OpenVPN: Was ist es und wie funktioniert es?

OpenVPN (oder Open Virtual Private Network), ist ein Open-Source-System, das einen privaten und sicheren Tunnel zwischen Netzwerken schafft. Es bezieht sich auf mehrere verschiedene, aber verwandte Dinge:

• Das Open-Source-Protokoll OpenVPN, das verwendet wird, um verschlüsselte Tunnel zwischen Netzwerken zu erstellen und eine VPN-Verbindung aufzubauen.
• Die OpenVPN-Software (VPN-Client), die das OpenVPN-Protokoll verwendet.
• Das OpenVPN-Unternehmen, das den Open-Source-Code unterstützt und seine eigenen kommerziellen VPN-Produkte anbietet.

Während der Name OpenVPN sowohl mit der Software als auch mit dem Unternehmen verbunden ist, wird das OpenVPN-Protokoll in den meisten modernen VPN-Lösungen, einschließlich NordVPN, verwendet. Daher wird sich dieser Artikel auf OpenVPN als Tunneling-Protokoll konzentrieren.

OpenVPN funktioniert, indem es einen sicheren Tunnel für den Datenverkehr zwischen dem VPN-Client und dem Server erstellt. Dieser Prozess umfasst die Authentifizierung von VPN-Client und -Server, den Aufbau eines VPN-Tunnels, die Datenkapselung und -verschlüsselung sowie die Übertragung des Datenverkehrs.

OpenVPN arbeitet mit verschiedenen Authentifizierungsmethoden und Verschlüsselungsalgorithmen und kann sowohl TCP- als auch UDP-Datenverkehr sichern. All diese Anpassungen machen es zu einer bevorzugten und sicheren Wahl für viele VPN-Konfigurationen. Hier ein kurzer Überblick, wie der Prozess funktioniert:

1. Authentifizierung. OpenVPN verwendet verschiedene VPN-Authentifizierungsmethoden, um die Identität von VPN-Client und -Server zu überprüfen. Diese Methoden umfassen in der Regel eine Kombination aus Benutzeranmeldeinformationen, digitalen Zertifikaten und öffentlicher Schlüssel-Infrastruktur.
2. Tunnel-Aufbau. Sobald die Identität verifiziert ist, baut OpenVPN einen VPN-Tunnel zwischen dem VPN-Client und dem Server auf. In der Regel verwendet OpenVPN Secure Sockets Layer/Transport Layer Security (SSL/TLS), um den Tunnel aufzubauen, aber es können auch andere Protokolle verwendet werden.
3. Verkapselung und Verschlüsselung. OpenVPN verpackt die Datenpakete in zusätzliche Schichten, um Routing-Informationen aufzunehmen, die Quelle und das Ziel der Daten zu identifizieren und Sicherheitsmaßnahmen wie Verschlüsselung anzuwenden. OpenVPN ist vielseitig – du kannst es so einrichten, dass es verschiedene kryptografische Algorithmen und Schlüssellängen verwendet. Die Verschlüsselung sorgt dafür, dass der Datenverkehr, der den VPN-Tunnel durchläuft, vor Dritten verborgen bleibt, z.B. vor deinem Arbeitgeber, Internetanbietern, Hackern und Werbefirmen oder -agenturen.
4. Datenübertragung. Der verschlüsselte Datenverkehr wird durch den VPN-Tunnel zum VPN-Server geleitet, wo er entschlüsselt und an sein weiteres Ziel weitergeleitet wird. Da der Datenverkehr einen Zwischenserver durchläuft, sieht das weitere Ziel nicht die IP-Adresse der Quelle, sondern die IP-Adresse des VPN-Servers.

OpenVPN unterstützt verschiedene Authentifizierungsarten, darunter Pre-Shared Key (PSK) und digitale Zertifikate.

PSK ist eine einfache Form der Authentifizierung, bei der ein geheimer Schlüssel zwischen dem Client und dem Server ausgetauscht wird. Dieser Schlüssel wird verwendet, um die Kommunikation zwischen den beiden zu ver- und entschlüsseln.

