-Einstellungen anzuwenden. Verwenden Sie den folgenden Befehl, um die Änderungen anzuwenden.

      sudo ufw disable
      sudo ufw enable

  12. Starten und Aktivieren des OpenVPN-Dienstes: Starten Sie den OpenVPN-Dienst und stellen Sie sicher, dass er beim Booten automatisch startet.

    sudo systemctl start openvpn-server@server
    sudo systemctl enable openvpn-server@server

  13. Überprüfen Sie den Status des VPN-Servers: Überprüfen Sie, ob der VPN-Dienst ordnungsgemäß und fehlerfrei läuft. Wenn alles korrekt konfiguriert ist, sollten Sie Active: active (running) sehen.

    sudo systemctl status openvpn-server@server

Wie konfiguriert man den OpenVPN-Client auf Ubuntu?

Um sich sicher mit einem OpenVPN-Server zu verbinden, muss auf dem Client-Rechner OpenVPN installiert sein, eine gültige Client-Konfigurationsdatei (normalerweise .ovpn) und die richtigen Zertifikate vorhanden sein. Dieser Abschnitt führt Sie durch den Prozess der Installation des Clients, des Imports der Konfiguration und der Herstellung einer Verbindung. Sie können die nächsten Schritte befolgen, um den OpenVPN-Client auf Ubuntu zu konfigurieren.

  1. Installieren Sie den OpenVPN-Client: Um den OpenVPN-Client auf Ubuntu zu installieren, verwenden Sie den folgenden Befehl. Dies stellt sicher, dass Sie die notwendigen Werkzeuge haben, um eine VPN-Verbindung herzustellen.

    sudo apt update && sudo apt install openvpn -y

  2. Übertragen Sie die folgenden Dateien vom Server auf den Client: Kopieren Sie die notwendigen Dateien vom OpenVPN-Server (Ubuntu) auf das Client-System. Sie können einen gemeinsamen Ordner wie vmshare oder scp verwenden. Die erforderlichen Dateien sind unten aufgeführt.

    • ca.crt: Zertifizierungsstellen-Datei
    • client 1.crt: Client-Zertifikat
    • client 1.key: Client-Privatschlüssel
    • ta.key: TLS-Authentifizierungsschlüssel

    Verschieben Sie diese Dateien mit dem folgenden Befehl in das entsprechende Verzeichnis auf dem Client-System.

    sudo mkdir -p /etc/openvpn/client
    sudo cp /media/sf_vmshare/* /etc/openvpn/client/
    tipp

    Stellen Sie sicher, dass die Dateinamen übereinstimmen und nicht versehentlich umbenannt oder überschrieben werden.

  3. Bereiten Sie die Client-Konfigurationsdatei vor: Um sich mit einem OpenVPN-Server zu verbinden, benötigen Sie eine .ovpn-Datei, die alle notwendigen Verbindungseinstellungen und Zertifikate enthält.

    Verwenden Sie einen Texteditor, um die .ovpn-Clientkonfigurationsdatei mit dem folgenden Befehl zu erstellen.

    sudo nano /etc/openvpn/client/client1.ovpn

    Fügen Sie die folgende Konfiguration in die Datei ein.

    Client
    dev tun
    proto udp
    remote 192.168.56.1 1194 # IP of OpenVPN server
    resolv-retry infinite
    Nobind
    persist-key
    persist-tun
    remote-cert-tls server # Verify the server cert against CA
    cipher AES-256-CBC
    auth SHA256
    data-ciphers AES-256-CBC:AES-256-GCM
    tls-auth /etc/openvpn/client/ta.key 1
    key-direction 1
    ca /etc/openvpn/client/ca.crt
    cert /etc/openvpn/client/client1.crt
    key /etc/openvpn/client/client1.key
    verb 3 # Logging level (3 is default and sufficient)

    Sie können diese Datei manuell erstellen oder mit Tools wie EasyRSA oder Hilfsskripten auf dem Server exportieren.

  4. Dateiberechtigungen korrigieren (Sicherheitsbest Practice): OpenVPN wird warnen, wenn .key-Dateien von anderen lesbar sind. Beschränken Sie den Zugriff auf die Schlüsseldateien mit dem folgenden Befehl.

    sudo chmod 600 /etc/openvpn/client/*.key

  5. Verbinden Sie sich mit dem VPN-Server: Um den OpenVPN-Client mit Ihrer Konfigurationsdatei zu starten, verwenden Sie den folgenden Befehl.

    sudo openvpn --config /etc/openvpn/client/client1.ovpn

    Das Terminal zeigt Protokolle an, die den Verbindungsprozess zeigen. Wenn alles korrekt ist, sehen Sie „Initialisierungssequenz abgeschlossen“.

  6. (Optional) Testen Sie die VPN-Verbindung: Sobald Sie verbunden sind, können Sie mit dem folgenden Befehl überprüfen, ob sich Ihre öffentliche IP-Adresse geändert hat.

    curl [ifconfig.me](http://ifconfig.me)

    Wenn erfolgreich, sollte es die öffentliche IP des VPN-Servers zurückgeben, nicht Ihre lokale IP.

Wo befindet sich die OpenVPN-Konfigurationsdatei in Linux?

Auf Linux-basierten Systemen verlässt sich OpenVPN auf eine Reihe von Konfigurationsdateien, die definieren, wie der VPN-Dienst funktionieren soll. Diese Dateien enthalten Server- und Client-Einstellungen, Verschlüsselungsprotokolle, Authentifizierungsschlüssel und Routing-Anweisungen. Zu wissen, wo sich diese Konfigurationsdateien befinden, ist unerlässlich für die Wartung, Modifikation oder Fehlersuche bei einer OpenVPN-Installation.

Standardmäßig werden OpenVPN-Konfigurationsdateien im folgenden Verzeichnis gespeichert.

/etc/openvpn/

Dieser Pfad dient als zentraler Ort für sowohl Server- als auch Client-Konfigurationsdateien auf den meisten Debian-basierten und Red Hat-basierten Linux-Distributionen. Innerhalb dieses Verzeichnisses definieren .conf- oder .ovpn-Dateien die Parameter, die erforderlich sind, um eine VPN-Verbindung zu initiieren und aufrechtzuerhalten.

