OpenVPN Client Installation

12. 02. 2021 Don Matteo Schreibe einen Kommentar

Die OpenVPN Installation auf Windows, macOS und Linux

VPN (Virtual Privat Network) erfreut sich einer immer breiteren Nutzung. OpenVPN ist eine freie Anwendung zum Aufbau eines Virtuellen Privaten Netzwerkes über eine verschlüsselte TLS-Verbindung. Der vermehrt beliebte OpenVPN Client ermöglicht VPN Verbindungen, um beispielsweise bei arbeiten im Home-Office, oder mit einer Privat Cloud von überall auf seine Daten zugreifen zu können.

In diesem Beitrag wird die Client Bereitstellung und der Einsatz von OpenVPN gezeigt. OpenVPN ist kostenlos für zahlreiche Betriebssysteme verfügbar, neben Windows gibt es ein Client für macOS, wowie für iOS, Linux und Android Geräte.

So wird’s gemacht

OpenVPN Client Windows Installation

Der OpenVPN-Client kann über den Windows-Paketmanager bereitgestellt werden, mit ausführen von Winget in der Eingabeaufforderung.

C:\> winget install --id OpenVPNTechnologies.OpenVPN

OpenVPN für Windows kann auch von der Community Webseite hier heruntergeladen werden, mit Doppelklick auf OpenVPN-2.5.0-I601-amd64.msi wird das Setup gestartet.

OpenVPN Setup choose Customize Installation

Mit Customize geht es durch den Setup-Assistenten für die angepasste Installation, da wir nur die Client Komponenten benötigen, selektieren wir die Auswahl.

Mit Install Now und anschliessendem klick auf OK bei der Windows Kontensteuerung die Installation starten.

Der komplette OpenVPN Setup Ablauf wie folgt.

Mit Close den Setup-Assistent abschliessen und OpenVPN starten.

OpenVPN starten

Ein Blick in die Taskleiste zeigt nun das OpenVPN Symbol

OVPN Datei beim Client importieren

Der OpenVPN Access Server gibt es für Windows, Linux und FreeBSD, dazu gibt es in zunehmender Anzahl Geräte die als OpenVPN Server genutzt werden, wie solche auf pfSense und OPNsense oder OpenWrt, von kommerziellen Hersteller wie Sophos vormals Astaro oder Synology NAS und weitere mehr.

Die zuvor beim VPN Server oder Router exportierte Datei mit der Konfiguration für den Client, wie beispielsweise openvpn.zip wird entpackt, es werden für gewöhnlich die Dateien ca.crt, README.txt und VPNConfig.ovpn extrahiert.

Die Konfigurationsdatei hier in diesem Beispiel VPNConfig.ovpn kann ein anderen Dateiname haben.

Die Datei VPNConfig.ovpn muss in der Regel editiert werden, dazu öffnet man diese in Notepad und ändert bei YOUR_SERVER_IP mit der Public IP Adresse des VPN Routers, oder der Firewall auf dieser das NAT mapping zum VPN terminierenden Gateway ist.

Nach speichern von VPNConfig.ovpn wird die Konfiguration importiert.

Mit Rechtsklick über dem Icon im Systemtry öffnet sich das Kontextmenü, aus diesem man Datei importieren wählt.

OpenVPN Verbindung ovpn-Datei importieren — Abbildung: OpenVPN Verbindung importieren

Wenn man die Datei VPNConfig.ovpn umbenennt zB. Office-Arbon.ovpn, erscheint im Kontextmenü Verbinden der entsprechende Name als Ziel.

Tip! Wenn man die Datei VPNConfig.ovpn umbenennt zB. Home-Office.ovpn, erscheint im Kontextmenü Verbinden der entsprechende Name als Ziel.

Mit Verbinden aus dem Kontextmenü wird man zur Eingabe von Benutzer und Passwort aufgefordert, es ist dies der Benutzer auf dem VPN Router, oder bei verwendung der LDAP authentifizierung die des Servers. Mit einer Zertifikat Ausstellung für die Verbindung, ist ein Benutzer Login auth-user-pass nicht erforderlich, anstelle kommt remote-cert-tls server zum Einsatz.

OpenVPN Verbindung und Benutzer Anmeldung — Abbildung: OpenVPN Verbindung

Bei erfolgreicher Verbindung erscheint das OpenVPN Symbol grün.

OpenVPN Connect macOS Installation

OpenVPN Connect v3 Client für macOS ist ein vollständiges Installationsprogramm für macOS, nach der Installation kann die ovpn-Datei importiert werden, für eine OpenVPN Connect Verbindung zu einem Access Server. Wenn das heruntergeladene OpenVPN Connect v3 for macOS hier auf einem Mac installiert wird, auf dem OpenVPN Connect v3 bereits installiert und konfiguriert ist, wird auf die neue Version aktualisiert, wobei alle Einstellungen beibehalten werden.

