Auf sicheren Pfaden - IT-Administrator.de
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
OpenVPN einrichten
Quelle: grafxart – 123RF
Auf sicheren Pfaden
von Andreas Stolzenberger
Ein VPN-Server sichert Verbindungen
in das Netzwerk oder die Cloud-
umgebung des Unternehmens.
Zudem schützt er den Internet-
verkehr von Laptops und
Smartphones, wenn diese in unge-
sicherten WLANs arbeiten müssen.
Mit OpenVPN steht Administratoren ei-
ne leicht einzurichtende wie flexible und
kostenfreie VPN-Variante zur Verfügung.
Wir zeigen, wie das Setup funktioniert.
irtual Private Networks (VPNs) flexibel konfigurieren. Der OpenVPN-Ser- die Kommunikation der Clients auf Stan-
V stellen einen gesicherten Tunnel ver für Linux ist bei vielen Linux-Distri- dard-Ports wie 80, 443, 53 oder 993 und
zwischen Anwender und Intranet her und butionen enthalten oder über das EPEL- blockieren Nicht-Standard-Portzugriffe,
schützen Zugriffe auf Intranetdienste. Zu- Repository (RHEL und CentOS) verfügbar. darunter häufig auch UDP 1194. Zudem
dem verbirgt ein VPN-Tunnel die kom- OpenVPN und Clientwerkzeuge für Linux kommen oft transparente Proxy-Server
plette Kommunikation zwischen Client sind in allen gängigen Distributionen ent- auf den Ports 80 und 443 zum Einsatz.
und VPN-Server vor dem umgebenden halten, inklusive GUI-Frontend für den Die so verriegelten Netzwerke kann eine
Transportnetzwerk. Wer viel reist, weiß NetworkManager. Der OpenVPN-Client VPN-Konfiguration mit TCP auf Port
diese Funktion zu schätzen. Viele öffent- für Android lässt sich kostenlos über Goo- 443 meistens überwinden. Auf dem VPN-
liche WLANs in Hotels, Flughäfen, Res- gle Play installieren. Server bleibt dabei der parallele Betrieb
taurants oder Firmen-Gastnetzwerken ar- eines https-Servers und des OpenVPN-
beiten nach wie vor ohne Verschlüsselung. Vor dem gesicherten VPN-Tunnel steht Servers möglich. In diesem Fall lauscht
Auch wenn fast alle Applikationsprotokolle erst einmal die gesicherte Authentisierung der OpenVPN-Server exklusiv auf den
heute mit SSL arbeiten, können Angreifer des Clients am Server. OpenVPN be- Port 443, leitet dann aber allen Nicht-
in einem offenen WLAN immer noch sen- herrscht dabei mehrere Möglichkeiten VPN-Traffic über einen anderen Port an
sible Metadaten anderer Kommunikati- wie Zertifikate mit Schlüsseln, Zweifak- den Web-Server weiter.
