OpenVPN

Etabliertes VPN-Protokoll

OpenVPN ist ein etabliertes VPN-Protokoll. Es ist sehr flexibel und läuft auf fast allen Plattformen.

Vorteile

• Sehr etabliert: Seit 2001 im Einsatz
• Läuft überall: Windows, Linux, macOS, Android, iOS
• TCP oder UDP: Flexibel wählbar
• Gut für restriktive Firewalls: Port 443/TCP (wie HTTPS)
• Starke Verschlüsselung: AES-256, RSA, etc.

Nachteile

• Komplexere Konfiguration: Viele Optionen
• Langsamere Performance: Als WireGuard
• Mehr Code: ~100.000+ Zeilen (größere Angriffsfläche)
• PKI notwendig: Zertifikate müssen erstellt werden

Vergleich zu WireGuard

PKI (Public Key Infrastructure)

OpenVPN benötigt Zertifikate:

Certificate Authority (CA)
     │
     ├─► Server-Zertifikat
     │
     └─► Client-Zertifikate
          ├─► Client 1
          ├─► Client 2
          └─► Client n

In OpenSense:

System → Trust → Authorities → Add
  - Create internal CA

System → Trust → Certificates → Add
  - Server Certificate
  - Client Certificates

Protokoll-Modi

UDP (Standard, Port 1194)

Vorteile:

• Schneller
• Weniger Overhead

Nachteile:

• Kann von Firewalls blockiert werden

TCP (Optional, z.B. Port 443)

Vorteile:

• Sieht aus wie HTTPS-Traffic
• Kommt durch restriktive Firewalls

Nachteile:

• Langsamer
• TCP-über-TCP Problem

Client-Config Beispiel

client
dev tun
proto udp
remote vpn.example.com 1194

ca ca.crt
cert client.crt
key client.key

cipher AES-256-GCM
auth SHA256

comp-lzo
verb 3

In OpenSense

Setup:

1. Zertifikate erstellen
   System → Trust → Authorities/Certificates

2. OpenVPN Server konfigurieren
   VPN → OpenVPN → Servers → Add
   - Mode: Remote Access (SSL/TLS + User Auth)
   - Protocol: UDP
   - Port: 1194

3. Firewall-Regeln
   Firewall → Rules → WAN
   - Allow UDP 1194

4. Benutzer erstellen
   System → Access → Users

5. Client-Config exportieren
   VPN → OpenVPN → Client Export

Einsatzszenarien

• Remote Access: Home-Office zu Firma
• Site-to-Site: Standort A ↔ Standort B
• Restriktive Firewalls: TCP Port 443
• Legacy-Systeme: Läuft überall