OpenVPN Client unter Windows einrichten

optimox.de zieht um und wird

techgrube_logo_5_klein


Wenn man ungesicherte WLANs in einem Café oder einem Hotel nutzt kann jeder, der sich im selben WLAN befindet, den eigenen Internetverkehr mitlesen. Um dies zu verhindern kann der eigene Internetverkehr über ein VPN verschlüsselt werden. Voraussetzung ist ein wie unter „OpenVPN Server unter Ubuntu einrichten“ installierter und eingerichteter Openvpn Server, sowie die ebenfalls in diesem Artikel beschriebenen Clientzertifikate und Schlüssel.

In diesem Artikel folgt nun die Beschreibung wie man sich mit einem PC mit Windows (7) zu diesem Server verbindet.

Zuerst laden wir uns den offiziellen Client von openvpn.net für Windows herunter [zur OpenVPN Downloadseite] und installieren diesen. Dabei installiert Windows neue Netzwerkadapter (TUN- und TAP-Devices). Der OpenVPN Client wird dabei nach c:\Programme\OpenVPN installiert.

openvpn-win1

Weiterlesen

Client weckt Server

optimox.de zieht um und wird

techgrube_logo_5_klein


Nun sorgen wir dafür dass der Server automatisch beim starten eines Clients aufgeweckt wird. Da sich der Server nur im Standby befindet ist dieser nahezu zeitgleich mit dem Client online.
Zuersteinmal brauchen wir ein Tool welches die gewünschten Magic Packets verschickt die den Server aufwecken. Ein passendes kleines und sehr einfaches Kommandozeilentool für Windows gibt es bei Heise und heißt passenderweise wol.exe

wol.exe, Download bei heise

Dieses Programm speichern wir irgendwo, z.B. unter c:/wol.exe

Da ein Magic Packet an die MAC Adresse und nicht an eine IP Adresse gesendet wird (ein Rechner der ausgeschaltet ist hat keine IP Adresse) müssen wir diese zuerst herausfinden.
Dazu öffnen wir in Ubuntu die Konsole und geben einfach

ifconfig

ein. Die Ausgabe wird etwa folgendermaßen aussehen:

Das gelb umrandete ist die MAC Adresse. Genau diese benötigen wir.

Nun öffnen wir den Autostartordner des Windows Clients. Bei Windows 7 befindet dieser sich unter:

C:UsersUsernameAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup

Oder im Startmenü mit der rechten Maustaste auf Autostart klicken und dann öffnen.

Jetzt öffnen wir den Texteditor und tragen dort den Pfad zu unserer wol.exe gefolgt von der MAC Adresse des Servers ohne Doppelpunkte ein. Das speichern wir dann im Autostartordner unter wol.bat ab. Vorsicht dass die Dateiendung nur .bat ist und nicht.bat.txt. Sonst funktioniert es nicht.
Sol sollte das dann aussehen:

Nun wird immer wenn der Client bootet ein Magic Packet an den Server gesendet und dieser wacht auf.

Falls eine andere Firewall als die Windows eigene installiert ist muss evtl. die wol.exe in die Ausnahmeliste eingetragen werden.

 


Creative Commons Lizenzvertrag
Dieser Artikel ist lizenziert unter einer Creative Commons Namensnennung 3.0 Deutschland Lizenz.

Verschlüsselter Ubuntu Homeserver Übersicht

optimox.de zieht um und wird

techgrube_logo_5_klein


Nachdem jahrelang ein Windows Homeserver gute Dienste geleistet hat sollte dieser ersetzt werden. Da das in die Tage gekommene Betriebssystem doch einige Schwächen aufwies sollte auch dieses ersetzt werden. So gab es zum Beispiel mit mehreren Netzwerkkarten Probleme beim Wiederherstellen der Backups, das Betriebssystem selbst kann nicht gesichert werden und außerdem wuchs der Wunsch die Festplatten zu verschlüsseln, da der Server die nächsten Jahre seinen Dienst tun soll und man nicht weiß wie sich die Netzpolitik unserer kompetenten Volksvertreter weiterentwickelt. Das Neue Betriebssystem muss also die folgenden Aufgaben des WHS gleichwertig ersetzen:

