Schritt-für-Schritt-Anleitung zur Einrichtung eines VPNs auf Ihrem Router mit OpenVPN

  • Vorteile, Nachteile und wichtige Voraussetzungen für die Einrichtung von OpenVPN auf einem Heim- oder professionellen Router.
  • Praktische Anleitungen zur Konfiguration von OpenVPN auf Routern von TP-Link, ASUS und Omada.
  • Empfehlungen zur Verschlüsselung, erweiterte Sicherheitsmaßnahmen und Behebung häufiger Verbindungsfehler.
  • Alternativen zu OpenVPN und Tipps zur Auswahl des am besten geeigneten VPNs und der passenden Ausrüstung für jedes Szenario.
Daniel Terrasa

14 Minuten

Router mit OpenVPN-Server konfiguriert

Konfigurieren Sie ein VPN direkt auf dem Router mithilfe von OpenVPN. Es ist eine der leistungsstärksten und flexibelsten Methoden, Ihr gesamtes Heim- oder Firmennetzwerk zu schützen, ohne auf jedem Gerät Apps installieren zu müssen. Bei korrekter Einrichtung greift jedes Gerät, das sich per WLAN oder Kabel mit Ihrem Netzwerk verbindet, über einen verschlüsselten Tunnel auf das Internet zu, als befände es sich in einem separaten Netzwerk.

Dieser Leitfaden sammelt, ordnet und erweitert technische Informationen von Herstellern wie TP-Link, ASUS, Omada und der offiziellen OpenVPN-Dokumentation, sodass Sie alles Notwendige in einem Artikel finden: Was ist OpenVPN? OpenVPNWas Sie durch die Nutzung gewinnen und verlieren, wie Sie es auf Routern und Servern einrichten, wie Sie sich vom PC und Mobilgerät aus verbinden und wie Sie die häufigsten Fehler beheben.

Was ist OpenVPN und warum sollte man es auf dem Router verwenden?

OpenVPN ist ein Open-Source-VPN-Software Es erstellt einen verschlüsselten „Tunnel“ zwischen einem Client (Laptop, Mobiltelefon usw.) und einem Server (Router, Linux-Server, NAS usw.). Es funktioniert über SSL/TLS und ermöglicht die Verwendung digitaler Zertifikate, Schlüssel, Benutzernamen und Passwörter sowie einer Vielzahl moderner Verschlüsselungsalgorithmen.

Einer seiner größten Vorteile gegenüber anderen Protokollen wie IPsec ist, dass es einfacher einzurichtenDarüber hinaus ist es auf praktisch jedem Betriebssystem verfügbar (Windows, macOS, GNU/Linux, Android, iOS, Router, Firewalls, NAS…).

Wenn Sie OpenVPN auf dem Router installieren und aktivieren, Der Router selbst fungiert als VPN-Server. Ihr lokales Netzwerk wird zur „sicheren Seite“, und entfernte Geräte (VPN-Clients) verbinden sich von außerhalb Ihres Heim- oder Büronetzwerks über das Internet – stets verschlüsselt. Der Router fungiert als Gateway zwischen dem VPN und Ihrem LAN.

Das Ergebnis ist, dass Sie können Sicher surfen in öffentlichen WLAN-NetzwerkenGreifen Sie auf Ihre internen Ressourcen (NAS, Drucker, IP-Kameras, SMB/FTP-Server usw.) zu, als wären Sie zu Hause, und verbergen Sie außerdem Ihre echte IP-Adresse oder umgehen Sie geografische Sperren, je nachdem, wie Sie die Konfiguration einrichten.

openvpn

Vor- und Nachteile der Nutzung eines VPN und OpenVPN

Die Einrichtung eines VPNs auf dem Router mit OpenVPN hat viele praktische VorteileEs gibt jedoch auch einige Nachteile, die Sie vorab kennen sollten, damit Sie die richtige Ausrüstung, den passenden Internetanbieter und die geeignete Installationsmethode auswählen können. Hier ist die Liste:

  • Möglichkeit, Ihre IP-Adresse zu ändern oder zu verbergen.
  • Verschlüsseln Sie den Datenverkehr, um zu verhindern, dass er ausspioniert wird (besonders nützlich in offenen WLAN-Netzen).
  • Zugriff auf länderspezifische Inhalte beschränkt.
  • Surfen Sie mit einem deutlich höheren Maß an Anonymität.

