Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Vorwort
Leitfaden
1 Die Wurzeln von Ubuntu
2 Was ist Ubuntu?
3 Die Versionen im Detail
4 Die Möglichkeiten der beiliegenden DVDs
5 Daten aus Windows sichern
6 Die Installation
7 Erste Schritte
8 Kubuntu und Xubuntu
9 Ubuntu mobil
10 Programme und Pakete installieren
11 Internet und E-Mail
12 Office
13 Grafik und Bildbearbeitung
14 Multimedia
15 Das Terminal
16 Programmierung und Design
17 Einrichtung der grundlegenden Hardware
18 Software- und Paketverwaltung
19 Architektur
20 Backup und Sicherheit
21 Desktop-Virtualisierung
22 Server-Installation
23 Sicherheit und Monitoring
24 Netzwerke
25 Server im Heim- und Firmennetzwerk
26 Der Server im Internet
27 Server-Virtualisierung mit KVM
28 Server-Virtualisierung mit Xen
29 Hilfe
30 Befehlsreferenz
Mark Shuttleworth
Glossar
Stichwort

Download:
- ZIP, ca. 34,8 MB
Buch bestellen
Ihre Meinung?

Spacer
<< zurück
Ubuntu GNU/Linux von Marcus Fischer
Das umfassende Handbuch, aktuell zu Ubuntu 10.04 LTS "Lucid Lynx"
Buch: Ubuntu GNU/Linux

Ubuntu GNU/Linux
5., aktualisierte und erweiterte Auflage, gebunden, mit 2 DVDs
1.104 S., 39,90 Euro
Galileo Computing
ISBN 978-3-8362-1654-8
Pfeil 23 Sicherheit und Monitoring
Pfeil 23.1 Zugriff auf den Server
Pfeil 23.1.1 SSH
Pfeil 23.1.2 OpenVPN
Pfeil 23.2 Kontrolle und Überwachung mit Nagios
Pfeil 23.2.1 Installation
Pfeil 23.2.2 Konfiguration
Pfeil 23.2.3 Benachrichtigungen
Pfeil 23.2.4 Überwachung verschiedener Systeme
Pfeil 23.3 Zentrale Verwaltung mit Landscape
Pfeil 23.3.1 Verwaltung
Pfeil 23.3.2 Kontrolle

»Es ist schon lange einer meiner Grundsätze, dass die kleinsten Dinge bei weitem die wichtigsten sind.« Sir Arthur Conan Doyle (1859–1930), britischer Arzt und Kriminalautor

23 Sicherheit und Monitoring

Was Sie in diesem Kapitel erwartet

Die Verwaltung eines Servers gelingt mit den hier vorgestellten Möglichkeiten im Handumdrehen. Egal ob Sie physisch vor Ihrem Server sitzen oder sich per Fernzugriff auf dem Server anmelden wollen – Ubuntu bringt die richtigen Werkzeuge mit.

Sicherheit ist grundlegend für die Kommunikation mit einem Server. Daher wird dieses Kapitel mit einem Abschnitt zu Virtual Private Networks (VPN) und der Secure Shell (SSH) beginnen.

Im Anschluss lernen Sie dann ein effizientes Werkzeug zur automatischen Administration Ihres Servers kennen: Nagios.

Benötigtes Vorwissen

Sie sollten den grundlegenden Umgang mit der Shell beherrschen (siehe Kapitel 15, »Das Terminal«).


Galileo Computing - Zum Seitenanfang

23.1 Zugriff auf den Server Zur nächsten ÜberschriftZur vorigen Überschrift

Es gibt prinzipiell mehrere Arten, auf einen anderen Rechner zuzugreifen:

  • Sie können einen (Root-)Server aus der Ferne administrieren.
  • Sie können Launchpad mit Bazaar nutzen (zur Versionsverwaltung eines Projekts). Nähere Details hierzu finden Sie in Abschnitt 18.8.
  • Sie können sichere Verbindungen aufbauen, sei es in einem heimischen Netzwerk oder dann, wenn Sie anderen Nutzern mittels eines Remote-Desktops helfen.

Galileo Computing - Zum Seitenanfang

23.1.1 SSH Zur nächsten ÜberschriftZur vorigen Überschrift

Bevor Sie sich anschicken, Daten zwischen zwei Rechnern auszutauschen, sollten Sie versuchen, den ersten Rechner über den zweiten von der Kommandozeile aus »fernzusteuern«. Das veraltete (und unsichere, weil abhörbare) Telnet-Verfahren wurde in der Vergangenheit durch die SSH (die Secure Shell) abgelöst.

