Categories: Sicherheit

Alternativen zu OpenVPN: Pritunl und SoftEther VPN Project

Im Bereich der VPN-Server ist OpenVPN in Unternehmen sehr stark verbreitet. Die Open-Source-Linux-Lösung bietet umfassende Einstellungsmöglichkeiten und ist sehr sicher. Dazu gehören die schnellen Installationsmöglichkeiten auf gängigen Linux-Systemen und schnell einzurichtende Clients, auch für Android und iOS. Allerdings gehört zur Konfiguration von OpenVPN einiges an Linux-Wissen und nicht immer ist OpenVPN das am besten geeignete VPN-System.

Es gibt einige interessante Alternativen, die sich Administratoren ansehen sollten. Dazu gehören Pritunl und das SoftEther VPN Project. Bei beiden Lösungen handelt es sich ebenfalls um Open-Source-Produkte, wobei das für Pritunl nur eingeschränkt gilt. Auch hier werden alle gängigen Betriebssysteme als Clients unterstützt sowie die Installation des Servers auf Basis von Linux. SoftEther VPN steht darüber hinaus noch als Server für Windows, FreeBSD, Solaris und OS X zur Verfügung. Auch auf Linux-Servern kann die Lösung installiert werden. Beide Produkte bieten ihre Vor- und Nachteile.

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

Pritunl – Open-Source VPN-Server

Pritunl nutzt das OpenVPN-Protokoll zur Kommunikation zwischen Client und Server. Die Installation auf Debian, Ubuntu, CentOS oder Fedora erfolgt über den Download in der entsprechenden Distribution, oder durch die Installation der Pakete aus GitHub. Auf der Downloadseite sind auch Anleitungen für die verschiedenen Distributionen zu finden. Neben Clients für iOS und Android bieten die Entwickler auch Clients für Windows, Linux und OS X an. OpenVPN-Clients sind weitgehend kompatibel mit Pritunl.

Das Produkt steht kostenlos zur Verfügung, allerdings handelt es sich bei der kostenlosen Version eher um eine Freeware als um Open Source. Das liegt daran, dass typische Eigenschaften einer Open-Source-Anwendung fehlen. Bevor ein produktiver Einsatz erfolgt, sollten sich Verantwortliche daher zuerst die Lizenzinformationen durchlesen und das Produkt nur dann einsetzen, wenn die Bedingungen für das jeweilige Unternehmen ok sind. Wer umfassend alle Funktionen des Produktes nutzen will, kommt auf Dauer um ein kostenpflichtiges Abonnement nicht herum, denn in der Freeware-Version fehlen einige Funktionen, die vor allem bei großen Unternehmen Einsatz finden.

Die Einrichtung von Pritunl erfolgt über ein Webinterface (Screenshot: Thomas Joos).

Konfiguration mithilfe einer Datenbank

Erfreulich ist, dass Pritunl seine Konfiguration nicht in einzelnen Dateien speichert, sondern in der Open-Source-Datenbank MongoDB. Das erlaubt auch das Replizieren der Einstellungen zwischen verschiedenen Servern und den Betrieb einer hochverfügbaren VPN-Umgebung. Pritunl ist daher ein idealer Helfer beim Aufbau eines VPNs zwischen verschiedenen Rechenzentren, wo die Hochverfügbarkeit eine wesentliche Rolle spielt.

Der Vorteil von Pritunl besteht darin, dass sich Benutzer auf mehrere Organisationen und VPN-Instanzen innerhalb des Pritunl-Servers aufteilen lassen. Das geht zwar auch mit OpenVPN, allerdings ist hier die Konfiguration deutlich komplizierter, da Konfigurationsdateien angepasst werden müssen. In Pritunl werden solche Aufgaben in einer Weboberfläche erledigt. Dadurch lassen sich auch mandantengestützte Systeme aufbauen und zentral verwalten.

Nach der erfolgreichen Einrichtung erfolgt die Verwaltung über ein Webinterface (Screenshot: Thomas Joos).

Pritunl unterstützt in diesem Bereich IPv4 und auch IPv6 sowie verschiedene Routingszenarien. Bevor sich Unternehmen für die kostenlose Variante entscheiden, sollte aber erst geprüft werden, ob Funktionen der kostenpflichtigen Enterprise-Version notwendig sind. Dazu gehören zum Beispiel der Einsatz mehrerer Server/VPN-Instanzen oder erweiterte Routingmöglichkeiten zwischen Clients und dem Unternehmensnetzwerk. Das kann zum Beispiel das Routing der Clients zu Servern in verschiedenen Rechenzentren und mehreren Pritunl-Servern sein. Die Konfiguration wird in diesem Fall in einer MongoDB gespeichert. Dadurch lassen sich Konfigurationen auch clustern. Vorteil dabei ist, dass die Umgebung hochverfügbar zur Verfügung gestellt werden kann. Alle Daten von Pritunl sind in der MongoDB gespeichert, die verschiedenen Pritunl-Server und VPN-Instanzen greifen dann auf diese Datenbank zu. Das ermöglicht hochverfügbare Bereitstellung mehrerer VPN-Server, die auf die gleichen Konfigurationsdaten in MongoDB zugreifen.