onsteilnehmer abgreifen: DNS-Abfragen, tor-Authentifizierung, Integration in be-
Zielsysteme mit Ports und abgerufene stehende Single-Sign-on-Lösungen oder Brücke oder Tunnel
URLs. Ein VPN verbirgt diese Informa- einfach nur Passwörter. Der Workshop Ein VPN-Tunnel kann eine Netzwerkver-
tionen und alles, was ein Angreifer noch beschreibt die Methode mit Nutzerzerti- bindung auf Layer 2 (Bridge) oder Layer
sieht, sind verschlüsselte Pakete zwischen fikaten, da diese eine einfache Handha- 3 (Route) aufbauen. Obwohl die Brücke
Client und VPN-Endpunkt. bung und gute Sicherheit bietet. auf den ersten Blick wie die bessere Lösung
aussieht, funktioniert die Route deutlich
Flexibles OpenVPN Standardmäßig lauscht der OpenVPN- zuverlässiger. Bei einer Bridge bekommt
Neben diversen kommerziellen Imple- Server auf UDP-Port 1194 auf eingehende der Client eine Adresse aus dem lokalen
mentierungen setzen viele Unternehmen Verbindungen. Optional lässt sich aber Intranet des VPN-Servers. Alle Systeme
und Privatanwender auf das quelloffene auch das TCP-Protokoll nutzen und al- im Intranet und im VPN erscheinen daher
OpenVPN [1], das auf den OpenSSL-Bi- ternative Ports wie 443 verwenden. Eine im selben IP-Segment. Allerdings überträgt
bliotheken basiert. Es gehört zu den am TCP-Verbindung auf 443 ergibt vor allem das private Netzwerk dann auch allen Lay-
besten dokumentierten und sicheren VPN- für Anwender Sinn, die häufig unver- er-2-Paketmüll, der in einem lokalen Netz-
Lösungen, läuft auf nahezu allen Client- schlüsselte WLANs nutzen. Immer öfter werk herumschwirrt, an den Client: Broad-
und Serverplattformen und lässt sich sehr begrenzen die Betreiber offener WLANs casts, Service-Discovery-Pakete, LLDP
96 März 2020 www.it-administrator.de
OpenVPN einrichten Schwerpunkt
VPN-Server auf der Google-Cloud-Platt-
form aus und richten das VPN via TCP-
Port 443 ein. Wer in ein bestehendes Un-
ternehmens- oder Heim-LAN tunneln
möchte, kann dort eine VM oder einen
Server bereitstellen – ein Raspberry PI
genügt. Sie müssen dann aber sicherstel-
len, dass das System entweder über eine
feste IP-Adresse oder einen FQDN (etwa
mit DynDNS) von außen erreichbar ist.
Die entsprechenden IP-Forwarding- und
Port-Forwarding-Rules für den VPN-Zu-
gang müssen auf dem Router bestehen.
Für unseren VPN-Server genügt eine
günstige "n1-standard"-VM mit 3,75
GByte RAM, einer vCPU und einer 10
GByte Root-Disk. Da wir in unserem Sze-
nario einen eigenen DynDNS-Dienst be-
treiben, bekommt der Cloudserver einen
festen FQDN. Somit funktioniert die
VPN-Clientkonfiguration unabhängig
von den wechselnden IP-Adressen des
Cloudservers. Googles CentOS-7-VMs
integrieren von Haus aus das EPEL-Re-
pository. Wer CentOS manuell installiert,
muss dies mit yum install epel-release er-
ledigen. Alle benötigten Pakete für den
Bild 1: Für unseren Workshop nutzen wir eine einfache Google-Cloud-VM. VPN-Server installieren Sie mit
und andere Protokolle, die der Client ei- ting. So lässt sich der VPN-Tunnel ohne yum install openvpn easy-rsa -y
gentlich nicht braucht. Das alles geht zu besonderen Konfigurationsaufwand für