Sowohl der Client als auch der Server müssen denselben Pre-Shared Key kennen. Es ist ein symmetrischer Schlüssel, d.h. er wird sowohl für die Verschlüsselung als auch für die Entschlüsselung verwendet. Er ist zwar einfach einzurichten, kann aber ein Sicherheitsrisiko darstellen, wenn der Schlüssel kompromittiert wird.

Digitale Zertifikate bieten eine stärkere und sicherere Form der Authentifizierung. Sie erfordern eine Public Key Infrastructure (PKI), bei der jede Partei über ein Paar öffentlicher und privater Schlüssel verfügt.

Der Server hat ein Zertifikat, das von einer Zertifizierungsstelle (CA) signiert ist, und auch die Clients haben ihre eigenen Zertifikate. Die öffentlichen Schlüssel werden für die Verschlüsselung und die privaten Schlüssel für die Entschlüsselung verwendet. Diese Methode ist komplizierter einzurichten, erhöht aber die Sicherheit, da sie die Authentizität jeder Partei sicherstellt.

OpenVPN unterstützt zwei Hauptbetriebsmodie: Routing und Bridging. Was sie im Einzelnen machen, erklären wir im Folgenden.

Im Routing-Modus erstellt OpenVPN ein virtuelles privates Netzwerk (VPN), das auf der Netzwerkschicht (Layer 3) des OSI-Modells arbeitet. Jedem Client wird eine virtuelle IP-Adresse zugewiesen und Routing-Tabellen werden verwendet, um den Datenverkehr zwischen dem Client- und dem Server-Netzwerk zu leiten.

Dieser Modus wird häufig verwendet, um getrennte Netzwerke über das Internet zu verbinden. Er ermöglicht es dem VPN-Server, als Gateway zu fungieren und Pakete zwischen dem Client- und dem Servernetzwerk weiterzuleiten.

Der Bridging-Modus, auch bekannt als Layer-2-Modus, erweitert das virtuelle Netzwerk so, dass es auf der Datenverbindungsschicht (Layer 2) des OSI-Modells arbeitet. In diesem Modus erstellt OpenVPN im Wesentlichen eine virtuelle Ethernet-Brücke zwischen dem Client und dem Server, sodass es so aussieht, als befänden sie sich im selben physischen Netzwerk.

Alle Geräte innerhalb des überbrückten Netzwerks teilen sich dasselbe Subnetz, und OpenVPN überbrückt die Ethernet-Frames zwischen ihnen. Bridging wird häufig eingesetzt, wenn es darum geht, entfernte Clients transparent mit einem bestehenden lokalen Netzwerk zu verbinden, als wären sie physisch vorhanden.

Hier die wichtigsten Vorteile von OpenVPN:

• 

  Sicher. Aufgrund seiner Vielseitigkeit kann OpenVPN fast jedes Verschlüsselungsprotokoll ausführen, was es sehr zuverlässig und sicher macht. Der Sicherheitsaspekt ist einer der wichtigsten Vorteile von OpenVPN.
• 

  Quelloffen. Der quelloffene Code von OpenVPN bringt eine Vielzahl von Vorteilen. Einer der wichtigsten ist die dadurch entstehende Transparenz. Dabei kann jeder den Code auf verborgene Backdoors, Schwachstellen oder andere Bugs überprüfen, die die Sicherheit des VPN-Protokolls beeinträchtigen könnten.
• 

  Vielseitig. Aufgrund des quelloffenen Charakters von OpenVPN kann es sowohl mit TCP- als auch an UDP-Ports verwendet werden. Es unterstützt eine Vielzahl von starken Verschlüsselungsalgorithmen und -verschlüsselungen. Zudem funktioniert es mit gängigen Betriebssystemen wie Windows, macOS, Linux, Solaris, OpenBSD, Android und vielen mehr.
• 

  Firewalls umgehen. Die Firewall-Kompatibilität ist kein Problem bei der Verwendung von NordVPN, aber es kann durchaus eins sein, wenn du dein eigenes VPN einrichtest. Mit OpenVPN kannst du die meisten aber umgehen.

