Die Dr. Herbert Consult GmbH gibt heute die erste öffentliche Alpha-Version ihres Open-Source-VPN-Clients dhc-vpn-client für Windows frei. Das Projekt richtet sich an alle, die regelmäßig auf VPN-Gateways auf Cisco-IOS- oder Cisco-ASA-Basis zugreifen und dabei mit dem Windows-eigenen RAS-Client an Cipher-Inkompatibilitäten, EKU-/SAN-Prüfungen oder NAT-Traversal-Quirks scheitern.
Was es ist
- IKEv2-VPN-Client für Windows, auf Basis von strongSwan
- Qt6-GUI mit Profilen, System-Tray und DPAPI-geschütztem Passwortspeicher
- MSI-Installer, Windows-Service-Integration, automatische Firewall-Regeln
- Lizenz: GPL-2.0-or-later
Für die Technik-Interessierten
Der Windows-Port von strongSwan ist laut offizieller Doku nicht als Road-Warrior-Client einsetzbar — zwei konkrete Lücken stehen dem im Weg:
kernel-iphkann keine virtuellen IPs auf einen Tunnel-Adapter installieren.- Der Windows-NAT-T-Demux schluckt eingehende ESP-in-UDP-Pakete, bevor strongSwans charon sie sehen kann.
dhc-vpn-client schließt beide Lücken über ein eigenes Plugin kernel-wintun: virtuelle IP und Routing über den Wintun-TUN-Treiber (aus dem WireGuard-Projekt), Inbound-ESP-Capture über WinDivert vor dem Windows-internen UDP/4500-Demux. Outbound nutzt unverändert strongSwans Standard-Socket. Der Tunnel ist verifiziert gegen Cisco IOS-XE mit Cert-Authentifizierung, NAT-T und ESP/AES-256/SHA-256.
Hinweis zur Code-Signatur
Die Alpha-Builds sind aktuell nicht Authenticode-signiert; Windows SmartScreen wird daher beim ersten Start warnen. Über die mitgelieferten SHA256-Sidecar-Dateien lässt sich die Integrität der Downloads vor der Ausführung prüfen — Details zum Vorgehen sind im Benutzerhandbuch dokumentiert. Mittelfristig ist die Signatur über Azure Trusted Signing oder die SignPath-Foundation geplant.
Download und Quellcode
- Release: v0.1.0-alpha1 auf GitHub
- Repository: github.com/dhc-labs/dhc-vpn-client
- Benutzerhandbuch: docs/USER_GUIDE.md
Feedback, Bug-Reports und Pull Requests sind willkommen über die GitHub-Issues des Projekts.