http://www.pronix.de -> Tutorials -> OpenVPN Tutorial -> OpenVPN Clientinstallation -> OpenVPN Client unter Windows

Die Installation und Konfiguration des OpenVPN Clients unter Windows

Installation

Sie erinnern sich an unseren Netzwerkplan? Der Chef möchte mit seinem Notebook von überall her Zugriff auf das Netzwerk haben.

Als erstes wird die OpenVPN Software installiert, was ganz einfach durch einen Doppelklick auf die exe Datei geschieht. Wir müssen nur noch einmal abnicken, dass ein unsignierter Treiber installiert wird(für das tun Device) und sind mit diesem Punkt durch.

Jetzt finden wir unter
Einstellungen->Systemsteuerung->Netzwerkverbindungen das neue tun Device. Es hat irgendeinen anderen Namen... Nach einem Rechtsklick auf das Device gehen wir auf Eigenschaften->Konfigurieren und dort auf die Registerkarte Erweitert.
Nun wählen wir den mtu Eintrag aus und setzen den Wert auf 1492. Thats all.

Kopieren von Schlüsseln und Zertifikaten auf den Client

Die Zertifikate und Schlüssel haben wir bei der Erstellung der Zertifikate mit dem Präfix chef benannt. Wir müssen jetzt also die Zertifikate und Schlüssel für den Chef, sowie unsere ca Datei auf das Notebook bringen. Ich wiederhole es an der Stelle noch einmal: Die Schlüssel und Zertifikate müssen unbedingt gesichert übertragen werden!
Die folgenden Dateien werden auf das Notebook in das Verzeichnis
C:\Programme\OpenVPN\config
kopiert:

  • vpn-ca.pem
  • chefcert.pem
  • chefkey.pem

Konfiguration des Clients

Wir legen nun in dem selben Verzeichnis eine Datei client.ovpn an und öffnen diese mit einem Texteditor.
Die Optionen haben wir bei der Konfiguration des Servers besprochen, weshalb ich die Opetionen hier nicht noch einmal erläutere. Sie sollten die Datei aber ausreichend kommentieren. 

client
float
dev tun
tun-mtu 1492
fragment 1300
mssfix
# Der Name des tun/tap Devices in der
# Netzwerkkonfiguration.
# Ich habe das Device my-tap genannt.
dev-node my-tap
proto udp
remote 1.1.1.1 443
# Wir erlauben nur eine Verbindung zu 
# unserem Server. Wir haben bei der
# Zertifiakt Erstellung dem Server
# den Common Name server gegeben und
# erzwingen so, dass sich auch der Server
# beim Client authentifizieren muss
tls-remote server
ca vpn-ca.pem
cert chefcert.pem
key chefkey.pem
auth SHA1
cipher aes-256-cbc
nobind
comp-lzo
persist-key
persist-tun
verb 3

Mit dieser Konfigurationsdatei können wir den Client nun starten. Wir klicken einfach mit rechts auf die Datei und wählen OpenVPN mit dieser Konfiguration starten.
Es öffnet sich eine Kommandozeile - wenn alles klappt bekommen wir ungefähr folgende Ausgabe:

TTY

Sat Apr 30 10:24:31 2005 OpenVPN 2.0 Win32-MinGW [SSL] [LZO] built on Apr 17 200

5

Sat Apr 30 10:24:31 2005 IMPORTANT: OpenVPN's default port number is now 1194, b

ased on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earl

ier used 5000 as the default port.

Sat Apr 30 10:24:31 2005 LZO compression initialized

Sat Apr 30 10:24:31 2005 WARNING: normally if you use --mssfix and/or --fragment

, you should also set --tun-mtu 1500 (currently it is 1492)

Sat Apr 30 10:24:31 2005 Control Channel MTU parms [ L:1362 D:138 EF:38 EB:0 ET:

0 EL:0 ]

Sat Apr 30 10:24:31 2005 Data Channel MTU parms [ L:1362 D:1100 EF:62 EB:23 ET:0

EL:0 AF:3/1 ]

Sat Apr 30 10:24:31 2005 Fragmentation MTU parms [ L:1362 D:1100 EF:61 EB:23 ET:

1 EL:0 AF:3/1 ]

Sat Apr 30 10:24:31 2005 Local Options hash (VER=V4): '1384ad9f'

Sat Apr 30 10:24:31 2005 Expected Remote Options hash (VER=V4): '680ec5fe'

Sat Apr 30 10:24:31 2005 UDPv4 link local: [undef]

Sat Apr 30 10:24:31 2005 UDPv4 link remote: 1.1.1.1:443

Sat Apr 30 10:24:31 2005 TLS: Initial packet from 1.1.1.1:443, sid=1ea669d4

42fe15a1

Sat Apr 30 10:24:31 2005 VERIFY OK: depth=1, /C=de/ST=Niedersachsen/L=Rechenzentrum/

