Einrichten eines OpenVPN-Clients unter macOS

• Vorhandene OpenVPN-Server-Schnittstelle:
  • Zur Installation und Konfiguration eines OpenVPN-Clients muss zuvor eine OpenVPN-Server-Schnittstelle eingerichtet werden. Weitere Informationen und eine detailierte Anleitung dazu finden Sie im folgenden Knowledgebase-Artikel:
    
    Erzeugen einer neuen OpenVPN-Server-Schnittstelle
  
  
• Systemanforderungen:
  
  • Prüfen Sie, ob das macOS Systems die Mindestanforderungen von Tunnelblick erfüllt (z. B. kompatible macOS-Version, aktuelle Sicherheitsupdates).
    
    Systemanforderungen - Tunnelblick OpenVPN-Client für macOS
    
    
• Installation des Tunnelblick Clients:
  
  • Stellen Sie sicher, dass die neueste Version von Tunnelblick auf dem macOS System installiert ist. Die Software ist kostenfrei erhältlich und muss vor der Konfiguration installiert werden.
    
    Download Link - Tunnelblick OpenVPN-Client für macOS
  
  
• VPN-Profildatei:
  
  • Sie benötigen eine gültige OpenVPN-Konfigurationsdatei (z. B. .ovpn), die alle nötigen Parameter und Zertifikate enthält.
  • Sie erhalten diese Konfigurationsdatei von Ihrem Netzwerkadministrator.
  
  
• Multi-Faktor-Authentifizierung (optional):
  
  • Falls MFA eingesetzt wird, sorgen Sie dafür, dass Sie über das entsprechende Hardware- oder Software-Token verfügen und Ihr OpenVPN-Server MFA unterstützt.
  • Sie erhalten die entsprechenden vorkonfigurierten Hardware-Token von Ihrem Netzwerkadministrator. Ein Software-Token werden Sie zusammen mit Ihrem Netzwerkadministrator auf Ihrem Smartphone einrichten. Verwenden Sie als Authenticator-App z.B. Google Authenticator, Microsoft Authenticator oder AuthPoint.
    
    Weitere Informationen und eine detailierte Anleitung zur Aktivierung von MFA für Benutzerkonten finden Sie im folgenden Knowledgebase-Artikel:
    
    Aktivieren von Multifaktor-Authentifizierung (MFA) für ein SX-GATE Benutzerkonto

• Start von Tunnelblick:
  Nach dem Starten der Tunnelblick-Software sehen Sie in der Statuszeile oben das Tunnelblick-Symbol.
  
  Öffnen Sie Tunnelblick durch einen Rechtsklick auf das Symbol in der Statusleiste. Klicken Sie danach auf "VPN-Details".
  
  
  
  Falls noch keine Konfiguration vorhanden ist, so werden die folgenden Dialoge angezeigt:
  
  
  
  
  
  Klicken Sie "OK" zum fortfahren. Klicken Sie im folgenden Dialog auf den Bereich "Konfigurationen".
  
  
  
  
• Import der Konfigurationsdatei:
  Ziehen Sie die .ovpn-Datei in das Tunnelblick-Fenster oder wählen Sie den Import über das Menü "Datei > Konfiguration importieren".
  
  
  
  Beim Importieren oder beim Hineinziehen der Konfigurationsdatei in das Fenster via Drag and Drop erhalten Sie die folgende Meldung:
  
      
  
  Geben Sie das Kennwort vom jeweiligen Benutzerkonto an.
  
  
  
  
• Bestätigung:
  Verifizieren Sie, dass die Datei korrekt importiert wurde. Tunnelblick zeigt in der Regel eine Zusammenfassung der Konfigurationsparameter an.

Herstellen einer Verbindung

• Verbindungsaufbau:
  Wählen Sie in Tunnelblick die konfigurierte VPN-Verbindung aus und klicken Sie auf "Verbinden".
  
  
  
  Geben Sie jetzt die Daten zur Benutzeranmeldung ein.
  
