Andreb (Diskussion | Beiträge) Die Seite wurde neu angelegt: „{{Set_lang}} {{:VPN/VPN-Client/Config.lang}} {{#vardefine:headerIcon|spicon-securepoint-vpn-client}} {{var | neu--Artikel | Neu im Wiki | New in the wiki }} </div><div class="new_design"></div>{{TOC2}}{{Select_lang}} {{Header|06.2026|new=true }} ---- == {{#var:Open-VPN Konfiguration}} == {|class="sptable2 pd5" ! {{#var:Option}} !! {{#var:Typ}} !! {{#var:Notwendig}} !! {{#var:desc}} !! style="min-width: 20em;" | {{#var:Beispiel}} |- | ca || {{#var:Stri…“ |
Andreb (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
||
| Zeile 6: | Zeile 6: | ||
{{var | neu--Artikel | Neu im Wiki | New in the wiki }} | {{var | neu--Artikel | Neu im Wiki | New in the wiki }} | ||
</div><div class="new_design"></div>{{TOC2}}{{Select_lang}} | </div><div class="new_design"></div>{{TOC2}}<!--{{Select_lang}}--> | ||
{{Header|06.2026|new=true | {{Header|06.2026|new=true | ||
}} | }} | ||
Aktuelle Version vom 19. Juni 2026, 14:24 Uhr
Erklärung der Konfigurations-Parameter für Open-VPN und Wireguard des Securepoint Windows VPN-Clients 3.x
Neu im Wiki: 06.2026
notempty
Dieser Artikel bezieht sich auf eine Beta-Version
-
Open-VPN Konfiguration
| Option | Typ | Notwendig | Beschreibung | Beispiel |
|---|---|---|---|---|
| ca | string (Pfad oder x509) | Ja | Certificate Authority |
|
| cert | string (Pfad oder x509) | Ja | Certificate |
|
| key | string (Pfad oder x509) | Ja | Key |
|
| remote | string | Ja | Name des Hosts oder IP-Adresse. Auf dem Client können zur Redundanz mehrere --remote-Optionen angegeben werden, die sich jeweils auf einen anderen Server beziehen | remote 1.2.3.4 1194 udp |
| tun-mtu Entweder Link- oder Tun-MTU, nicht beides möglich |
int | Nein | Die MTU (Maximum Transmission Units) ist die maximale Datagrammgröße in Bytes, die unfragmentiert über einen bestimmten Netzwerkpfad gesendet werden kann | tun-mtu 1500 |
| link-mtu Entweder Link- oder Tun-MTU, nicht beides möglich |
int | Nein | Setzt eine Obergrenze für die Größe von UDP-Paketen, die zwischen OpenVPN-Peers gesendet werden | link-mtu 1500 |
| verb | int | Nein | Ausführlichkeit der Ausgabe auf n setzen (Standard=1) | verb 1 |
| key-method | int | Nein | Nachdem OpenVPN eine TLS-Sitzung ausgehandelt hat, wird ein neuer Satz von Schlüsseln zum Schutz des Tunneldatenkanals erzeugt und über die TLS-Sitzung ausgetauscht. Die Key-Method muss auf beiden Seiten der Verbindung übereinstimmen | key-method 2 |
| connect-retry | int | Nein | Wartet die angegebene Zeit in Sekunden zwischen den Verbindungsversuchen (Standard=5). Wiederholte Wiederverbindungsversuche werden nach 5 Wiederholungsversuchen pro Gegenstelle verlangsamt, indem die Wartezeit nach jedem erfolglosen Versuch verdoppelt wird | connect-retry 5 |
| connect-retry-max | int | Nein | Die Zahl gibt an, wie oft jeder Eintrag --remote oder <connection> versucht wird. | connect-retry-max 5 |
| ping | int | Nein | Ping remote über den TCP/UDP-Kontrollkanal, wenn seit mindestens der angegebenen Zeit in Sekunden keine Pakete mehr gesendet wurden | ping 10 |
| ping-restart | int | Nein | einen SIGUSR1-Neustart auslösen, wenn die angegebene Zeit in Sekunden vergangen ist, ohne dass ein Ping oder ein anderes Paket von der Gegenstelle empfangen wird | ping-restart 10 |
| max-rekeying-time | int | Nein | Legt das maximale Intervall in Minuten zwischen den Vorgängen zur Schlüsselerneuerung fest | max-rekeying-time 30 |
| wakeup-time | int | Nein | Zeit, nachdem automatisch aus dem Hibernate-State aufgewacht werden soll, also der Tunnel wieder aufgebaut wird | wakeup-time 30 |
| push-continuation | int | Nein | Anzahl an verbleibenden push_replies | push-continuation 2 |
| resolve-retry | int | Nein | Wenn die Auflösung des Hostnamens bei --remote fehlschlägt, wird die Auflösung n Sekunden lang wiederholt, bevor sie fehlschlägt. Ist n auf "infinite" gesetzt, wird die Auflösung unbegrenzt wiederholt. Standardmäßig ist --resolv-retry infinite aktiviert. Über n=0 kann das deaktiviert werden | resolve-retry 60 |
| hibernate-time | int | Nein | Zeit, die vergehen muss, ohne dass Daten über den Tunnel gegangen sind, bis der Tunnel abgebaut wird | hibernate-time 60 |
| dev | string | Nein | TUN virtuelles Netzwerkgerät | dev tun |
| dev-type | string | Nein | Device-type sollte "tun" (OSI Layer 3) sein | dev-type tun |
