Ein virtuelles privates Netzwerk zu verwenden gehört für viele Netznomaden zum Alltag. Eine VPN-Konfiguration erfordert viel Detailwissen, und den Tunnelaufbau erledigen oft noch handgestrickte Shellskripte. Mit Kvpnc sollen sich Tunnel einfach aufbauen lassen.

© ON TOURS by HeMP, Fotolia.com

Auch VPNs müssen sich mit der scheinbaren Unvereinbarkeit zwischen sicherer Konfiguration und Bequemlichkeit herumschlagen. Ein halbes Dutzend VPN-Protokolle von IPsec über OpenVPN hin zu diversen proprietären Varianten stellen Benutzer und so manchen Admin vor eine schwere Wahl. Wenn auch noch alternative Implementationen und Schlüsselverfahren zur Wahl stehen, die alle ihre eigenen Konfigurationsformate mitbringen, kapitulieren viele.

Das aus dem Umfeld von KDE stammende Kvpnc tritt an, um diese Probleme mit einem einzigen Client zu lösen [1]. Wäre es einfach zu benutzen, beschriebe es mögliche Fehlermeldungen klar und wäre es übersichtlich aufgebaut, bestünde die Hoffnung, dass Fehlbedienungen aus Unkenntnis nicht unmittelbar das Mehr an Sicherheit wieder zunichte machen. Die Software muss daher neben technischen Eigenschaften sich auch daran messen lassen, ob sie tatsächlich vereinfacht.

Die Entwickler von Kvpnc sind gerade aktiv mit Erweiterungen beschäftigt. Ist in vielen Distributionen noch die Version 0.8.7 enthalten, lässt sich von der Homepage schon Version 0.9.1-rc1 für ein gutes Dutzend Distributionen herunterladen. Bei diesem Test kam 0.9.0 zum Einsatz, die letzte stabile Version.

Testumgebung

Ein VPN soll einen vertraulichen Tunnel über ein Netz herstellen, über dessen Sicherheitsparameter der Anwender keine Kontrolle hat. Zum Test baute das Linux-Magazin ein virtuelles Testnetzwerk auf, das unter Xen 3.2 auf Gentoo Linux und mit Kernel 2.6.21 lief. Der Client und die Server-Domain waren im lokalen Netzwerk 192.168.1.0/24 zu erreichen. Das virtuelle und entfernte Netz, in das die gesicherten Tunnel hineinreichen sollten, besaß die Adresse 192.168.2.0/24. Der Server hatte auch ein Interface im virtuellen Netz. Außer den Tunneln unterhielten die beiden Netze keine Routen zueinander. Die im virtuellen Netz eingesetzten Hosts für Erreichbarkeitstests nutzen das Xen, um einfach neue VMs zu erzeugen.

Der Test des VPN-Clients beschränkte sich auf zwei häufig in der Praxis anzutreffende Szenarien: OpenVPN für SSL-basierte Tunnel und Openswan für IPsec-Verbindungen. Der erste Aufbau prüfte, ob Kvpnc eine bestehende Konfiguration einlesen kann, im zweiten ging es darum, das Tool selbst eine Konfiguration erstellen zu lassen. Kvpnc unterstützt darüber hinaus noch eine Reihe anderer Protokolle, die Tabelle 1 auflistet.

Das Prozedere für den Test von Kvpnc war, zuerst eine Konfiguration von Hand zu erstellen, die sich sauber aufbauen und wieder abbrechen lässt, um den Administrator zufriedenzustellen. Um zu überprüfen, ob die Verbindung auch unter Last stabil bleibt, sorgten Portscans für kontinuierlichen Verkehr auf der Datenautobahn. Danach versuchten die Tester die Client-seitige Konfiguration in Kvpnc zu importieren und die Tunnel per Knopfdruck aufzubauen.

Importiert: OpenVPN

Im ersten Test kam OpenVPN 2.1 zum Einsatz. Das Wiki des Projekts [2] erklärt einen minimalistischen Beispielaufbau anhand eines Preshared Key. Den erzeugt der Admin, bevor er ihn auch auf den Server kopiert, mit dem Aufruf:

openvpn --genkey --secret static.key

Die Konfigurationsdateien für Server und Client sind wahrhaft minimal, wie Listing 1 zeigt. Mit dieser Konfiguration startet der Server, der Client baut eine Verbindung auf und »ping« bestätigt den erfolgreichen Tunnelaufbau.

01 # Client auf 192.168.1.70
02 remote 192.168.1.68
03 dev tun
04 ifconfig 192.168.2.100 192.168.2.2
05 secret static.key
06 
07 # Server auf 192.168.1.68
08 dev tun
09 ifconfig 192.168.2.2 192.168.2.100
10 secret static.key

Die Konfiguration in Kvpnc gestaltete sich nicht so einfach wie erwartet. Der Assistent für den Import einer existenten Konfigurationsdatei präsentiert sich zwar einfach und übersichtlich, birgt aber Stolpersteine. So besteht beispielsweise der Dialog für die Dateiauswahl auf einem festen, nicht veränderbaren Dateinamenfilter. Dateien, die nicht auf »ovpn« oder »conf« enden, zeigt Kvpnc gar nicht erst an. Das hat vielleicht seine Begründung darin, dass OpenVPN für so benannte Skripte beim Booten Tunnel aufbaut, aber für Testzwecke wäre eine Alternative im Filter dennoch praktisch.

Wer in einem weiteren Schritt des Assistenten für ein Profil einen Namen angibt, der Leerstellen enthält, den weist das Programm darauf hin, dass dies nicht zulässig sei (siehe Abbildung 1). Das wäre nicht weiter schlimm, aber statt eine Neueingabe zu fordern, setzt Kvpnc den Wizard mit dem nächsten Schritt fort, ganz so, als ob nichts gewesen wäre. Solche Kleinigkeiten häufen sich leider noch in dem Programm, wie mehrere Tester unabhängig feststellten.

Abbildung 1: Ein Wizard führt den Anwender durch das Anlegen neuer Profile, hier im Beispiel für OpenVPN. Dabei muss der Anwender jedoch einige Einschränkungen hinnehmen.

Sie können diesen Artikel als PDF für 99 Cent kaufen. Klicken Sie dazu einfach auf eine der beiden Bezahloptionen Paypal oder ClickandBuy.

Ein virtuelles privates Netzwerk zu verwenden gehört für viele Netznomaden zum Alltag. Eine VPN-Konfiguration erfordert viel Detailwissen, und den Tunnelaufbau erledigen oft noch handgestrickte Shellskripte. Mit Kvpnc sollen sich Tunnel einfach aufbauen lassen.