Erklärung der Konfigurations-Parameter für Open-VPN und Wireguard des Securepoint Windows VPN-Clients 3.x
New in the wiki: 06.2026
notempty
This article refers to a Beta version
-
Open-VPN Konfiguration
| Option | Type | Required | Description | Example |
|---|---|---|---|---|
| ca | string (path or x509) | Yes | Certificate Authority |
|
| cert | string (path or x509) | Yes | Certificate |
|
| key | string (path or x509) | Yes | Key |
|
| remote | string | Yes | Name des Hosts oder IP-Adresse. Auf dem Client können zur Redundanz mehrere --remote-Optionen angegeben werden, die sich jeweils auf einen anderen Server beziehen | remote 1.2.3.4 1194 udp |
| tun-mtu Entweder Link- oder Tun-MTU, nicht beides möglich |
int | No | Die MTU (Maximum Transmission Units) ist die maximale Datagrammgröße in Bytes, die unfragmentiert über einen bestimmten Netzwerkpfad gesendet werden kann | tun-mtu 1500 |
| link-mtu Entweder Link- oder Tun-MTU, nicht beides möglich |
int | No | Setzt eine Obergrenze für die Größe von UDP-Paketen, die zwischen OpenVPN-Peers gesendet werden | link-mtu 1500 |
| verb | int | No | Ausführlichkeit der Ausgabe auf n setzen (Standard=1) | verb 1 |
| key-method | int | No | Nachdem OpenVPN eine TLS-Sitzung ausgehandelt hat, wird ein neuer Satz von Schlüsseln zum Schutz des Tunneldatenkanals erzeugt und über die TLS-Sitzung ausgetauscht. Die Key-Method muss auf beiden Seiten der Verbindung übereinstimmen | key-method 2 |
| connect-retry | int | No | Wartet die angegebene Zeit in Sekunden zwischen den Verbindungsversuchen (Standard=5). Wiederholte Wiederverbindungsversuche werden nach 5 Wiederholungsversuchen pro Gegenstelle verlangsamt, indem die Wartezeit nach jedem erfolglosen Versuch verdoppelt wird | connect-retry 5 |
| connect-retry-max | int | No | Die Zahl gibt an, wie oft jeder Eintrag --remote oder <connection> versucht wird. | connect-retry-max 5 |
| ping | int | No | Ping remote über den TCP/UDP-Kontrollkanal, wenn seit mindestens der angegebenen Zeit in Sekunden keine Pakete mehr gesendet wurden | ping 10 |
| ping-restart | int | No | einen SIGUSR1-Neustart auslösen, wenn die angegebene Zeit in Sekunden vergangen ist, ohne dass ein Ping oder ein anderes Paket von der Gegenstelle empfangen wird | ping-restart 10 |
| max-rekeying-time | int | No | Legt das maximale Intervall in Minuten zwischen den Vorgängen zur Schlüsselerneuerung fest | max-rekeying-time 30 |
| wakeup-time | int | No | Zeit, nachdem automatisch aus dem Hibernate-State aufgewacht werden soll, also der Tunnel wieder aufgebaut wird | wakeup-time 30 |
| push-continuation | int | No | Anzahl an verbleibenden push_replies | push-continuation 2 |
| resolve-retry | int | No | Wenn die Auflösung des Hostnamens bei --remote fehlschlägt, wird die Auflösung n Sekunden lang wiederholt, bevor sie fehlschlägt. Ist n auf "infinite" gesetzt, wird die Auflösung unbegrenzt wiederholt. Standardmäßig ist --resolv-retry infinite aktiviert. Über n=0 kann das deaktiviert werden | resolve-retry 60 |
| hibernate-time | int | No | Zeit, die vergehen muss, ohne dass Daten über den Tunnel gegangen sind, bis der Tunnel abgebaut wird | hibernate-time 60 |
| dev | string | No | TUN virtuelles Netzwerkgerät | dev tun |
| dev-type | string | No | Device-type sollte "tun" (OSI Layer 3) sein | dev-type tun |
| proto | string | No | proto gibt das Protokoll an, das für die Verbindung mit der Gegenstelle verwendet werden soll, und kann "tcp", "udp" (Dynamisch), "tcpv4", "udpv4" (Ausschließlich Ipv4), "udpv6" oder "tcpv6" (Ausschließlich Ipv6) sein | proto udp |
| cipher | string | No | Verschlüsselung von Datenkanalpaketen mit einem Verschlüsselungsalgorithmus | cipher AES-256-CBC |
| data-ciphers | string | No | Verschlüsselung von Datenkanalpaketen mit einem Verschlüsselungsalgorithmus | data-ciphers AES-256-GCM |
