Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Veilig surfen via een eigen VPN-server

Door: Koen Vervloesem | 10 september 2014 12:05

None
How To

Inhoudsopgave

  1. Inleiding
  2. pagina 2
  3. pagina 3

Veilig surfen op internet kun je door een VPN-verbinding (Virtual Private Network) te gebruiken. Daar schakel je bepaalde VPN-diensten voor in, maar het is ook mogelijk je eigen server op te zetten. Wij leggen uit hoe.

Let op: het opzetten en configureren van een eigen VPN-server is minder eenvoudig dan deel 1 van deze cursus waar we laten zien hoe je gebruikmaakt van een VPN-dienst. We beschouwen dit tweede deel van de cursus als expertcursus, waarbij het handig is als de gebruiker iets meer technisch onderlegd is.

Zelf een VPN-server opzetten

Een andere mogelijkheid is om, in plaats van een VPN-dienst, zelf een VPN-server in te stellen op je computer. Of op je NAS, router of een apparaatje zoals de Raspberry Pi. Er zijn wel enkele voorwaarden om zo'n opstelling goed te laten werken. Allereerst moet het apparaat waarop je de server installeert een statisch IP-adres hebben, zodat de clients gemakkelijk toegang tot de server krijgen.

Vervolgens moet je in je router 'port forwarding' instellen: je moet al het netwerkverkeer dat op de netwerkpoort van het gebruikte VPN-protocol binnenkomt omleiden naar het apparaat waarop je VPN-server staat. Zonder port forwarding heb je van buiten je thuisnetwerk immers geen toegang tot een server in je netwerk.

En wil je voor je eigen VPN-verbinding een gemakkelijk te onthouden domeinnaam gebruiken in plaats van het (zo nu en dan wisselende) IP-adres van je internetverbinding? Activeer dan op je router iets dat dynamic DNS (DDNS) heet.

Pas als aan deze drie voorwaarden (statisch IP-adres, port forwarding en dynamic DNS) voldaan is, zal de VPN-verbinding soepel verlopen. Het loont de moeite om eerst in de handleiding van je router op te zoeken hoe je dit allemaal doet en om te controleren of je router misschien zelfs in staat is om zelfstandig als VPN-server te fungeren. Zo ja, dan is je router het beste VPN-apparaat dat je kunt kiezen, want dan hoef je niets extra's te installeren en heb je geen aparte port forwarding nodig. Er bestaat ook een opensource-firmware die je op veel routers kunt installeren, genaamd DD-WRT, die een ingebouwde VPN-server bevat. Op veel NAS-apparaten kun je een VPN-server installeren als extra module. En ook op een Raspberry Pi (of een andere Linux-computer) kun je een VPN-server installeren, zoals OpenVPN.

Ook op je NAS kun je een VPN-server installeren.

Een apparaat binnen je bedrijfsnetwerk kan pas als VPN-server voor apparaten buitenaf werken met port forwarding.

OpenVPN-server in Windows

Windows 7 en 8 hebben een VPN-server ingebouwd, maar die gebruikt het protocol PPTP (Point-to-Point Tunneling Protocol), dat zoals gezegd niet meer zo veilig is. Hoewel dit het meest ondersteunde protocol is op allerlei platformen, verkiezen we een veiliger oplossing, al is die wat moeilijker te installeren en te configureren: OpenVPN. Open deze link je browser en download van deze pagina het Windows-installatieprogramma van OpenVPN. Controleer wel eerst of je een 32- of 64bit-versie van Windows hebt en kies dezelfde versie van OpenVPN om te downloaden.

Het installatieprogramma start een wizard die je in enkele stappen door de installatie loodst. Vink in het venster Choose components zeker OpenVPN RSA Certificate Management Scripts aan. En kies in het venster erna voor de locatie C:\OpenVPN in plaats van de standaardlocatie, dat vermijdt een aantal problemen bij de configuratie. Is de installatie eenmaal aan de gang, dan vraagt Windows op een bepaald moment of je de installatie van een virtuele-netwerkdriver wilt toestaan. Bevestig die vraag door op Installeren te klikken.

Installeer de OpenVPN-server op Windows.

Certificaten

Nu moeten we OpenVPN nog configureren en certificaten aanmaken. Dat doen we met een serie commando's die nauwkeurig ingevoerd moeten worden, maar we nemen ze stap voor stap met je door.

