OpenVPN lokal einrichten – den Router für Portforwarding einrichten (II)

OpenVPN kommuniziert standardmäßig mit dem Protokoll UDP auf Netzwerkport 1194 und diese Einstellungen werden hier auch übernommen. Selbstverständlich kann man auch TCP und jeden beliebigen anderen freien Port benutzen. Als Router dient in diesem Beispiel eine FritzBox der Firma AVM weil ich selber so eine benutze und weil sie sehr verbreitet sind. Jeder andere moderne Router sollte jedoch auch dazu in der Lage sein aber man muss ggf. die Betriebsanleitung dazu lesen.

Im Menupunkt Internet -> Freigaben findet sich der Reiter Portfreigaben und dort den Button „Gerät für Freigaben hinzufügen“ den wir auswählen.

Nun kann man unter Gerät das Ziel des zukünftigen VPN-Servers auswählen und ganz unten dann Neue Freigabe anklicken. Bitte keine anderen Punkte wie „

Diese Einstellung kann nur für ein Gerät aktiviert werden.“ auswählen da ansonsten der Rechner ziemlich nackt und frei im Internet steht und den üblichen Angriffen ausgesetzt ist die bei einem nicht aktuellen System oder bei 0-day-Exploits auch erfolgreich seinen können. Man müsste also ständig für die Sicherheit des Rechners sorgen. Man erhält nun eine Übersicht seiner Portfreigeben in der FritzBox.

Screenshot Fritzbox Portfreigabe

Wie man sieht ist das nicht meine einzige Freigabe sondern ich benutze dies neben VPN auch noch für ssh-Zugriffe, einen Webserver und Sicherung per rsync. Man kann auch zwei verschiedene Zielrechner für Portfreigaben auswählen wie in meinem Bespiel oben den Webserver und den VPN-Endpunkt die unterschiedliche Rechner, aus Netzwerksicht sind aber tatsächlich in verschiedenen Proxmox-Containern auf der gleichen physischen Hardware liegen. Wie man weiter auf dem Screenshot sieht bietet meine Fritzbox auch selber die Möglichkeit für einen VPN-Endpunkt, welche jedoch nicht über OpenVPN sondern über Wireguard realisiert werden kann. Diese Möglichkeit habe ich jedoch aus zwei Gründen nicht gewählt. Zum Einen kontrolliere ich lieber solche Dienste auf Softwareebene ohne GUI selber und zum Anderen ist mein privates Netz um einiges komplexer als es auf dem Screenshot aussieht da ich mehrere Subnetze  mit internen Router eingerichtet habe und über den VPN-Endpunkt in genau eines dieser Subnetze über den weiteren Router gelangen möchte. Die Fritzbox würde mich per VPN nur in die sogenannte demilitarisierte Zone (DMZ) lassen und ich hätte dort keinen Zugang zu den Daten im privaten und geschützten Netzwerksegment.

kais-universum.de