Pritunl installieren und einrichten

Um die Installation auf Ubuntu durchzuführen, muss im ersten Schritt die Distribution entsprechend aktualisiert werden:

sudo apt-get update && sudo apt-get upgrade

Nach der Konfiguration der Paketquellen erfolgen Installation und Start der Lösung mit:

sudo apt-get install pritunl mongodb-org

sudo service pritunl start

Viele Unternehmen betreiben den VPN-Server zusammen mit einer Firewall auf dem Linux-Server. In diesem Fall müssen die Ports für Pritunl freigeschaltet werden. Besonders wichtig ist hier der Port 9700. Über diesen läuft der Verbindungsaufbau zur Weboberfläche. Nach der Installation der notwendigen Pakete erfolgt die Einrichtung von Pritunl über eine webbasierte Oberfläche. Diese wird über die Adresse: https://<IP-Adresse>:9700 erreicht. Ab Ubuntu 16.04 werden die folgenden Befehle eingegeben, um die Lösung zu installieren. Bei Bedarf ist vor den Befehlen noch sudo notwendig:

tee -a /etc/apt/sources.list.d/mongodb-org-3.2.list << EOF

deb http://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.2 multiverse

EOF

tee -a /etc/apt/sources.list.d/pritunl.list << EOF

deb http://repo.pritunl.com/stable/apt xenial main

EOF

tee -a /lib/systemd/system/mongod.service << EOF

[Unit]

Description=High-performance, schema-free document-oriented database

After=network.target

[Service]

User=mongodb

ExecStart=/usr/bin/mongod –config /etc/mongod.conf

[Install]

WantedBy=multi-user.target

EOF

apt-key adv –keyserver hkp://keyserver.ubuntu.com –recv 42F3E95A2C4F08279C4960ADD68FA50FEA312927

apt-key adv –keyserver hkp://keyserver.ubuntu.com –recv 7568D9BB55FF9E5287D586017AE645C0CF8E292A

apt-get update

apt-get install pritunl mongodb-org

systemctl start pritunl mongod

systemctl enable pritunl mongod

Pritunl – Einrichtung über Assistent

Nach der Installation erscheint ein Assistent, der bei der Einrichtung hilft. Im Rahmen der Einrichtung erfolgt die Anbindung an die MongoDB-Datenbank, die Konfiguration des Administrator-Benutzers sowie Daten zu Routen, IP-Adressen und die Anbindung an einen SMTP-Server für Systemnachrichten. Über diese lassen sich auch E-Mails an Anwender versenden. In diesen E-Mails sind Konfigurationsdateien für den eigenen VPN-Client enthalten. Öffnen Anwender die Datei im Link, verbindet sich diese automatisch mit dem Client und kann eine Verbindung mit dem VPN-Server aufbauen. Allerdings ist dazu nur die kostenpflichtige Version in der Lage.

Nach der Einrichtung des Servers erfolgt die Verwaltung der Umgebung ebenfalls in der Weboberfläche. Hier legen Administratoren auch die Benutzerkonten fest, mit denen sich Anwender per VPN verbinden können. Auch die Server und aktuellen Verbindungen lassen sich in der Weboberfläche verwalten. Sobald die Lösung installiert ist und funktioniert, erfolgt also die komplette Einrichtung im Webinterface. Das gilt auch für komplexe Szenarien, in denen mehrere Pritunl-Server unterschiedliche Netzwerke verbinden.

SoftEther VPN Project – VPN-Server für Windows, Linux, OS X, Solaris und FreeBSD

Der VPN-Server von SoftEther VPN Project steht für die Betriebssysteme Windows, Linux, OS X, Solaris und FreeBSD kostenlos über eine GNU-GPL-Lizenz zur Verfügung, auch für kommerzielle Zwecke. Entwickelt wurde das Produkt an der japanischen Universität Tsukuba. Die Entwickler bieten für den VPN-Server auch explizit die Möglichkeit der Virtualisierung an, zum Beispiel mit Hyper-V in Windows Server 2012 R2 oder Windows Server 2016. Der Sourcecode ist ebenfalls über GitHub verfügbar.