SSH überträgt im Gegensatz zu den anderen Lösungen die Login-Informationen und das Passwort verschlüsselt. Um einen SSH-Server auf einem Rechner so aufzusetzen, dass sich die Benutzer auf diesem aus der Ferne (engl. remote) einloggen können, müssen Sie auf diesem Rechner zunächst das Paket openssh-server installieren:

sudo apt-get install openssh-server

Das Paket openssh-client wurde per Default installiert. Nach der Installation des Pakets wird auf dem entsprechenden Rechner der SSH-Server gestartet. Dies erkennen Sie z. B. mit folgendem Kommando:

ps ax | grep sshd
%15009  Ss  0:00 /usr/sbin/sshd

Metapaket

Sie haben bei Ubuntu ebenfalls die Möglichkeit, ein Meta-Paket namens ssh zu installieren. Dieses Paket installiert auf einen Schlag den SSH-Client und -Server. Selbstverständlich können Sie sich auch mit anderen Rechnern verbinden, auf denen andere Linux-Distributionen installiert sind. Hierbei kann es vorkommen, dass bei diesen der SSH-Server standardmäßig bereits installiert ist.

Verbindung zum Server

Nun können Sie versuchen, sich von einem im gleichen Netz befindlichen Client auf demSSH-Server einzuloggen. Dazu öffnen Sie eine Konsole und geben das Kommando ssh <Rechnername/IP> ein. Wenn Sie zum ersten Mal versuchen, mit dem Server Kontakt aufzunehmen, müssen Sie die Verbindungsaufnahme explizit bestätigen:

ssh flitzi
The authenticity of host 'flitzi (192.168.0.103)'
can't be established. RSA key fingerprint is
02:28:76:ef:ab:43:2a:60:91:78:d9:51:16:a6:27:ef.
Are you sure you want to continue connecting
(yes/no)? yes

Authentifizierung

Schließlich müssen Sie das Passwort Ihres Accounts auf dem Server eingeben. Dazu sollten Sie auf dem Rechner eingeloggt sein. Das Ganze setzt voraus, dass ein entsprechender Account auf dem Server existiert. Wer sich unter einem anderen Login-Namen einloggen möchte, gibt den Befehl ssh <Benutzername>@<Host> ein, wobei die Platzhalter entsprechend zu ersetzen sind. Nun können Sie sich auf dem entsprechenden Rechner so bewegen, als würden Sie direkt davor sitzen. Sie können sogar Programme starten. Aber halt, werden Sie sagen, wie steht es mit grafischer Software? Man kann ja nicht sehen, was in den entsprechenden Fenstern ausgegeben wird ... In diesem Fall bietet sich ein X-Tunnel an. Sie verlassen die SSH-Shell mit der Tastenkombination Taste Strg + Taste D.

Dateien kopieren via scp

Es ist sogar möglich, Dateien zwischen zwei Rechnern zu kopieren:

scp test1.txt hatt@192.168.0.1:~

Dieser Befehl kopiert die Datei test1.txt in das Heimatverzeichnis (gekennzeichnet durch die Tilde »~«) des Benutzers hatt auf dem SSH-Server (IP: 192.168.0.1). Die Syntax für den Pfad lautet dabei Benutzer@Server:<Pfad>. Den umgekehrten Weg demonstriert der folgende Befehl:

scp hatt@192.168.0.1:~/test.txt .

Einzelne Dateien von einem Remote-Host holen

Mit dem Befehl scp -r ist es leider nicht möglich, nur bestimmte Dateien zu übertragen. Das ist auch nicht nötig, weil man mit zwei Tar-Befehlen arbeiten kann. Das tar auf dem entfernten Rechner schreibt nach stdout, und das tar auf dem lokalen Rechner liest von stdin. Um Dateien von einem Remote-Host zu holen, verwenden Sie diesen Befehl:

ssh remotehost "cd beispiel; find . -name '*.jpg' | tar -cf \
--files-from=-" | tar -xvf -

Mit dem folgenden Befehl werden Dateien zum Remote-Host kopiert. Aus dem Verzeichnis workdir wird das Verzeichnis beispieldir kopiert.

cd workdir
find beispieldir -name "*.txt" | tar -cf – --files-from=- | \
ssh remotehost tar -xvf – -C workdir