Im Abschnitt „Datenschutz“ Das VPN verhindert, dass jemand es so einfach sehen kann. Die von Ihnen besuchten Websites und die Standorte, von denen aus Sie sich verbinden, werden nicht verfolgt, obwohl Ihr Internetanbieter stets einen gewissen Einblick hat. Dennoch ist es äußerst schwierig, Sie über Sniffer, ungesicherte Zugangspunkte oder gemeinsam genutzte Netzwerke zu verfolgen.

Im Gegenzug, Verschlüsselung und Routing über den VPN-Server verbrauchen Ressourcen. Sie reduzieren außerdem häufig die Geschwindigkeit und die verfügbare Bandbreite, insbesondere wenn Ihr Router leistungsschwach ist oder Sie kostenlose Dienste nutzen. Darüber hinaus ist ein gutes Antivirenprogramm weiterhin unerlässlich, und Sie sollten beim Herunterladen von Software vorsichtig sein, da ein VPN Sie nicht vor Schadsoftware schützt.

Ihre Stärken Sie bieten Sicherheit, Stabilität, vielfältige Anpassungsmöglichkeiten (Layer 2 oder 3, TUN- oder TAP-Tunnel, dynamische IP ohne Probleme, NAT-Kompatibilität…) und eine hervorragende Kontrolle über Firewall-Regeln und Boot-Skripte. Allerdings erfordert dies ein gutes Verständnis der Konfiguration, insbesondere wenn Sie Algorithmen und Zertifikate anpassen möchten.

Voraussetzungen und wichtige Überlegungen (CG-NAT, öffentliche IP-Adresse und dynamisches DNS)

Bevor Sie OpenVPN auf dem Router aktivieren, müssen Sie einige Dinge überprüfen. Schlüsselpunkte:

  • Wenn Ihr Router einen OpenVPN-Server unterstützt.
  • Stellen Sie sicher, dass Ihre Internetverbindung über eine öffentliche IP-Adresse verfügt.
  • Wenn Sie dynamisches DNS verwenden müssen.

Viele Router der Mittel- und Oberklasse von TP-Link, ASUS oder Omada verfügen bereits über einen integrierten OpenVPN-Server, allerdings nicht bei allen Modellen und auch nicht in allen Firmware-Versionen. Es empfiehlt sich daher… Überprüfen Sie die Spezifikationen Ihres Modells. und aktualisieren Sie gegebenenfalls die Firmware auf die neueste vom Hersteller angebotene Version.

Die wichtigste Voraussetzung ist Der Router muss eine öffentliche IP-Adresse im WAN-Netzwerk haben.Wenn Ihr Internetanbieter CG-NAT verwendet und Ihnen eine gemeinsam genutzte private IP-Adresse zuweist (üblich bei 4G/5G-Verbindungen oder bestimmten Anbietern), können Sie keine Ports aus dem Internet an Ihren Router weiterleiten, sodass das VPN von außerhalb nicht erreichbar ist. In diesem Fall müssen Sie bei Ihrem Internetanbieter eine statische oder öffentliche IP-Adresse anfordern.

Es ist sehr praktisch, den Router anhand seines Namens und nicht anhand seiner numerischen IP-Adresse lokalisieren zu können. Aktivieren Sie einen dynamischen DNS-Dienst auf dem Router selbst (z. B. NO-IP, DynDNS, der herstellereigene Dienst usw.). So können Sie sich mit mydomain.no-ip.org verbinden, anstatt sich Ihre öffentliche IP-Adresse zu merken, die sich ändern kann.

Zusätzlich Es wird empfohlen, die Systemzeit des Routers ordnungsgemäß mit der Internetzeit zu synchronisieren.Dies liegt daran, dass digitale Zertifikate und TLS-Funktionen auf korrekten Datums- und Zeitangaben basieren. Eine Abweichung kann zu ungewöhnlichen Zertifikatsvalidierungsfehlern führen.

openvpn

Wie OpenVPN auf technischer Ebene funktioniert und welche Modi es bietet (TUN/TAP, UDP/TCP)

OpenVPN kann funktionieren im TUN- oder TAP-Modusund entweder UDP oder TCP als Transportprotokoll zu verwenden. Jede Wahl beeinflusst die Leistung, die Kompatibilität und die Art des zwischen Client und Server erstellten Netzwerks.

