Wie sich Ihr Handy mit OpenVPN absichern lässt

12.07.2016 | Petra Alm

Mit der Änderung der Rechtslage im Zusammenhang mit der Störerhaftung können wir eine Blütezeit von öffentlichen Hotspots erwarten. Die Verbindung außerhalb von vertrauenswürdigen Netzwerken ist jedoch riskant und deshalb ist es nur ratsam, den Datenverkehr auf unserem Handy abzusichern. Dazu müssen wir einen verschlüsselten Tunnel zu einem Router oder Server etablieren und die Kommunikation über ihn leiten. Wie sich die abgesicherte Verbindung aufbauen lässt zeigen wir uns in der folgenden Anleitung, die für jedes Handy anwendbar ist. Der verschlüsselte Datenaustausch wird sich für Sie bestimmt auch auf Ihren Sommerreisen lohnen!

Warum ist VPN empfehlenswert und wie funktioniert es?

Falls Sie mit Ihrem Handy auf öffentlichen Hotspots online gehen, kann die Kommunikation sehr einfach abgehört werden. Die Störerhaftung als Teil des Telemediengesetzes war ja doch nicht fehl am Platz – die Verbindung im selben WLAN allein ermöglicht, die Datensätze im Umkreis sehr einfach, auch ohne spezielle Tools oder Kenntnisse, mitzulesen. Der Tunnel wird Sie aber auch vor Experten, wie z. B. vor Agenturen mit drei Buchstaben - wie der NSA - schützen.

Das Prinzip von VPN besteht darin, dass die Daten zwischen dem Ausgangspunkt und Endgerät durch einen Tunnel strömen. Wo die Informationen „physisch“  fließen ist nicht relevant, denn zwischen den zwei Gegenstellen sind sie verschlüsselt. Aus einem Caféhaus oder anderem öffentlichen Ort können Sie somit verschlüsselt auf Ihren Server zugreifen und von ihm aus mit der Gewissheit surfen, dass die Kommunikation abgesichert ist und dass sie von niemandem belauscht oder geändert werden kann.

Voraussetzungen

In dieser Anleitung bauen wir einen Tunnel zwischen einem Handy und Server (Router) auf, auf dem OpenVPN läuft und die Verschlüsselung mit SSL/TLS realisiert wird. Das Ende des Tunnels kann sich in einem Datenzentrum befinden, das ausreichend abgesichert ist, oder bei Ihnen zu Hause (als Router).

Die Serverkonfiguration werden Sie wahrscheinlich Ihrem Administrator überlassen. In diesem Fall brauchen Sie mit VPN nur Ihr Handy auszurüsten.

Falls Sie Ihren Server selbst verwalten, oder Sie sich einfach für das Thema interessieren, überspringen Sie den folgenden Teil unserer Anleitung und kehren Sie zu ihm erst später zurück – die Konfiguration werden wir erst am Ende des Artikels erklären, als Nachschlag für interessierte Leser.

Einstellung vom Handy

Für den Aufbau des verschlüsselten Tunnels auf Ihrem Handy brauchen Sie die App OpenVPN. Suchen Sie sie also in dem Store aus und laden Sie sie herunter. Jetzt kommt das Wichtigste: Der eigentliche VPN-Tunnel wird nicht in der App eingestellt. In das Handy muss nämlich eine Konfigurationsdatei mit der Endung .opvn eingespielt werden, die in der App nachfolgend geöffnet wird. Falls Sie ein iPhone besitzen, können Sie die Datei im Gerät über iTunes speichern. Und es geht noch einfacher: Die .opvn können Sie sich per Mail senden und nachfolgend auf dem Handy herunterladen. Bei Androids brauchen Sie dann nur in der App mehr anzuklicken, Import und Import Profile from SD card. Die Anwendung wird Ihnen die zur Verfügung stehenden Dateien anzeigen:

Einfügung der Konfigurationsdatei in die OpenVPN-App

Die App wird die ausgewählte Konfigurationsdatei einlesen und Ihnen anbieten, den Tunnel zu aktivieren. Nach der erfolgreichen Verbindung wird Ihnen der Umfang der übertragenen Daten angezeigt:

Aktivierung des Tunnels

Die OpenVPN-App geht im Default zwar nur von einem Einstellungsprofil aus, aber Sie können auch weitere ergänzen: Dazu müssen Sie die einzelnen Konfigurationsdateien nach OpenVPN importieren und dann zwischen ihnen über die Systemeinstellungen umschalten (sowohl bei Androids als auch bei iPhones gibt es für VPN ein selbständiges Menü). Somit können Sie im Handy mehrere Einstellungen speichern.

Kontrolle der Verbindung

Sobald der Tunnel aktiviert ist, werden Sie sich nach der Verbindung im DHCP-Umfang des verbundenen Server befinden (oder von Ihrem Router, als ob Sie von zu Hause surfen würden - Sie sind hinter dem „Router“ und die öffentliche IP-Adresse muss die sein, auf der die weiteren Geräte in dem Haushalt laufen). Die  Adresse können Sie sich zum Beispiel auf der Webseite https://www.whatismyip.com/ anschauen. Nach der Ausschaltung von VPN wird sich die IP ändern, falls nicht, muss die Einstellung angepasst werden. Es ist nämlich ein Zeichen dafür, dass nicht alle Netzverbindungen umgeleitet werden.