Hier wird eine Datei test2.txt vom Server in das aktuelle Verzeichnis kopiert (erkennbar an dem nachfolgenden Punkt ».« ). Die oben genannte IP-Adresse ist natürlich den entsprechenden Gegebenheiten anzupassen – in jedem Fall muss vor dem Kopiervorgang das für den Benutzer definierte Passwort eingegeben werden. Nun ist das Kopieren auf der Kommandozeile nicht jedermanns Sache, schöner wäre es, wenn man hierzu einen Dateimanager verwenden könnte. Kein Problem: Starten Sie unter GNOME den Remote-Zugriff auf einen SSH-Server über Orte · Verbindung zu Server.


IP-Adresse angeben

In dem folgenden Menü (Abbildung 23.1) definieren Sie die IP-Adresse oder den Namen des Servers (Letzteres bietet sich an, wenn der Server in Ihrer Datei /etc/hosts verzeichnet ist). Als Dienst wird SSH angegeben. Darüber hinaus können Sie außerdem ein Startverzeichnis angeben, in das direkt nach dem Einloggen gewechselt wird.

Durch die obigen Schritte wird auf dem Desktop ein kleines Icon erzeugt, das die Verbindung repräsentiert. Wenn Sie das Icon durch Anklicken öffnen, werden Sie nach Ihrem Serverpasswort gefragt, und schließlich zeigt Nautilus die entsprechenden Inhalte auf dem Server an. Nun können Sie in gewohnter Weise Daten zwischen Client und Server kopieren.

Abbildung 23.1 Mit dem Server verbinden

KDE

KDE-Nutzer können den Universalbrowser Konqueror in ähnlicher Weise einsetzen. Dazu starten Sie eine Konqueror-Instanz und geben in der Adresszeile den Servernamen bzw. dessen IP-Adresse wie folgt ein:

fish://192.168.1.8

Das Kopieren funktioniert dann, wie oben beschrieben, in Verbindung mit einem weiteren Konqueror-Fenster.

Abbildung 23.2 Der »Konqueror« bietet den Transfer über SSH frei Haus.

SSH Public Key für passwortfreies Anmelden installieren

Bisher mussten Sie sich immer am entfernten Rechner anmelden, weil der andere Rechner Sie nicht automatisch erkennen konnte. Wenn Sie sich wiederholt auf dem anderen Rechner anmelden, kostet dies viel kostbare Zeit. Des Weiteren hat diese Art der Nutzung den entscheidenden Nachteil, dass sich jeder, der im Besitz Ihres Passwortes ist, bei diesem Rechner anmelden kann.

Dies können Sie vermeiden, indem Sie sich eindeutig identifizieren. Der Trick besteht darin, dass Sie sich einen privaten und einen öffentlichen Schlüssel anlegen. Der öffentliche Schlüssel wird auf dem Zielrechner in die Datei ~/.ssh/authorized_keys eingefügt.

Wenn diese Datei noch nicht existieren sollte, müssen Sie sie erst erstellen. Sie benötigen diese Schlüssel auf jedem Rechner, der sich mit dem Zielrechner verbinden soll. Verwenden Sie zum Kopieren des öffentlichen Schlüssels am besten scp.


Portforwarding

Portforwarding ist einfach und sehr praktisch. Um einen Port vom lokalen Rechner hier zu einem entfernten weiterzuleiten, verwenden Sie die Option -L. Bei zwei Rechnern sieht dies folgendermaßen aus:

ssh -L 8888:localhost:80 entfernt

Die Secure Shell baut eine Verbindung zu dem Rechner entfernt auf und leitet von dort localhost:80 weiter zu dem Rechner hier. Anschließend kann man mit telnet localhost 8888 auf dem Rechner hier testen, ob die Verbindung besteht. Merke: Der Hostname zwischen den Doppelpunkten wird auf dem Rechner entfernt aufgelöst.

Bei vier Rechnern sieht dies folgendermaßen aus:

ssh -g -L 8888:weit-weg:80 entfernt

Wie oben, bloß dass von dem Rechner entfernt der Port von weit-weg weitergeleitet wird. Mit der Option -g (Gateway) ist es anderen Rechnern möglich, den weitergeleiteten Port auf dem Rechner hier anzusprechen. Eine Verbindung mit telnet hier 8888 vom Rechner hier2 ist nun möglich. Die Fehlermeldung bind: Address already in use kann ignoriert werden.