  1. Hohe Datenverfügbarkeit durch Duplizierung der Dateien auf verschiedene Festplatten
  2. Mehrere Festplatten werden zu einer großen zusammengefasst
  3. Strom sparen: Server schaltet sich automatusch aus wenn alle Clients ausgeschaltet sind
  4. Server wacht automatisch auf wenn ein Client angeschaltet wird
  5. Backup der Clients über Netzwerk
  6. Wiederherstellung der Clients inkl. Systemplatte über Netzwerk, auch wenn das Betriebssystemdefekt ist.
  7. Grafische Oberfläche um mit einem Browser Downloads zu starten.
  8. Wartung über Remote Desktop
  9. Fileserver für Windows PCs

Außerdem sollen die Festplatten verschlüsselt werden, ohne dass dadurch ein allzu grosser Komfortverlust entsteht.

Die Wahl fiel auf aktuelle LTS Desktopversion von Ubuntu

Punkt 1 & 2 werden durch ein Software Raid 5 erfüllt, welches sich leicht ohne Zusatzsoftware erstellen lässt

Punkt 3 lässt sich über ein einfaches Skript erledigen welches regelmäßig die Clients anpingt und per Cronjob aufgerufen wird.

Punkt 4 es wird ein Wake on Lan Tool per im Autostart der Windowsclients untergebracht

Punkt 5 Hierfür gibt es Tools wie Sand am Meer. Ich habe mich für Macrium Reflect Free Edition entschieden, da dieses auch Punkt 6 erfüllt

Punkt 6 Macrium Reflect Free Edition kann eine Linux oder Windows PE BootCD erstellen mit der ein Backup wiederhergestellt werden kann selbst wenn das Betriebssystem defekt ist.

Punkt 7 Deshalb die Desktop und nicht die Serverversion

Punkt 8 durch Free NX, welches im Gegensatz zu VNC verschlüsselt und ausserdem wie der MS Remote Desktop mit der Nativen Bildschirmauflösung des Clients arbeitet und nicht wie VNC einfach alles zusammenstaucht. So kann vom kleinen Netbook genausogut auf den Server zugegriffen werden wie mit dem FullHD Bildschirm am Desktop

Punkt 9 durch SAMBA

Verschlüsselung.

Ein Raidsystem zu verschlüsseln ist unter Ubuntu Out of the Box möglich. Allerdings soll der Server ohne Bildschirm, Tastatur und Maus laufen, so dass beim Booten kein Passwirt eingegeben werden kann. Aus diesem Grund habe ich auf eine Verschlüsselung der Systempartition verzichtet, da hier sowieso nur das Betriebssystem liegt. Auf eine Swap Partition habe ich ebenfalls verzichtet, da diese auch hätte verschlüsselt werden müssen, was wiederum die Eingabe eines Passworts zur nötiggemacht hätte. Mit 2 GB Ram ist bei einem Fileserver allerdings auch keine Swap Partition mehr nötig. Nun startet der Server von alleine um das Raidsystem mit den ganzen Daten zu entschlüsseln muss man sich auf dem per Free NX einloggen und das Passwort eingeben. Dieses dauerhaft zu speichern scheidet logischerweise aus, da sonst natürlich keinerlei Sicherheit gegeben ist.

Da dieses einloggen an einem Mediacenter PC nicht ohne Aufwand möglich, der Server aber nicht 24/7 durchlaufen soll musste ein vernünftiger Kompromiss zwischen Sicherheit und Komfort her, ohne das Passwort für die Verschlüsselung zu speichern. Dieser sieht folgendermaßen aus:

Nach dem ersten Booten muss man sich einloggen und die Festplatten entschlüsseln. Werden nun alle Clients heruntergefahren wird der Server nur in den Standby versetzt. Wird der Server nun vom Strom getrennt sind die Festplatten verschlüsselt und vor Zugriffen geschützt.

Wird der Server per Wake on Lan reaktiviert sind die Festplatten und damit auch die Netzwerkfreigaben automatisch wieder freigegeben. Da im normalen Betrieb kein User angemeldet ist hat man auch durch das anhängen eines Monitors nicht so einfach Zugriff auf diesen.


Creative Commons Lizenzvertrag
Dieser Artikel ist lizenziert unter einer Creative Commons Namensnennung 3.0 Deutschland Lizenz.