OpenVPN Connect Installer for macOS Catalina

OpenVPN Connect for macOS Import and Edit

openvpn connect import — OpenVPN Connect for macOS Import and Edit

OpenVPN Connect v3 for macOS Installation — Die OVPN-Datei importieren bei macOS Catalina.

OpenVPN Client Linux Installation

Mit der Standard Installation ist OpenVPN in der Regel zusammen mit den Netzwerk-Verbindungstools bereits installiert, in diesem Fall kann man direkt zu OVPN-Konfigurationsdatei importieren gehen. Am einfachsten ist der OpenVPN Client unter Verwendung der Standard Repository bereitzustellen, bei Red Hat basierten Linux Distribution wie Fedora oder CentOS, werden hierfür die folgenden Befehle als root ausgeführt:

[sam@fedora ~]$ sudo su -
[sudo] password for sam
[root@fedora ~]# dnf install openvpn

Den OpenVPN Client bei Debian und Ubuntu basierten Distributionen wie folgt installieren:

[sam@debian ~]$ sudo su -
[sudo] password for sam
[root@debian ~]# apt-get install openvpn

Ausführen des OpenVPN-Clients mit der von VPN Router heruntergeladenen Konfigurationsdatei-ovpn, unter verwendung des Argument -config, um die Konfigurationsdatei zu übergeben:

~]# openvpn -config VPNConfig.ovpn

Die Konfigurationsdatei in diesem Beispiel VPNConfig.ovpn kann ein anderen Dateiname haben. Wenn man die Datei VPNConfig.ovpn umbenennt zB. Office-Bern.ovpn, erscheint im Kontextmenü Verbinden der entsprechende Name als Ziel.

Ebenfalls kann die Verbindung über ein GUI Client hergestellt werden, hierzu das OpenVPN GUI aus der Shell installieren:

~]$ sudo apt-get install network-manager-openvpn-gnome

OVPN-Konfigurationsdatei importieren

Nun kann durch ein Klick auf das Netzwerksymbol – VPN Verbindungen – VPN konfigurieren der Verbindungsmanager aufgerufen werden.

OpenVPN Linux und Ubuntu Network Manager — Abbildung: OpenVPN GUI Ubuntu

Mit einem Klick auf Hinzufügen – Gespeicherte VPN-Konfiguration importieren – Erstellt man eine neue VPN Verbindung. Im nächsten Schritt importieren wir die zuvor heruntergeladene Konfigurationsdatei VPNConfig.ovpn. Die Verbindung kann nun aus der Taskleiste gestartet werden.

Bei Linux Mint mit Cinnamon desktop klickt man in der Taskleiste auf das Netzwerk Icon und geht auf Netzwerkeinstellungen.

Auf + klicken um eine neue Netzwerkverbindung zu erstellen.

Linux Mint Gespeicherte VPN-Konfiguration importieren

Gespeicherte VPN-Konfiguration importieren aus der Datei VPNConfig.ovpn. Nach eingabe von Benutzer und Passwort kann die gespeicherte Verbindung in der Taskleiste gestartet werden.

ovpn-Datei importieren bei Linux Mint — Die OVPN-Datei importieren über den Network Manger von Linux Mint Cinnamon Desktop.

Druckerverbindung kann nicht hergestellt werden

Home

9. 02. 2021 Don Matteo Ein Kommentar

Fehler bei Druckerverbindung herstellen: Druckerverbindung kann nicht hergestellt werden. Fehler bei Vorgang 0x00000006

Erscheint beim Netzwerkdrucker Hinzufügen der Fehler; Druckerverbindung kann nicht hergestellt werden, kann dieser Beitrag die Lösung sein.

PrintNightmare Drucker Probleme durch August-Update

Einer schwerwiegenden Sicherheitslücke im Print-Spooler von Windows (CVE-2021-1678) zugrunde liegend, veröffentlichte Microsoft ein Patch, der über den kumulative Update August verteilt wurde. Dieser für viele Anwender zu Problemen beim Drucken führt. Es kommt zum Fehler; Druckerverbindung kann nicht hergestellt werden.

Mit dem August Update wurde die Sicherheitslücke geschlossen, indem die Installation von Druckertreibern nun über standardmäßig administrative Rechte erfordert. Wenn auf dem Server ein neuerer Treiber als auf dem Client vorhanden ist, wird versucht diesen beim Client zu aktualisieren, mit der Aufforderung ein Admin-Passwort einzugeben.

Faktisch bleibt eigentlich nur die Lösung, das Verhalten zurückzusetzen, wieder in den Zustand wie vor dem August-Update.

