Im Bereich der VPN-Server ist OpenVPN in Unternehmen sehr stark verbreitet. Die Open-Source-Linux-Lösung bietet umfassende Einstellungsmöglichkeiten und ist sehr sicher. Dazu gehören die schnellen Installationsmöglichkeiten auf gängigen Linux-Systemen und schnell einzurichtende Clients, auch für Android und iOS. Allerdings gehört zur Konfiguration von OpenVPN einiges an Linux-Wissen und nicht immer ist OpenVPN das am besten geeignete VPN-System.
Es gibt einige interessante Alternativen, die sich Administratoren ansehen sollten. Dazu gehören Pritunl und das SoftEther VPN Project. Bei beiden Lösungen handelt es sich ebenfalls um Open-Source-Produkte, wobei das für Pritunl nur eingeschränkt gilt. Auch hier werden alle gängigen Betriebssysteme als Clients unterstützt sowie die Installation des Servers auf Basis von Linux. SoftEther VPN steht darüber hinaus noch als Server für Windows, FreeBSD, Solaris und OS X zur Verfügung. Auch auf Linux-Servern kann die Lösung installiert werden. Beide Produkte bieten ihre Vor- und Nachteile.
Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen
Pritunl nutzt das OpenVPN-Protokoll zur Kommunikation zwischen Client und Server. Die Installation auf Debian, Ubuntu, CentOS oder Fedora erfolgt über den Download in der entsprechenden Distribution, oder durch die Installation der Pakete aus GitHub. Auf der Downloadseite sind auch Anleitungen für die verschiedenen Distributionen zu finden. Neben Clients für iOS und Android bieten die Entwickler auch Clients für Windows, Linux und OS X an. OpenVPN-Clients sind weitgehend kompatibel mit Pritunl.
Das Produkt steht kostenlos zur Verfügung, allerdings handelt es sich bei der kostenlosen Version eher um eine Freeware als um Open Source. Das liegt daran, dass typische Eigenschaften einer Open-Source-Anwendung fehlen. Bevor ein produktiver Einsatz erfolgt, sollten sich Verantwortliche daher zuerst die Lizenzinformationen durchlesen und das Produkt nur dann einsetzen, wenn die Bedingungen für das jeweilige Unternehmen ok sind. Wer umfassend alle Funktionen des Produktes nutzen will, kommt auf Dauer um ein kostenpflichtiges Abonnement nicht herum, denn in der Freeware-Version fehlen einige Funktionen, die vor allem bei großen Unternehmen Einsatz finden.
Erfreulich ist, dass Pritunl seine Konfiguration nicht in einzelnen Dateien speichert, sondern in der Open-Source-Datenbank MongoDB. Das erlaubt auch das Replizieren der Einstellungen zwischen verschiedenen Servern und den Betrieb einer hochverfügbaren VPN-Umgebung. Pritunl ist daher ein idealer Helfer beim Aufbau eines VPNs zwischen verschiedenen Rechenzentren, wo die Hochverfügbarkeit eine wesentliche Rolle spielt.
Der Vorteil von Pritunl besteht darin, dass sich Benutzer auf mehrere Organisationen und VPN-Instanzen innerhalb des Pritunl-Servers aufteilen lassen. Das geht zwar auch mit OpenVPN, allerdings ist hier die Konfiguration deutlich komplizierter, da Konfigurationsdateien angepasst werden müssen. In Pritunl werden solche Aufgaben in einer Weboberfläche erledigt. Dadurch lassen sich auch mandantengestützte Systeme aufbauen und zentral verwalten.