Je nach Bereitstellungsstruktur können zusätzliche Unterverzeichnisse verwendet werden, um Konfigurationsdateien effektiver zu organisieren:

  • /etc/openvpn/server/ wird verwendet, um serverspezifische Konfigurationen zu isolieren, insbesondere in Multi-Instance-Umgebungen.
  • /etc/openvpn/client/ wird oft verwendet, um mehrere Client-Profile zu verwalten, insbesondere wenn jeder Client einzigartige Zertifikate oder Schlüssel benötigt.
  • Benutzerdirektoren wie ~/Downloads/ oder ~/vpn-configs/ können vorübergehend während manueller Tests oder Einrichtungsphasen verwendet werden, obwohl sie nicht dauerhaft oder sicher sind.

Für OpenVPN-Instanzen, die über SystemD verwaltet werden, müssen Konfigurationsdateien typischerweise in /etc/openvpn/ platziert und entsprechend benannt werden (z.B. client.conf), damit sie von Diensten wie openvpn@client erkannt werden.

Um den Inhalt des OpenVPN-Verzeichnisses anzuzeigen, kann der folgende Befehl verwendet werden.

ls /etc/openvpn/

Dies wird alle verfügbaren Konfigurationsdateien und -ordner auflisten. Für Systeme mit mehreren Konfigurationen (z.B. Site-to-Site-Tunnel oder mehrere Clients) gilt es als bewährte Praxis, Dateien in klar benannte Unterverzeichnisse zu organisieren.

Das Bearbeiten einer Konfigurationsdatei kann mit einem Texteditor wie nano erfolgen.

sudo nano /etc/openvpn/client/client1.ovpn

Beim Bearbeiten sollten Administratoren sicherstellen, dass die wichtigsten Felder—wie Serveradresse, Port, Protokoll und Zertifikatspfad—genau und konsistent mit der entsprechenden Serverkonfiguration sind.

Um persistente VPN-Sitzungen beim Booten zu ermöglichen, müssen Konfigurationsdateien den erwarteten Namenskonventionen und Dateipfaden entsprechen, die vom Init-Manager des Systems erkannt werden. Zum Beispiel, unter SystemD, indem man eine Datei namens client.conf in /etc/openvpn/ platziert und sie mit dem folgenden Befehl aktiviert.

sudo systemctl enable openvpn@client

Es wird das System anweisen, den OpenVPN-Client beim Booten automatisch mit dieser Konfiguration zu starten.

Zusammenfassend lässt sich sagen, dass sich OpenVPN-Konfigurationsdateien auf Linux-Systemen hauptsächlich im Verzeichnis /etc/openvpn/ befinden. Je nach Anwendungsfall, Server-, Client- oder Multi-Instanz-Bereitstellung können diese Dateien zur besseren Übersichtlichkeit und Sicherheit weiter in Unterverzeichnisse organisiert werden. Die ordnungsgemäße Verwaltung und Platzierung von Konfigurationsdateien gewährleistet nicht nur einen reibungslosen Betrieb des VPN, sondern erleichtert auch die Fehlersuche und Automatisierung.

Was sind die Anforderungen für die Installation von OpenVPN auf Ubuntu?

Bevor Sie OpenVPN auf einem Ubuntu-System installieren und konfigurieren, ist es wichtig sicherzustellen, dass das System die Mindestversion und Softwareanforderungen erfüllt. Diese Voraussetzungen helfen, Kompatibilität, Stabilität und Sicherheit bei der Bereitstellung von OpenVPN als sichere VPN-Lösung zu gewährleisten.

OpenVPN wird offiziell unterstützt und aktiv auf den folgenden Ubuntu-Versionen gepflegt.

  • Ubuntu 24.04 LTS (Noble Numbat)
  • Ubuntu 22.04 LTS (Jammy Jellyfish)
  • Ubuntu 20.04 LTS (Focal Fossa)
  • Ubuntu 18.04 LTS (Bionic Beaver) — Unterstützt mit einigen Einschränkungen bei den Paketversionen
  • Ubuntu 16.04 LTS — Abgekündigt: nicht empfohlen aufgrund veralteter Bibliotheken und EOL-Status
tipp

Verwenden Sie Ubuntu 20.04 oder höher, um die volle Kompatibilität mit den neuesten Versionen von OpenVPN, Easy-RSA und OpenSSL sicherzustellen.

Erforderliche Softwarepakete und Abhängigkeiten

Um OpenVPN erfolgreich zu installieren und zu betreiben, müssen die folgenden Pakete und Bibliotheken auf dem System verfügbar sein.

PaketZweck
openvpnKern-VPN-Software zur Herstellung sicherer, verschlüsselter Verbindungen
easy-rsaDienstprogramm zur Verwaltung von RSA-Schlüsseln, Zertifizierungsstellen (CA) und PKI-Dateien
opensslBietet kryptografische Funktionen, die von OpenVPN und Easy-RSA verwendet werden
net-tools oder iproute2Nützlich zur Verwaltung von Netzwerk-Schnittstellen und Routing (optional)
ufw oder iptablesZur Konfiguration von Firewall- und NAT-Regeln verwendet (empfohlen)

Die Installation und Verwaltung von OpenVPN erfordert root (sudo) Berechtigungen auf dem System. Zusätzlich wird dringend empfohlen, eine genau synchronisierte Systemuhr zu haben, vorzugsweise über NTP, um TLS/SSL-Zertifikatvalidierungsfehler zu vermeiden. Schließlich ist eine Internetverbindung während der Installationsphase unerlässlich, um die notwendigen Linux-Pakete abzurufen und Repositories zu aktualisieren.

Um OpenVPN auf Ubuntu zu installieren, stellen Sie sicher, dass Sie Ubuntu 22.04 oder höher verwenden und die notwendigen Abhängigkeiten wie openvpn, easy-rsa und openssl installiert haben. Die Erfüllung dieser Anforderungen gewährleistet eine reibungslosere Installation und eine höhere Sicherheit für Ihre VPN-Bereitstellung.

