Seit über 15 Jahren bewährt im Hosting. Ihr VPS mit BeAdmin ist sofort einsatzbereit.
Deutschland
Niederlande
Schweden
Schweiz
Spanien
USA
OpenVPN. So funktioniert der Dienst
Das OpenVPN‑Modul im BeAdmin‑Panel baut ein VPN auf dem klassischen OpenVPN‑Protokoll auf — einem ausgereiften, bewährten Standard mit Authentifizierung über Zertifikate und einer eigenen PKI. Es läuft über UDP und TCP, einschließlich TCP auf Port 443, was es für Netze mit aggressiver UDP‑Filterung — etwa Unternehmensproxies — brauchbar macht.
Welches Problem OpenVPN löst
Anfang der 2000er stützten sich die verbreiteten VPN‑Protokolle (IPsec, PPTP, L2TP) auf eigene Protokollnummern und Modi, die Heimrouter und Unternehmensfirewalls regelmäßig blockierten. Die Einrichtung erforderte häufig Kernel‑Rechte, die nur dem Administrator zur Verfügung standen; der Tunnel kam mit NAT schlecht zurecht.
OpenVPN wurde auf gewöhnlichem TLS über einem normalen UDP‑ oder TCP‑Port konzipiert — auf denselben Primitiven, auf denen HTTPS läuft. Das Ergebnis ist ein VPN, das durch NAT‑Router hindurchkommt, bei Bedarf auf TCP 443 läuft und sich auf die allgemein vertraute X.509‑Infrastruktur (CA, Client‑Zertifikate, Sperrung) stützt. Über mehr als zwanzig Jahre hinweg sind diese Eigenschaften sein wesentliches Unterscheidungsmerkmal gegenüber neueren Protokollen geblieben.
Wie OpenVPN arbeitet
OpenVPN steht auf drei technischen Entscheidungen.
TLS über einen normalen UDP‑ oder TCP‑Port. Die Sitzung teilt sich in einen Steuerkanal und einen Datenkanal, die auf einem einzigen Socket gemultiplext werden. Der Steuerkanal ist ein echter TLS‑Handshake (wie bei HTTPS), er authentifiziert die Gegenstellen und handelt die Schlüssel aus. Der Datenkanal ist ein separater Strom AEAD‑verschlüsselter Pakete von einer virtuellen Schnittstelle. Auf Portebene ist das VPN von einer gewöhnlichen TLS‑Verbindung nicht zu unterscheiden.
Authentifizierung über Zertifikate. Der Server hat eine eigene Zertifizierungsstelle, jeder Client ein persönliches Zertifikat, das von dieser Stelle signiert ist. Die Sperrung eines Clients wird in die CRL eingetragen; der Server prüft die CRL bei jedem Verbindungsaufbau. Das beseitigt das Problem «ein kompromittierter Schlüssel — alle Nutzer in Gefahr».
HMAC‑Firewall vor TLS. Noch vor dem TLS‑Handshake selbst wird jedes Paket gegen einen separaten statischen Schlüssel geprüft: ohne gültige Signatur ignoriert der Server das Paket einfach, ohne Fehler und ohne Reset. Ein fremder Scanner auf diesem Port erhält keine einzige Antwort, solange er den Schlüssel nicht vorweist.
Was OpenVPN nicht kann
Es lohnt sich, ausdrücklich zu benennen, was OpenVPN nicht tut — häufige Erwartungen, die dieses Protokoll nicht abdeckt.
- Es tarnt den Verkehr nicht gegen aggressive Zensur. Der TLS‑Handshake des Steuerkanals hat eine erkennbare Struktur; die HMAC‑Firewall verbirgt nur die Metadaten des ersten Pakets, nicht die Tatsache einer OpenVPN‑Sitzung in einem langlaufenden Strom. DPI‑Systeme mit aktivem Probing erkennen OpenVPN statistisch. Für solche Netze braucht es Xray mit HTTPS‑Tarnung oder Amnezia mit Handshake‑Tarnung über WireGuard.
- Es ist nicht schlank. Der TLS‑Handshake belegt mehrere Runden zwischen Client und Server, die Codebasis ist um Größenordnungen umfangreicher als die von WireGuard. Auf mobilen Clients ist der Unterschied bei Akkuverbrauch und Verbindungsaufbauzeit spürbar.
- Es ist nicht roaming‑freundlich. Ein Wechsel der Client‑IP mitten in der Sitzung trennt die Verbindung und erzwingt einen neuen TLS‑Handshake. Der Nutzer sieht eine kurze Neuverbindung. WireGuard verkraftet dasselbe Ereignis lautlos.
- Nur TUN und nur IPv4 in unserer Implementierung. Das Modul arbeitet auf der L3‑Schnittstelle
tunund bedient IPv4‑Verkehr. Der L2‑Modus (tap) und IPv6 werden inBeAdminnicht unterstützt. Die ChiffreAES-256-GCMist fest verdrahtet und lässt sich über die Oberfläche nicht ändern. - Es macht VPN nicht legal. Wenn die Nutzung eines VPNs in Ihrer Rechtsordnung eingeschränkt oder verboten ist, ändert OpenVPN daran nichts.