O=pronix/OU=Administration/CN=my-ca/emailAddress=you@mail.address

Sat Apr 30 10:24:31 2005 VERIFY X509NAME OK: /C=de/ST=Niedersachsen/L=Rechenzentrum/

O=pronix/OU=Administration/CN=server/emailAddress=you@mail.address

Sat Apr 30 10:24:31 2005 VERIFY OK: depth=0, /C=de/ST=Niedersachsen/L=Rechenzentrum/

O=pronix/OU=Administration/CN=server/emailAddress=you@mail.address

Sat Apr 30 10:24:31 2005 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized

with 256 bit key

Sat Apr 30 10:24:31 2005 Data Channel Encrypt: Using 160 bit message hash 'SHA1'

for HMAC authentication

Sat Apr 30 10:24:31 2005 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized

with 256 bit key

Sat Apr 30 10:24:31 2005 Data Channel Decrypt: Using 160 bit message hash 'SHA1'

for HMAC authentication

Sat Apr 30 10:24:31 2005 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES2

56-SHA, 1024 bit RSA

Sat Apr 30 10:24:31 2005 [server] Peer Connection Initiated with 1.1.1.1:443

Sat Apr 30 10:24:32 2005 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)

Sat Apr 30 10:24:32 2005 PUSH: Received control message: 'PUSH_REPLY,route 192.1

68.0.0 255.255.255.0,route 10.8.0.1,ping 10,ping-restart 120,ifconfig 10.8.0.6 1

0.8.0.5'

Sat Apr 30 10:24:33 2005 OPTIONS IMPORT: timers and/or timeouts modified

Sat Apr 30 10:24:33 2005 OPTIONS IMPORT: --ifconfig/up options modified

Sat Apr 30 10:24:33 2005 OPTIONS IMPORT: route options modified

Sat Apr 30 10:24:33 2005 TAP-WIN32 device [my-tap] opened: \\.\Global\{7D861505-

26BD-4398-AA9C-A74EA4FDD15E}.tap

Sat Apr 30 10:24:33 2005 TAP-Win32 Driver Version 8.1

Sat Apr 30 10:24:33 2005 TAP-Win32 MTU=1300

Sat Apr 30 10:24:33 2005 Notified TAP-Win32 driver to set a DHCP IP/netmask of 1

0.8.0.6/255.255.255.252 on interface {7D861505-26BD-4398-AA9C-A74EA4FDD15E} [DHC

P-serv: 10.8.0.5, lease-time: 31536000]

Sat Apr 30 10:24:33 2005 Successful ARP Flush on interface [2] {7D861505-26BD-43

98-AA9C-A74EA4FDD15E}

Sat Apr 30 10:24:33 2005 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down

Sat Apr 30 10:24:33 2005 Route: Waiting for TUN/TAP interface to come up...

Sat Apr 30 10:24:34 2005 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down

Sat Apr 30 10:24:34 2005 Route: Waiting for TUN/TAP interface to come up...

Sat Apr 30 10:24:35 2005 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up

Sat Apr 30 10:24:35 2005 route ADD 192.168.0.0 MASK 255.255.255.0 10.8.0.5

Sat Apr 30 10:24:35 2005 Route addition via IPAPI succeeded

Sat Apr 30 10:24:35 2005 route ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5

Sat Apr 30 10:24:35 2005 Route addition via IPAPI succeeded

Sat Apr 30 10:24:35 2005 Initialization Sequence Completed

Auch hier signalisiert uns die letzte Zeile "Initialization Sequence Completed", dass OpenVPN korrekt gestartet wurde.

Wir prüfen nun, ob wir unseren Server über VPN erreichen können. Hierzu öffnen wir eine Eingabeaufforderung und setzen ein ping Kommando ab:

TTY

you@host > ping 192.168.0.3

Ping wird ausgeführt für 192.168.0.3 mit 32 Bytes Daten:

Antwort von 192.168.0.3: Bytes=32 Zeit=5ms TTL=64

Antwort von 192.168.0.3: Bytes=32 Zeit=1ms TTL=64

Antwort von 192.168.0.3: Bytes=32 Zeit=1ms TTL=64

Antwort von 192.168.0.3: Bytes=32 Zeit=3ms TTL=64

Ping-Statistik für 192.168.0.3:

Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust),

Ca. Zeitangaben in Millisek.:

Minimum = 1ms, Maximum = 5ms, Mittelwert = 2ms

you@host >

Yeah!
Wir können die Eingabe Aufforderung wieder schliessen.

Beenden können wir den Client jetzt durch einen Druck auf F4, was wir jetzt auch machen.

Wir können dem Chef ja kaum zumuten, dass er auf diese Weise den Client startet und gehen deshalb jetzt in die Systemsteuerung.
Dort gehen wir nach Verwaltung->Dienste und wählen OpenVPN aus. Durch einen Rechtsklick und dann auf Eigenschaften, können wir nun "Dienst automatisch starten" auswählen.
Der Client wird nun beim Booten automatisch gestartet.

Weiter mit OpenVPN Client unter Linux