Um automatisch eine OpenVPN-Verbindung aufbauen zu können gibt es gleich mehrere Möglichkeiten. So gibt es die automatische Anmeldung wenn der Client durch den Benutzer gestartet wird. Möchte man automatisch für den Computer die Verbindung aufbauen, unabhängig vom (Windows-)Benutzer bzw. dessen Anmeldung, so geht dies ebenfalls und zwar durch den OpenVPN-Dienst.
Dieser Beitrag fußt auf der Community-Ausgabe von OpenVPN. Für das Vorhaben bzw. bei der Installation wird lediglich der Client ansich und das TAP-Interface benötigt. Auf die GUI und die Cert-Tools kann verzichtet werden.
- Die *.ovpn-Datei die man beispielsweise aus einer pfSense, Securepoint UTM, … exportiert hat muss um folgendes ergänzt werden:
auth-user-pass pass.txt
I.d.R. fehlt nur die Angabe einer Text-Datei. Diese muss erstellt werden und wie folgt aufgebaut sein:
<Benutzername> <Kennwort>
- Die *.ovpn-, sofern vorhanden die Zertifikats-/Schlüsseldateien, sowie die „pass.txt“ unter
"C:\Program Files\OpenVPN\config"
platzieren.
- Den Dienst „OpenVPNService“ auf den Starttyp „Automatisch“ ändern und ausführen.
- Die Verbindung wird transparent im Hintergrund aufgebaut. Der Status kann im Protokoll unter
"C:\Program Files\OpenVPN\Log\<Name der Verbindung.log>"
eingesehen werden.
Hilfreich ist das beispielsweise für Computer die Domänen-Mitglied sind, aber an einem anderem Standort (ohne Site-to-Site-VPN) verwendet werden.
Zugangsdaten schützen
Damit die Zugangsdaten in der „pass.txt“ nicht ungeschützt für jeden sichtbar „herumliegen“, kann man der Gruppe „Benutzer“ entweder für die Datei ansich oder den „config“-Ordner das Leserecht entziehen.
Den Zugriff verweigern führt allerdings dazu, das auch der Administrator nicht mehr so ohne weiteres an die Dateien herankommt.
Eine relativ einfache Variante ist, die Vererbung der NTFS-Rechte für den Ordner „config“ zu deaktivieren und dann bei der Gruppe „Benutzer“ das Lese-Recht zu entfernen bzw. die Gruppe ansich zu entfernen.
Schon immer Technik-Enthusiast, seit 2001 in der IT tätig und seit über 10 Jahren begeisteter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen. Die Schwerpunkte liegen auf der Netzwerkinfrastruktur, den Betrieb von Servern und Diensten.