Pritunl unterstützt in diesem Bereich IPv4 und auch IPv6 sowie verschiedene Routingszenarien. Bevor sich Unternehmen für die kostenlose Variante entscheiden, sollte aber erst geprüft werden, ob Funktionen der kostenpflichtigen Enterprise-Version notwendig sind. Dazu gehören zum Beispiel der Einsatz mehrerer Server/VPN-Instanzen oder erweiterte Routingmöglichkeiten zwischen Clients und dem Unternehmensnetzwerk. Das kann zum Beispiel das Routing der Clients zu Servern in verschiedenen Rechenzentren und mehreren Pritunl-Servern sein. Die Konfiguration wird in diesem Fall in einer MongoDB gespeichert. Dadurch lassen sich Konfigurationen auch clustern. Vorteil dabei ist, dass die Umgebung hochverfügbar zur Verfügung gestellt werden kann. Alle Daten von Pritunl sind in der MongoDB gespeichert, die verschiedenen Pritunl-Server und VPN-Instanzen greifen dann auf diese Datenbank zu. Das ermöglicht hochverfügbare Bereitstellung mehrerer VPN-Server, die auf die gleichen Konfigurationsdaten in MongoDB zugreifen.
Um die Installation auf Ubuntu durchzuführen, muss im ersten Schritt die Distribution entsprechend aktualisiert werden:
sudo apt-get update && sudo apt-get upgrade
Nach der Konfiguration der Paketquellen erfolgen Installation und Start der Lösung mit:
sudo apt-get install pritunl mongodb-org
sudo service pritunl start
Viele Unternehmen betreiben den VPN-Server zusammen mit einer Firewall auf dem Linux-Server. In diesem Fall müssen die Ports für Pritunl freigeschaltet werden. Besonders wichtig ist hier der Port 9700. Über diesen läuft der Verbindungsaufbau zur Weboberfläche. Nach der Installation der notwendigen Pakete erfolgt die Einrichtung von Pritunl über eine webbasierte Oberfläche. Diese wird über die Adresse: https://<IP-Adresse>:9700 erreicht. Ab Ubuntu 16.04 werden die folgenden Befehle eingegeben, um die Lösung zu installieren. Bei Bedarf ist vor den Befehlen noch sudo notwendig:
tee -a /etc/apt/sources.list.d/mongodb-org-3.2.list << EOF
deb http://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.2 multiverse
EOF
tee -a /etc/apt/sources.list.d/pritunl.list << EOF
deb http://repo.pritunl.com/stable/apt xenial main
EOF
tee -a /lib/systemd/system/mongod.service << EOF
[Unit]
Description=High-performance, schema-free document-oriented database
After=network.target
[Service]
User=mongodb
ExecStart=/usr/bin/mongod –config /etc/mongod.conf
[Install]
WantedBy=multi-user.target
EOF
apt-key adv –keyserver hkp://keyserver.ubuntu.com –recv 42F3E95A2C4F08279C4960ADD68FA50FEA312927
apt-key adv –keyserver hkp://keyserver.ubuntu.com –recv 7568D9BB55FF9E5287D586017AE645C0CF8E292A
apt-get update
apt-get install pritunl mongodb-org
systemctl start pritunl mongod
systemctl enable pritunl mongod
Nach der Installation erscheint ein Assistent, der bei der Einrichtung hilft. Im Rahmen der Einrichtung erfolgt die Anbindung an die MongoDB-Datenbank, die Konfiguration des Administrator-Benutzers sowie Daten zu Routen, IP-Adressen und die Anbindung an einen SMTP-Server für Systemnachrichten. Über diese lassen sich auch E-Mails an Anwender versenden. In diesen E-Mails sind Konfigurationsdateien für den eigenen VPN-Client enthalten. Öffnen Anwender die Datei im Link, verbindet sich diese automatisch mit dem Client und kann eine Verbindung mit dem VPN-Server aufbauen. Allerdings ist dazu nur die kostenpflichtige Version in der Lage.
Nach der Einrichtung des Servers erfolgt die Verwaltung der Umgebung ebenfalls in der Weboberfläche. Hier legen Administratoren auch die Benutzerkonten fest, mit denen sich Anwender per VPN verbinden können. Auch die Server und aktuellen Verbindungen lassen sich in der Weboberfläche verwalten. Sobald die Lösung installiert ist und funktioniert, erfolgt also die komplette Einrichtung im Webinterface. Das gilt auch für komplexe Szenarien, in denen mehrere Pritunl-Server unterschiedliche Netzwerke verbinden.