  
  
  Geben Sie hier den Anmeldenamen und das Kennwort des SX-GATE VPN-Benutzers ein. Beachten Sie, dass hierfür ein Benutzerkonto in der SX-GATE Benutzerverwaltung vorhanden sein muss.
  
  Wichtig:
  Lassen Sie das Feld "Sicherheitscode" leer.
  
  Hinweis:
  Im folgenden Dialog wird der 6-Stellige MFA-Code abgefragt. Nachdem Sie diesen eingegeben haben wird das Kennwort für das in der Konfigurationsdatei mitgelieferte Benutzerzertifikat abgefragt. Sie haben zur Eingabe dieses Kennworts ca. 30 Sekunden Zeit bis der Token-Code abläuft. Danach wird die Anmeldung mit einem entsprechenden Fehlerstatus quitiert.
  
  Unabhängig von verwendeten Token-Code-Generator, lassen Sie den aktuellen Token-Code ablaufen und verwenden Sie den darauf folgenden Token-Code. Dieser Code ist dann volle 30 Sekunden gültig. In dieser Zeit sollten Sie das Kennwort für das Benutzerzertifikat eingegeben haben. Sie können die Anmeldedaten, Benutzername und Kennwort, und auch das Kennwort für das Benutzerzertifikat im lokalen Schlüsselbund speichern. Bei einer Anmeldung müssen Sie dann lediglich den 6-Stelligen MFA-Code eingeben.
  
  
  
  Geben Sie den 6-Stelligen MFA-Code ein.
  
  
  
  Geben Sie das Kennwort für das Benutzerzertifikat ein. Danach wird die OpenVPN-Verbindung aufgebaut.
  
  
• Überwachung:
  Beobachten Sie das Verbindungsprotokoll, das Rückmeldungen zum Authentifizierungsprozess und zur Tunnelaufbauphase gibt.
  
  
• Erfolgreicher Aufbau:
  Sobald die Verbindung steht, sollte dies durch eine entsprechende Anzeige oder Benachrichtigung bestätigt werden.
  
  
  
  
• Fehlerbehebung:
  Notieren Sie eventuelle Fehlermeldungen, falls die Verbindung nicht zustande kommt. Wenden Sie sich damit an Ihren lokalen Netzwerkadministrator.
  
  
  
  Falls Sie beim Verbindungsaufbau eine Statusmeldung zur Namensauflösung via DNS erhalten, so kann dies die folgende Ursache haben:
  
  Der Rechner auf dem der Tunnelblick-OpenVPN-Client installiert wurde verfügt über mehrere und zur Zeit aktive Netzwerkverbindungen. Es könnte zum Beispiel vorkommen, dass der Rechner via LAN-Kabel am Netzwerk angeschlossen ist und zusätzlich via WLAN. In diesem Fall wird der LAN-interne DNS-Server verwendet, der der WLAN-Verbindung zugeordnet ist. Namensauflösungen für Ziele die durch den OpenVPN-Tunnel erreicht werden sollen würden fehlschlagen.
  
  Beenden Sie in diesem Fall die zusätzliche Netzverkverbindung und starten Sie danach den Tunnelblick-Client erneut. Es sollte jetzt ein DNS-Server zugewiesen werden der durch den OpenVPN-Tunnel erreicht wird. Für den Fall, dass die zuvor gezeigte Statusmeldung weiterhin angezeigt wird, wenden Sie sich bitte an Ihren Netzwerkadministrator.

• Serverseitige Voraussetzungen:
  Stellen Sie sicher, dass der VPN-Server die Multi-Faktor-Authentifizierung unterstützt und die entsprechenden Parameter in der Konfiguration hinterlegt sind.
  
  
• Verbindungsaufbau mit MFA:
  Starten Sie die Verbindung wie gewohnt.
  Sobald Sie zur Eingabe eines MFA-Codes aufgefordert wirst, geben Sie den von Ihrem Hardware-Token oder Ihrer Authenticator-App generierten Code ein.
  

Troubleshooting: Logdateien in der Client-Software

• Logansicht in Tunnelblick:
  Öffnen Sie die Log- oder Protokollansicht in Tunnelblick (meist über das Menü oder einen speziellen Button), um detaillierte Informationen zum Verbindungsaufbau zu erhalten.
  