Sie erstellen die beiden Schlüssel (siehe Abbildung 23.3) durch:

ssh-keygen -t rsa

Die beiden Schlüssel

  • id_rsa (privat) und
  • id_rsa.pub (öffentlich)

befinden sich in Ihrem /home-Verzeichnis in dem versteckten Ordner ./ssh.

Bei der Erstellung des privaten Schlüssels werden Sie nach einer Passphrase gefragt. Im Gegensatz zu einem Passwort können Sie hierbei einen freien Text, bestehend aus mehreren Wörtern, angeben (es reicht selbstverständlich auch ein Wort). Wählen Sie unbedingt eine Passphrase! Mit dieser wird nämlich Ihr privater Schlüssel vor neugierigen Blicken geschützt. Ein gutes Passwort garantiert Sicherheit.

Hüten Sie Ihren privaten Schlüssel wie Ihren Augapfel, und lassen Sie ihn nicht in fremde Hände gelangen! Wenn Sie den Schlüssel zu Sicherungszwecken in einem Backup aufbewahren, ist es sinnvoll, diesen noch einmal zu verschlüsseln (beispielsweise mit GPG).

Bei einer SSH-Verbindung werden nun zwischen Ihrem Rechner und dem Zielrechner die Schlüsselinformationen ausgetauscht, sodass ein Anmelden im herkömmlichen Sinne nicht mehr nötig ist. Ein kleiner Wermutstropfen bleibt allerdings: Sie müssen nun bei jeder Verwendung des privaten Schlüssels Ihre Passphrase eingeben. Somit haben Sie zwar an Sicherheit, nicht aber an Komfort und Geschwindigkeit gewonnen.

Abbildung 23.3 Mit »ssh-keygen« erzeugen Sie einen privaten und einen öffentlichen Schlüssel.


Mit SSH die Uhrzeit setzen

Lohnt sich der Einsatz von NTP (Network Time Protocol) nicht oder ist ein Rechner nur per TCP und nicht per UDP erreichbar, dann hilft folgender Aufruf, um die Uhrzeit auf einem entfernten Rechner zu setzen:

ssh root@server date -s  " 'date -R'  "  ; hwclock --systohc

Der Befehl date -R wird auf dem lokalen Rechner ausgeführt. Die Option -R bewirkt, dass eine Ausgabe erzeugt wird, die der entfernte Rechner auch versteht. Die Ausgabe von date ohne Optionen wird aufgrund der deutschen Schreibweise auf dem entfernten Rechner unter Umständen nicht verstanden. Mit date -s setzen Sie das Datum auf dem entfernten Rechner.


Seahorse

Um auch die geforderte Geschwindigkeit und den Komfort einer Anmeldung ohne Eingabe einer Passphrase zu erhalten, verwendet Ubuntu das Programm Seahorse (siehe Abbildung 23.4). Sie finden Seahorse im GNOME-Menü unter Anwendungen · Zubehör · Passwörter und Verschlüsselung. Dieses Programm verwaltet auf Wunsch Ihre sämtlichen Passwörter und Schlüssel, sodass Sie sie nicht wiederholt eingeben müssen.

Die Freigabe dieser Schlüssel und Passwörter ist an Ihr Benutzerkonto auf dem lokalen Rechner gekoppelt, sodass Sie sich mit Ihrem Benutzerpasswort authentifizieren. Sie finden hier beispielsweise auch den Schlüssel für ein Funknetzwerk (WLAN). Die gespeicherten Angaben kann sich somit jeder ansehen, der Zugriff auf Ihr Benutzerkonto hat.

Abbildung 23.4 »Seahorse« ist Ihr virtuelles Portemonnaie.


Fehler beim SSHD durch einen zweiten Server suchen

Falls der SSH-Server sich nicht so verhält, wie er soll, und Sie beispielsweise mehr Debug-Meldungen sehen möchten, können Sie einen zweiten Server auf einem anderen Port starten. Das ist insbesondere dann sinnvoll, wenn Sie gerade per SSH eingeloggt sind und nicht den Zugang für andere während des Testens stören wollen. Gerade bei weit entfernten Servern müssen Sie beim Bearbeiten der SSHD-Konfiguration sehr vorsichtig sein:

sshd -d -e -p 2222

Die Optionen haben folgende Bedeutung: -d = Debug, -e = Log nach stderr und -p = anderer Port (der richtige Server läuft weiterhin auf 22). Das obige Kommando startet einen SSH-Server auf Port 2222. Von einem Client aus können Sie sich nun mit der zusätzlichen Option -p 2222 mit diesem Server verbinden.

