So richten Sie ein VPN mit OpenVPN sicher und vollständig ein

Letzte Aktualisierung: 16/10/2025
Autor: Holger
  • OpenVPN bietet starke Sicherheit mit TLS 1.2/1.3, AEAD und tls-crypt.
  • Die Wahl zwischen AES-GCM und ChaCha20 hängt von der Hardware und Leistung.
  • PKI mit Easy-RSA und Richtlinien pro Client ermöglichen Kontrolle und Widerruf.
  • DNS/IPv6-Lecktests und Routenoptimierung sorgen für eine überraschungsfreie Nutzung.

OpenVPN-Konfiguration Schritt für Schritt

Wenn Sie nach einer zuverlässigen Möglichkeit suchen, Ihre Verbindungen zu schützen oder von überall auf Ihr Netzwerk zuzugreifen, OpenVPN ist eines der sichersten und vielseitigsten Protokolle die Sie zu Hause oder in Ihrem Unternehmen implementieren können. Dieser Leitfaden hilft Ihnen von Grund auf: Was es ist, was Sie brauchen, wie Sie es einrichten in Linux, Windows und Router und wie Clients auf verschiedenen Systemen verbunden werden.

Über einfaches An- und Ausschalten hinaus, Sie erfahren, wie Sie moderne Verschlüsselung konfigurieren, typische Fehler vermeiden, auf DNS-/IPv6-Lecks testen und die Leistung optimieren.. Beinhaltet TUN- und TAP-Modi, TLS-Crypt vs. TLS-Auth, Access Server-Nutzung, Bereitstellungen auf Omada und ASUS und Tricks Schlüssel für CG-NAT, Routen und Firewalls.

Was ist ein VPN und warum OpenVPN?

VPN

Eine VPN erstellt einen verschlüsselten Tunnel zwischen Ihrem Gerät und einem Server, sodass Ihre echte IP ist verborgen und Ihre Daten werden geschützt übertragenDies ermöglicht sicheres Arbeiten aus der Ferne, Zugriff auf interne Ressourcen und die verantwortungsvolle Umgehung von Geoblocking.

OpenVPN hingegen ist freie Software und ein umfassend geprüftes Protokoll, das funktioniert unter Windows, macOS, GNU/Linux, iOS y Android, sowie in vielen RouternEs basiert auf SSL/TLS, unterstützt digitale Zertifikate und zusätzliche Authentifizierung über Benutzername und Passwort.

Vor- und Nachteile der Verwendung eines VPN

Zu den deutlichsten Vorteilen zählen Datenschutz und Sicherheit: Der Datenverkehr wird verschlüsselt, die Nachverfolgung wird minimiert und Sie können beruhigter surfen.Darüber hinaus ermöglicht es einen sicheren Fernzugriff auf interne Netzwerke, was in professionellen Umgebungen von entscheidender Bedeutung ist.

Darüber hinaus nutzen viele Menschen VPN, um auf Inhalte zugreifen, die in anderen Ländern verfügbar sind, oder auf Netzwerke zugreifen, die Sperren anwenden, wobei stets die Gesetze und Nutzungsbedingungen der jeweiligen Plattform zu beachten sind.

Auf der weniger freundlichen Seite, Die Geschwindigkeit kann durch Verschlüsselung und Paketbounce beeinträchtigt werden., insbesondere bei kostenlosen Diensten oder wenn der Algorithmus auf Hardware ohne Beschleunigung schlecht gewählt ist. Die Quelle der Apps um schädliche Software zu vermeiden.

OpenVPN-Leistung: Geschwindigkeit, Latenz und Stabilität

Mit der richtigen Einrichtung OpenVPN bietet konstante Geschwindigkeiten, gute Latenz und hohe Stabilität.Im Allgemeinen verringert die Verwendung von UDP den Overhead im Vergleich zu TCP und ist in den meisten Szenarien schneller.

  Was ist Data Carving und wie wird es zur Wiederherstellung von Dateien eingesetzt?

Auf Computern ohne AES-NI (Hardwarebeschleunigung), ChaCha20-Poly1305 ist im Allgemeinen leistungsfähiger als AES-GCMWenn Ihre CPU AES beschleunigt, probieren Sie beide aus, um eine Entscheidung zu treffen. Manchmal hat AES-GCM den Durchsatzvorteil.

Was ist der Zweck der Einrichtung von OpenVPN zu Hause oder am Arbeitsplatz?

Durch die Einrichtung eines eigenen Servers können Sie auch in öffentlichen WLANs sicher surfen. Gehen Sie online, als wären Sie zu Hause und greifen Sie auf interne Dienste zu wie Dateien, Drucker, IP-Kameras oder NAS-Server.

Natürlich benötigen Sie für Ihre Verbindung eine öffentliche IP oder eine Lösung, um Vermeiden Sie CG-NAT (Carrier-Grade NAT), da Sie ohne offene Ports keine eingehenden Verbindungen empfangen.. Verbindungen mit guten Upload-Geschwindigkeiten (z. B. 30 Mbit/s oder höher) verbessern das Erlebnis erheblich.