Registry Ändert das Standardverhalten

Microsoft sieht dafür einen Eintrag in der Registry vor, es ist dies der Key RestrictDriverInstallationToAdministrators mit dem Wert 0, um Benutzern zu erlauben, Druckertreiber zu installieren. Der Eintrag ist standardmäßig nicht vorhanden. Per Gruppenrichtlinie für Point-and-Print-Einschränkungen oder per Script kann der Eintrag mit administrativen Rechte wie folgt hinzugefügt werden.

REG ADD "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 0 /f

Mit dieser Maßnahme entfällt der Schutz gegen Exploits von CVE-2021-1678. Microsoft empfiehlt diesen Schritt daher nur temporär, um Arbeitsunterbrechungen zu vermeiden.

Pfad zu Druckertreiber in Registry wiederherstellen

Mit Windows Drucker Freigaben auf Server, kann es vorkommen das beim Netzwerkdrucker Hinzufügen es beim Client zum Fehler kommt. Das ist dann der Fall wenn der Installations-Assistent den Druckertreiber im DriverStore des Systems nicht mehr findet. Es ist vorgesehen das der Assistent den Verzeichnispfad zum Druckertreiber in der Registry aus dem Key InfPath ausliest.

Druckerverbindung kann nicht hergestellt werden. Registry InfPath Druckerverbindung kann nicht hergestellt werden — HKLM\SYSTEM\CurrentControlSet\Control\Print\Environments\Windows x64\Drivers\Version-3

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Environments\Windows x64\Drivers\Version-3\

Nachdem nun der Pfad zum Druckertreiber nicht mehr gültig ist, muss der Pfad in der Registry des Servers gesucht werden, hier in diesem Beispiel ist es der Drucker Sharp MX-C401 PCL6, dieser den Pfad zum Druckertreiber mit der INF-Datei im Key InfPath speichert, der Pfad ist hier wie folgt:

C:\Windows\System32\DriverStore\FileRepository\sn0emdeu.inf_amd64_284362ba62125445\

Der Pfad wird im Key InfPath als Wert eingefügt, dieser vermutlich leer ist, dabei sind zur Änderung Adminrechte erforderlich, hierzu regedit.exe als Administrator ausführen, oder dem Benutzer vorübergehend erhöhte Rechte erteilen.

Ist ein weiterer Drucker auf dem Client mit demselben Treiber vorhanden, kann dieser Wert von InfPath kopiert werden, und bei dem Drucker mit ungültigem Wert, oder bei dem der Wert leer ist, mit einem Doppelklick auf InfPath eingefügt werden.

Drucker manuell installieren

Nun am Client die administrative Freigabe print$ zum Printserver öffnen, dort die Druckertreiber des Servers liegen.

Beispiel: \\SERVER02\print$

Unter der Freigabe print$ befinden sich die Druckertreiber der installierten Drucker auf dem Printserver. In unserem Beispiel unter \\SERVER02\x64\PCC sind Druckertreiber für die 64 Bit Systemearchitektur.

Hier nach der passenden CAB-Archivdatei suchen, die denselben Treiber, also Dateiname aufweist, wie die Datei im RegistryKey InfPath, hier demzufolge sn0emdeu.inf.

Druckerverbindung kann nicht hergestellt werden. CAB Archive Datei — \\SERVER02\print$\x64\PCC\sn0emdeu.inf_amd64_284362ba62125445.cab

Die zum Drucker passende komprimierte CAB-Archivdatei aus der Freigabe print$ mit 7-Zip entpacken, und die Dateien in den Pfad kopieren, dieser aus InfPath entnommen wird.

Das Verbinden und Hinzufügen von Netzwerkdrucker ist nun wieder wie gewohnt möglich.

Eine ebenfalls einfache Lösung bietet sich an, im dem man einen neuen Drucker installiert über Drucker hinzufügen, dabei kann als Anschluss LPT1 gewählt werden, auch wenn LPT1 nicht existiert, es wird hierdurch bei der Installation der Pfad im Registrierungsschlüssel InfPath wieder korrekt eingetragen, so dass danach die Druckerverbindung zu Netzwerkdrucker wieder funktioniert, der zuvor installierte Drucker auf LPT1 kann mit Gerät entfernen wieder gelöscht werden.

Benutzer ohne Administratorberechtigung

Mit dem Windows Update KB5005652, dieser am 10. August 2021 veröffentlicht wurde, werden standardmäßig Administratorrechte erforderlich, um Treiber installieren zu können. Diese Änderung wurde zum Standardverhalten gemacht, um das Risiko auf allen Windows-Geräten zu minimieren. Weitere Informationen zum Ändern des Standardverhaltens findent man unter dem Beitrag hier.