Lasten der Tunnelbandbreite. Zudem ge- beide Transfermodi nutzen. Der Server und der Clouddienst benöti-
staltet sich eine Bridge-Konfiguration kom- gen zunächst passende Firewallregeln,
plexer als die einer Route. Umgang mit IPv6-Verkehr um den VPN-Traffic via Port 443 auf das
Wenn Sie ein getunneltes VPN via IPv4 System zu lassen. Damit das VPN funk-
Die Route legt einen zusätzlichen virtuellen aufsetzen, Ihr Rechner aber parallel über tioniert, muss der Server zudem IPv4-
LAN-Adapter auf dem VPN-Client und eine gültige IPv6-Konfiguration verfügt, Forwarding zulassen – eine Funktion, die
-Server mit einem eigenen Transfer-Netz- kann sich Ihr kompletter Internetverkehr Google bei Cloudservern per Vorgabe ab-
werksegment an. Der IP-Verkehr zum VPN via IPv6 am sicheren Tunnel vorbeimo- schaltet. Diese Einstellung finden Sie in
wird dann über Routing-Regeln gesteuert. geln, was natürlich nicht passieren darf. der Datei "/etc/sysctl.d/11-gce-network-
Der Anwender entscheidet so, ob jeglicher Hier gibt es zwei Optionen: Zum einen security.conf ". In ihr ändern Sie den Pa-
Client-Traffic das VPN passiert, was die lässt sich IPv6 während einer aktiven rameter "net.ipv4.ip_forward=0" auf
gewünschte Funktion eines Clients in einem VPN-Verbindung abschalten, was den "net.ipv4.ip_forward=1". Bei einem ma-
unverschlüsselten WLAN wäre. Alternativ kompletten Internet-Traffic auf IPv4 nuell installierten CentOS schreiben Sie
sendet der Client ausschließlich das IP-Seg- zwingt und durch den Tunnel schickt. den Parameter einfach ans Ende der Datei
ment des Intranets, in dem der VPN-Server Der etwas komplexere, aber korrekte Weg "/etc/sysctl.d/99-sysctl.conf ". Da die Kon-
arbeitet, über den Tunnel. Das wäre der Be- ist natürlich, passende IPv6-Routen auf figuration erst nach einem Neustart greift,
triebsmodus für einen Administrator im dem OpenVPN-Server anzulegen und setzen Sie den Parameter interaktiv über
Home-Office. Den regulären Internet-Traf- damit den IPv6-Traffic über den VPN- das Kommando
fic sendet der Client wie gehabt über die Tunnel zu senden (6over4-Tunneling).
bestehenden Routen direkt ins Internet und sysctl net.ipv4.ip_forward=1
nur die Kommunikation vom und zum Int- Beispielumgebung
ranet des Unternehmens passiert den VPN- mit Cloudserver Zudem muss die Firewall des Rechners
Tunnel. Was letztendlich über den Tunnel Für unseren Workshop rollen wir eine den ausgehenden IP-Traffic des Tunnels
geht, entscheidet ausschließlich das IP-Rou- virtuelle Maschine mit CentOS 7 als maskieren, was das Kommando
www.it-administrator.de März 2020 97
Sch w e rp unk t OpenVPN einrichten
fach selbst, ein "offizielles" Zertifikat ist für ./easyrsa sign-req client client01
das private VPN nicht nötig. Ebenso kann
der Anwender auf detaillierte Metadaten Theoretisch erlaubt OpenVPN, dass sich
seiner CA (Land, OU, Bundesstaat, An- mehrere Clients gleichzeitig mit demselben
sprechpartner, Ort et cetera) verzichten. Zertifikat anmelden. So könnte ein einzi-
Auf die Funktion des VPNs haben diese ges Clientzertifikat für viele Systeme ge-
Informationen keinen Einfluss. nügen. Davon ist aber dringend abzuraten.