Die Verwaltung und Installation der Lösung erfolgt vollständig in einer grafischen Oberfläche, zumindest bei der Installation auf Windows-Servern. In Linux wird das System wie andere Pakete über das Terminal installiert und auch verwaltet. Administratoren müssen in Windows weder Konfigurationsdateien bearbeiten, noch in der Konsole arbeiten. Zur Authentifizierung kann das System auf RADIUS und Windows-Domänen auf Basis von Active Directory setzen, aber auch auf RSA-Authentifizierung. Für die Authentifizierung der Clients lassen sich auch Preshared Keys sowie Zertifikate und Smartcards nutzen. Für einfachere Szenarien erlaubt die Lösung Benutzer einzeln zu konfigurieren. In größeren Umgebungen kann die Authentifizierung natürlich auch auf Basis von Gruppen erfolgen.

Die Anpassung der Authentifizierung erfolgt in der grafischen Oberfläche. Hier lassen sich auch Benutzer und Gruppen konfigurieren (Screenshot: Thomas Joos).

SoftEther virtualisiert die VPN-Hardware, also Server und Netzwerkadapter, sodass sich leicht verschiedene Instanzen aufbauen lassen, die komplett virtuell konfiguriert werden können. Nach der Installation wird zunächst ein Virtual Hub angelegt. Dabei handelt es sich, einfach ausgedrückt, um den ersten virtuellen VPN-Server auf dem SoftEther-VPN-Server. In der Oberfläche lassen sich auch durchaus weitere solche Server anlegen, und mit verschiedenen Konfigurationen anbinden.

Auf einem VPN-Server lassen sich auch mehrere Virtual Hubs erstellen (Screenshot: Thomas Joos).

Client-Unterstützung

Als Client lassen sich alle relevanten Systeme anbinden, das gilt auch für Smartphones und Tablets. Sogar Exoten wie Windows RT sind mit Microsoft-Bordmitteln problemlos an ein SoftEther VPN anzubinden. Die Verwaltung erfolgt auf Basis einer Verwaltungskonsole, die auch auf Windows-Rechnern installiert werden kann. Neben IPv4 unterstützt SoftEther VPN Project  auch IPv6. Für viele Szenarien ist auf den Clients noch nicht einmal eine spezielle Software notwendig, da die nativen Clients in Windows, OS X sowie in iOS und Android für einen Verbindungsaufbau bereits ausreichen. Das hängt natürlich vom konfigurierten VPN ab.

SoftEther VPN bietet weitreichende Unterstützung für eine Vielzahl an Clients und verschiedene Anbindungsvarianten (Screenshot: SoftEther VPN, softether.org).

SoftEther VPN auf Windows-Servern betreiben

Die Installation auf Windows-Servern erfolgt über einen Assistenten in der grafischen Oberfläche. Im Rahmen der Einrichtung lässt sich festlegen, ob auf dem aktuellen Computer die VPN-Server-Komponente installiert werden soll, die SoftEther VPN-Bridge, oder nur die Verwaltungstools. Alle weiteren Konfigurationen werden nach der eigentlichen Installation über die Verwaltungstools vorgenommen.

Durch die Installation von SoftEther-VPN führt ein Assistent (Screenshot: Thomas Joos).

Sobald die Installation durchgelaufen ist, kann der Server-Manager von SoftEtherVPN eine Verbindung zum lokalen oder einen anderen SoftEther-VPN-Server im Netzwerk aufbauen. Hierüber erfolgt die komplette Konfiguration. Das Verwaltungstool lässt sich auch auf Arbeitsstationen installieren. Hier unterstützt SoftEther nahezu alle Windows-Versionen, auch Windows 10.

Über die Verwaltungstools lassen sich auch mehrere Server verwalten (Screenshot: Thomas Joos).

Im Rahmen der Ersteinrichtung eines Servers lässt sich festlegen, ob dieser als herkömmlicher Remote Access-VPN-Server, als Site-to-Site-VPN-Server, als VPN-Bridge, oder in einer anderen Konfiguration betrieben werden soll.

Im Rahmen der Einrichtung von SoftEther VPN Server stehen verschiedene Optionen zur Auswahl (Screenshot: Thomas Joos).

Nachdem die Auswahl der VPN-Infrastruktur erfolgt ist, wird im Assistent die eigentliche Konfiguration des VPNs durchgeführt. Hier lässt sich IPSec/L2TP genauso aktivieren, wie EtherIP/L2TPv3. Auch erweiterte Einstellungen der Protokolle sind hier steuerbar. Alle Einstellungen lassen sich auch nachträglich noch anpassen. Außerdem können jederzeit weitere Virtual Hubs erstellt und installiert werden.