OpenVPN in BeAdmin
Das OpenVPN‑Modul in BeAdmin wird mit einem Klick installiert. Das Panel bereitet die Zertifizierungsstelle, das Serverzertifikat und die Protokollparameter selbst vor und gibt anschließend jedem Nutzer ein persönliches, von dieser Stelle signiertes Zertifikat aus. Konfigurationsdateien bearbeiten oder mit der Kommandozeile arbeiten ist nicht nötig.
Für jeden Nutzer erzeugt das Panel eine fertige .ovpn‑Verbindungsdatei mit eingebetteten Schlüsseln und Zertifikaten. Die Datei wird aus dem Panel heruntergeladen oder dem Nutzer per E‑Mail zugeschickt. Der Client importiert die .ovpn in die App OpenVPN Connect — verfügbar für Windows, macOS, Linux, Android und iOS — oder in einen beliebigen kompatiblen OpenVPN‑Client.
Was der Server braucht: einen gewöhnlichen VPS oder eine physische Maschine. Auf containerbasierten Servern (LXC, OpenVZ ohne vollständige Virtualisierung) startet das Modul nicht — vollständiger Zugriff auf den Netzwerk‑Stack ist erforderlich. Aktuelle Ubuntu‑ und Debian‑Versionen werden unterstützt.
Wann OpenVPN die richtige Wahl ist
OpenVPN ist die richtige Wahl, wenn:
- Das Netz nur TCP durchlässt — Unternehmensproxies, Hotel‑WLAN, Bildungsnetze. OpenVPN ist eines der wenigen VPNs, das regulär über TCP arbeitet (einschließlich Port
443); die meisten modernen Protokolle können das nicht. - Kompatibilität mit dem breitestmöglichen Client‑Ökosystem gebraucht wird. Die App OpenVPN Connect und kompatible Clients gibt es auf allen aktuellen Plattformen und auf vielen älteren Systemen, auf denen andere VPN‑Clients noch nicht verfügbar sind.
- Ein Deployment, in dem X.509‑PKI bereits läuft und sich das VPN in ein bestehendes Zertifikatsmodell einfügen soll. OpenVPN verwendet denselben Zertifikatstyp wie Webserver; ein paralleles Schlüsselsystem ist nicht nötig.
OpenVPN ist nicht passend, wenn:
- Das Netz OpenVPN‑Verkehr aktiv blockiert oder sondiert (staatliches DPI mit Probing). Nehmen Sie Xray mit HTTPS‑Tarnung oder Amnezia mit Handshake‑Tarnung über WireGuard.
- Akku‑Schonung und ein schneller Handshake auf mobilen Clients wichtig sind. WireGuard ist leichter und schneller — der Unterschied zeigt sich beim Verbindungsaufbau und im Akkuverbrauch auf langen Sitzungen.
- Ein «ein Tipp»‑Erlebnis für den Endnutzer gebraucht wird. Outline hat einen einfacheren Schlüsselimport (ein Link, ein QR); WireGuard hat in vielen Betriebssystemen einen eingebauten Client. OpenVPN erfordert den Import der
.ovpn‑Datei.
Im Zweifel — installieren Sie OpenVPN in BeAdmin und testen Sie es kostenfrei.
Falls Sie noch keinen Server haben, können Sie diesen bei unseren Partnern bestellen — sie bieten virtuelle und dedizierte Server mit vorinstalliertem BeAdmin‑Panel an.
Europäische Stabilität und Einfachheit. Starten Sie BeAdmin zusammen mit dem VPS per Klick.
- Deutschland
- Niederlande
- Schweden
Estland
Rumänien- Schweiz
- Spanien
'%3e%3cpath%20fill='%2300008b'%20d='M0%200h384v256H0z'/%3e%3cpath%20stroke='%23fff'%20stroke-width='42'%20d='m1.914-.001%20382.086%20256m-382.086%200L384-.001'/%3e%3cpath%20stroke='red'%20stroke-width='14'%20d='M5.437%200%20192%20122M378.563%200%20192%20122M5.437%20256%20192%20134m186.563%20122L192%20134'/%3e%3cpath%20fill='%23fff'%20d='M157.787-.001h68.359v256h-68.359z'/%3e%3cpath%20fill='%23fff'%20d='M-.067%2093.999H384v68H-.067z'/%3e%3cpath%20fill='red'%20d='M384%20107.789H211.862V-.001h-39.724l.001%20107.79H0v40.419h172.139v107.79h39.723v-107.79H384z'/%3e%3c/g%3e%3c/svg%3e)
Großbritannien- USA
Wie geht es weiter
- OpenVPN‑Schnellstart — Installation des Moduls und erste Verbindung.
- OpenVPN. Modul verwalten — Dienstverwaltung und Aktualisierungen.
- OpenVPN. Benutzer verwalten — Zugänge ausgeben und entziehen, Benutzer vorübergehend ohne Neuimport deaktivieren.