Die Router von INSYS icom können als OpenVPN-Server agieren und/oder als OpenVPN-Client Verbindungen zu einem OpenVPN-Server aufbauen.

Dieser Configuration Guide zeigt, wie Sie einen Router von INSYS icom als OpenVPN-Server konfigurieren.

Die Beschreibung in diesem Configuration Guide folgt einer Konfiguration in der neuen Bedienoberfläche (Web-Interface), die ab icom OS 5.5 zur Verfügung steht. Aktualisieren Sie Ihren Router auf die neueste Version von icom OS für den erforderlichen Funktionsumfang der neuen Bedienoberfläche. Die Beschreibung dieser Konfiguration im klassischen Web-Interface finden Sie in diesem Configuration Guide.

Situation

Der Router soll als Server für ein OpenVPN-Netzwerk mit zwei Clients konfiguriert werden. Im zugrunde liegenden Beispiel hat der OpenVPN-Server das lokale Netzwerk 192.168.10.0/24. Der OpenVPN-Client mit dem Common Name Client1 hat das lokale Netzwerk 192.168.20.0/24 und der OpenVPN-Client mit dem Common Name Client2 hat das lokale Netzwerk 192.168.30.0/24.

cg de m3 openvpn server

Lösung

Mit dem Schnellstart-Assistenten des Routers kann neben der Konfiguration des Internet-Zugangs optional auch eine OpenVPN-Verbindung vorbereitet werden. Die erforderliche Zertifikatsstruktur muss im Vorfeld erstellt werden. Der Configuration Guide für das Erzeugen einer Zertifikatsstruktur mit XCA bietet eine Anleitung für deren Erstellung.

Folgende Zertifikate und Schlüssel sind erforderlich:

Datei Hochladen auf Geheim Common Name für dieses Beispiel

CA-Zertifikat

Server, Clients

Nein

CA-Schlüssel

Ja [1]

Server-Zertifikat

Server

Nein

Server

Server-Schlüssel

Server

Ja

Client-Zertifikat (separat für jeden Client)

Client

Nein

Client1, Client2

Client-Schlüssel (separat für jeden Client)

Client

Ja

Für folgende Vorgehensweise wird davon ausgegangen, dass sich der Router in Werkseinstellungen befindet.

Warning Wenn Sie einen OpenVPN-Server auf Ihrem Router konfigurieren, machen Sie dessen Netzwerk von außen zugänglich. Auch wenn ein OpenVPN-Netzwerk einen hohen Grad an Sicherheit ermöglicht, kann es bei Mängeln in der Konfiguration eine Sicherheitslücke darstellen. Folgende Vorgehensweise gibt Ihnen eine Hilfestellung für die einfache Konfiguration eines Servers für ein OpenVPN-Netzwerk. Für die Absicherung des OpenVPN-Netzwerks sind Sie selbst verantwortlich!
Warning Aktualisieren Sie Ihren Router zuerst auf iom OS 7.3 oder höher! Ab dieser Version wurden sämtliche Verschlüsselungsalgorithmen entfernt, die mittlerweile als nicht mehr ausreichend sicher betrachtet werden, was eine versehentliche Verwendung solcher Algorithmen ausschließt.

  1. Öffnen Sie die Bedienoberfläche des Routers in einem Browser: insys.icom [2]

  2. Klicken sie auf dem Startbildschirm unter auto fix Schnellstart-Assistent auf Zum Schnellstart-Assistenten. [3]

  3. Klicken Sie im Menü handshake outline AssistentenSchnellstart-Assistent auf   STARTEN  auto fix white  .

  4. Optional: ändern sie die Zeit- und Synchronisierungseinstellungen und klicken Sie auf   WEITER  menu right white  .

  5. Geben Sie die für die Authentifizierung gewünschten Zugangsdaten ein (oder konfigurieren Sie eine Authentifizierung durch Zertifikate) und klicken Sie auf   WEITER  menu right white  .

  6. Konfigurieren Sie die Internetverbindung und klicken Sie auf   WEITER  menu right white  .

  7. Aktivieren Sie den Schalter VPN konfigurieren und wählen Sie unter Art der VPN-Verbindung OpenVPN server.

  8. Optional: markieren sie die Checkbox Kommunikation zwischen Clients erlauben wenn dies möglich sein soll.
    cg de m3 openvpn server v2 01

  9. Laden Sie die erforderlichen Zertifikate und Schlüssel hoch. [4]
    cg de m3 openvpn server v2 02

  10. Klicken sie hinter OpenVPN-Server-Routen auf plus, um eine Route hinzuzufügen: [5]

    • Netzwerkadresse: 192.168.20.0 / 24

    • Common name: Client1

  11. Klicken sie hinter OpenVPN-Server-Routen auf plus, um eine Route hinzuzufügen: [6]

    • _Netzwerkadresse: 192.168.30.0 / 24

    • Common name: Client2
      cg de m3 openvpn server v2 03

  12. Klicken Sie auf   WEITER  menu right white  .

  13. Klicken sie hinter LAN-Einstellungen auf plus, um ein IP-Netz hinzuzufügen: [7]

    • IP-Adresse: 192.168.10.1 / 24

    • Ports: markieren Sie Port 1.2

    • Deaktivieren Sie DHCP-Server oder legen sie den Bereich der zu vergebenden Adressen fest, wenn der Router im lokalen Netzwerk als DHCP-Server fungieren soll.
      cg de m3 openvpn server v2 04

  14. Klicken Sie auf   WEITER  menu right white  .

  15. Optional: Aktivieren Sie den Schalter icom Router Management konfigurieren und laden Sie eine Konfiguration für das icom Router Management auf den Router.