Was sind die besten kostenlosen VPN-Optionen für Ubuntu mit OpenVPN?

Während OpenVPN ein Protokoll ist (keine VPN-Dienstleistung selbst), bieten mehrere VPN-Anbieter kostenlose OpenVPN-kompatible Konfigurationen an, die mit dem OpenVPN-Client auf Ubuntu verwendet werden können. Diese Anbieter stellen typischerweise .ovpn-Dateien für die manuelle Einrichtung zur Verfügung, um private und verschlüsselte Verbindungen zu gewährleisten.

Hier ist eine kuratierte Liste der vertrauenswürdigsten kostenlosen VPN-Dienste, die OpenVPN auf Ubuntu unterstützen, einschließlich Flexibilität bei der Einrichtung, Datenlimits, Leistung und Datenschutzüberlegungen.

  1. ProtonVPN ProtonVPN ist ein in der Schweiz ansässiger VPN-Dienst, der für seine strengen Datenschutzrichtlinien und seine zuverlässige Infrastruktur bekannt ist.

    Die kostenlose Stufe von ProtonVPN bietet unbegrenzte Bandbreite, was bei kostenlosen VPN-Anbietern selten ist. Während der Zugang auf einige Länder (typischerweise die Vereinigten Staaten, die Niederlande und Japan) beschränkt ist, bietet ProtonVPN eine gute Stabilität und akzeptable Leistung für allgemeines Surfen.

    Der Dienst stellt offizielle .ovpn-Konfigurationsdateien zur Verfügung, die manuell mit dem OpenVPN-Client auf Ubuntu verwendet werden können. Zusätzlich bietet ProtonVPN optionale Linux-CLI-Tools für Benutzer an, die eine integrierte Kontrolle über Verbindungen bevorzugen.

  2. Windscribe: Windscribe bietet großzügige 10 GB kostenlose Daten pro Monat und Zugang zu Servern in etwa 10 Ländern. Es unterstützt OpenVPN durch herunterladbare Konfigurationsdateien, die nach der Kontoerstellung verfügbar sind.

    Windscribe enthält ein spezielles Linux-CLI-Tool (windscribe-cli), das es den Benutzern erleichtert, sich zu verbinden und Profile zu verwalten.

    Die Leistung ist im Allgemeinen zuverlässig für alltägliche Aufgaben, einschließlich sicherem Surfen und leichtem Streaming, und sie unterstützt Peer-to-Peer-Verkehr auf ausgewählten kostenlosen Servern.

  3. Hide.me: Hide.me bietet einen kostenlosen Plan mit einem monatlichen Datenlimit von 10 GB und Zugang zu Servern an fünf verschiedenen Standorten. Hide.me ist besonders gut für Linux-Nutzer geeignet, dank seiner umfangreichen Dokumentation und der Kompatibilität sowohl mit der OpenVPN-Befehlszeilenschnittstelle als auch mit NetworkManager. Die .ovpn-Konfigurationsdateien sind einfach zu beschaffen und einzurichten, und der Dienst ist bekannt für seine stabilen Verbindungen und anständigen Geschwindigkeiten innerhalb des Bandbreitenlimits. Obwohl sein Servernetzwerk im Vergleich zu kostenpflichtigen Plänen eingeschränkter ist, bietet es eine sichere und benutzerfreundliche Erfahrung auf Ubuntu.

  4. VPNBook (Völlig kostenlos, kein Konto erforderlich): VPNBook ist ein seltenes Beispiel für einen wirklich kostenlosen VPN-Dienst, der keine Anmeldung oder Zahlung erfordert. Es bietet öffentlich verfügbare .ovpn-Konfigurationsdateien für mehrere Server an, einschließlich Optionen in Europa und den Vereinigten Staaten.

    Im Gegensatz zu den anderen Anbietern stellt VPNBook keine benutzerdefinierte Anwendung oder einen Client zur Verfügung; die Benutzer müssen ihre Anmeldeinformationen manuell eingeben und Konfigurationsdateien über die OpenVPN-CLI laden.

    Die Leistung kann je nach Serverauslastung variieren, und gelegentliche Ausfallzeiten können auftreten, aber für Benutzer, die maximale Privatsphäre bei minimaler Registrierung suchen, bleibt VPNBook eine leichte und funktionale Lösung.

Was sind die Sicherheitsvorteile der Verwendung von OpenVPN auf Ubuntu?

OpenVPN wird weithin als eines der sichersten verfügbaren VPN-Protokolle angesehen, insbesondere wenn es auf Open-Source-Plattformen wie Ubuntu konfiguriert ist. Sein mehrschichtiges Verschlüsselungsmodell, robuste Authentifizierungsfunktionen und Anpassungsfähigkeit machen es zu einer vertrauenswürdigen Wahl sowohl für den individuellen als auch für den Unternehmenseinsatz. Im Folgenden sind die wichtigsten Sicherheitsvorteile der Verwendung von OpenVPN auf Ubuntu-Systemen aufgeführt.

  1. Starke Verschlüsselungsstandards: OpenVPN unterstützt branchenübliche Verschlüsselungsalgorithmen wie AES-256, die als hochsicher gelten und in militärischen und finanziellen Anwendungen weit verbreitet sind. Dieses Maß an Verschlüsselung schützt Daten während der Übertragung und gewährleistet Vertraulichkeit, selbst über unsichere Netzwerke wie öffentliches WLAN.

  2. Gegenseitige Authentifizierung über Zertifikate: Eine der Hauptstärken von OpenVPN liegt in der Verwendung von SSL/TLS zur Authentifizierung. Sowohl der Server als auch der Client authentifizieren sich gegenseitig mithilfe von X.509-Zertifikaten, was das Risiko von unbefugtem Zugriff und Man-in-the-Middle (MITM)-Angriffen erheblich verringert.