| proto | string | Nein | proto gibt das Protokoll an, das für die Verbindung mit der Gegenstelle verwendet werden soll, und kann "tcp", "udp" (Dynamisch), "tcpv4", "udpv4" (Ausschließlich Ipv4), "udpv6" oder "tcpv6" (Ausschließlich Ipv6) sein | proto udp |
| cipher | string | Nein | Verschlüsselung von Datenkanalpaketen mit einem Verschlüsselungsalgorithmus | cipher AES-256-CBC |
| data-ciphers | string | Nein | Verschlüsselung von Datenkanalpaketen mit einem Verschlüsselungsalgorithmus | data-ciphers AES-256-GCM |
| auth | string | Nein | Authentifizierung von Datenkanalpaketen | auth SHA256 |
| auth-user-pass oder inline | string | Nein | Authentifizierung beim Server mit Benutzername/Passwort |
|
| route-gateway | string | Nein | Gibt ein Standard-Gateway gw zur Verwendung mit --route an | route-gateway 1.2.3.4 |
| dhcp-option | string | Nein | Mit dieser Option können Sie zusätzliche TCP/IP-Eigenschaften des Adapters einstellen | dhcp-option DNS 1.2.3.4 |
| ifconfig | string | Nein | Stellt die Parameter des TUN-Adapters ein. l ist die IP-Adresse des lokalen VPN-Endpunkts. Bei TUN-Geräten im Punkt-zu-Punkt-Modus ist rn die IP-Adresse des remote VPN-Endpunkts | ifconfig l rn |
| ifconfig-ipv6 | string | Nein | IPv6-Adresse konfigurieren | ifconfig-ipv6 <local-ipv6> [<remote-ipv6>] |
| route | string | Nein | fügt eine Route zur Routing-Tabelle, nachdem die Verbindung hergestellt wurde. Es können mehrere Routen angegeben werden | route <netmask> <gateway> <metric> |
| route-ipv6 | string | Nein | IPv6-Routing im System einrichten, um das angegebene IPv6-Netzwerk in OpenVPNs tun zu schicken | route-ipv6 <netmask> <gateway> <metric> |
| redirect-gateway | string | Nein | Automatisches Ausführen von Routing-Befehlen, um den gesamten ausgehenden IP-Verkehr über den VPN umzuleiten | redirect-gateway def1 |
| tls-auth | string | Nein | Unterzeichnung jedes TLS-Kontrollkanalpakets mit einer HMAC-Signatur. Dies hat zur Folge, dass Pakete ohne korrekte Signatur sofort nach dem Empfang verworfen werden können, bevor sie die Chance haben, zusätzliche Systemressourcen zu verbrauchen |
|
| tls-crypt | string | Nein | TLS-Authentifizierung sichert den Steuerkanal, indem die Pakete mit einem gemeinsamen Gruppenschlüssel signiert und verifiziert werden. Sofern die vorab vereinbarten Schlüssel (Pre-Shared Keys) geheim gehalten werden, bietet dies Schutz vor Angriffen auf TLS-Ebene bei gleichzeitiger Post-Quanten-Resistenz. |
|
| remote-cert-tls | string | Nein | Beschränkt die Verbindung des Clients auf Zertifikate, die ausdrücklich für die Serverrolle ausgestellt wurden. | remote-cert-tls server |
| remote-cert-ku | string | Nein | Die Einstellung dient dem Schutz vor sogenannten Man-in-the-Middle-Angriffen (MitM). Sie zwingt OpenVPN dazu, zu überprüfen, ob das entfernte Zertifikat (z. B. des Servers) für einen bestimmten kryptografischen Zweck (Server- oder Client-Authentifizierung) ausgestellt wurde. | remote-cert-ku "Key Encipherment" |
| remote-cert-eku | string | Nein | remote-cert-eku überprüft die Erweiterung „Extended Key Usage“ (EKU) des Remote-Zertifikats und setzt das Vorhandensein eines bestimmten EKU-Werts (OID oder Name) voraus. | remote-cert-eku "TLS Web Server Authentication" |
Wireguard Konfiguration
| Option | Anzahl an Argumenten | Typ | Notwendig | Eingabeformat |
|---|---|---|---|---|
| PrivateKey | 1 | x25519 | Ja | Muss 44 Zeichen lang sein und mit einem "=" enden |
| PublicKey | 1 | x25519 | Ja | Muss 44 Zeichen lang sein und mit einem "=" enden |
| PresharedKey | 1 | x25519 | Nein | Muss 44 Zeichen lang sein und mit einem "=" enden |
| Endpoint | Min. 1 | IPs mit Port durch Kommata getrennt | Ja | <VALID IP>:<VALID PORT>, ... |
| Address | 1 | string | Ja | <GÜLTIGE IP>/(1-128) oder nur <GÜLTIGE IP> |
| AllowedIPs | Beliebig | Networkranges mit CIDR durch Kommata getrennt | Nein | <GÜLTIGE IP>/(1-128) bei IPv6 und <GÜLTIGE IP>/(1-32) bei IPv4 oder 0.0.0.0/0 bzw. ::/0 |
| DNS | Beliebig | IP-Adressen mit Kommata getrennt | Nein | <GÜLTIGE IP>, <GÜLTIGE IP>, ... |
| PersistendKeepalive | 1 | int, Legt das Zeitintervall in Sekunden fest, in dem kleine Datenpakete geschickt werden, um die Verbindung aufrecht zu erhalten | Nein | Muss größer als 0 sein |
| ListenPort | 1 | int | Nein | Muss zwischen 0 und 65536 liegen |
| MTU | 1 | int | Nein | Muss größer als 0 sein |