TUN- und TAP-Modi: Welchen wähle ich?

OpenVPN kann auf Ebene 3 (TUN) oder Ebene 2 (TAP) arbeiten. TUN erstellt einen Punkt-zu-Punkt-IP-Tunnel und ist der gängigste Modus um separate Subnetze mit weniger Overhead zu routen.

Der TAP-Modus fungiert als Ethernet-Bridge und kapselt L2-Frames, nützlich, wenn die Endpunkte im selben Subnetz sein müssen, aber es führt zu mehr Verkehr und potenziellen Konflikten, wenn sich Subnetze überschneiden.

Empfohlene Kryptografie- und TLS-Versionen

Für Zertifikate ist es heute sehr üblich, EC (elliptische Kurven) mit secp521r1 zu verwenden und SHA-512 als Hash, solange Clients und Server kompatibel und auf dem neuesten Stand sind.

Auf dem Steuerkanal (TLS), Minimieren Sie auf TLS 1.2 und aktivieren Sie TLS 1.3, falls verfügbar mit Suiten wie TLS_AES_256_GCM_SHA384 oder TLS_CHACHA20_POLY1305_SHA256. PFS über ECDHE muss vorhanden sein.

Für den Datenkanal gilt: AES-256-GCM oder CHACHA20-POLY1305 sind robuste OptionenBeide sind AEAD, sodass keine separate Authentifizierung erforderlich ist. Vermeidet veraltete Chiffren wie BF-CBC.

Stärkt die erste Verhandlungsphase mit tls-crypt (oder tls-crypt-v2, sofern zutreffend), um DoS-Angriffe zu verhindern und anfängliche Paketmetadaten zu verbergen. tls-auth bietet Legacy-Unterstützung, tls-crypt bietet jedoch HMAC-Kanalverschlüsselung.

Wichtige Vorbereitungen

Vor dem Start: Überprüfen Sie Ihre öffentliche IP, öffnen Sie den Port auf der Router und stellen Sie sicher, dass Sie nicht hinter CG-NAT sindWenn Sie keine feste IP-Adresse haben, sollten Sie DDNS in Betracht ziehen, um Ihrer dynamischen IP-Adresse eine Domäne zuzuordnen.

Bereiten Sie auf Linux-Servern Easy-RSA 3 für PKI vor und Halten Sie OpenVPN und Kryptobibliotheken auf dem neuesten StandUnter Windows installiert die OpenVPN-GUI Treiber TAP und bietet Konfigurationsbeispiele.

  Windows Defender funktioniert nicht: Ursachen und Lösungen

Installation und Konfiguration unter GNU/Linux (Debian/Ubuntu) mit Easy-RSA 3

Installieren Sie das Paket mit APT: sudo apt update && sudo apt installiere openvpn. Laden Sie dann Easy-RSA 3 herunter, entpacken Sie es und konfigurieren Sie die Vars-Datei mit den gewünschten EC-, Kurven- und Hash-Parametern.

Nützliche Beispiele: set_var EASYRSA_ALGO ec; set_var EASYRSA_CURVE secp521r1; set_var EASYRSA_DIGEST 'sha512'. Verwenden Sie den Modus „cn_only“, wenn Sie DNs lieber auf den allgemeinen Namen vereinfachen möchten.

Initialisieren Sie die PKI mit ./easyrsa init-pki, erstellen Sie Ihre Zertifizierungsstelle mit ./easyrsa build-ca (mit Passphrase für den privaten Schlüssel der CA, dringend empfohlen) und generiert Anfragen und Schlüssel für den Server und jeden Client mit ./easyrsa gen-req name.

Signieren Sie das Serverzertifikat mit ./easyrsa sign-req server Servername und denen von Klienten mit ./easyrsa sign-req client Clientname. Erstellen Sie dann den HMAC-Schlüssel mit openvpn –genkey –secret ta.key für tls-crypt.

Organisieren Sie Ordner, damit Sie nicht den Überblick verlieren: Server (ca.crt, server.crt, server.key, ta.key) und eine pro Client mit ihrem crt, key, ca und ta.key.

Beispiel für eine OpenVPN-Serverkonfiguration (Linux)

Stellen Sie den Port und das Protokoll ein (UDP empfohlen), Wählen Sie Dev Tun, definieren Sie Verschlüsselung und TLS-Verschlüsselungssuiten, ECDH-Kurve und minimale TLS-Version. Außerdem werden das virtuelle Subnetz, das zu pushende DNS und die Benutzerberechtigungen für den Daemon festgelegt.