  3. Perfect Forward Secrecy (PFS): Wenn mit temporären Schlüsseln (z.B. unter Verwendung von Diffie-Hellman oder Elliptic Curve Diffie-Hellman) konfiguriert, unterstützt OpenVPN Perfect Forward Secrecy. Dies stellt sicher, dass selbst wenn ein Sitzungsschlüssel kompromittiert wird, vergangene und zukünftige Sitzungen sicher bleiben.

  4. Integritätsschutz und Manipulationserkennung: OpenVPN verwendet HMAC (Hash-Based Message Authentication Code), um die Integrität jedes Datenpakets zu überprüfen. Dies verhindert Manipulation und stellt sicher, dass die Daten während der Übertragung nicht verändert wurden.

  5. Portflexibilität und Obfuskation: OpenVPN kann auf beliebigen Ports laufen, einschließlich TCP-Port 443 (häufig für HTTPS verwendet). Dies macht OpenVPN-Verkehr schwieriger zu erkennen oder durch Deep Packet Inspection (DPI) zu blockieren, was eine bessere Widerstandsfähigkeit gegen Zensur oder VPN-Filterung bietet.

  6. Keine Datenprotokollierung (bei selbst gehostetem Betrieb): Wenn OpenVPN auf einem selbstverwalteten Ubuntu-Server bereitgestellt wird, gibt es dem Administrator die volle Kontrolle über die Protokollierungsrichtlinien. Dies ermöglicht eine wirklich keine-Logs-VPN-Erfahrung, die die Privatsphäre verbessert und die Datenaussetzung einschränkt.

  7. Kompatibilität mit starken Firewall-Regeln: Die integrierten Firewall-Tools von Ubuntu (z.B. UFW oder iptables) können eng mit OpenVPN integriert werden, um den Zugriff zu beschränken, Clients zu isolieren und IP-Whitelisting oder Kill-Switch-Mechanismen zur zusätzlichen Kontrolle und Eindämmung durchzusetzen.

  8. Open Source und von der Community geprüft: Sowohl OpenVPN als auch Ubuntu sind Open-Source-Projekte. Diese Transparenz ermöglicht es Sicherheitsforschern und der Gemeinschaft, den Code regelmäßig zu überprüfen, was hilft, Schwachstellen schneller zu erkennen und zu beheben als bei Closed-Source-Alternativen.

Zusammenfassend bietet die Verwendung von OpenVPN auf Ubuntu eine hochsichere, anpassbare und transparente VPN-Umgebung. Seine Kombination aus starker Verschlüsselung, gegenseitiger Authentifizierung und Open-Source-Vertrauen macht es ideal zum Schutz sensibler Daten und Kommunikation.

Wie richtet man einen sicheren OpenVPN-Server auf Ubuntu ein?

Die Sicherung eines OpenVPN-Servers auf Ubuntu erfordert mehr als eine Standardinstallation. Für einen robusten Schutz muss der Server mit starken Verschlüsselungsstandards, sicheren Authentifizierungsmechanismen und ordnungsgemäß verwalteten Zertifikaten konfiguriert werden. Dieser Abschnitt bietet eine detaillierte Erklärung sowohl der sicheren Protokollkonfiguration als auch der Zertifikatsinfrastruktur für eine gehärtete OpenVPN-Bereitstellung.

Konfiguration von OpenVPN mit sicheren Cipher Suites und Protokollen

Um einen sicheren VPN-Tunnel zu gewährleisten, sollte der OpenVPN-Server mit modernen kryptografischen Standards konfiguriert werden. Diese Konfigurationen werden in der OpenVPN-Serverkonfigurationsdatei vorgenommen, die sich typischerweise unter /etc/openvpn/server.conf befindet. Die folgenden Direktiven werden empfohlen.

cipher AES-256-GCM
auth SHA256
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384
tls-auth ta.key 0
key-direction 0

  • AES-256-GCM ist ein moderner, authentifizierter Verschlüsselungsalgorithmus, der sowohl Vertraulichkeit als auch Integrität bietet.

  • auth SHA256 stellt sicher, dass Pakete mit einer sicheren Hash-Funktion signiert werden.

  • tls-version-min 1.2 erzwingt eine Mindest-TLS-Version, um veraltete und unsichere Handshakes zu blockieren.

  • tls-cipher restricts die TLS-Verhandlung auf starke Chiffriersuiten, die Perfect Forward Secrecy (PFS) unterstützen.

  • tls-auth ta.key 0` fügt TLS-Handshakes eine zusätzliche HMAC-Signatur hinzu, um DoS- und Paket-Injektionsangriffe zu mildern.

  • key-direction 0 definiert die Rolle des Servers im TLS-Schlüsselaustausch (Client verwendet 1).

Diese Einstellungen helfen, kryptografische Downgrade-Angriffe zu widerstehen, die Identitätsvalidierung zu stärken und die Integrität des Tunnels zu verbessern.

Erstellen starker Sicherheitszertifikate und -schlüssel für Server und Clients

OpenVPN verwendet eine auf SSL/TLS basierende Public Key Infrastructure (PKI) zur Authentifizierung. Der Prozess der Erstellung sicherer Zertifikate und Schlüssel wird typischerweise mit Easy-RSA verwaltet, was die PKI-Generierung auf Ubuntu-Systemen vereinfacht.

In früheren Abschnitten haben wir bereits behandelt, wie man die PKI-Umgebung initialisiert und notwendige Zertifikate wie CA (Zertifizierungsstelle), Serverzertifikat und -schlüssel, Clientzertifikat und -schlüssel, Diffie-Hellman-Parameter und TLS-Schlüssel zur HMAC-Überprüfung generiert.

All diese wurden mit Easy-RSA-Befehlen generiert, die unten aufgeführt sind.

./easyrsa build-ca
./easyrsa build-server-full server
./easyrsa build-client-full client2
./easyrsa gen-dh
openvpn --genkey secret ta.key

Diese Dateien bilden das Rückgrat des sicheren Handshake-Mechanismus von OpenVPN und müssen sorgfältig gespeichert und verteilt werden.

  • Serverseitige Dateien (z.B. server.crt, server.key, ca.crt, dh.pem, ta.key) sollten nach /etc/openvpn/server/ verschoben werden.