Sollte eines Ihrer Engeräte mit installiertem
Innerhalb des "/root/rsa"-Verzeichnisses VPN-Clientzertifikat abhandenkommen
starten Sie jetzt das Kommando ./easyrsa oder ein Unbefugter ein Clientzertifikat
init-pki, das ein "pki"-Verzeichnis und die abgreifen, kann OpenVPN auf dem Server
CA-Konfigurationsdatei in "/root/rsa/ pki" einzelne Zertifikate für ungültig erklären
anlegt. Dann erstellen Sie Ihre eigene Root- und damit den betroffenen Zugang sper-
CA nebst Zertifikat plus passenden Schlüs- ren. Dazu würden Sie den entsprechenden
sel mit dem Kommando ./easyrsa build- Eintrag zurücknehmen
ca. Sichern Sie den CA-Schlüssel mit einem
starken Passwort ab. Wer den Zugriff zu ./easyrsa revoke irgendeinclient
Schlüssel und CA erhält, kann jederzeit
Clientschlüssel erstellen und signieren. und eine Liste der ungültigen Zertifikate
erstellen
Im zweiten Schritt bekommt der Open-
VPN-Server selbst ein gültiges Server- ./easyrsa gen-crl
zertifikat namens "vpnserver" und einen
passenden Schlüssel, der dann allerdings Diese "Certificate Revoking List" müssen
ohne Passwort funktionieren muss. Wür- Sie danach in der OpenVPN-Server-Kon-
den Sie ein Serverzertifikat mit Passwort figuration eintragen. Zu den Zertifikaten
Bild 2: Auch unter Android ist OpenVPN nutzbar. auf dem Schlüssel bauen, müssten Sie gesellt sich abschließend ein "Diffie-Hell-
bei jedem Start des VPN-Servers dieses man"-Schlüssel. In Kombination mit der
iptables -t nat -A POSTROUTING -o Passwort eintippen: CA und dem Clientschlüssel errechnet
eth0 -j MASQUERADE OpenVPN dann die eigentlichen Trans-
./easyrsa gen-req vpnserver nopass fer-Keys für den VPN-Tunnel: ./build-dh.
erledigt, wenn Sie iptables nutzen oder Die benötigten Schlüssel und Zertifikate
Das Kommando gen-req erstellt dabei zu- kopieren Sie in das Konfigurationsver-
firewall-cmd --direct --add-rule nächst einen Request für das Zertifikat, zeichnis des OpenVPN-Servers
ipv4 nat POSTROUTING 0 -o eth0 -j der im nächsten Schritt von der CA sig-
MASQUERADE niert wird: cp /root/rsa/pki/dh.pem
/etc/openvpn/server/
mit Firewalld. ./easyrsa sign-req server vpnserver cp /root/rsa/pki/ca.crt
/etc/openvpn/server/
Zertifikate und Details zum Zertifikat und dessen Gül- cp /root/rsa/pki/issued/
Schlüssel erzeugen tigkeit erhalten Sie mit dem openssl-Tool: vpnserver.crt /etc/openvpn/server/
Das Toolset "Easy-Rsa" macht es dem An- cp /root/rsa/pki/private/
wender sehr leicht, Zertifikate und Schlüs- openssl x509 -text -noout -in vpnserver.key /etc/openvpn/server/
sel zu verwalten. Nach der Installation fin- pki/issued/vpnserver.crt
den sich die Pakete unter "/usr/share/ Anschließend erstellen Sie die Konfiguration
easy-rsa/". Legen Sie Dabei tragen Sie besser schon einmal "/etc/openvpn/server/server.conf" für den
einen passenden Ordner für Ihre Certifi- im Kalender rot ein, dass die mit den OpenVPN-Server mit folgendem Inhalt:
cate-Authority-Konfiguration an; wir ver- Default-Einstellungen erzeugten Zerti-
wenden dafür einfach "/root/rsa". Kopieren fikate 1080 Tage lang gültig sind. In #OpenVPN Server Config
Sie den kompletten Inhalt des "easy-rsa"- knapp drei Jahren brauchen Sie also port 443
Unterverzeichnisses (im Workshop Ver- neue. Passend zum Server benötigt jeder proto tcp
sion 3.0.6) nach "/root/rsa". VPN-Client ein eigenes Zertifikat, das dev tun
Sie nach demselben Prinzip anfordern
Als Erstes benötigt das SSL-VPN eine Zer- und signieren: Diese Konfiguration legt den Port, das
tifizierungsstelle, die Certificate Authority Protokoll und den Modus als Router (dev
(CA). Die erstellt sich der Anwender ein- ./easyrsa gen-req client01 nopass tun = Tunneling Device) fest.