Ein Server-Skelett (passen Sie es an Ihre Umgebung an): Verwenden Sie lokale Routen, DNS und Verschlüsselung, die von Ihren Clients unterstützt werdenDenken Sie daran, dass Sie mit der AEAD-Verschlüsselung keine separate Authentifizierung benötigen.

port 1194
proto udp
dev tun

ca ca.crt
cert servidor.crt
key servidor.key
dh none

# HMAC y ocultación del canal inicial
tls-crypt ta.key

# Cifrado y TLS (comprobar compatibilidad)
cipher AES-256-GCM
tls-ciphersuites TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
tls-version-min 1.2
ecdh-curve secp521r1
reneg-sec 0

# Topología y red virtual
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

# Rutas y DNS para clientes
push 'route 192.168.1.0 255.255.255.0'
push 'redirect-gateway def1'
push 'dhcp-option DNS 208.67.222.222'
push 'dhcp-option DNS 208.67.220.220'

client-to-client
keepalive 10 120
max-clients 100

user nobody
group nogroup
persist-key
persist-tun

status openvpn-status.log
verb 3
explicit-exit-notify 1

Beginnen Sie mit sudo openvpn server.conf und warten Sie auf die Meldung „Initialisierungssequenz abgeschlossen“. Wenn dies nicht der Fall ist, überprüfen Sie die Dateipfade und die Verschlüsselungskompatibilität.

Client-Konfiguration (Linux/Windows/macOS)

Erstellen Sie pro Client ein Profil mit denselben Verschlüsselungs- und TLS-Einstellungen wie der Server. Die wichtigsten Unterschiede sind die 'Client'-Direktive, die 'Remote'-Direktive mit IP oder Domäne und ihre Identitätsdateien.

client
dev tun
proto udp
remote ejemplo.dyndns.org 1194
resolv-retry infinite
nobind
persist-key
persist-tun

ca ca.crt
cert cliente1.crt
key cliente1.key

remote-cert-tls server
cipher AES-256-GCM
# Para TLS 1.3 si aplica
tls-ciphersuites TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256

# HMAC/ocultación
tls-crypt ta.key

verb 3

Unter Windows legen Sie die .ovpn-Datei und die Zertifikate im OpenVPN-GUI-Ordner ab (standardmäßig in „C:\\Benutzer\\IhrBenutzer\\OpenVPN\\config“) und Verbinden Sie sich über das Symbol im BenachrichtigungsbereichVerwenden Sie unter macOS OpenVPN Connect oder einen kompatiblen Client.

  Mit Gemini können Sie jetzt direkt vom Google Assistant aus Anrufe tätigen und Nachrichten senden

Routen und NAT in Ihrem Netzwerk

Um Computer im Remote-LAN vom VPN aus erreichbar zu machen, Möglicherweise ist eine statische Route auf Ihrem Router erforderlich verweist auf das Subnetz 10.8.0.0/24 mit dem OpenVPN-Server als Gateway.

Wenn Sie den gesamten Client-Verkehr über das VPN leiten möchten, Verwenden Sie „push redirect-gateway def1“ und bieten Sie DNS an zuverlässig. Verhindern Sie DNS-Lecks, indem Sie Client-Resolver und Firewalls anpassen.

Verwenden des OpenVPN Access Servers unter Linux

OpenVPN Access Server vereinfacht die Verwaltung über eine Webkonsole: Sie installieren das Paket, rufen https://IP:943/admin auf, akzeptieren die Bedingungen und aktivieren den Dienst.Sie können für jedes System Benutzer erstellen, Profile und Clients herunterladen.

Es gibt Einschränkungen in der kostenlosen Version (zum Beispiel zwei gleichzeitige Verbindungen) und erweiterte Optionen wie automatische Anmeldeprofile oder das Deaktivieren der Komprimierung, wenn diese Probleme verursacht.

Clients unter Windows, macOS, Linux, Android und iOS

Unter Windows und macOS können Sie OpenVPN Connect oder die Community-GUI verwenden. Importieren Sie das .ovpn-Profil und authentifizieren Sie sich. Installieren Sie unter Linux das OpenVPN-Paket, platzieren Sie das Profil in „/etc/openvpn“ und starten Sie den Dienst.

Auf Android und iOS ermöglicht die OpenVPN Connect App Importieren Sie das Profil über die Server-URL oder durch Hochladen der .ovpn. Stellen Sie sicher, dass Sie den richtigen Port, Benutzernamen und ggf. das richtige Passwort oder 2FA eingeben.

Konfiguration auf Routern und Controllern: ASUS und Omada

Viele ASUS-Router verfügen über einen integrierten OpenVPN-Server: Aktivieren Sie es auf der Website des Routers, wählen Sie den Port, erstellen Sie Benutzer und exportieren Sie die .ovpn. Funktioniert am besten mit öffentlicher WAN-IP und aktualisierter Firmware.

In Omada-Umgebungen können Sie eine Client-to-Site-VPN-Richtlinie einrichten: Definiert OpenVPN als Server, Port, Voll- oder Split-Tunnel, DNS und Benutzer. Exportieren Sie das .ovpn-Profil für Clients.