Der VPN-Server von SoftEther VPN Project steht für die Betriebssysteme Windows, Linux, OS X, Solaris und FreeBSD kostenlos über eine GNU-GPL-Lizenz zur Verfügung, auch für kommerzielle Zwecke. Entwickelt wurde das Produkt an der japanischen Universität Tsukuba. Die Entwickler bieten für den VPN-Server auch explizit die Möglichkeit der Virtualisierung an, zum Beispiel mit Hyper-V in Windows Server 2012 R2 oder Windows Server 2016. Der Sourcecode ist ebenfalls über GitHub verfügbar.
Die Verwaltung und Installation der Lösung erfolgt vollständig in einer grafischen Oberfläche, zumindest bei der Installation auf Windows-Servern. In Linux wird das System wie andere Pakete über das Terminal installiert und auch verwaltet. Administratoren müssen in Windows weder Konfigurationsdateien bearbeiten, noch in der Konsole arbeiten. Zur Authentifizierung kann das System auf RADIUS und Windows-Domänen auf Basis von Active Directory setzen, aber auch auf RSA-Authentifizierung. Für die Authentifizierung der Clients lassen sich auch Preshared Keys sowie Zertifikate und Smartcards nutzen. Für einfachere Szenarien erlaubt die Lösung Benutzer einzeln zu konfigurieren. In größeren Umgebungen kann die Authentifizierung natürlich auch auf Basis von Gruppen erfolgen.
SoftEther virtualisiert die VPN-Hardware, also Server und Netzwerkadapter, sodass sich leicht verschiedene Instanzen aufbauen lassen, die komplett virtuell konfiguriert werden können. Nach der Installation wird zunächst ein Virtual Hub angelegt. Dabei handelt es sich, einfach ausgedrückt, um den ersten virtuellen VPN-Server auf dem SoftEther-VPN-Server. In der Oberfläche lassen sich auch durchaus weitere solche Server anlegen, und mit verschiedenen Konfigurationen anbinden.
Als Client lassen sich alle relevanten Systeme anbinden, das gilt auch für Smartphones und Tablets. Sogar Exoten wie Windows RT sind mit Microsoft-Bordmitteln problemlos an ein SoftEther VPN anzubinden. Die Verwaltung erfolgt auf Basis einer Verwaltungskonsole, die auch auf Windows-Rechnern installiert werden kann. Neben IPv4 unterstützt SoftEther VPN Project auch IPv6. Für viele Szenarien ist auf den Clients noch nicht einmal eine spezielle Software notwendig, da die nativen Clients in Windows, OS X sowie in iOS und Android für einen Verbindungsaufbau bereits ausreichen. Das hängt natürlich vom konfigurierten VPN ab.
Die Installation auf Windows-Servern erfolgt über einen Assistenten in der grafischen Oberfläche. Im Rahmen der Einrichtung lässt sich festlegen, ob auf dem aktuellen Computer die VPN-Server-Komponente installiert werden soll, die SoftEther VPN-Bridge, oder nur die Verwaltungstools. Alle weiteren Konfigurationen werden nach der eigentlichen Installation über die Verwaltungstools vorgenommen.
Sobald die Installation durchgelaufen ist, kann der Server-Manager von SoftEtherVPN eine Verbindung zum lokalen oder einen anderen SoftEther-VPN-Server im Netzwerk aufbauen. Hierüber erfolgt die komplette Konfiguration. Das Verwaltungstool lässt sich auch auf Arbeitsstationen installieren. Hier unterstützt SoftEther nahezu alle Windows-Versionen, auch Windows 10.
Im Rahmen der Ersteinrichtung eines Servers lässt sich festlegen, ob dieser als herkömmlicher Remote Access-VPN-Server, als Site-to-Site-VPN-Server, als VPN-Bridge, oder in einer anderen Konfiguration betrieben werden soll.