  • Der TUN-Modus emuliert eine Punkt-zu-Punkt-Schnittstelle Es funktioniert ausschließlich mit IP-Verkehr. Es eignet sich ideal zum Erstellen eines neuen virtuellen Subnetzes (z. B. 10.8.0.0/24), in dem sich VPN-Clients getrennt vom physischen LAN befinden. Es ist die gängigste Methode für den Fernzugriff und bietet in der Regel eine bessere Leistung.
  • Der TAP-Modus simuliert eine Layer-2-Ethernet-Schnittstelle.Dabei werden Ethernet-Frames direkt gekapselt. Dies ermöglicht es entfernten Geräten, sich im selben Subnetz wie das LAN zu befinden, was nützlich ist, wenn VPN-Clients für den lokalen Switch wie „angeschlossen“ erscheinen sollen. Allerdings kann dies bei überlappenden Netzwerkbereichen zu Problemen führen und ist im Allgemeinen weniger effizient.

Bezüglich des Protokolls UDP wird gegenüber TCP empfohlen. Für den VPN-Tunnel ist TCP vorzuziehen, da es unnötige interne Neuübertragungen vermeidet und Paketverlusten sowie Denial-of-Service-Angriffen besser standhält. TCP ist zwar auch möglich, verursacht aber mehr Overhead und redundante Sitzungssteuerung.

In der Praxis werden die meisten Konfigurationen empfohlen Sie verwenden TUN über UDP, mit einem dedizierten virtuellen Subnetz für das VPN und spezifischen Routen, um auf das LAN zuzugreifen oder den gesamten Internetverkehr durch den Tunnel zu leiten.

Verschlüsselung, Zertifikate und erweiterte Sicherheit in OpenVPN

Eine der Stärken von OpenVPN ist, dass es Ihnen ermöglicht, die symmetrischen, asymmetrischen und Hash-Verschlüsselungsalgorithmen sowie die TLS-Version und verschiedene zusätzliche Maßnahmen gegen Denial-of-Service-Angriffe mit erheblicher Präzision auszuwählen.

Für Public-Key-Infrastruktur (PKI)Es ist üblich, Zertifikate auf Basis elliptischer Kurven (EC) anstelle des klassischen RSA-Standards zu verwenden. Beispielsweise kann Easy-RSA 3 so konfiguriert werden, dass es die Zertifizierungsstelle (CA), das Serverzertifikat und die Clientzertifikate mithilfe der secp521r1-Kurve generiert und mit SHA512 signiert. Dies führt zu hochsicheren und relativ kleinen Schlüsseln.

Bei der Kontrollkanal (TLS-Aushandlung)OpenVPN unterstützt mindestens TLS 1.2 und in neueren Versionen auch TLS 1.3. Starke Verschlüsselungssuiten mit Perfect Forward Secrecy werden empfohlen, wie z. B. TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384 oder die neueren Varianten TLS_AES_256_GCM_SHA384 und TLS_CHACHA20_POLY1305_SHA256 für TLS 1.3. Überprüfen Sie immer mit dem Befehl `openvpn --show-tls`, welche Protokolle Ihre Installation unterstützt.

Für Datenkanal (echter VPN-Verkehr)Die empfohlenen Verschlüsselungsverfahren sind AES-256-GCM oder AES-128-GCM, die die Authentifizierung (AEAD) integrieren und somit einen separaten Hash überflüssig machen. Falls Ihr Prozessor die AES-NI-Beschleunigung nicht unterstützt, bietet das CHACHA20-POLY1305-Verfahren in der Regel eine bessere Leistung und wird ab OpenVPN 2.5 unterstützt.