Hier die wichtigsten Nachteile von OpenVPN:

• 

  Komplexe Konfiguration. Die Einrichtung von OpenVPN kann komplex sein, vor allem für Nutzer mit begrenzten Netzwerkkenntnissen. Die Konfiguration von Sicherheitsparametern und die Verwaltung von Zertifikaten erfordert mitunter Fachwissen.
• 

  Langsamer als andere Protokolle. Aufgrund der Komplexität ist OpenVPN langsamer als andere Protokolle mit weniger Codezeilen, wie zum Beispiel WireGuard.
• 

  Ressourcenintensiv. Im Vergleich zu einfacheren Protokollen kann OpenVPN ressourcenintensiver sein, was die Leistung von weniger leistungsfähigen Geräten beeinträchtigen kann.

Zusammenfassend findest du hier nochmal die wichtigsten Vor- und Nachteile von OpenVPN:

OpenVPN ist eines der sichersten VPN-Protokolle. Es verwendet SSL/TLS, um die Datensicherheit zu gewährleisten, und hat Zugriff auf die OpenSSL-Bibliothek für weitere Anpassungen, einschließlich zusätzlicher Sicherheitsfunktionen.

Das OpenVPN-Protokoll beinhaltet Perfect Forward Secrecy, was bedeutet, dass selbst im Falle eines Datenverlusts nicht alle Daten gefährdet sind. Außerdem ist es möglich, OpenVPN sowohl mit TCP- als auch mit UDP-Protokollen zu nutzen, sodass du auf TCP umschalten kannst, wenn du Wert auf Sicherheit legst (und auf UDP, wenn du schnelle Geschwindigkeiten brauchst).

OpenVPN ist außerdem ein Open-Source-Protokoll, sein Code ist also transparent. Quasi jeder kann nach Fehlern suchen und Korrekturen vorschlagen. Das macht es für Hacker aber auch Sicherheits-Experten einfacher, Schwachstellen zu finden.

Es unterstützt verschiedene kryptografische Algorithmen und Einstellungen. Die Wahl der Verschlüsselungsalgorithmen und Schlüssellängen hat also auch Auswirkungen auf die OpenVPN-Sicherheit. Deshalb ist die richtige OpenVPN-Implementierung entscheidend und die Wahl eines VPN-Dienstes und -Clients genauso wichtig wie die Wahl deines bevorzugten sicheren VPN-Protokolls.

OpenVPN ist eines der am weitesten verbreiteten VPN-Protokolle. WireGuard ist aber mit seinen rund 4.000 Codezeilen einfacher zu implementieren und zu überprüfen. Wenn du das mit OpenVPNs 600.000 Zeilen vergleichst, siehst du, warum WireGuard hier im Vorteil ist.

WireGuard ist außerdem schneller als OpenVPN. Erstens nutzt WireGuard die UDP-Transportschicht, um Daten zu übertragen, während OpenVPN (obwohl es UDP-kompatibel ist) in der Regel auf einen langsameren TCP-Prozess setzt. Wie bereits erwähnt, verwendet WireGuard außerdem kürzere Verschlüsselungsschlüssel, was die Geschwindigkeit weiter erhöht.

Ein VPN ist ein Dienst, der deine Internetverbindung schützt, und OpenVPN ist eines der Tunnelprotokolle, die VPN-Dienste dabei unterstützen.

Jeder kann den OpenVPN-Client verwenden, um seine VPN-Verbindung einzurichten. Die meisten VPN-Anbieter integrieren das OpenVPN-Protokoll in ihre Software. Während sich OpenVPN jedoch auf ein Tunneling-Protokoll bezieht, kann ein VPN-Anbieter mehrere VPN-Protokolle anbieten, wie WireGuard® und IKEv2/IPsec.