98 März 2020 www.it-administrator.de
ca ca.crt
Intensiv-Seminar
cert vpnserver.crt
key
dh
vpnserver.key
dh.pem
Cyberabw
verweist auf die zu verwendenden Schlüssel. Gesetzt den Fall,
Sie müssten ein Zertifikat widerrufen, würden Sie hier zudem
ehr
den Verweis auf die Certificate Revocation List einfügen:
crl-verify crl.pem
Tunnel bauen
Anschließend legen Sie die Parameter des Tunnels fest. Mit
Quelle: goodluz – 123RF.com
server 10.9.8.0 255.255.255.0
bestimmen Sie das IP-Netzwerk des Tunnels. Es folgen
push "redirect-gateway def1"
push "dhcp-option DNS 9.9.9.9"
Mit den push-Anweisungen überträgt der VPN-Server Kom-
mandos für das IP-Setup an den Client. Mit "redirect-gateway
def1" beispielsweise weist der OpenVPN-Server seine Clients an,
die Default-IPv4-Route auf den Tunnel zu legen und damit, den
gesamten IP-Traffic des Clients über das VPN zu transferieren. 22. und 23. September 2020
Sollen Clients nur den Traffic für das Intranet des VPN-Servers
(Beispiel 172.27.0.0/16) in den Tunnel packen, würde die push- Garching bei München
Anweisung stattdessen "route 172.27.0.0 255.255.0.0" lauten.
Das push-Kommando mit der DHCP-Option "DNS" ändert den Anmeldung unter:
zu verwendenden DNS-Server des Clients. Das ist zum einen www.it-administrator.de/
für Intranets mit eigenem Nameserver wichtig. Zum andern sind
die DNS-Servers eines lokalen Netzwerkes (Beispiel offenes
trainings
WLAN) nur innerhalb des Netzwerks erreichbar und funktio-
nieren daher nicht mehr, wenn der Client seine DNS-Anfragen
Unser Angebot: Seminarpreise:
über den Tunnel versendet. Daher muss hier ein DNS-Server
stehen, auf den der VPN-Server zugreifen kann. - Maximal 15 Teilnehmer Sonderpreis für
je Seminar Abonnenten des IT-Administrator:
Leider funktioniert genau diese wichtige Option bei diversen - Einen Rechner für jeden
Teilnehmer
1.595 € (inkl. 19% MwSt.)
Clientsetups und Betriebssystemen nicht richtig. Wer einen Client
für Nicht-Abonnenten:
mit einer statischen DNS-Konfiguration (statt DHCP) betreibt, - 2-tägiges Intensivseminar,
das am ersten Tag um 9.30 Uhr
1.775 € (inkl. 19% MwSt.)
setzt das Kommando nicht um.
beginnt und am zweiten Tag Ab drei Teilnehmern pro Unternehmen
gegen 17 Uhr endet. gewähren wir 10% Rabatt.
Zudem kommt es speziell auf MacOS-Clients immer wieder zu
Problemen, da das Betriebssystem dem Nutzer oft nicht gestattet,
die globale DNS-Einstellung zu ändern. Hier helfen oft nur Client-
skripte, die das "up"-Kommando in der VPN-Client-Konfigura-
Ihre Dozenten: Agenda:
tionsdatei starten – zur Not eben mit erhöhten Systemprivilegien. Patrick Jung, · Informationsgewinnung durch Hacker
Linux-Clients, die den "NetworkManager" als Dienst verwenden, Leiter Professional Services, Allgeier CORE · Werkzeuge und Methoden der Angreifer
haben in der Regel keine Probleme. Clemens Rambow, · Schwachstellen erkennen und ausnutzen
Offensive Security Consultant, Allgeier CORE · Ausflug ins Dark Net: Angriffe als Dienstleistung
Die "keepalive"-Direktive prüft regelmäßig, ob die Verbindung · Grundlagen der IT-Forensik
zum Client noch besteht. Sollte die Verbindung abbrechen, · Simulierte Angriffsszenarien im Team meistern
muss sie der Client neu initiieren. Die "persist"-Anweisungen Allgeier CORE bietet als Dienstleister für IT- und Informationssicherheit ein ganzheitliches Leistungs- und
verhindern dabei, dass der Server das betreffende "tun"-Device Produktportfolio. Neben technischen Lösungen liefern die Experten passgenaue Beratung in den Bereichen
Informationssicherheit, Governance, Risk & Compliance (GRC), Information Security Awareness sowie IT-Forensik.