Eine weitere wichtige zusätzliche Ebene ist die Verwendung eines zusätzlichen HMAC-Schlüssels Mit tls-crypt (oder tls-auth in älteren Versionen), das die Anfangsphase der Verbindung vor UDP-Port-Flooding, SYN-Angriffen und Scans schützt, wird auch der vorab vereinbarte Schlüssel selbst verborgen. Bei der ersten Version müssen alle Clients denselben Schlüssel verwenden, während bei tls-crypt-v2 jeder Client einen eigenen Schlüssel haben kann.

openvpn

PKI-Erstellung mit Easy-RSA und Zertifikatsorganisation

Wenn Sie ein/e einrichten „reiner“ OpenVPN-Server unter GNU/Linux oder ähnlichemÜblicherweise erstellt man seine eigenen Zertifikate mit Easy-RSA 3, indem man die Variablendatei anpasst, um festzulegen, ob man RSA oder EC verwendet, den Hash, die Kurve, das Ablaufdatum der Zertifizierungsstelle und der Zertifikate usw.

Nachdem Sie vars.example nach vars kopiert und bearbeitet haben, können Sie den cn_only-Modus wählen, um DNs zu vereinfachen, EASYRSA_ALGO ec aktivieren, die secp521r1-Kurve auswählen, die Gültigkeitsdauer konfigurieren (z. B. 10 Jahre für die CA und 1080 Tage für Zertifikate) und EASYRSA_DIGEST auf sha512 setzen.

Sobald diese Datei fertig ist, initialisieren Sie die PKI mit ./easyrsa init-pkiSie erstellen die Zertifizierungsstelle mit ./easyrsa build-ca (mit oder ohne Passwort für den privaten Schlüssel) und generieren anschließend eine Zertifikatsanforderung für den Server und so viele für Clients, wie Sie benötigen, und signieren diese dann als Server bzw. Client.

Zum jetzigen Zeitpunkt ist es dringend zu empfehlen. Dateien organisieren in durchsichtigen Ordnern:

  • Eine für den Server (ca.crt, server.crt, server.key, ta.key und optional dh.pem, falls Sie ECDHE nicht verwenden).
  • Für jeden Client gibt es eine Datei (ca.crt, clientX.crt, clientX.key und ta.key).

So vermeiden Sie, Schlüssel und Zertifikate zu verwechseln.

Zusätzlich zu Zertifikaten ermöglicht OpenVPN die Verwendung von zusätzliche Authentifizierung durch Benutzername/Passwort, entweder gegen das System selbst oder gegen einen RADIUS-Server oder eine andere Datenbank, wodurch die Sicherheit gegen Zertifikatsdiebstahl verstärkt wird.

OpenVPN-Clients auf PCs, Mobilgeräten und Routern konfigurieren

Der nächste Schritt ist Remote-Clients konfigurierenDabei kann es sich um Windows- oder Linux-Computer, Android-/iOS-Mobilgeräte, andere Router oder sogar um Geräte handeln, die über einen Controller wie Omada verbunden werden.

Bei einem klassischer Desktop-ClientDie Datei client.ovpn enthält Direktiven wie client, dev tun, proto udp, die Remote-Zeile mit der öffentlichen IP-Adresse oder Domain des Routers und dem gewählten Port, resolv-retry infinite, nobind und den Pfad zu ca.crt, dem eigenen Zertifikat und Schlüssel des Clients, sowie tls-crypt ta.key.

Für zusätzliche Sicherheit Der Client validiert den Server Verwenden Sie mit `remote-cert-tls server` dieselbe Verschlüsselung und Authentifizierung wie auf dem Server und idealerweise dieselben unterstützten TLS-Suites. Es ist entscheidend, dass die Verschlüsselungen und Authentifizierungskurven übereinstimmen; andernfalls schlägt der TLS-Handshake fehl.

Auf Android können Sie die offizielle OpenVPN-App verwenden. oder fortgeschrittenere Drittanbieteranwendungen, die die neuesten Funktionen unterstützen. Normalerweise genügt es, den Ordner mit den Dateien ca.crt, cliente.crt, cliente.key, ta.key und der .ovpn-Datei in den Speicher Ihres Telefons zu kopieren und anschließend das Profil in der App selbst zu importieren.