Sie können auch mit -f dem Debug-Server eine andere Konfigurationsdatei geben. Mit dieser Konfigurationsdatei können Sie dann »spielen« und den richtigen Server erst dann neu starten, falls die Tests erfolgreich waren. Beachten Sie, dass der mit -d gestartete Server sich nach einer Verbindung wieder beendet.



Zugriff auf mit einer Passphrase geschützte Schlüssel aus einem Cron-Job

Mit dem Programm ssh-agent werden die Umgebungsvariablen gesetzt, sodass Sie mit allen Kind-Prozessen die Schlüssel benutzen können. Beachten Sie: Ein Cron-Job läuft zwar mit der User-ID des Nutzers, hat aber keinen direkten Zugriff auf die nötigen Umgebungsvariablen.



Galileo Computing - Zum Seitenanfang

23.1.2 OpenVPN topZur vorigen Überschrift

OpenVPN ist ein Programm zum Aufbau eines sogenannten »Virtuellen Privaten Netzwerkes« (VPN) über eine verschlüsselte TLS-Verbindung (Transport Layer Security). Zur Verschlüsselung werden die Bibliotheken des Programmes OpenSSL benutzt. Der Transport der Datenpakete erfolgt wahlweise über UDP oder TCP. OpenVPN ist freie Software unter der GNU GPL.

Virtual Private Network

Virtual Private Network (dt. virtuelles privates Netz; kurz VPN) dient dazu, Geräte aus ihrem ursprünglichen Netz heraus an ein benachbartes Netz zu binden, ohne dass die Netzwerke zueinander kompatibel sein müssen. Heute wird VPN alltagssprachlich gebraucht, um ein (meist verschlüsseltes) virtuelles Netz zu bezeichnen, welches über ein TCP/IP-Netz gelegt wird, oft mit Bezug auf das öffentliche Internet als benachbartes Netz.

Das Konzept des Virtual Private Networking gibt dem Benutzer die Möglichkeit, vertrauliche Daten gesichert über ein per se unsicheres Netzwerk zu transportieren. Durch die Einrichtung eines sogenannten VPN-Tunnels gelangen die Daten (abhör)sicher vom Sender zum Empfänger und zurück. Unter Ubuntu lässt sich VPN leicht mit dem Paket openvpn realisieren. OpenVPN ist Bestandteil der Ubuntu-Paketquellen. Seit der Version 2.0 kann das Programm auch als Server z. B. innerhalb eines Firmennetzes betrieben werden. Für den Privatanwender bietet sich der Einsatz in Verbindung mit den üblicherweise schwach abgesicherten WLAN-Netzen an. Im Folgenden sollen zwei prominente Beispiele vorgestellt werden.

WLAN per VPN-Tunnel

In diesem Abschnitt soll das besonders auch für Heimanwender interessante Beispiel besprochen werden, ein WLAN per VPN-Tunnel abzusichern. Um Komplikationen bei der Konfiguration zu vermeiden, empfiehlt es sich, zunächst die WLAN-Verschlüsselung zu deaktivieren und sie nach dem erfolgreichen Einrichten des VPN wieder zu aktivieren. Das folgende Planspiel geht von der folgenden Infrastruktur aus:

  • Ein Laptop ist mit einem WLAN-Device wlan0 (IP-Adresse: 192.168.0.104) ausgestattet.
  • Das VPN-Device auf der Seite des Laptops wird mit der IP-Adresse 192.168.8.104 definiert.
  • Im Netz befindet sich ein Server, der über einen Ethernet-Adapter (IP-Adresse: 192.168.0.1) an den zentralen Router angeschlossen ist.
  • Die IP-Adresse des VPN-Devices auf der Server-Seite wird als 192.168.8.1 definiert.

Abbildung 23.5 Topologie eines VPN

Schlüssel erzeugen

Zunächst muss auf dem Server ein Schlüssel erzeugt werden. VPN arbeitet zwar auch mit dem Konzept des privaten und öffentlichen Schlüssels, in privaten Netzen ist es jedoch am einfachsten, wenn Client und Server mit dem gleichen Schlüssel arbeiten.