Nachdem die Auswahl der VPN-Infrastruktur erfolgt ist, wird im Assistent die eigentliche Konfiguration des VPNs durchgeführt. Hier lässt sich IPSec/L2TP genauso aktivieren, wie EtherIP/L2TPv3. Auch erweiterte Einstellungen der Protokolle sind hier steuerbar. Alle Einstellungen lassen sich auch nachträglich noch anpassen. Außerdem können jederzeit weitere Virtual Hubs erstellt und installiert werden.
Neben herkömmlichen Varianten zum Aufbau eines VPNs mit verschiedenen Protokollen, unterstützt SoftEther VPN Project auch den Aufbau eines VPNs, zusammen mit Microsoft Azure. Andere Cloudlösungen wie Amazon EC2 lassen sich ebenfalls an SoftEther VPNs anbinden. Auch das OpenVPN-Protokoll wird durch die Lösung unterstützt. Das heißt, alle OpenVPN-Clients lassen sich zusammen mit SoftEther VPN einsetzen. Das erleichtert potentielle Migrationen, wenn Unternehmen OpenVPN im Netzwerk ersetzen wollen. Sinnvoll ist das zum Beispiel, wenn neben dem OpenVPN-Protokoll auch auf andere Dienste gesetzt werden soll, zum Beispiel L2TP/IPSec, L2TPv3/IPSec, EtherIP, Microsoft SSTP oder SSL-VPN (VPN über HTTPS). Natürlich kann OpenVPN weiterhin auch mit SoftEther VPN parallel eingesetzt werden. Blockiert eine Firewall die Verbindung, kann SoftEther VPN auf die Ports 53 (DNS) und ICMP (Ping) ausweichen, um eine verschlüsselte Verbindung aufzubauen. Setzen Unternehmen vor allem auf Clients mit Windows 7/8/8.1 oder Windows 10 lassen sich diese auch mit SSTP-VPN anbinden.
SSL-VPNs lassen sich mit SoftEther VPN ebenfalls aufbauen. Auch Layer3-Routing lässt sich mit dem VPN durchführen, um zum Beispiel verschiedene Rechenzentren zu verbinden. Für kleinere Netzwerke ist die Unterstützung von dynamischen DNS-Umgebungen interessant. Insgesamt unterstützt SoftEther also die sechs wichtigsten VPN-Protokolle: OpenVPN, IPsec, L2TP, MS-SSTP, L2TPv3 und EtherIP. Neben den VPN-Clients von OpenVPN und Co. unterstützt SoftEther VPN auch die nativen VPN-Clients der kompatiblen Betriebssysteme. Dadurch lassen sich Windows, OS X, iOS und Android leichter an ein VPN anbinden, ohne dass auf den Geräten Software für den Verbindungsaufbau installiert werden muss. Leider unterstützt SoftEther nicht die Verwaltung über die PowerShell, wenn die Umgebung auf einem Windows-Server installiert wird.
Geht es um den Aufbau eines VPNs müssen Unternehmen nicht unbedingt auf kommerzielle Lösungen, Microsoft-Bordmittel oder Linux-Server mit OpenVPN setzen. Es gibt gute Alternativen, wie Pritunl oder das SoftEther VPN Project, welche auf nahezu allen relevanten Systemen eingesetzt werden können. Es lohnt sich für Administratoren einen Blick auf die Lösungen zu werfen und genau zu überprüfen, welche VPN-Lösung die beste ist.
Reine Microsoft-Netzwerke sind nicht unbedingt mit OpenVPN oder Pritunl gut anzubinden, da hier häufig das Linux-Wissen fehlt. Kleinere Unternehmen oder Netzwerke, die vor allem auf Microsoft-Produkte setzen, können entweder die Bordmittel verwenden oder Tools wie SoftEther VPN Project. Der Vorteil gegenüber OpenVPN besteht hier in der Unterstützung von mehr Diensten und Protokollen sowie der deutlich einfacheren Verwaltung in der grafischen Oberfläche. Es lohnt sich also über den Tellerrand hinweg zuschauen. Dazu kommt, dass beide Produkte auch auf kleineren Geräten funktionieren, zum Beispiel Raspberry Pi.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…