Unter Windows wird der OpenVPN Community-Client verwendet. Normalerweise müssen Sie die .ovpn-Datei und die Zertifikate nach C:\Programme\OpenVPN\config (oder dem während der Installation angegebenen Pfad) kopieren. Klicken Sie anschließend mit der rechten Maustaste auf das OpenVPN-Symbol in der Taskleiste, wählen Sie das Profil aus und stellen Sie die Verbindung her.

TP-Link-Extender

OpenVPN auf TP-Link-Routern konfigurieren

Mehrere TP-Link-Router der neuen Generation sind mit einem integrierten OpenVPN-Server ausgestattet. in seiner fortschrittlichen Weboberfläche, die die Sache erheblich vereinfacht, da sie die Zertifikate und die .ovpn-Datei für Clients automatisch generiert.

In einem einfachen Szenario mit ein einzelner Router im NetzwerkDer Ablauf ist üblicherweise wie folgt: Man ruft die Weboberfläche auf, geht zu Erweitert > VPN-Server > OpenVPN, aktiviert den VPN-Server und klickt, falls es das erste Mal ist, auf Generieren, um das interne Zertifikat zu erstellen.

Als Nächstes wird die Wahl getroffen. Art der Dienstleistung (UDP oder TCP), der Dienstport wird zwischen 1024 und 65535 definiert, das VPN-Subnetz und die Maske werden konfiguriert und der Client-Zugriffstyp wird ausgewählt: Nur Heimnetzwerk (nur LAN 192.168.xx) oder Internet und Heimnetzwerk (der gesamte Internetverkehr wird über das VPN geleitet).

nach Konfiguration speichern und Zertifikate generieren/aktualisierenKlicken Sie auf „Exportieren“, um die OpenVPN-Konfigurationsdatei herunterzuladen, die von den Clients verwendet wird. Installieren Sie anschließend einfach den OpenVPN-Client auf Ihrem PC oder Mobilgerät, kopieren Sie die exportierte Datei in den Konfigurationsordner und stellen Sie die Verbindung her.

Wenn zwei oder mehr Router in der Heimnetzwerktopologie vorhanden sind (zum Beispiel ein ISP-Router und ein dahinterliegender TP-Link-Router), zusätzlich zur Konfiguration von OpenVPN auf dem zweiten Router müssen Sie auf dem ersten Router eine Portweiterleitung (virtueller Server) erstellen, die den externen Port auf die LAN-IP des zweiten Routers und denselben internen Port verweist, den OpenVPN verwendet.

OpenVPN auf ASUS-Routern konfigurieren

Die ASUS-Router mit ASUSWRT-Firmware Sie beinhalten auch einen OpenVPN-Server mit einer recht benutzerfreundlichen grafischen Oberfläche, obwohl sich die Bildschirme zwischen Firmware-Versionen vor und nach 3.0.0.4.388.xxxx geringfügig unterscheiden.

Der Prozess beginnt Zugriff auf die grafische Benutzeroberfläche des Routers Melden Sie sich von http://www.asusrouter.com oder Ihrer LAN-IP-Adresse mit Ihrem Administrator-Benutzernamen und -Passwort an und gehen Sie zu VPN > VPN-Server, um OpenVPN zu aktivieren.

In den allgemeinen Einstellungen Der Server-Port ist definiert (z. B. 2000 oder ein Wert zwischen 1024 und 65535), die standardmäßige RSA-Verschlüsselungslänge und wiederum, ob Clients nur auf das lokale Netzwerk oder auch über den Router auf das Internet zugreifen können sollen.

Sobald alles angewendet wurde, Die Datei client.ovpn wird exportiert Aus dem Abschnitt zum OpenVPN-Server. Diese Datei enthält bereits die erforderlichen Zertifikate, Schlüssel und Parameter. Wenn Sie die Schlüssel oder Zertifikate später ändern, müssen Sie die Datei erneut exportieren und an die Clients verteilen.

Im Abschnitt VPN-Details > Erweiterte Einstellungen Sie können Schlüssel und Zertifikate manuell bearbeiten, Parameter wie die TLS-Version oder Algorithmen anpassen und die Konfiguration an anspruchsvollere Umgebungen anpassen, ohne die Firmware zu verändern.

