Skip to main content

HowTo: Einrichtung eines VPN-Zugangs

In diesem kleinen HowTo wird beschrieben, wie man ein OpenVPN-Zugang auf dem Schulrouter Plus 3 einrichten kann und was beim OpenVPN-Client zu beachten ist.

Zusätzliche/ Erweiterte Einstellungen entnehmen Sie bitte dem Handbuch.

Handbuch-Link: https://hallo-support.scrollhelp.site/SP/10.1-OpenVPN-Server.52921372.html

Zertifikat

Auf dem Schulrouter Plus sollte bereits ein gültiges Zertifikat für den VPN-Server erstellt sein. Ist dem nicht so oder möchte man einfach ein neues Zertifikat erstellen, dann kann man wie folgt vorgehen.

VPN > Zertifikate > Zertifizierungsstellen

Entfernen Sie alle nicht benötigten Zertifizierungsstellen, in dem Sie auf das “Mülleimersymbol” der entsprechenden Zertifizierungsastelle klicken.

Klicken Sie auf Generate new root/host certificates, um eine neue Zertifizierungsstelle zu erstellen.

Füllen Sie nun die Felder System hostname or IP address *, Name des Unternehmen *, Land *, Gültigkeitsdauer (Tage) aus und klicken auf create. Alle anderen Felder sind optional.

Ein Beispiel sehen Sie in folgendem Screenshot:

Wenn die Zertifizierungsstelle erfolgreich erstellt wurde, dann sieht es wie folgt aus:

Ein entsprechendes Zertifikat wird automatisch mit erstellt:

VPN-Server einrichten (VPN > OpenVPN Server > Serverkonfiguration)

Grundkonfiguration

Standardmäßig ist der OpenVPN-Server deaktiviert.

Klicken Sie auf Aktiviere OpenVPN Server

Nun wählen Sie bei Zertifikat: Konfiguration * die Option Ein vorhandenes Zertifikat verwenden und wählen ihr Zertifikat aus. Wenn nur ein Zertifikat vorhanden ist, dann ist es automatisch ausgewählt.

Klicken Sie anschließend auf Speichern und dann auf Übernehmen, um die Änderung zu übernehmen.

OpenVPN-Server-Instanz hinzufügen

Klicken Sie nun auf OpenVPN-Server-Instanz hinzufügen.

Füllen Sie nun Name *, Port *, Gerätetyp, Protokoll, Bridge zu, Startadresse des dynamischen IP Pool und Endadresse des dynamischen IP Pool aus und klicken auf Hinzufügen und anschließend auf Übernehmen.

Startadresse des dynamischen IP Pool und Endadresse des dynamischen IP Pool müssen zum gebridgten Netzwerk (im Beispiel “GRÜN”) gehören. Beachten Sie, dass für diesen Bereich über den DHCP-Server keine IPs vergeben werden dürfen.

Beispiel:

Nach dem speichern:

Sie können die OpenVPN-Server-Instanz für mehrere Benutzer verwenden. Sie müssen also nur entsprechend viele Benutzer erstellen.

Authentifizierung (Benutzer für die OpenVPN-Verbindung erstellen)

Unter VPN > Authentifizierung > Benutzer können Sie Benutzer für die OpenVPN-Verbindung erstellen. Hierzu klicken Sie auf Neuen Benutzer hinzufügen . Geben Sie mindestens Benutzernamen, Passwort und Passwort bestätigen an und klicken auf Hinzufügen.

OpenVPN-Client

Generell kann jeder OpenVPN-Client verwendet werden. Da es unterschiedliche Clients gibt, kann hier keine generelle Anleitung für die Konfiguration eines OpenVPN-Clients erfolgen.

Im wesentlichen werden für den Client aber zwei Dateien benötigt:

  1. Konfigurationsdatei (config.ovpn)

  2. Zertifikat (cacert.pem)

Konfigurationsdatei

Die Konfigurationsdatei des OpenVPN-Clients sollte so aussehen:

CODE 
client

dev tap
proto udp

remote 127.0.0.1 1194 udp

resolv-retry infinite
nobind
persist-key

ca cacert.pem

auth-user-pass
comp-lzo
verb 3

auth-retry interact

Anstelle von 127.0.0.1 tragen Sie die externe IP oder die Domain/ DynDNS-Domain Ihrer Schule ein.

Zertifikat

Nach der Beispielkonfiguration liegt das Zertifikat (cacert.pem) im gleichen Verzeichnis wie die Konfiguration. Sie können das Zertifikat vom Schulrouter Plus aus in diesen Ordner herunterladen. Klicken Sie hierzu einfach auf Zertifikat herunterladen

Beachten Sie, dass das Zertifikat den gleichen Namen hat, wie in der Konfigurationsdatei beschrieben (im Beispiel cacert.pem).

Firewall

Die Firewall “VPN Datenverkehr” ist standardmäßig abgeschaltet. Wenn Sie Ein Einschränkungen beim VPN-Zugriff vornehmen wollen, so erhalten Sie Informationen im Schulrouter Plus Hanbuch.

Handbuch-Link: https://hallo-support.scrollhelp.site/SP/8.4-VPN-Datenverkehr.106759520.html

Hinweise/ Tipps

Verwendung von DSL-Routern

Wenn Sie einen DSL-Router vor dem Schulrouter Plus einsetzen, dann ist es erforderlich, dass Sie eine Portweiterleitung einrichten für die OpenVPN-Verbindung. Im beschriebenen Beispiel wird der UDP-Port 1194 verwendet. Dieser muss weitergeleitet werden an den Schulrouter Plus.

Verteilung der OpenVPN-Clients an Lehrer oder Administratoren bzw. IT-Kontakte

Eine einfache Methode ist das Erstellen eines portablen OpenVPN-Clients. Die portable Software kann man im Internet herunterladen. Als nächstes legt man Konfiguration und Zertifikat in der portablen Software an der richtigen Stelle ab. Ist der OpenVPN-Client getestet, so kann man die portable Software zusammen mit den beiden Dateien über ein Packprogramm packen und die gepackte Datei an die Benutzer weitergeben.

Vorsicht dynamische IPs!

Wenn der Internetanschluss der Schule keine feste/ öffentliche IP besitzt, dann macht es wenig Sinn diese IP in die Konfigurationsdatei einzutragen. Hierzu empfehlen wir die Verwendung von DynDNS-Domains (Wiki: Dynamisches DNS – Wikipedia)

Der Schulrouter Plus unterstützt verschiedene DynDNS-Dienste (siehe Screenshot).

Zum Einrichten von DynDNS empfehlen wird das Schulrouter Plus Handbuch.

Handbuch-Link: https://hallo-support.scrollhelp.site/SP/7.2-Dynamischer-DNS.106758248.html

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close