  • Client-seitige Dateien (z.B. client1.crt, client1.key, ca.crt, ta.key) sollten sicher auf das Client-Gerät übertragen werden.

Wenn sie zusammen mit sicheren Protokollkonfigurationen verwendet werden, gewährleisten diese Zertifikate eine verschlüsselte, authentifizierte und manipulationssichere Kommunikation zwischen Clients und dem VPN-Server.

Was sind die besten Praktiken für den Betrieb eines OpenVPN-Servers auf Ubuntu?

Das Protokoll und der Port, den OpenVPN verwendet, wirken sich direkt auf seine Geschwindigkeit und Zuverlässigkeit aus. Standardmäßig verwendet OpenVPN UDP auf Port 1194, was für die meisten Benutzer aufgrund seiner niedrigen Latenz und besseren Durchsatzrate die beste Option ist. UDP ist ideal für Echtzeitanwendungen wie VoIP, Videokonferenzen und Streaming.

In Umgebungen mit strengen Firewall-Regeln oder Deep Packet Inspection (DPI) wird jedoch TCP auf Port 443 empfohlen. Dieser Port ahmt regulären HTTPS-Verkehr nach, was es für restriktive Netzwerke schwieriger macht, OpenVPN-Pakete zu erkennen oder zu blockieren.

Um diese Best Practices effektiv anzuwenden, wird empfohlen, OpenVPN in Standard-Szenarien so zu konfigurieren, dass es proto udp mit Port 1194 verwendet, da dies optimale Geschwindigkeit und Leistung bietet. Im Gegensatz dazu sollte proto TCP über Port 443 verwendet werden, wenn das VPN hinter restriktiven Firewalls oder in stark zensierten Umgebungen betrieben werden muss.

Darüber hinaus können Kompressionsoptionen wie compress lz4 zwar die Leistung in einigen Anwendungsfällen verbessern, sollten jedoch vorsichtig aktiviert werden, da sie zusätzlichen CPU-Overhead und potenzielle Sicherheitsanfälligkeiten einführen können. In stark frequentierten Bereitstellungen sollten Administratoren auch die Ressourcennutzung überwachen und die Puffergrößen (sndbuf, rcvbuf) feinabstimmen, um eine konsistente Leistung sicherzustellen und Paketverluste zu minimieren.

Wie behebt man Probleme mit dem OpenVPN-Server auf Ubuntu Linux?

Selbst bei korrekter Konfiguration können OpenVPN-Server gelegentlich aufgrund von Syntaxfehlern, fehlenden Dateien, Berechtigungsproblemen oder Netzwerkfehlkonfigurationen nicht starten oder wie erwartet funktionieren. Im Folgenden sind gängige Fehlersuche-Schritte aufgeführt, die dabei helfen können, typische OpenVPN-Probleme auf Ubuntu zu identifizieren und zu beheben.

  1. Überprüfen Sie den Status des OpenVPN-Dienstes: Stellen Sie zunächst sicher, dass der OpenVPN-Dienst mit dem folgenden Befehl korrekt läuft.

    sudo systemctl status openvpn@server

    Wenn der Dienst inaktiv oder fehlgeschlagen ist, suchen Sie nach Hinweisen in der Ausgabe, wie „konnte nicht gestartet werden“, „fehlender Schlüssel“ oder „TLS-Handshake fehlgeschlagen“.

  2. Überprüfen Sie die Systemprotokolle auf Fehler: Die Hauptquelle für Laufzeitfehler ist das Systemprotokoll. Verwenden Sie den folgenden Befehl, um die Protokolldatei zu überprüfen.

    sudo journalctl -u openvpn@server

    Oder, Sie können die allgemeine Protokolldatei mit dem untenstehenden Befehl überprüfen.

    sudo less /var/log/syslog

    Suchen Sie nach Nachrichten, die mit fehlenden Zertifikaten, Portkonflikten oder Authentifizierungsfehlern zusammenhängen.

  3. Aktivieren Sie die ausführliche Protokollierung in der Konfiguration: In Ihrer server.conf-Datei erhöhen Sie die Ausführlichkeit, um detailliertere Ausgaben zu erfassen. Der folgende Befehl erstellt eine dedizierte Protokolldatei für OpenVPN, was es einfacher macht, Probleme nachzuvollziehen.

    verb 4 log-append /var/log/openvpn.log

  4. Zertifikat- und Schlüsselpfade validieren: Stellen Sie sicher, dass alle in server.conf definierten Pfade für Zertifikate und Schlüssel korrekt und lesbar sind. Überprüfen Sie, ob die Dateien in /etc/openvpn/ existieren und die richtigen Berechtigungen haben (typischerweise 600 für Schlüssel).

    ca ca.crt
    cert server.crt
    key server.key

  5. Überprüfen Sie die Verfügbarkeit des Ports und die Firewall-Regeln: Stellen Sie sicher, dass Ihr gewählter Port (z.B. 1194 UDP) offen ist und nicht von einer Firewall blockiert oder von einem anderen Dienst verwendet wird, indem Sie die folgenden Befehle verwenden.

    sudo netstat -tulnp | grep 1194 sudo ufw status verbose

    Falls erforderlich, passen Sie die UFW- oder iptables-Regeln an, um OpenVPN-Verkehr zuzulassen.

  6. Test vom Client-Seite: Wenn der Server korrekt zu laufen scheint, testen Sie die Verbindung von einem Client aus mit dem folgenden Befehl. Achten Sie auf Ausgaben wie TLS Error, AUTH_FAILED oder Connection reset, die auf spezifische serverseitige Probleme hinweisen können.

    openvpn --config client.ovpn

    Die Fehlersuche bei OpenVPN auf Ubuntu umfasst typischerweise die Überprüfung des Dienststatus, das Überprüfen von Protokolldateien, das Verifizieren von Dateipfaden und Berechtigungen sowie das Sicherstellen, dass Firewall-Regeln den Datenverkehr nicht blockieren. Durch das methodische Befolgen dieser Schritte können die meisten Konfigurations- oder Laufzeitprobleme schnell identifiziert und behoben werden.