Die Spezialisten etablieren in Unternehmen eine umfassende und kontinuierliche Security-Strategie, um deren
www.it-administrator.de Informationssicherheit zu verbessern und langfristig zu gewährleisten.
Sch w e rp unk t OpenVPN einrichten
(Netzwerktunnel) abschaltet und den ak-
tuellen Transferschlüssel verwirft. Das
beschleunigt den Reconnect:
keepalive 10 120
persist-key
persist-tun
Optional kann der Anwender die Log-
Verbosity (Ausführlichkeit) des VPN-Ser-
vers konfigurieren und eine eigene Log-
datei für den OpenVPN-Dienst erstellen:
verb 3
log-append /var/log/openvpn.log
Weitere Konfigurationsanweisungen
braucht der VPN-Server erst einmal nicht
und lässt sich dann via
systemct enable
openvpn-server@server.service –now Bild 3: Mit einigen wenigen Angaben ist die VPN-Konfiguration
auf dem Client dank NetworkManager erledigt.
aktivieren und starten.
das Protokoll angeben und dem Tool mit- Das sieht dann in etwa so aus:
Der Service heißt übrigens aus dem teilen, wo die Zertifikate und Schlüssel
Grund "...@server.service", weil der Name zu finden sind. client
nach dem "@" auf die Konfigurationsdatei remote ()
Bedarf mehrere VPN-Services mit ver- Windows oder Android, bringen aber kei- port 443
schiedenen Konfigurationen parallel auf ne hübsche GUI für die Client-Konfigu- proto tcp
einem Server laufen lassen. Ein "openvpn- ration mit. Hier bereiten Sie eine fertige nobind
server@second.service" würde seine Kon- "ovpn"-Konfigurationsdatei mit allen dev tun
figuration aus der Datei "/etc/openvpn/ Parametern vor, übertragen sie auf das persist-tun
server/second.conf " beziehen. jeweilige Zielsystem und starten den persist-key
OpenVPN-Client.
Erhalten Sie beim ersten Start die Feh- -----BEGIN CERTIFICATE-----
lermeldung, dass der OpenVPN-Server Das verwendete ovpn-Dateiformat stimmt Inhalt des ca.crt hier
die "server.conf "-Datei oder eines der dabei weitgehend mit dem conf-Format -----END CERTIFICATE-----
Zertifikate nicht lesen kann, hat wahr- des Servers überein. Um die Zertifikate
scheinlich SELinux ein Problem mit und Schlüssel nicht als separate Dateien
dem Security Context der Dateien. Ab- einspielen zu müssen, erlaubt das ovpn- -----BEGIN CERTIFICATE-----
hilfe schafft dann Dateiformat, diese Informationen inline Inhalt des client01.crt hier
einzubinden. -----END CERTIFICATE-----
cd /etc/openvpn/server
restorecon * Dazu müssen Sie aus den drei Dateien
"ca.crt", "client01.crt" und "client01.key"
VPN-Client einrichten sämtliche Informationen in den Ab- -----BEGIN PRIVATE KEY-----
Ein VPN-Client benötigt zunächst sein schnitten "-----BEGIN CERTIFICATE- Inhalt des client01.key hier
Zertifikat, den dazu passenden Schlüssel ----" und "-----END CERTIFICATE---- -----END PRIVATE KEY-----
und eine Kopie des CA-Zertifikats. Li- -" beziehungsweise "-----BEGIN
nux-Clients verwalten die VPN-Konfi- PRIVATE KEY-----" und "-----END PRI-
guration ganz simpel über das GUI-Tool VATE KEY-----" mit einem Texteditor Link-Codes
NetworkManager. Hier muss der Anwen- kopieren und dann zusammen mit den
[1] OpenVPN
der lediglich den Servernamen bezie- Konfigurationsoptionen in eine ovpn- k3z51
hungsweise die IP-Adresse, den Port und Datei sichern.