Auf die aktivierte Absicherung wird Sie natürlich auch Ihr Handy aufmerksam machen – das Gerät wird Ihnen ein kleines VPN- Icon anzeigen. Den Verlauf der Verbindung können Sie ebenfalls direkt in der OpenVPN-App überprüfen; bei Androids durch Tap for more detail oder durch mehr - Show log file.

Kontrolle der verschlüsselten Verbindung

Wir gratulieren Ihnen, nun ist die Strecke von Ihrem Handy zu dem Server abgesichert und Sie können gefahrlos surfen! Sowohl Webseiten als auch E-Mails werden verschlüsselt auf den Server übertragen und von ihm aus weiter in das Internet.

Einstellung vom Server - Erstellung der Konfigurationsdatei

Für die Mutigen, die sich die Konfigurationsdatei selbst erstellen möchten, haben wir die folgenden Zeilen bereitet. Die Voraussetzung ist, dass Ihr Router OpenWRT unterstützt. Sollten Sie über diesen Routertyp nicht verfügen (eine Liste finden Sie hier), können Sie natürlich auch einen Linux-basierten virtuellen Server verwenden.

VPN wird mithilfe der Konfigurationsdatei OpenVPN eingerichtet. Dank ihr ist die Einstellung einfach und schnell – vor allem im Vergleich mit der Verwaltung in einer grafischen Schnittstelle.

Verbinden Sie sich bei dem Server/Router über SSH, installieren Sie das Paket OpenVPN, generieren Sie die Zertifikate und passen Sie die Konfigurationsdatei an.

Verbindung zum Server

ssh root@192.168.1.1

Installieren Sie die notwendigen Pakete:

opkg update
opkg install openvpn-openssl openvpn-easy-rsa

Generierung von Zertifikaten

Der größte Zeitaufwand ist bei der Einstellung von OpenVPN mit der Erstellung von Zertifikaten für Server und Clients verbunden – jeder von ihnen sollte ein eigenes Zertifikat haben.

Generieren Sie die DH-Parameter und Zertifikate. Bei den Zertifikaten werden Sie um ihre Details ersucht, was Sie richtig an die Erstellung des CSR-Codes erinnern kann. Die Generierung von DH-Parametren  kann auch bei einem leistungsfähigen Router mehrere Minuten dauern – das ist jedoch kein Grund für Panik, schalten Sie das Terminal mit SSH auf keinen Fall ab.

build-ca
build-dh
build-key-server server
build-key client

Übertragen Sie die Zertifikate:

cd /etc/easy-rsa/keys
cp ca.crt ca.key dh1024.pem server.crt server.key /etc/openvpn

Nachfolgend müssen Sie die Zertifikate lokal speichern; Sie können sie herunterladen (zum Beispiel über FileZilla) oder sie sich in dem Terminal anzeigen lassen (nano /etc/openvpn/ca.crt usw.) und mit Ctrl+C und V speichern. Sie werden ein CA-Zertifikat benötigen, ein Clientzertifikat und seinen privaten Schlüssel.

Konfigurationsdatei des Servers

Die Datei mit der Konfiguration befindet sich in jedem System natürlich woanders. Da sie ziemlich umfangreich ist, suchen Sie nach konkreten Angaben, die geändert werden sollen. Wir empfehlen Ihnen, den Inhalt Schritt für Schritt anzupassen und die unbekannten Teile nicht zu ändern.

Die Konfigurationsdatei öffnen Sie mit dem Befehl nano /etc/config/openvpn und nachfolgend passen Sie die einzelnen Teile an.

Nun speichern Sie die Konfiguration. Sie wird nach der Bestätigung und dem Neustart des Dienstes aktiviert, die Sie in weiteren Schritten durchführen werden.

Anpassung von Firewall und der Netzwerk-Schnittstelle

Sie müssen ebenfalls die Konfiguration der Firewall umgestalten und den Port 1194 öffnen. Alles führen Sie wieder direkt in den Konfigurationsdateien aus.

Öffnen Sie die Konfiguration der Firewall:

nano /etc/config/firewall und in die Lan-Zone ergänzen Sie die Zeile list network ‘vpn’:

config zone option name 'lan'
list network 'lan'
list network 'vpn'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'

Am Ende der Konfiguration schreiben Sie noch die Regel für den Port 1194 ein:

config rule
option name 'OpenVPN'
option src 'wan'
option proto 'udp'
option dest_port '1194'
option target 'ACCEPT'

In der Datei der Netzwerk-Einstellung muss noch die VPN-Schnittstelle ergänzt werden:

nano /etc/config/network
config interface 'vpn'
option ifname 'tun0'
option proto 'static'
option ipaddr '10.8.0.1'
option netmask '255.255.255.0'

Nun können Sie alle Dienste neustarten und das OpenVPN wird aktiviert.

/etc/init.d/network restart
/etc/init.d/firewall restart
/etc/init.d/openvpn enable
/etc/init.d/openvpn start

Jetzt ist die einfache Vorbereitung der mobile App an der Reihe, die wir oben beschrieben haben – die Datei .opvn brauchen Sie nur in das Handy zu übertragen, per Mail oder iTunes.

Hier können Sie auch unsere Datei herunterladen – die Beispiel-IP-Adresse müssen Sie natürlich durch die öffentliche Adresse des Servers/Routers ersetzen und die auf Ihrem Server generierten Zertifikate verwenden.

Die Zertifikate speichern Sie lokal (Sie können zum Beispiel SSH verwenden) und fügen Sie sie in die markierten Stellen in der .opvn Datei ein.

Weitere Informationen:

OpenVPN Wiki, OpenVPN Setup Guide for Beginners.


Petra Alm
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de