Die Protokolle für das VPN lassen sich im Assistenten steuern (Screenshot: Thomas Joos).

VPN mit Microsoft Azure und OpenVPN

Neben herkömmlichen Varianten zum Aufbau eines VPNs mit verschiedenen Protokollen, unterstützt SoftEther VPN Project auch den Aufbau eines VPNs, zusammen mit Microsoft Azure. Andere Cloudlösungen wie Amazon EC2 lassen sich ebenfalls an SoftEther VPNs anbinden. Auch das OpenVPN-Protokoll wird durch die Lösung unterstützt. Das heißt, alle OpenVPN-Clients lassen sich zusammen mit SoftEther VPN einsetzen. Das erleichtert potentielle Migrationen, wenn Unternehmen OpenVPN im Netzwerk ersetzen wollen. Sinnvoll ist das zum Beispiel, wenn neben dem OpenVPN-Protokoll auch auf andere Dienste gesetzt werden soll, zum Beispiel L2TP/IPSec, L2TPv3/IPSec, EtherIP, Microsoft SSTP oder SSL-VPN (VPN über HTTPS). Natürlich kann OpenVPN weiterhin auch mit SoftEther VPN parallel eingesetzt werden. Blockiert eine Firewall die Verbindung, kann SoftEther VPN auf die Ports 53 (DNS) und ICMP (Ping) ausweichen, um eine verschlüsselte Verbindung aufzubauen. Setzen Unternehmen vor allem auf Clients mit Windows 7/8/8.1 oder Windows 10 lassen sich diese auch mit SSTP-VPN anbinden.

SoftEther VPN bietet auch die Unterstützung für OpenVPN und Microsoft-VPN-Server (Screenshot: Thomas Joos).

SSL-VPNs lassen sich mit SoftEther VPN ebenfalls aufbauen. Auch Layer3-Routing lässt sich mit dem VPN durchführen, um zum Beispiel verschiedene Rechenzentren zu verbinden. Für kleinere Netzwerke ist die Unterstützung von dynamischen DNS-Umgebungen interessant. Insgesamt unterstützt SoftEther also die sechs wichtigsten VPN-Protokolle: OpenVPN, IPsec, L2TP, MS-SSTP, L2TPv3 und EtherIP. Neben den VPN-Clients von OpenVPN und Co. unterstützt SoftEther VPN auch die nativen VPN-Clients der kompatiblen Betriebssysteme. Dadurch lassen sich Windows, OS X, iOS und Android leichter an ein VPN anbinden, ohne dass auf den Geräten Software für den Verbindungsaufbau installiert werden muss. Leider unterstützt SoftEther nicht die Verwaltung über die PowerShell, wenn die Umgebung auf einem Windows-Server installiert wird.

Fazit

Geht es um den Aufbau eines VPNs müssen Unternehmen nicht unbedingt auf kommerzielle Lösungen, Microsoft-Bordmittel oder Linux-Server mit OpenVPN setzen. Es gibt gute Alternativen, wie Pritunl oder das SoftEther VPN Project, welche auf nahezu allen relevanten Systemen eingesetzt werden können. Es lohnt sich für Administratoren einen Blick auf die Lösungen zu werfen und genau zu überprüfen, welche VPN-Lösung die beste ist.

Reine Microsoft-Netzwerke sind nicht unbedingt mit OpenVPN oder Pritunl gut anzubinden, da hier häufig das Linux-Wissen fehlt. Kleinere Unternehmen oder Netzwerke, die vor allem auf Microsoft-Produkte setzen, können entweder die Bordmittel verwenden oder Tools wie SoftEther VPN Project. Der Vorteil gegenüber OpenVPN besteht hier in der Unterstützung von mehr Diensten und Protokollen sowie der deutlich einfacheren Verwaltung in der grafischen Oberfläche. Es lohnt sich also über den Tellerrand hinweg zuschauen. Dazu kommt, dass beide Produkte auch auf kleineren Geräten funktionieren, zum Beispiel Raspberry Pi.

HIGHLIGHT

Sicherheitsrisiken in öffentlichen WLANs vermeiden – auch im Urlaub

Mit einigen Schritten und kostenlosen Tools können sich auch Profis vor Angriffen aus unsicheren WLANs schützen und Notebook, Smartphone und Tablets schützen. Es lohnt sich auch unterwegs effizient zu schützen, um Datenverlust und Angriffe zu vermeiden.
ZDNet.de Redaktion

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

4 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

6 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

6 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

9 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

10 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

10 Stunden ago