Wie man die Leistung eines OpenVPN-Servers auf Ubuntu überwacht und optimiert?

Die Gewährleistung einer hohen Verfügbarkeit und Reaktionsfähigkeit eines OpenVPN-Servers erfordert kontinuierliche Leistungsüberwachung und Systemoptimierung. Dieser Prozess hilft, Engpässe zu erkennen, Systemressourcen effizient zu verwalten und ein stabiles Verbindungserlebnis für verbundene Clients aufrechtzuerhalten. Im Folgenden sind empfohlene Werkzeuge und Methoden aufgeführt, um die OpenVPN-Leistung auf Ubuntu zu überwachen und zu verbessern.

  1. Überwachen der Systemressourcennutzung: Werkzeuge wie htop, top und vmstat liefern Echtzeitinformationen über die CPU-, Speicher- und Prozessnutzung. Diese Tools helfen Administratoren zu erkennen, ob der OpenVPN-Prozess (openvpn) übermäßige Ressourcen verbraucht oder von anderen Systemlasten betroffen ist.

    Um die CPU- und Speicherauslastung des Servers in Echtzeit zu überwachen, verwenden Sie den folgenden Befehl.

    Htop

    Achten Sie auf eine hohe CPU-Auslastung durch den openvpn-Prozess und überwachen Sie den Speicherbedarf, wenn mehrere Clients verbunden sind.

  2. Überprüfen Sie Netzwerkverbindungen und Durchsatz: Verwenden Sie netstat, ss oder iftop, um Live-Netzwerkverbindungen und das Verkehrsvolumen zu überwachen. Dies ist nützlich, um zu überprüfen, wie viele Clients verbunden sind und wie viel Bandbreite genutzt wird.

    Um zu überprüfen, ob OpenVPN aktiv auf dem richtigen Port und Protokoll lauscht, verwenden Sie den folgenden Befehl.

    sudo netstat -tunap | grep openvpn

    Alternativ können Sie den Befehl ss verwenden, um schnell zu überprüfen, ob UDP-Port 1194 offen und zugänglich ist:

    sudo ss -u -a | grep 1194

    Um die Bandbreitennutzung in Echtzeit auf der Netzwerkschnittstelle, die von OpenVPN verwendet wird, zu überwachen, verwenden Sie den folgenden Befehl.

    sudo iftop -i eth0

    ::: tip Stellen Sie sicher, dass Sie eth0 durch den tatsächlichen Namen Ihrer Netzwerkschnittstelle ersetzen (ip a, um zu überprüfen). :::

  3. Überprüfen Sie die OpenVPN-Protokolle auf Leistungsindikatoren: Aktivieren und überwachen Sie die OpenVPN-Protokolle, um Probleme wie verlorene Pakete, wiederholte TLS-Handshakes oder Verbindungsfehler zu erkennen. Verwenden Sie den folgenden Befehl, um das Protokoll in Echtzeit zu überwachen.

    tail -f /var/log/openvpn.log

    Stellen Sie sicher, dass Ihre server.conf-Datei geeignete Protokollierungsanweisungen enthält, um die erforderlichen Laufzeitdaten zu erfassen. Eine gängige Konfiguration sieht wie folgt aus.

    verb 3
    log-append /var/log/openvpn.log

    Die Erhöhung des Verbosity-Levels auf verb 4 kann tiefere Einblicke in Handshake-Operationen und das Routing-Verhalten bieten. Seien Sie jedoch vorsichtig in Umgebungen mit hohem Datenverkehr, da dies die Festplatten-I/O erhöhen und die Leistung beeinträchtigen kann.

  4. Optimieren Sie die Konfiguration für die Leistung: Um eine effiziente Datenübertragung zu gewährleisten und ein reaktionsschnelles VPN-Erlebnis aufrechtzuerhalten, ziehen Sie die folgenden leistungsorientierten Optimierungen in Ihrer OpenVPN-Serverkonfiguration in Betracht.

    • Bevorzugen Sie UDP gegenüber TCP für höhere Durchsatzraten: UDP ist typischerweise schneller als TCP, da es keine Verbindungsherstellung und Bestätigungs-Pakete erfordert. Verwenden Sie UDP, es sei denn, Sie haben es mit restriktiven Firewalls zu tun oder benötigen eine zuverlässige Übertragung.

      proto udp

    • Passen Sie die Größen der Socket-Puffer an, um den Durchsatz zu verbessern, insbesondere über Netzwerke mit hoher Latenz. Fügen Sie die folgenden Parameter zu Ihrer server.conf hinzu, um die Sende- und Empfangspuffer zu erhöhen und sie an die Clients weiterzuleiten.

      sndbuf 393216
      rcvbuf 393216
      push "sndbuf 393216"
      push "rcvbuf 393216"

    • Aktivieren Sie fast-io für verbesserte Leistung bei Hochgeschwindigkeitsverbindungen. Diese Option minimiert den Kontextwechsel während der I/O-Operationen, was die Geschwindigkeit auf Systemen mit schnellen Netzwerkschnittstellen erhöhen kann.

      fast-io

    • Begrenzen Sie die Anzahl gleichzeitiger Clients, wenn die Serverhardware-Ressourcen begrenzt sind. Das Festlegen einer maximalen Anzahl von Clients trägt zur Erhaltung der Systemstabilität bei und sorgt für eine faire Nutzung der CPU- und Speicherkapazitäten. Verwenden Sie den folgenden Befehl, um eine maximale Anzahl von Clients festzulegen.

      max-clients 50

    Überwachungstools wie htop, netstat und iftop, kombiniert mit einer sorgfältigen Konfiguration von OpenVPN und dem zugrunde liegenden System, ermöglichen es Administratoren, eine optimale Leistung und Reaktionsfähigkeit aufrechtzuerhalten. Regelmäßige Protokollüberprüfungen und proaktives Tuning helfen sicherzustellen, dass der VPN-Dienst unter wechselnden Lastbedingungen effizient bleibt.