100 März 2020 Link-Codes eingeben auf www.it-administrator.de
Nun genügt es, den freien OpenVPN-Client auf Windows, Mac,
Android oder anderen unterstützten Systemen zu installieren und
diesem die ovpn-Datei mitzugeben.
Erweiterte Konfiguration
Die hier gezeigte Konfiguration genügt bereits für ein sicheres
VPN, aber natürlich lässt sich das Setup verbessern. Dazu zählt
vor allem die TLS-Autorisierung, die zwar den Tunnel selbst
nicht sicherer macht, aber den VPN-Server besser vor Unbe-
fugten schützt. Sie erstellen dazu einen symmetrischen Schlüssel,
den "ta.key", der auf dem Server und allen VPN-Clients vor-
handen sein muss.
Bei aktivierter "TLS-Auth" signiert der OpenVPN-Client alle IP-
Pakete an den VPN-Server mit dem TA-Schlüssel. Der Server
reagiert dann nur noch auf signierte Pakete. Das schützt den
VPN-Server beispielsweise vor DDoS-Attacken oder Portscans.
ITK Training & Consulting
Das Kommando
openvpn --genkey --secret ta.key
erstellt einen solchen Key. Der Server bindet ihn dann via Neue
tls-auth ta.key 0 Cisco Career
in die Konfiguration ein. Die "0" steht dabei für "incoming",
der Server hört nur noch auf signierte Pakete, signiert selber
Certifications
aber nicht. In der Clientkonfiguration steht dann entsprechend:
Alle Infos zum neuen
tls-auth ta.key 1
Zertifizierungsprogramm:
www.experteach.de/go/ciscocert
wobei die "1" den Client anweist, ausgehende Pakete zu signieren.
Wie zuvor bei den Zertifikaten integrieren Sie den TA-Key
ebenfalls direkt in das ovpn-File mit "BEGIN/END OpenVPN
Static key V1".
Der neue Basiskurs CCNA
Um derweil einen Webserver zusammen mit dem OpenVPN-
Server auf Port 443 laufen zu lassen, genügt eine Server-An- CCNA – Implementing and Administering
weisung in der "/etc/openvpn/server/server.conf ": Cisco Solutions
5 Tage Classroom Training plus 3 Tage E-Learning
port-share 127.0.01 4343
OpenVPN leitet dann allen eingehenden Nicht-VPN-Traffic auf Zahlreiche garantierte Kurstermine
Port 4343 um. Dementsprechend müssen Sie dann den Webserver finden Sie unter
konfigurieren, sodass dieser auf Port 4343 auf eingehenden
www.experteach.de/go/CCNN
HTTPS-Verkehr lauscht.
Fazit
VPN-Zugänge insbesondere für mobile Mitarbeiter sind aus dem ... und alles mit garantierten Kursterminen!
Unternehmensalltag nicht mehr wegzudenken. So schützen VPNs
den Internetverkehr von Endgeräten auch in unsicheren Netzwer-
ken wie etwa öffentlichen WLANs. OpenVPN erlaubt es Admi-
nistratoren, mit relativ wenigen und einfachen Schritten einen ge-
sicherten Zugang zu Netzwerken sowie Clouddiensten einzurichten.
OpenSSL als technische Basis des VPNs verspricht eine langlebige
und zukunftssichere Lösung. (dr)
www.experteach.eu/go/katalog
Trainingskatalog anfordern!
www.it-administrator.de
www.experteach.de • www.experteach.at • www.experteach.ch
Sie können auch lesen