Konfigurieren Sie OpenVPN in Omada (TP-Link) als Server und erstellen Sie Benutzer.

In Controller-verwalteten Umgebungen Omada Sie können VPN-Richtlinien vom Typ OpenVPN Server für den Client-zu-Standort-Zugriff definieren, was ideal ist, wenn Sie die Verwaltung in einem einzigen Bedienfeld zentralisieren möchten.

Vom Controller aus greifen Sie zu Konfiguration> VPNSie klicken auf Hinzufügen, um eine neue Richtlinie zu erstellen, und geben einen Namen an (z. B. "Test"), stellen sie auf Aktiviert, wählen Client zu Standort Zweck und VPN-Typ: VPN-Server - OpenVPN.

In derselben Politik Sie entscheiden, ob Sie einen geteilten oder einen vollständigen Tunnel verwenden.Wählen Sie zwischen Split Tunnel, sodass nur der Datenverkehr zum internen Netzwerk über das VPN geleitet wird, oder Full Tunnel, sodass der gesamte Internetverkehr ebenfalls über den Server läuft. Außerdem wählen Sie das Protokoll (TCP/UDP), den Dienstport (Standard 1194), den Authentifizierungsmodus (lokal), den lokalen Netzwerktyp und den Bereich der den Clients zuzuweisenden IP-Adressen.

Nach VPN-Benutzer erstellen Sie unter Einstellungen > VPN > BenutzerDazu werden ein Benutzername und ein Passwort vergeben, das OpenVPN-Protokoll ausgewählt und der Benutzer mit dem neu erstellten VPN-Server verbunden. Anschließend verfügt jeder Benutzer über seine grundlegenden Zugangsdaten.

Schließlich wird die .ovpn-Datei aus der Richtlinienliste exportiert.Kopieren Sie die Datei auf den Client (PC, Laptop usw.), installieren Sie die OpenVPN Community-Software, legen Sie die Datei im Konfigurationsordner ab und stellen Sie die Verbindung her. Den Status können Sie auf dem Controller unter „Einblicke > VPN-Status“ überprüfen.

Aktuelle OpenVPN-Updates und verfügbare Alternativen

OpenVPN entwickelt sich mit jeder Version weiter.Es wurden Verbesserungen in den Bereichen Sicherheit, Leistung und Benutzerfreundlichkeit hinzugefügt. Zu den jüngsten Änderungen gehören tls-crypt-v2 (zur Zuweisung clientseitiger Schlüssel und zur weiteren Abschwächung von DoS-Angriffen), Unterstützung für CHACHA20-POLY1305 und eine verbesserte Aushandlung von Datenchiffren mithilfe von Datenchiffren.

Zur gleichen Zeit Die Unterstützung für veraltete Verschlüsselungsverfahren wurde eingestellt. wie beispielsweise BF-CBC in Standardkonfigurationen, was Administratoren dazu drängt, AES-GCM oder CHACHA20 zu verwenden, die in der Praxis wesentlich sicherer und schneller sind.

Auch in Unternehmen ist es üblich OpenVPN kombinieren mit Cloud-Lösungen wie Azure VPN Gateway oder mit Firewalls, die IPsec und andere Protokolle für Site-to-Site-Verbindungen integrieren, während in Heimnetzwerken ein gut konfigurierter, OpenVPN-kompatibler Router in der Regel alles Notwendige bietet.

Mit allem gesehen, Konfigurieren Sie ein VPN auf Ihrem Router mithilfe von OpenVPN. Aus etwas Mysteriösem wird ein völlig überschaubares Projekt, wenn man die Grundvoraussetzungen erfüllt (öffentliche IP-Adresse, kompatibler Router, etwas Geduld) und einer klaren Struktur folgt: Zertifikate vorbereiten oder die vom Router generierten verwenden, Server aktivieren und konfigurieren, Konfiguration für Clients exportieren und in Ruhe testen, typische Fehler beheben; im Gegenzug erhält man ein wesentlich sichereres, flexibleres Netzwerk, das sowohl für Telearbeit als auch zum Schutz aller Geräte zu Hause auf einen Schlag geeignet ist.