  
• Typische Fehlermeldungen:
  
  • Achten Sie auf Meldungen wie "TLS Error", "AUTH_FAILED" oder Hinweise auf fehlgeschlagene Zertifikatprüfungen. Achten Sie ebenfalls auf Meldungen die auf das Hinzufügen von lokalen IP-Routen hinweisen. Diese müssen vorhanden sein, damit Datenpakete für die entfernten Ziel-IP-Netze durch den Tunnel gesendet werden. Ansonsten wird zwar die OpenVPN-Verbindung aufgebaut, es werden aber keine Datenpakete durch den Tunnel gesendet werden.
    
    Auszug aus einem Verbindungslog:
    2025-02-26 12:37:26.241065 /sbin/route add -net 192.168.1.0 10.10.10.5 255.255.255.0
    +----->                          add net 192.168.1.0: gateway 10.10.10.5
    |
    +----- Diese Route entspricht einem Eintrag in den veröffentlichten Netzen der OpenVPN-Server-Konfiguration.
    
    2025-02-26 12:37:26.258642 /sbin/route add -net 192.168.100.0 10.10.10.5 255.255.255.0
    +----->                           add net 192.168.100.0: gateway 10.10.10.5
    |
    +----- Diese Route entspricht einem Eintrag in den veröffentlichten Netzen der OpenVPN-Server-Konfiguration.
    
    2025-02-26 12:37:26.274558 /sbin/route add -net 10.10.10.1 10.10.10.5 255.255.255.255
    +----->                           add net 10.10.10.1: gateway 10.10.10.5
    |
    +----- Diese Route entspricht wird automatisch hinzugefügt und bezeichnet das Transfernetzwerk zwischen dem Tunnelblick-Client und dem OpenVPN-Server.
    
    
• Analyse:
  
  • Vergleichen Sie die Logeinträge mit den Konfigurationseinstellungen.
  • Überprüfen Sie, ob alle Zertifikate, Schlüssel und Parameter korrekt eingebunden sind.
  • Wenden Sie sich im Zweifelsfall an Ihren lokalen Netzwerkadministrator.

Format der Konfigurationsdatei

• Unterstützte Formate:
  
  • Tunnelblick arbeitet primär mit .ovpn-Dateien, kann aber auch .conf-Dateien verarbeiten, sofern sie dem OpenVPN-Standard entsprechen.
  
  
• Konfigurationsdatei:
  
  • Zur Konfiguration von Tunnelblick erhalten Sie von Ihrem Netzwerkadministrator eine vollständige Konfigurationsdatei. Diese enthält bereits alle erforderlichen Zertifikate und Konfigurationsparameter. Ein nachträglichen bearbeiten Dieser Datei ist normalerweise nicht erforderlich.

• Sichere Übertragung:
  
  • Sie sollten die Konfigurationsdateien über einen verschlüsselten Kanal an den externen Benutzer übermitteln, z. B. per verschlüsselter E-Mail, SFTP oder über einen geschützten Downloadbereich.
  
  
• Dokumentation:
  
  • Erstellen Sie eine ausführliche Anleitung, die den Benutzer Schritt für Schritt durch den Import und die Anpassung der Konfiguration führt.
  
  
• Benachrichtigung:
  
  • Informieren Sie den Benutzer über wichtige Sicherheitshinweise, wie den Umgang mit Zertifikaten und die Bedeutung der MFA.
  
  
• Support:
  
  • Bieten Sie Kontaktdaten oder Hinweise zu Ihrem eigenen technischen Support an, falls der Benutzer auf Probleme stößt. Ihr eigenes Support-Team kann Ihren Benutzer dann bestmöglich bei der Problemlösung unterstützen.
  
  
• Versionskontrolle:
  
  • Dokumentieren Sie, welche Version der Konfigurationsdateien übermittelt wurde, um bei späteren Anpassungen nachvollziehen zu können, welche Änderungen vorgenommen wurden.