Die Webserver-Verwaltung Plesk bietet die Möglichkeit, mit OpenVPN eine gesicherte Verbindung zum Server aufzubauen. Ist diese eingerichtet, kann der Administrator Dienste wie den Zugriff per SSH so einschränken, dass sie nur noch über die VPN-Verbindung erreichbar ist. Das hält Hacker fern und trägt zur Sicherheit des Serverbetriebs bei. Problematisch wird es nur, wenn mehrere Server gleichzeitig per SSH verwaltet werden sollen. Dann muss die Verbindung so eingerichtet werden, dass der Windows-Client nicht durcheinander kommt.

OpenVPN mit GUI einrichten

  1. Der erste Schritt ist die Einrichtung des OpenVPN-GUI. Plesk bietet zwar ein Windows-Client-Paket an, dieses erlaubt den Verbindungsaufbau aber nur über die unkomfortable Kommandozeile. Unter https://openvpn.net/index.php/open-source/downloads.html steht ein installer-Paket für Windows Vista und folgende zur Verfügung, das das OpenVPN-GUI enthält und mitinstalliert. Installieren Sie das komplette Paket.
  2. Der Windows-Installer richtet eine einzige virtuelle Netzwerkkarte für den VPN-Zugriff ein. Da wir aber für jeden Server eine eigene virtuelle Netzwerkkarte benötigen, müssen für die weiteren Server zusätzliche Netzwerkkarten installiert werden. Dafür gibt es auf der Download-Seite von OpenVPN.net einen NDIS 6-Installer für Windows. Laden Sie diesen herunter und installieren Sie ihn. Nach der Installation findet sich im Installationsverzeichnis (standardmäßig C:\Programme\TAP-Windows) im Unterverzeichnis /bin das Skript addtap.bat. Führen Sie es so oft mit Administratorrechten (rechte Maustaste -> Als Administrator ausführen) aus, wie sie gleichzeitige Serververbindungen benötigen. Die zusätzlichen virtuellen Netzwerkkarten werden Ihnen dann im Windows-Gerätemanager unter "Netzwerkkarten" als "TAP-Windows Adapter V9 #2", "TAP-Windows Adapter V9 #3" usw. angezeigt.

Plesk-Server konfigurieren

  1. Rufen Sie die VPN-Konfiguration für ihren ersten Plesk-Server unter Erweiterungen -> Meine Erweiterungen auf:
  2. Wenn Ihr VPN noch nicht konfiguriert ist, landen Sie sofort in den Einstellungen. Wenn es schon einmal konfiguriert wurde, müssen Sie einmal auf die Schaltfläche "Einstellungen" klicken:
  3. In den Einstellungen müssen Sie Ports und IP-Adressen festlegen, z.B. in der folgenden Form:

      Server 1 Server 2 Server 3 Server 4
    Remote-UDP-Port 1191 1192 1193 1194
    Lokaler UDP-Port 1191 1192 1193 1194
    Lokale Peer-Adresse 172.16.1.1 172.16.2.1 172.16.3.1 172.16.4.1
    Remote-Peer-Adresse 172.16.1.2 172.16.2.2 172.16.3.2 172.16.4.2

    Wichtig ist, dass jeder Server einen individuellen Port und individuelle IP-Adressen benutzt.
    Bestätigen Sie die Einrichtung mit "OK"

  4. Zum Schluss müssen Sie das VPN auf dem Server noch aktivieren, bzw. einmal deaktivieren und wieder aktivieren, um die Konfiguration anzuwenden:

Führen Sie diese Konfiguration einmal auf jedem Server durch.

OpenVPN auf dem Windows-Client konfigurieren

  1. Zum Verbindungsaufbau benötigt das OpenVPN-GUI für jeden Server eine Konfigurationsdatei und einen Verbindungsschlüssel. Beide sind im Kunden-Paket für einen Windows-Client enthalten. Laden Sie das Paket vom ersten Server herunter und entpacken Sie es in ein temporäres Verzeichnis.

  2. Das Paket enthält ein Unterverzeichnis "system" mit den benötigten Dateien. Benennen Sie die Schlüsseldatei "vpn-key" in "server1.vpn-key" um, damit die Schlüsseldateien der anderen Server diese später nicht überschreiben.
  3. Ändern Sie in der Datei openvpn.conf die Zeile "secret system/vpn-key" in "secret server1.vpn-key" um und speichern Sie die Datei ab.
  4. Benennen Sie die Datei openvpn.conf in server1.ovpn um.
  5. Kopieren Sie die Dateien server1.vpn-key und server1.ovpn in das Config-Verzeichnis der OpenVPN-Installation (standardmäßig C:\Programme\OpenVPN\config).
  6. Führen Sie die Schritte 1-5 entsprechend für die anderen Server aus.

VPN-Verbindung aufbauen

Im System-Tray finden Sie das OpenVPN-GUI. Dort ist nun für jeden Server (genau genommen jede .ovpn-Datei) ein Eintrag zum Verbinden oder Trennen:

Plesk-Firewall konfigurieren

In der Plesk-Firewall können nun die Regeln so angepasst werden, dass der Zugriff nur noch per VPN möglich ist. Dazu darf der Zugriff nur noch von der jeweiligen Remote-Peer-Adresse zugelassen werden. Dies geschieht durch die Aktion "Von ausgewählten Quellen zulassen, von anderen verweigern" und der Eintragung des passenden Netzwerks (172.16.1.0/30, 172.16.2.0/30 usw.) als Quelle.

Vorrangig bieten sich hier der SSH-Server und der Ping-Dienst an, sofern nur der Admin Zugriff per SSH hat. Auch den Zugriff von außen auf den Datenbankserver MySQL lässt sich, sofern er nicht komplett gesperrt werden kann, auf diese Weise absichern.

 

Wenn Sie das volle Potential von Plesk nutzen möchten, bietet sich eine Schulung bei hueddersen.de an. Unser 3-tägiges Plesk-Seminar führt Sie sicher in die Verwaltung von Webservern mit Plesk ein. Mehr Infos unter https://www.hueddersen.de/schulung/plesk.

 

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Weitere Informationen Ok