| auth | string | No | Authentifizierung von Datenkanalpaketen | auth SHA256 |
| auth-user-pass or inline | string | No | Authentifizierung beim Server mit Benutzername/Passwort |
|
| route-gateway | string | No | Gibt ein Standard-Gateway gw zur Verwendung mit --route an | route-gateway 1.2.3.4 |
| dhcp-option | string | No | Mit dieser Option können Sie zusätzliche TCP/IP-Eigenschaften des Adapters einstellen | dhcp-option DNS 1.2.3.4 |
| ifconfig | string | No | Stellt die Parameter des TUN-Adapters ein. l ist die IP-Adresse des lokalen VPN-Endpunkts. Bei TUN-Geräten im Punkt-zu-Punkt-Modus ist rn die IP-Adresse des remote VPN-Endpunkts | ifconfig l rn |
| ifconfig-ipv6 | string | No | IPv6-Adresse konfigurieren | ifconfig-ipv6 <local-ipv6> [<remote-ipv6>] |
| route | string | No | fügt eine Route zur Routing-Tabelle, nachdem die Verbindung hergestellt wurde. Es können mehrere Routen angegeben werden | route <netmask> <gateway> <metric> |
| route-ipv6 | string | No | IPv6-Routing im System einrichten, um das angegebene IPv6-Netzwerk in OpenVPNs tun zu schicken | route-ipv6 <netmask> <gateway> <metric> |
| redirect-gateway | string | No | Automatisches Ausführen von Routing-Befehlen, um den gesamten ausgehenden IP-Verkehr über den VPN umzuleiten | redirect-gateway def1 |
| tls-auth | string | No | Unterzeichnung jedes TLS-Kontrollkanalpakets mit einer HMAC-Signatur. Dies hat zur Folge, dass Pakete ohne korrekte Signatur sofort nach dem Empfang verworfen werden können, bevor sie die Chance haben, zusätzliche Systemressourcen zu verbrauchen |
|
| tls-crypt | string | No | TLS-Authentifizierung sichert den Steuerkanal, indem die Pakete mit einem gemeinsamen Gruppenschlüssel signiert und verifiziert werden. Sofern die vorab vereinbarten Schlüssel (Pre-Shared Keys) geheim gehalten werden, bietet dies Schutz vor Angriffen auf TLS-Ebene bei gleichzeitiger Post-Quanten-Resistenz. |
|
| remote-cert-tls | string | No | Beschränkt die Verbindung des Clients auf Zertifikate, die ausdrücklich für die Serverrolle ausgestellt wurden. | remote-cert-tls server |
| remote-cert-ku | string | No | Die Einstellung dient dem Schutz vor sogenannten Man-in-the-Middle-Angriffen (MitM). Sie zwingt OpenVPN dazu, zu überprüfen, ob das entfernte Zertifikat (z. B. des Servers) für einen bestimmten kryptografischen Zweck (Server- oder Client-Authentifizierung) ausgestellt wurde. | remote-cert-ku "Key Encipherment" |
| remote-cert-eku | string | No | remote-cert-eku überprüft die Erweiterung „Extended Key Usage“ (EKU) des Remote-Zertifikats und setzt das Vorhandensein eines bestimmten EKU-Werts (OID oder Name) voraus. | remote-cert-eku "TLS Web Server Authentication" |
Wireguard Konfiguration
| Option | Anzahl an Argumenten | Type | Required | Eingabeformat |
|---|---|---|---|---|
| PrivateKey | 1 | x25519 | Yes | Muss 44 Zeichen lang sein und mit einem "=" enden |
| PublicKey | 1 | x25519 | Yes | Muss 44 Zeichen lang sein und mit einem "=" enden |
| PresharedKey | 1 | x25519 | No | Muss 44 Zeichen lang sein und mit einem "=" enden |
| Endpoint | Min. 1 | IPs mit Port durch Kommata getrennt | Yes | <VALID IP>:<VALID PORT>, ... |
| Address | 1 | string | Yes | <GÜLTIGE IP>/(1-128) oder nur <GÜLTIGE IP> |
| AllowedIPs | Beliebig | Networkranges mit CIDR durch Kommata getrennt | No | <GÜLTIGE IP>/(1-128) bei IPv6 und <GÜLTIGE IP>/(1-32) bei IPv4 oder 0.0.0.0/0 bzw. ::/0 |
| DNS | Beliebig | IP-Adressen mit Kommata getrennt | No | <GÜLTIGE IP>, <GÜLTIGE IP>, ... |
| PersistendKeepalive | 1 | int, Legt das Zeitintervall in Sekunden fest, in dem kleine Datenpakete geschickt werden, um die Verbindung aufrecht zu erhalten | No | Muss größer als 0 sein |
| ListenPort | 1 | int | No | Muss zwischen 0 und 65536 liegen |
| MTU | 1 | int | No | Muss größer als 0 sein |