OpenVPN Server mit ASUS RT-AC68U

Der RT-AC68U von ASUS ist meines Erachtens der würdige Nachfolger meines langjährigen WRT54GL von Linksys, der aufgrund seiner CPU mit den heutigen Bandbreiten leider nicht mehr mitkommt.

Eines der Highlights des RT-AC68U ist der bereits mitgelieferte VPN-Server. Einmal eingerichtet, lässt sich damit  von überall auf der Welt eine verschlüsselte Verbindung nach Hause aufbauen. Im Prinzip ist das Ganze ganz einfach einzurichten, aber da es doch den einen oder anderen kleinen Stolperstein geben kann, möchte ich mich hier an einer Anleitung versuchen.

1. Vorraussetzungen

Damit die Verbindung überhaupt zu eurem Router aufgebaut werden kann, ist es wichtig die richtigen Voraussetzungen zu schaffen. Dabei kommt es darauf an, wie ihr an das Internet angebunden seit. Meistens hat man heute dort wo das Internet zur Wand rausfällt zuerst einen Router des Providers, bevor dann der eigene Router folgt. Ist das der Fall, muss die VPN-Verbindung zum eigenen Router „durchgereicht“ werden. Dazu richtet man auf dem Router des Providers eine Portweiterleitung für den Port 1194 (UDP) ein.

Je nach Provider und Modell kann es sein, dass es trotzdem nicht gelingt, die VPN-Verbindung aufzubauen. Sollte das bei euch der Fall sein, schaut bitte in die entsprechenden Foren. Meistens findet sich dort eine entsprechende Lösung. Wer beispielsweise einen WLAN-Router von Cablecom hat, muss meines Wissens das Gerät in den sogenannten Bridge-Modus versetzen, um eine VPN-Verbindung weiterleiten zu können.

2. DDNS einrichten

Nur die wenigsten haben einen Internetanschluss zu Hause mit einer statischen, also gleichbleibenden (IP-)Adresse. Damit man aber jederzeit eine VPN-Verbindung aufbauen  kann, muss jederzeit bekannt sein, unter welcher Adresse man zu Hause gerade erreichbar ist. Dies übernimmt der DDNS (Dynamic Domain Name System) Service, der ebenfalls bereits mitgeliefert wird und nur noch aktiviert werden muss. Man kann dabei aus einer Liste verschiedener Anbieter wählen. Das entsprechende Menü zum Einrichten ist unter WAN – DDNS zu finden:

Nach der Aktivierung ist das eigene Zuhause über die selbst gewählte Adresse erreichbar.

3. VPN Server einrichten

Nun kann endlich der VPN-Server eingerichtet werden. Als Servermodus (bzw. Protokoll) empfehle ich OpenVPN. Warum das besser ist als PPTP, kann unter anderem hier nachgelesen werden. Das entsprechende Menü findet man unter VPN:

Dann wird noch ein Benutzername und ein Kennwort eingerichtet und mit dem + hinzugefügt:

Nachdem alles mit Anwenden übernommen wurde, ist der VPN Server aktiviert. Nun geht es noch an das Finetuning in den erweiterten Einstellungen, zu denen man über das Dropdown rechts oben wechseln kann.

Dort lassen wir grundsätzlich alles wie es ist, stellen aber sicher, dass diese beiden Einstellungen auf „Ja“ eingestellt sind:

Damit wird sichergestellt, dass wir nachdem wir mit unserem Netzwerk zu Hause verbunden sind, der Ganze Internetverkehr über unser Zuhause geleitet wird. Nachdem wir auch das angewendet haben, ist die Einrichtung abgeschlossen.

Zusätzliche Sicherheit bietet die zertifikatbasierende Autorisierung, die standardmässig verwendet wird. Es benötigt also zusätzlich zu dem Benutzernamen und Passwort noch ein Zertifikat, welches auf den Geräten mit welchen man Zugreifen will, installiert sein muss. Dieses Zertifikat wurde automatisch erstellt und muss nun nur noch über die Schaltfläche „Exportieren“ exportiert werden:

4. Geräte für den Zugriff  vorbereiten

Wie bereits erwähnt müssen die Geräte, mit denen man auf das heimische Netzwerk zugegriffen werden soll, vorbereitet werden. Zuerst installiert man den VPN-Client (also das Gegenstück zum Server) auf dem entsprechenden Gerät. Es gibt eine Vielzahl solcher Clients für verschiedene Betriebssysteme. Als Übersicht empfehle ich den OpenVPN-Artikel auf Wikipedia. Unter iOS kann ich OpenVPN Connect sehr empfehlen.

Ist der Client installiert, muss nur noch das zuvor exportierte Zertifikat importiert werden. Dieses enthält bereits alle wichtigen Einstellungen.

5. Verbindung testen

Es empfiehlt sich das Ganze unbedingt zu testen, bevor man darauf angewiesen ist. Dazu muss man mit dem entsprechenden Gerät in irgendeiner Form mit dem Internet verbunden sein, allerdings natürlich nicht über das heimische LAN oder WLAN. Danach wird der entsprechende Client gestartet und nach Eingabe von Benutzername und Passwort sollte die Verbindung erfolgreich aufgebaut werden. Ob das ganze funktioniert sieht man beispielsweise daran, ob man auf die Dinge im eigenen Netzwerk zugreifen kann (z.B. auf das eigene NAS oder auf einen anderen Computer, etc.). Ausserdem kann man über www.myip.ch überprüfen, wie sich die eigene IP-Adresse mit und ohne VPN-Verbindung ändert.

Hat alles geklappt, verfügt ihr nun über einen sicheren Zugang zu eurem eigenen Netzwerk.