OpenVPN

OpenVPN ist eine betriebssystemübergreifende Open-Source-Software, die es für Linux, MacOS, Windows und Unix gibt, mit der man VPN-Verbindungen aufbauen kann. OpenVPN eignet sich für die Anbindung von Clients und zur Kopplung entfernter Netze. Seit PPTP als unsicher gilt, hat OpenVPN deutlich an Aufmerksamkeit gewonnen.

OpenVPN ist Dank seiner Flexibilität und hohen Sicherheit äußerst beliebt. Mit OpenVPN kann man schnell und einfach ein verschlüsseltes virtuelles privates Netzwerk (VPN) einrichten. Zum Beispiel, um externe Mitarbeiter über das Internet auf den Firmenserver zugreifen zu lassen.
Um eine Verbindung per OpenVPN aufzubauen, muss man auf beiden Seiten die OpenVPN-Software installieren und zueinander passend konfigurieren. Ein OpenVPN-Server kann auch auf einem Router installiert sein. Nur dann stehen unter Umständen nicht alle Optionen zur Verfügung.

Neben Anwendungsdaten kann OpenVPN auch IP-Pakete und Ethernet-Frames übertragen. Das bedeutet, dass TCP-Pakete ineinander verschachtelt werden. Um zu vermeiden, dass es wegen der Datenflusskontrolle von TCP zu hohen Latenzen oder sogar Verbindungsabbrüchen kommt, nutzt OpenVPN zur Übertragung UDP. UDP verzichtet auf die Datenflusskontrolle.

NAT-Router stellen für OpenVPN-Verbindungen kein Problem dar, weil OpenVPN weder die IP-Adresse noch die Portnummern des Pakets authentisiert.

Verschlüsselung

OpenVPN nutzt SSL bzw. TLS zur Verschlüsselung. OpenVPN schiebt sich zwischen die nicht TLS-fähigen Anwendungen und dem TCP/IP-Protokollstack. Dazu muss der OpenVPN-Client auf der einen und auf der anderen Seite ein OpenVPN-Server installiert sein. Der OpenVPN-Server ist für den Betrieb auf einem Router ungeeignet.

OpenVPN setzt durchgängig auf SSL-Zertifikate. Sowohl auf der Seite des Servers als auch bei den Clients. Jeder Client bekommt ein eigenes Zertifikat. Das hat den Vorteil, wenn ein Client in falsche Hände gerät. So ist nicht das ganze VPN in Gefahr, sondern nur die Gültigkeit dieses einen Zertifikats zu entziehen.
Dazu muss man eine eigene Certification Authority (CA) betreiben, um Zertifikate und Schlüssel zu erzeugen und zu verwalten. Theoretisch wäre das auf einem Router möglich, aber auf einem PC unter Windows, Mac OS oder Linux ist das viel einfacher. Man muss nur darauf achten, dass der PC nicht für Dritte zugänglich ist.

Betriebsarten: Routing und Bridging

Um zwei Rechner miteinander zu verbinden (Host-to-Host-VPN), eignet sich die Betriebsart Routing. OpenVPN agiert dabei als Router, der auf IP-Ebene arbeitet. Soll im Rahmen eines Site-to-Site- oder Site-to-End-VPN auf ein lokales Netz zugegriffen werden, ist Bridging die bessere Wahl.

Wie sicher ist OpenVPN?

Angesichts der Enthüllungen um die NSA-Geheimdienstaktivitäten erfreuen sich Open-Source-Lösungen, wie zum Beispiel OpenVPN, das auf Basis von OpenSSL arbeitet und das es für alle gängigen Betriebssysteme gibt, großer Beliebtheit. Während IPsec- und SSL-VPN-Lösungen und -Produkte generell proprietäre Black-Box-Lösungen sind, kann man bei Bedarf in den OpenVPN-Quelltext selber hineinschauen.
Für das auf Kommandozeile basierende OpenVPN gibt es grafische Benutzeroberfläche, wie OpenVPN GUI für Windows und Tunnelblick für Mac OS X.

Vergleich: OpenVPN und IPsec

Bei beiden VPN-Techniken muss man grundsätzlich unterscheiden. Während es sich bei IPsec um einen Standard handelt, der im Internet-Protokoll und damit im Betriebssystem verankert ist, nutzt OpenVPN unterschiedliche Standards und läuft als Software innerhalb eines Betriebssystems als Client oder Server. Beide Szenarien haben Vor- und Nachteile.

Während IPsec zwingend die Unterstützung durch die Netzwerk-Hardware (z. B. Router) braucht, ist das bei OpenVPN nicht erforderlich. IPsec ist also immer in Hardware eingebetet bzw. daran gebunden, wie zum Beispiel an einen Router oder eine Firewall. OpenVPN muss zwangsläufig auf einem Server installiert werden und sitzt damit hinter oder vor einer Firewall. Während IPsec ein Standard und damit vergleichsweise komplex ist, ist OpenVPN Open-Source, die auf vorhandene Standards aufbaut. Zum Beispiel OpenSSL. OpenVPN weist also eine große Flexibilität auf und ist vergleichsweise einfach einzurichten. Aber auch nur dann, wenn man einfache Sachen machen will. Sobald Routing oder komplexere Spielchen dazukommen, fährt man mit IPsec besser.

Große Firmen werden IPsec-Lösungen mit Support- und Dienstleistungsverträgen eher bevorzugen. Kleinere Firmen fahren mit OpenVPN unter Umständen besser. Aus Sicherheitsgründen ist eine Open-Source-Lösung, wie OpenVPN, einer geschlossenen herstellerabhängigen Lösung wie IPsec vorzuziehen.

Übersicht: VPN-Technik und - Protokolle

• IPsec - Security Architecture for IP
• WireGuard
• SSL-VPN
• Hamachi
• PPTP - Point-to-Point Tunneling Protocol
• L2TP - Layer-2-Tunneling-Protocol

Weitere verwandte Themen:

• VPN - Virtual Private Network
• RAS - Remote Access Service
• VPN-Tunnel / VPN-Endpunkt
• VPN-Protokolle und VPN-Lösungen

Kommunikationstechnik-Fibel

Alles was Sie über Kommunikationstechnik wissen müssen.

Die Kommunikationstechnik-Fibel ist ein Buch über die Grundlagen der Kommunikationstechnik, Übertragungstechnik, Netze, Funktechnik, Mobilfunk, Breitbandtechnik und Voice over IP.

Das will ich haben!

Artikel-Sammlungen zum Thema Kommunikationstechnik

Collection: Internet of Things

Was du über das Internet of Things wissen solltest.

eBook kaufen

Collection: Mobilfunk und 5G

Was du über Mobilfunk und 5G wissen solltest.

eBook herunterladen

Kommunikationstechnik-Fibel

Alles was Sie über Kommunikationstechnik wissen müssen.

Die Kommunikationstechnik-Fibel ist ein Buch über die Grundlagen der Kommunikationstechnik, Übertragungstechnik, Netze, Funktechnik, Mobilfunk, Breitbandtechnik und Voice over IP.

Das will ich haben!