Wie konfiguriert man OpenVPN für Site-to-Site VPN auf Ubuntu?

Ein Site-to-Site-VPN ermöglicht es zwei oder mehr geografisch getrennten Netzwerken, sicher zu kommunizieren, als ob sie sich im selben lokalen Netzwerk befänden. Mit OpenVPN können Sie zwei interne Netzwerke über verschlüsselte Tunnel auf Ubuntu-Systemen verbinden. Diese Konfiguration wird häufig verwendet, um Filialbüros zu verbinden oder Cloud-Infrastrukturen mit lokalen Netzwerken zu verknüpfen.

Im Folgenden finden Sie eine Schritt-für-Schritt-Anleitung zur Konfiguration eines Site-to-Site-VPN mit OpenVPN.

  1. Definieren Sie die Topologie: Bevor Sie konfigurieren, identifizieren Sie klar die IP-Adressen und internen Netzwerke beider Standorte. Nehmen Sie die folgende Konfiguration an.

    • Hauptsitz (Server): Öffentliche IP: 203.0.113.1 und Internes Netzwerk: 10.0.0.0/24.
    • Zweigstelle (Client): Öffentliche IP: 198.51.100.1 und Internes Netzwerk: 10.8.0.0/24

    Ziel: Ermöglichen, dass Geräte aus jedem internen Netzwerk sicher über einen verschlüsselten OpenVPN-Tunnel auf das andere zugreifen können.

  2. Konfigurieren Sie den OpenVPN-Server (Hauptsitz): Beginnen Sie mit der Erstellung von Zertifikaten und Schlüsseln mit Easy-RSA, wie bei der ursprünglichen Einrichtung.

    1. Bearbeiten Sie die OpenVPN-Serverkonfigurationsdatei, um das VPN-Verhalten mit dem folgenden Befehl zu definieren.

      sudo nano /etc/openvpn/server.conf

    2. Fügen Sie die folgenden Direktiven in die Konfigurationsdatei ein oder überprüfen Sie sie.

      port 1194
      proto udp
      dev tun
      ca ca.crt
      cert server.crt
      key server.key
      dh dh.pem
      auth SHA256
      tls-auth ta.key 0
      key-direction 0
      server 10.8.0.0 255.255.255.0
      persist-key
      persist-tun
      keepalive 10 120
      cipher AES-256-CBC
      data-ciphers AES-256-CBC:AES-256-GCM
      user nobody
      group nogroup
      status /var/log/openvpn-status.log # Status log path
      verb 3

  3. Aktivieren Sie die IP-Weiterleitung, damit der VPN-Server den Datenverkehr zwischen Subnetzen mit den folgenden Befehlen routen kann.

    sudo sysctl -w net.ipv4.ip_forward=1

    Alternativ können Sie es dauerhaft machen, indem Sie /etc/sysctl.conf mit dem folgenden Befehl bearbeiten.

    net.ipv4.ip_forward = 1

    1. Konfigurieren Sie NAT mit iptables, um den Datenverkehr vom internen Netzwerk durch das VPN zuzulassen:

      sudo iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADE

  4. Konfigurieren Sie den OpenVPN-Client (Zweigstelle): Übertragen Sie die erforderlichen Client-Schlüssel und -Zertifikate sicher vom Server auf den Client.

    1. Übertragen Sie die folgenden Dateien auf den Computer im Zweigbüro:

      • ca.crt
      • ta.key
      • client1.crt
      • client1.key

    2. Erstellen und bearbeiten Sie die Client-Konfigurationsdatei auf dem Zweigstellenrechner mit dem folgenden Befehl.

      sudo nano /etc/openvpn/client.ovpn

    3. Fügen Sie die folgende Konfiguration in die Konfigurationsdatei ein.

      client
      dev tun
      proto udp
      remote 203.0.113.1 1194 # IP of OpenVPN server
      resolv-retry infinite
      nobind
      persist-key
      persist-tun
      remote-cert-tls server # Verify the server cert against CA
      cipher AES-256-CBC
      auth SHA256
      data-ciphers AES-256-CBC:AES-256-GCM
      tls-auth /etc/openvpn/client/ta.key 1
      key-direction 1
      ca /etc/openvpn/client/ca.crt
      cert /etc/openvpn/client/client1.crt
      key /etc/openvpn/client/client1.key
      verb 3 # Logging level (3 is default and sufficient)

    4. Optional, fügen Sie eine statische Route hinzu, um das LAN der Zentrale mit dem folgenden Befehl erreichbar zu machen. Dieser Befehl ermöglicht es Geräten im Netzwerk der Niederlassung (10.8.0.0/24), das LAN des Hauptsitzes (10.0.0.0/24) über das VPN-Gateway (10.8.0.1) zu erreichen.

      sudo ip route add 10.0.0.0/24 via 10.8.0.1

  5. Starten und Aktivieren der OpenVPN-Dienste: Aktivieren Sie den VPN-Dienst sowohl auf den Server- als auch auf den Client-Systemen mit den folgenden Befehlen.

    sudo systemctl start openvpn@server
    sudo systemctl enable openvpn@server

    Auf der Client-Seite, wenn Sie eine .ovpn-Konfigurationsdatei verwenden, starten Sie den VPN-Tunnel manuell mit dem folgenden Befehl.

    sudo openvpn --config /etc/openvpn/client.ovpn

    Um es im Hintergrund auszuführen oder beim Booten zu aktivieren, können Sie in Betracht ziehen, die Datei in client.conf umzubenennen und sie unter /etc/openvpn/client/ mit den folgenden Befehlen zu platzieren.

    sudo systemctl start openvpn-client@client
    sudo systemctl enable openvpn-client@client

  6. Testen der Site-to-Site-Konnektivität: Überprüfen Sie die VPN-Verbindung, indem Sie die folgenden Prüfungen durchführen.

