Wenn auf einem Router von INSYS icom ein OpenVPN-Server läuft, kann von einem Computer aus eine OpenVPN-Verbindungen zu diesem aufgebaut werden.

Situation

Ein Windows-Computer soll als Client in ein bestehendes OpenVPN-Netzwerk auf einem INSYS-Router eingebunden werden.

Lösung

Auf dem Computer wird das OpenVPN-Paket installiert. Die Konfigurationsdatei wird mit Hilfe der OpenVPN-Server-Konfiguration des INSYS-Routers auf dem Computer erzeugt. Eine Anleitung zum Konfigurieren eines OpenVPN-Servers auf einem INSYS-Router finden Sie im entsprechenden Configuration Guide.

Es wird vorausgesetzt, dass die entsprechenden Zertifikate und Schlüssel zur Verfügung stehen sowie die Konfiguration des Servers bekannt ist.

Installieren des OpenVPN-Pakets auf dem Computer

  1. Das neueste OpenVPN-Paket für Ihren Computer unter https://openvpn.net/community-downloads/ herunterladen. [1]

  2. Die Installationsdatei öffnen und die Installation entsprechend der Anweisungen durchführen.

Das OpenVPN-Paket wird auf Ihrem Computer im Standardverzeichnis C:\Program Files\OpenVPN installiert.

Hinterlegen der Zertifikate und Schlüssel auf dem Computer

  1. Das CA-Zertifikat, das Client-Zertifikat und den Client-Schlüssel in das Verzeichnis C:\Program Files\OpenVPN\config auf den Rechner kopieren. Diese können auch in einem PKCS#12-Container enthalten sein.

Erstellen und Konfigurieren der OpenVPN-Konfigurationsdatei auf dem Computer

  1. Die OpenVPN-Client-Vorlage herunterladen und in einem Texteditor öffnen oder den Inhalt aus dem Fenster unten kopieren und in den Texteditor einfügen.

  2. Den Inhalt der Vorlage entsprechend den Kommentaren hinter den Parametern anpassen und unter einem geeigneten Namen abspeichern.

  3. Die Datei in das Verzeichnis C:\Program Files\OpenVPN\config der OpenVPN-Installation kopieren.

OpenVPN Client-Vorlage
client              # Konfiguriert den OpenVPN-Endpunkt als Client und aktiviert tls-auth und pull
remote 192.168.1.1  # <192.168.1.1> durch IP-Adresse oder Domainname des Routers mit dem OpenVPN-Server ersetzen (1)
ca ca.crt	    # <ca.crt> durch Dateiname des Zertifikats der Certification Authority (CA) ersetzen
key client1.key	    # <client1.key> durch Dateiname des privaten Client-Schlüssels ersetzen
cert client1.crt    # <client1.crt> durch Dateiname des Client-Zertifikats ersetzen
proto udp           # <udp> durch tcp ersetzen, wenn das TCP-Protokoll vom Server verwendet wird (2)
rport 1194          # <1194> durch den Port ersetzen, der im Server für das Remote-Tunnelende konfiguriert ist (3)
lport 1194          # <1194> durch den Port ersetzen, der im Server für das lokale Tunnelende konfiguriert ist (4)
comp-lzo            # Aktiviert LZO-Komprimierung; löschen, wenn diese im Server nicht aktiviert ist (5)
dev tun             # Konfiguriert das virtuelle Netzwerk-Interface TUN für das Routing
1 Siehe Ermittlung der über das Internet erreichbare IP-Adresse des OpenVPN-Servers unten
2 Konfiguriert im Web-Interface des Routers auf der Seite InterfacesOpenVPN für das jeweilige OpenVPN-Interface unter Protokoll
3 Konfiguriert im Web-Interface des Routers auf der Seite InterfacesOpenVPN für das jeweilige OpenVPN-Interface unter Tunneln über Port (Gegenstelle)
4 Konfiguriert im Web-Interface des Routers auf der Seite InterfacesOpenVPN für das jeweilige OpenVPN-Interface unter Tunneln über Port (lokal)
5 Konfiguriert im Web-Interface des Routers auf der Seite InterfacesOpenVPN für das jeweilige OpenVPN-Interface unter LZO-Komprimierung aktivieren
Falls sämtliche Zertifikate in einem PKCS#12-Container enthalten sind, die drei Zeilen für die Zertifikate und den Schlüssel löschen und dafür die Zeile pkcs12 client1.p12 einfügen. Dabei <client1.p12> durch den Dateinamen des PKCS#12-Containers ersetzen

Ermittlung der über das Internet erreichbare IP-Adresse des OpenVPN-Servers

Die über das Internet erreichbare IP-Adresse hängt von der Architektur des Router-Netzwerks ab. Befindet sich beispielsweise der Router wie in der folgenden Abbildung hinter einem DSL-Router, muss dessen WAN-IP-Adresse verwendet werden. Im DSL-Router muss eine entsprechende Port-Weiterleitung des Tunnels an den Router eingerichtet sein.

cg m3 openvpn win client ip expl router

Befindet sich der Router wie in der folgenden Abbildung direkt an einem DSL-Modem ohne dazwischen liegenden Router, muss die IP-Adresse des Routers verwendet werden.

cg m3 openvpn win client ip expl modem

Hat der Router keine feste IP-Adresse, kann auch ein DynDNS-Domain-Name eingegeben werden, der dann vom Client aufgelöst wird. Dazu muss dann im DSL-Router (erstes Beispiel) bzw. im INSYS-Router (zweites Beispiel) DynDNS aktiviert werden. Hinweise dazu finden Sie in der Inline- und Online-Hilfe des INSYS-Routers. Im Client muss dazu auch ein DNS-Server eingetragen sein.

Starten des OpenVPN-Clients

  1. Die OpenVPN GUI über Windows-Taste () → OpenVPNOpen-VPN GUI oder durch einen Click auf das Desktop-Icon starten.

  2. Auf das Symbol zum Einblenden der ausgeblendeten Symbole in der Task-Leiste klicken ().

  3. Mit der rechten Maustaste auf das Symbol der OpenVPN GUI klicken und Verbinden (bzw. <Name der Konfigurationsdatei> → Verbinden wenn mehrere Konfigurationsdateien hinterlegt sind) klicken.

  4. Wenn das Client-Zertifikat mit einem Passwort versehen wurde, dieses Passwort nach Aufforderung eingeben.

Erfolgskontrolle

Das Symbol der Open-VPN GUI wird grün dargestellt, wenn die Verbindung zum OpenVPN-Server erfolgreich hergestellt wurde. Bleibt das Symbol gelb, versucht der OpenVPN-Client den Server zu erreichen, aber die Verbindung kann nicht aufgebaut werden. Ein Log der Verbindungen kann über den Menüpunkt View Log (bzw. <Name der Konfigurationsdatei> → View Log wenn mehrere Konfigurationsdateien hinterlegt sind) angezeigt werden.

Fehlersuche

  • Wenn die OpenVPN GUI die Konfigurationsdatei nicht im Verzeichnis findet, kann der Grund sein, dass ein Texteditor versehentlich die Dateiendung .txt anhängt hat.


Zurück zu den Configuration Guides für die icom OS Smart Devices

Zurück zur Übersicht


1. Da externe Links außerhalb unseres Verantwortungsbereichs liegen und sich ändern können, können wir nicht für die dauerhafte Gültigkeit dieses Links garantieren.