Ga in Windows naar Start / Alle programma's / Bureau-accessoires / Opdrachtprompt (of open Start en tik cmd.exe en druk op Enter). Wellicht ten overvloede: alle commando's die je achter de opdrachtprompt intikt, sluit je af met een druk op de Enter. Typ achter de opdrachtprompt het commando cd C:\OpenVPN\easy-rsa in en druk dan op Enter (vanaf nu noemen we die Enters niet meer expliciet). Initialiseer de configuratie daarna met het commando init-config. Open het bestand vars.bat met het Kladblok via het commando notepad vars.bat. Vul in dit tekstbestand je gegevens in achter de regels met KEY_COUNTRY (landcode, bijvoorbeeld NL), KEY_PROVINCE (provincie), KEY_CITY (stad), KEY_ORG (bedrijf of organisatie, maar hier mag je willekeurig wat invullen) en KEY_EMAIL (een geldig e-mailadres). Verander ook dat wat achter HOME staat in C:\OpenVPN\easy-rsa. Sla het bestand op en sluit Kladblok af. In het Opdrachtprompt-venster voer nu je één voor één de opdrachten vars en clean-all uit.

We gaan vervolgens een certificaat en sleutel aanmaken (voor de 'certificate authority' (CA), maar dit mag je vergeten). Dat begint met de opdracht build-ca. Er wordt je gevraagd om een aantal zaken in te geven, zoals de lettercode van je land, je provincie, je organisatie enzovoort. De meeste gegevens heb je al in het bestand vars.bat ingevuld en die worden hier dan ook als standaardwaarde getoond. Met een druk op Enter neem je ze aan. Vul bij Common Name je naam in.

Maak daarna een certificaat en sleutel voor de server aan met het commando build-key-server server. Accepteer weer dezelfde standaardwaardes als in de alinea hierboven, maar vul bij Common Name deze keer server in. Achter de vragen voor een challenge password en een company name hoeft je niets antwoorden, geef gewoon een druk op Enter waardoor het antwoord leeg blijft. Op de vraag Sign the certificate? antwoord je bevestigend met een druk op de Y-toets (yes), evenals op de vraag erna.

Maak nu voor elke client een certificaat en sleutel aan met het commando build-key client1, waarbij client1 de naam van de client is (dat kan bijvoorbeeld de naam van de pc zijn of van een mobiel apparaat zijn). Accepteer weer dezelfde standaardwaardes en vul bij Common Name deze keer de naam van de client in, bijvoorbeeld client1. Antwoord voor de rest hetzelfde als bij het aanmaken van het certificaat en de sleutel voor de server. Herhaal dit nu voor alle apparaten waarmee je met het VPN wilt verbinden en zorg dat je voor elk apparaat een unieke naam voor het certificaat gebruikt. Als laatste voer je nog het commando build-dh uit om de encryptie voor de VPN-verbinding op te zetten.

Certificaten aanmaken gebeurt in de opdrachtprompt van Windows.

3 Reacties op: Veilig surfen via een eigen VPN-server

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • 1 jaar, 9 maanden geleden
    Zeer interessant en duidelijk artikel. PPTP wordt al minder veilig genoemd, oe geldt dat voor L2TP/IPSEC?

    mvg, Gerard
    Wanneer je een reactie plaatst ga je akoord
    met onze voorwaarden voor reacties.
  • 1 jaar, 7 maanden geleden
    Ik mis eigenlijk de volgende 'waarschuwing'; zeker omdat ik niet echt IT specialist ben. Maar mij toch dit realiseerde. Mogelijk realiseren anderen zich dit niet:

    LET OP: wat je vanaf de VPN server naar ‘buiten’ doet is nog steeds zichtbaar voor derden inclusief het IP adres waar vanaf de (‘jouw’) VPN server het Web opgaat !!!
    Dit artikel gaat om de mogelijkheid te creëren om vanaf een externe locatie eerst een ‘veilige’ VPN verbinding te realiseren naar jouw eigen VPN server om vanaf ‘daar’ (vanaf jouw VPN server) het Web op te gaan.
    Wanneer je een reactie plaatst ga je akoord
    met onze voorwaarden voor reacties.
  • 1 jaar, 4 maanden geleden
    En als je nu gewoon thuis achter je pc zit en een verbinding maakt met je eigen VPN router (via internet) is dan ook alles ge-encrypted? Of stuur je dan eerst alles ongecodeerd naar je VPN via het internet?
    Wanneer je een reactie plaatst ga je akoord
    met onze voorwaarden voor reacties.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.