Mit folgendem Befehl wird der Schlüssel zunächst auf dem Server server$ erzeugt:

server$ sudo openvpn --genkey --secret /etc/openvpn/secret.key

Sicher kopieren

Dieser Schlüssel muss nun auf sicherem Wege auf den Server befördert werden. Verwenden Sie dazu das Werkzeug scp. Beachten Sie, dass bei der ganzen Aktion mehrfach die Rechte der Datei umdefinieren müssen. Das Ganze geschieht unter Zuhilfenahme der jeweiligen Home-Verzeichnisse.

Auf dem Server verfahren Sie folgendermaßen:

server$ sudo cp /etc/openvpn/secret.key ~
server$ cd
server$ sudo chmod a+r secret.key
server$ sudo scp secret.key <Benutzer>@client:~

Auf dem Client befördern Sie den importierten Schlüssel in das Verzeichnis /etc/openvpn:

client$ cd
client$ sudo cp secret.key /etc/openvpn

Damit wären die Schlüssel abgeglichen. Nun wird der VPN-Tunnel »gebohrt«. Auf der Server-Seite geben Sie den folgenden Befehl ein:

server$ sudo openvpn --daemon --dev tun0 --remote 192.168.0.104 \
--ifconfig 192.168.8.1 192.168.8.104 --secret /etc/openvpn/secret.key

Auf der Client-Seite müssen Sie die IP-Adressen entsprechend anpassen:

server$ sudo openvpn --daemon --dev tun0 --remote 192.168.0.1 \
--ifconfig 192.168.8.104 192.168.8.1 --redirect-gateway \
--secret /etc/openvpn/secret.key

Routing setzen

Der zusätzliche Parameter redirect-gateway sorgt dafür, dass auf dem Client jeglicher Datentransfer per Routing über den Tunnel geleitet wird. Auf beiden Rechnern sollte in jedem Fall ein neues Netzwerk-Device zu finden sein:

server$ ifconfig
...
tun0      Protokoll:UNSPEC  Hardware Adresse
00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet Adresse:192.168.8.1  P-z-P:192.168.8.104

Nachdem Sie per ping getestet haben, ob die Verbindung steht, können die üblichen WLAN-Schutzmechanismen (WEP-Key etc.) wieder aktiviert werden. Die beschriebene Situation ist in Abbildung 23.5 dargestellt.

In Ubuntu 9.04 hat die Datei /etc/dbus-1/system.d/nm-openvpn-service.conf einen Fehler. Es muss folgender Text eingefügt werden:

Eine weitere Anwendungsmöglichkeit von VPN ist die sichere Verbindung aus dem Internet auf den heimischen Rechner. Ein typisches Beispiel ist die Verbindung eines Außendienstmitarbeiters in das Netzwerk seiner Firma. Hier baut einer der beiden Kommunikationsteilnehmer die Verbindung auf (Client) und der andere wartet auf eingehende Verbindungen (Server).

Da letzterer vom Provider zumeist eine dynamische IP-Adresse zugewiesen bekommt, können Sie einen Dienst wie DynDNS (www.dyndns.org) in Anspruch nehmen. Damit können Sie sich einen festen Clientnamen aussuchen, der dann automatisch mit Ihrer dynamischen IP-Adresse verbunden wird. Dafür müssen Sie sich nur registrieren und in Ihrem Router ggf. noch Einstellungen zu DynDNS vornehmen. Auf dem Server soll nun der VPN-Dienst gestartet werden. Da dieser aber zunächst nicht die IP-Adresse des Clients kennt, fehlt bei der Konfiguration der Parameter remote:

server$ sudo openvpn --daemon --dev tun0 --ifconfig 192.168.8.1 192.168.8.104 \
--secret /etc/openvpn/secret.key

Nun wartet der Server darauf, dass sich der Client bei ihm meldet. Der VPN-Befehl auf dem Client sieht folgendermaßen aus:

server$ sudo openvpn --daemon --dev tun0 --remote server.dyndns.org \
--ifconfig 192.168.8.104 192.168.8.1 --redirect-gateway \
--secret /etc/openvpn/secret.key

In diesem Fall wurde also die bislang als bekannt vorausgesetzte IP-Adresse des Servers durch dessen DynDNS-Host-Adresse server.dyndns.org ersetzt.