  16. Klicken Sie auf   WIZARD AUSFÜHREN  .

  17. Verfolgen Sie die Ausführung ded Assistenten und klicken Sie auf   WIZARD VERLASSEN  .

Note Weitere Optionen zur Konfiguration des OpenVPN-Servers sind möglich und gegebenenfalls entsprechend vorzunehmen. Die Tunneladressen werden nur für das interne VPN-Routing verwendet und müssen nur angepasst werden, wenn sie sich mit bereits verwendeten IP-Bereichen überschneiden.
Note Weil mehrere Tunnel gleichzeitig möglich sind, muss der Server die Netzwerke der Clients kennen und die entsprechenden lokalen Routen anlegen. Mit Hilfe dieser Routen bestimmt der Server, welche Datenpakete durch welchen Tunnel zum richtigen Client gesendet werden sollen. Zur Unterscheidung der Tunnel werden die Routen anhand des Common Name des Client-Zertifikats bestimmt, das bei der Authentifizierung zum Server gesendet wurde. Diese Routen erscheinen in der Routing-Tabelle des Routers.
Die Push-Routen werden den Client-Routern mitgeteilt, so dass sie wissen, welche Netzwerke sich hinter dem Tunnel auf der OpenVPN-Server-Seite befinden. Die Clients tragen diese Routen in ihre lokale Routing-Tabelle ein.
Es erfolgt keine Überprüfung der Routen auf ihre Plausibilität.

Funktionstest

  • Öffnen Sie im Menü die Seite view dashboard outline StatusDashboard und beobachten Sie im Abschnitt WAN-Kette den Aufbau der WAN-Kette mit dem OpenVPN-Tunnel.

  • Öffnen Sie im Menü die Seite cog AdministrationDebugging und klicken sie auf   DEBUG-WERKZEUGE ÖFFNEN  ladybug white  . Wählen Sie das Werkzeug Ping und versuchen Sie, die in den lokalen Routen angelegten IP-Adressen anzupingen.

Fehlersuche

  • Der Zustand der WAN-Kette und deren Interfaces wird im Web-Interface auf der Seite view dashboard outline StatusDashboard dargestellt. Erreicht ein Interface nicht den Zustand online kann dessen Zustand ebenfalls auf dieser Seite untersucht werden.

  • Prüfen Sie Menü view dashboard outline StatusLog-Ansicht die Meldungen im Log OpenVPN. [8]

  • Deaktivieren Sie im Menü lan NetzwerkFirewall / NAT unter Einstellungen IP-Filter die IP-Filter für IPv4, um herauszufinden, ob falsche Filtereinstellungen der Grund für Verbindungsprobleme sind.

Zurück zu den Configuration Guides für die icom OS Smart Devices

Zurück zur Übersicht

1. Den CA-Schlüssel auf keinen Fall an irgendeiner Stelle hochladen; er muss auf jeden Fall unter Verschluss bleiben.
2. Standard-IP-Adresse: 192.168.1.1; Anmeldung je nach Konfiguration; Voreinstellung bei älteren Firmware-Versionen: Benutzername: insys, Kennwort: icom
3. Wenn sich der Router nicht in Werkseinstellungen befindet, wird der Startbildschirm nicht angezeigt; der Schnellstart-Assistent kann dann im Menü handshake outline AssistentenSchnellstart-Assistent gestartet werden.
4. Für den Server handelt es sich dabei um das CA-Zertifikat, den geheimen CA-Schlüssel, das Server-Zertifikat und den geheimen Server-Schlüssel. Die Zertifikate und der Schlüssel können auch in einem PKCS12-Container gebündelt sein. Ein Passwort kann für den Import erforderlich sein.
5. Mit dieser lokalen Route wird dem Server mitgeteilt, dass sich das Netzwerk 192.168.20.0 hinter dem Client Client1 im OpenVPN-Netzwerk befindet. Gleichzeitig wird eine Push-Route angelegt, die den anderen Client-Routern mitteilt, dass das Netzwerk 192.168.20.0 über das OpenVPN-Netzwerk zu erreichen ist.
6. Mit dieser lokalen Route wird dem Server mitgeteilt, dass sich das Netzwerk 192.168.30.0 hinter dem Client Client2 im OpenVPN-Netzwerk befindet. Gleichzeitig wird eine Push-Route angelegt, die den anderen Client-Routern mitteilt, dass das Netzwerk 192.168.30.0 über das OpenVPN-Netzwerk zu erreichen ist.
7. Hiermit geben Sie dem Router die Adresse 192.169.10.1 im lokalen Anlagen-Netzwerk und ordnen Port 1.2 diesem Netzwerk zu. Gleichzeitig wird eine Push-Route angelegt, die den anderen Client-Routern mitteilt, dass das Netzwerk 192.168.10.0 über das OpenVPN-Netzwerk zu erreichen ist.
8. Die Auswahl der Log-Dateien ist auf Dateien begrenzt, die bereits Einträge enthalten.