    1. Pingen Sie von einem Gerät in einem LAN zum anderen (z.B. ping 10.0.0.1 von einem Gerät in 10.8.0.0/24).

      ping 10.0.0.1

    2. Verwenden Sie traceroute, um sicherzustellen, dass die Pakete durch das Tunnel fließen.

      Die Einrichtung eines Site-to-Site-VPN mit OpenVPN auf Ubuntu erfordert die Konfiguration beider Enden des Tunnels mit konsistentem Routing, Schlüsselverwaltung und Firewall-Regeln. Sobald ein Site-to-Site VPN eingerichtet ist, ermöglicht es eine nahtlose Kommunikation zwischen zwei LANs über einen sicheren, verschlüsselten Kanal.

Wie man OpenVPN als sicheren VPN-Server auf Ubuntu für kleine Unternehmen verwendet?

OpenVPN bietet kleinen Unternehmen eine praktische und sichere Möglichkeit, den Fernzugriff auf ihre internen Netzwerke zu ermöglichen, ohne auf teure Lösungen für Unternehmen zurückgreifen zu müssen. Mit seinen starken Verschlüsselungsprotokollen, der flexiblen Konfiguration und der Open-Source-Natur hebt sich OpenVPN als skalierbare VPN-Lösung hervor, die kostengünstig auf Ubuntu-Servern implementiert werden kann.

Sicherer Fernzugriff für verteilte Teams

Für kleine Unternehmen mit Remote-Mitarbeitern, Satellitenbüros oder reisendem Personal sorgt OpenVPN für verschlüsselten Zugriff auf Unternehmensressourcen wie Dateiserver, interne Web-Tools oder Datenbanken. Mitarbeiter können sich sicher über das Internet mit dem Firmennetzwerk verbinden und dabei die Vertraulichkeit der Daten durch TLS-basierte Verschlüsselung und Client-Authentifizierung über Zertifikate wahren. Dies stellt sicher, dass sensible Unternehmensdaten auch über ungesicherte Netzwerke geschützt bleiben.

Im Gegensatz zu cloud-basierten VPN-Diensten, die Datenschutzbedenken oder zusätzliche Lizenzkosten verursachen können, ermöglicht das Selbst-Hosting von OpenVPN auf Ubuntu die vollständige administrative Kontrolle über Sicherheitsrichtlinien, Zugriffslevels und Protokollierung.

Kostenwirksame Bereitstellung mit Open-Source-Tools

Einer der größten Vorteile für kleine Unternehmen ist die null Lizenzkosten, die mit OpenVPN verbunden sind. Es verwendet frei verfügbare Werkzeuge wie die unten aufgeführten.

  • OpenVPN: Kern-VPN-Engine
  • Easy-RSA: Zertifikats- und Schlüsselverwaltung
  • UFW oder iptables: Firewall-Konfiguration (UFW wird Anfängern aufgrund seiner Einfachheit empfohlen, während iptables eine fortschrittlichere Kontrolle bietet.)
  • SystemD: Dienstverwaltung

Ubuntu-Server können auf kostengünstigen Cloud-VPS-Diensten (z.B. DigitalOcean, Linode) gehostet oder auf bestehender lokaler Infrastruktur betrieben werden. Mit grundlegenden technischen Kenntnissen können Systemadministratoren oder IT-Berater OpenVPN bereitstellen, ohne teure Hardware oder Drittanbieter-Abonnements zu benötigen.

Skalierbar für Wachstum und Anpassung

Dank seiner modularen Architektur ermöglicht OpenVPN kleinen Unternehmen, eine Reihe von skalierbaren und anpassbaren Operationen durchzuführen, wie zum Beispiel:

  • Hinzufügen weiterer Client-Geräte, indem für jeden Benutzer separate Zertifikate generiert werden.
  • Verwendung von Site-to-Site-Konfigurationen, um mehrere Niederlassungen zu verbinden.
  • Durchsetzung von Sicherheitsregeln wie tls-auth, starken Cipher-Suiten und Paketfilterung.
  • Überwachung der Nutzung und Protokolle über integrierte Protokollierung oder Integration mit Tools wie Logwatch, Nagios oder Grafana.

Zusätzlich unterstützt OpenVPN Scripting-Hooks und Plugins, die es Unternehmen ermöglichen, es mit Authentifizierungssystemen wie LDAP oder Zwei-Faktor-Authentifizierungsanbietern (2FA) zu integrieren.

Kleinunternehmen können enorm von OpenVPN auf Ubuntu profitieren, indem sie ihren Teams sicheren, verschlüsselten Fernzugriff auf Unternehmensressourcen ermöglichen. Sein Open-Source-Modell beseitigt Lizenzkosten, während seine robuste Verschlüsselung und Skalierbarkeit es sowohl für aktuelle Bedürfnisse als auch für zukünftige Erweiterungen geeignet machen. Mit der richtigen Konfiguration und minimalen Hardwareanforderungen ermöglicht OpenVPN kleinen Unternehmen, Sicherheitslösungen auf Unternehmensniveau zu einem günstigen Preis umzusetzen.

Fazit

OpenVPN auf Ubuntu bietet kleinen Unternehmen und technischen Teams eine leistungsstarke Möglichkeit, interne Kommunikation zu sichern, ohne die Komplexität oder die Kosten kommerzieller VPN-Lösungen. Von der Ermöglichung des Fernzugriffs für verteilte Teams bis hin zur Einrichtung sicherer Site-to-Site-Verbindungen bietet OpenVPN Flexibilität, starke Verschlüsselung und volle Kontrolle über den Netzwerkverkehr.

Durch die Befolgung bewährter Praktiken wie die Auswahl des richtigen Protokolls und Ports, die Verwendung von zertifikatbasierter Authentifizierung und die Konfiguration geeigneter Routing- und Firewall-Regeln können Organisationen sowohl Leistung als auch Datenschutz gewährleisten. Seine Skalierbarkeit und die Open-Source-Natur machen OpenVPN zu einer zukunftssicheren Investition für Unternehmen, die Sicherheit und Autonomie schätzen.

Mit der richtigen Konfiguration verwandelt OpenVPN jeden Ubuntu-Server in ein zuverlässiges, sicheres und kostengünstiges VPN-Gateway.

Starten Sie noch heute kostenlos mit Zenarmor
Letztes Update am von Zenarmor