Mit VPN eine Firewall durchtunneln

Mit der oben beschriebenen Methode zur Einrichtung eines VPN werden Sie in den meisten Firmennetzwerken und Internet-Cafés wenig Glück haben. Dort läuft der Netzwerkverkehr zumeist über eine Firewall, die für die UDP-Pakete, die VPN standardmäßig verwendet, undurchlässig ist. Durch einen kleinen Trick lassen sich aber auch derartige Firewalls aushebeln: Fügen Sie einfach auf der Client-Seite den Parameter

--proto tcp-client

und auf der Server-Seite den Parameter

--proto tcp-server

beim Aufruf von openvpn hinzu. Dadurch wird eine normale, browser-konforme TCP-Verbindung aufgebaut, die durch jegliche Firewall ungehindert durchkommt. Es ist müßig zu erwähnen, dass derartige Möglichkeiten den Administratoren schlaflose Nächte bereiten.


Grafische Konfiguration mit dem Network Manager

Der Network-Manager, den Sie bereits in Abschnitt 11.1, »Der Network-Manager» kennengelernt haben, ist das Allround-Talent, wenn es um Verbindungen Ihres Ubuntu-Systems mit der Außenwelt geht. So verwundert es nicht, dass mit ihm auch die Verwaltung einer VPN-Verbindung möglich ist.

Vorbereitung

Zuerst sind die Konfigurationsdateien (im Prinzip nur der Schlüssel und das Zertifikat) auf dem Client abzuspeichern. Auf dem eigenen System muss in der GNOME-Oberfläche unter Anwendungen · Hinzufügen/Entfernen der VPN Connection Manager (OpenVPN) installiert sein.

Alternativ kann die Installation manuell über die Kommandozeile mit

sudo apt-get install network-manager-openvpn

erfolgen. Außerdem sollte das Paket resolvconf installiert sein.

sudo apt-get install resolvconf

Nach der Installation des OpenVPN-Plugins, muss der Network-Manager neu gestartet werden:

sudo /etc/init.d/NetworkManager restart

OpenVPN-Verbindung einrichten

Um die Verbindung einzurichten, klicken Sie im Panel auf den Network-Manager und wählen den Punkt VPN-Verbindungen · VPN konfigurieren.... Durch Betätigen des Buttons Hinzufügen gelangen Sie zum Auswahldialog für das Einrichten einer neuen VPN-Verbindung. Zu Beginn wählen Sie den VPN-Verbindungstyp, in unserem Fall OpenVPN. Mit Schließen die Konfiguration abschließen. An dieser Stelle empfiehlt es sich, den Network Manager neu zu starten:

sudo /etc/init.d/NetworkManager restart

Abbildung 23.6 Auch für VPN-Verbindungen ist der »Network-Manager« die zentrale Instanz.

OpenVPN-Verbindung aufbauen

Um letztendlich eine VPN-Verbindung zum VPN-Server herzustellen, klicken Sie auf den Network-Manager im Panel und wählen VPN-Verbindungen aus. Hier sollte nun die zuvor eingerichtete Verbindung zu sehen sein (siehe Abbildung 23.7). Diese müssen Sie nun lediglich anklicken, um eine Verbindung aufzurufen.

Abbildung 23.7 Die Felder entsprechend ausfüllen. Bei Benutzername ist der eigene Benutzername einzusetzen. Über den Button »Erweitert...« gelangen Sie zu weiteren wichtigen Einstellungen.

Zugriff auf den Schlüsselbund

Die Abfrage, ob der Anwendung Zugriff auf den Schlüsselbund gewährt werden soll, müssen Sie bejahen. Die erfolgreich hergestellte OpenVPN-Verbindung erkennen Sie an einem Schloß im Symbol des NetworkManagers.

Die Verbindung ist nun aufgebaut und kann benutzt werden.



Ihr Kommentar

Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen.






<< zurück
  Zum Katalog
Zum Katalog: Ubuntu GNU/Linux

Ubuntu GNU/Linux
Jetzt bestellen


 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Katalog: Linux






 Linux


Zum Katalog: OpenVPN






 OpenVPN


Zum Katalog: LPIC-1






 LPIC-1


Zum Katalog: Debian GNU/Linux






 Debian GNU/Linux


Zum Katalog: Shell-Programmierung






 Shell-Programmierung


Zum Katalog: Webserver einrichten und administrieren






 Webserver einrichten
 und administrieren


Zum Katalog: VirtualBox






 VirtualBox


Zum Katalog: IT-Handbuch für Fachinformatiker






 IT-Handbuch für
 Fachinformatiker


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo




Copyright © Galileo Press 2010
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de