Inhaltsverzeichnis

FreeNAS und OpenVPN [Update]

Beitragsdatum 01.01.2011
Letzte Aktualisierung 08.02.2019
Betrifft NAS4Free 9.2, 11.x, XigmaNAS 11.x u.a.

NAS4Free und XigmaNAS sind quasi identisch - nur der Name hat sich geändert.
Dieser Artikel gilt daher für beide Systeme (und eingeschränkt auch für FreeNAS).

FreeNAS1) bietet von Haus aus noch keine OpenVPN-Unterstützung an (0.7.2 stable). Aber dennoch kann OpenVPN nachgerüstet werden.

Um eine FreeNAS-Installation um OpenVPN zu erweitern, sollte FreeNAS als Full-Installation installiert worden sein - sonst vergisst FreeNAS nach dem nächsten Reboot die OpenVPN-Erweiterung.

In einem Test habe ich die Full-Installation auf einem USB-Stick durchgeführt. Welche Auswirkung das auf die Lebenserwartung des Stick hat kann ich noch nicht sagen.

OpenVPN

Ein paar Worte zu OpenVPN:
OpenVPN ermöglicht eine Arbeit über das Internet innerhalb eines geschützten internen Netzwerkes - z.B. kann ein Außendienstmitarbeiter so an seinem Laptop arbeiten, als wäre er innerhalb der Firma an seinem Arbeitsplatz. So können auch Ordnerfreigaben von außen zugänglich sein. Es gibt zwei virtuelle Tunnel-Netzwerk-Geräte bei OpenVPN: tun für verschlüsselte IP-Protokolle, tap für verschlüsselte nicht-IP-Protokolle.
Als Techniken werden Standards benutzt, die entsprechend bekannt und sicherer sind (TLS, SSL usw.).

Die Authentifizierung eines Nutzers kann über Benutzername und Passwort geschehen (aufwändiger, da jeder Nutzer auf dem OpenVPN-Server angelegt werden muss) oder zusätzlich (bzw. auch nur über) Zertifikate, die sich mit Passwörtern schützen lassen.

WICHTIG: die IP-Adresse des Clients muss aus einem anderen Netz stammen, als die IP-Adressen für das VPN-Netz sowie aus einem anderen Netz, als das Netzwerk des Servers. In meinem Beispiel setzen ich das wie folgt um:

[UPDATE] Mögliche Adressbereiche sind bei Wikipedia beschrieben.

Ich habe mich an den Artikel Virtuell vernetzt mit OpenVPN aus c't kompakt 01/11 Linux (S.26ff.) gehalten.


Server einrichten

Meine Zusammenfassung für Routing (dev tun):


TinyCA für die Zertifikatsverwaltung

[Update, 23.09.2017]

Anstatt TinyCA kann auch easy-rsa benutzt werden. Dieses Skript-Paket eignet sich optimal für den Einsatz mit OpenVPN. Eine kurze Anleitung stelle ich im Blog-Beitrag easy-rsa: OpenVPN für Server und Clients einrichten zur Verfügung.

Der folgende Abschnitt kann veraltet sein.


Clients einrichten


Typische Fehlerquellen

Die Einbindung der Freigabe kann dann normal z.B. über Gnome erfolgen. Einfach als IP die VPN-IP des OpenVPN-Servers angeben, im Beispiel also die virtuelle Adresse 10.0.0.1.


Ähnliche Themen im blog:
xigmanas, nas4free, freenas


zurück

1)
Aus FreeNAS ging NAS4Free hervor. Aus NAS4Free wurde XigmaNAS