Pritunl VPN auf Ubuntu 24.04 installieren und konfigurieren

Pritunl ist eine quelloffene VPN-Lösung, die mehrere Protokolle wie OpenVPN und WireGuard unterstützt. Über eine übersichtliche Weboberfläche lassen sich Organisationen, Benutzer, Server und Client-Konfigurationen verwalten. Pritunl übernimmt das Weiterleiten des VPN-Verkehrs, führt NAT automatisch aus und erstellt SSL-Zertifikate über Let’s Encrypt, sodass VPN-Clients sichere TLS-geschützte Verbindungen herstellen können.

Dieser Leitfaden erklärt, wie Pritunl auf Ubuntu 24.04 installiert und eingerichtet wird. Zusätzlich wird gezeigt, wie neue Server, Organisationen und Benutzer erstellt werden, wie OpenVPN-kompatible Clientprofile erzeugt werden und wie Verbindungen über den VPN-Server aktiviert werden.

Voraussetzungen

Bevor du beginnst:

• Du benötigst Zugriff auf einen Ubuntu 24.04-Server mit einem nicht-root Benutzer und sudo-Rechten.
• Erstelle einen Domain-A-Record, der auf die öffentliche IP zeigt, z. B. pritunlvpn.example.com.

Pritunl installieren

Pritunl befindet sich nicht in den Standard-Repositorys von Ubuntu 24.04 und benötigt mehrere Komponenten wie MongoDB, OpenVPN und WireGuard. MongoDB speichert Verwaltungsdaten, während OpenVPN und WireGuard für VPN-Verbindungen erforderlich sind. Folge den Schritten, um alle Abhängigkeiten sowie Pritunl zu installieren.

APT-Paketlisten aktualisieren.

$ sudo apt update

Systempakete aktualisieren.

$ sudo apt upgrade -y

Das Paket gnupg installieren, um Repository-Schlüssel zu verifizieren.

$ sudo apt install gnupg -y

MongoDB 8.0 Repository hinzufügen.

$ sudo tee /etc/apt/sources.list.d/mongodb-org.list << EOF
deb [ signed-by=/usr/share/keyrings/mongodb-server-8.0.gpg ] https://repo.mongodb.org/apt/ubuntu noble/mongodb-org/8.0 multiverse
EOF

OpenVPN Repository hinzufügen.

$ sudo tee /etc/apt/sources.list.d/openvpn.list << EOF
deb [ signed-by=/usr/share/keyrings/openvpn-repo.gpg ] https://build.openvpn.net/debian/openvpn/stable noble main
EOF

Pritunl Repository hinzufügen.

$ sudo tee /etc/apt/sources.list.d/pritunl.list << EOF
deb [ signed-by=/usr/share/keyrings/pritunl.gpg ] https://repo.pritunl.com/stable/apt noble main
EOF

GPG-Schlüssel für MongoDB, OpenVPN und Pritunl importieren.

$ curl -fsSL https://www.mongodb.org/static/pgp/server-8.0.asc | sudo gpg -o /usr/share/keyrings/mongodb-server-8.0.gpg --dearmor --yes
$ curl -fsSL https://swupdate.openvpn.net/repos/repo-public.gpg | sudo gpg -o /usr/share/keyrings/openvpn-repo.gpg --dearmor --yes
$ curl -fsSL https://raw.githubusercontent.com/pritunl/pgp/master/pritunl_repo_pub.asc | sudo gpg -o /usr/share/keyrings/pritunl.gpg --dearmor --yes

Repository-Änderungen anwenden.

$ sudo apt update

MongoDB, OpenVPN und WireGuard installieren.

$ sudo apt install mongodb-org openvpn wireguard wireguard-tools -y

Pritunl installieren.

$ sudo apt install pritunl -y

Installierte Pritunl-Version anzeigen.

$ pritunl version

Beispielausgabe:

pritunl v1.32.4278.46

Pritunl Systemdienst verwalten

Führe die folgenden Schritte aus, um den Pritunl-Dienst über systemd zu steuern.

Pritunl beim Systemstart aktivieren.

$ sudo systemctl enable pritunl

Beispielausgabe:

Created symlink /etc/systemd/system/multi-user.target.wants/pritunl.service → /etc/systemd/system/pritunl.service.

Pritunl-Dienst starten.

$ sudo systemctl start pritunl

Status des Pritunl-Dienstes überprüfen.

$ sudo systemctl status pritunl

Ausgabeauszug:

● pritunl.service – Pritunl Daemon
Active: active (running)

Pritunl benötigt MongoDB zur Speicherung der Verwaltungsdaten. Aktiviere MongoDB beim Booten.

$ sudo systemctl enable mongod

MongoDB starten.

$ sudo systemctl start mongod

Pritunl konfigurieren

Pritunl unterstützt mehrere VPN-Protokolle wie OpenVPN und WireGuard, die über das Webinterface eingerichtet werden können. Die folgenden Schritte zeigen, wie eine Setup-Key erzeugt und Zugriff auf die Webkonsole ermöglicht wird.

Pritunl-Dienststatus erneut prüfen.

$ sudo systemctl status pritunl

Setup-Key für die Ersteinrichtung generieren.

$ sudo pritunl setup-key

Der erzeugte Schlüssel ist ein einmaliger Token zur Initialisierung der Webkonsole:

ef5e2ae11293466daba9c20d12cfc50e

Port 80 für Let’s Encrypt-Validierungen freigeben.

$ sudo ufw allow 80/tcp

Port 443 für Zugriff auf die Weboberfläche freigeben.

$ sudo ufw allow 443/tcp

Firewall-Regeln anwenden.

$ sudo ufw reload

Firewall-Status prüfen.

$ sudo ufw status

Öffnen der Loginseite im Browser über die Server-IP:

http://YOUR-SERVER-IP

SSL-Warnung bestätigen, um auf die Loginseite zu gelangen.

Setup-Key in der Webkonsole eingeben und MongoDB-URI prüfen.

Anschließend Default-Passwort erzeugen:

$ sudo pritunl default-password

Beispieldaten:

username: pritunl
password: i8g1JLkZQmdl

Login-Seite öffnen:

http://YOUR-SERVER-IP/login

Nach Login ein starkes neues Passwort setzen und Domain wie pritunlvpn.example.com im Let’s Encrypt-Feld eintragen.

Zugriff auf die Pritunl Webkonsole

Pritunl nutzt drei zentrale Elemente zur VPN-Organisation:

• Server: VPN-Endpunkt für OpenVPN/WireGuard, inklusive Routing und Verschlüsselung.
• Organisation: Verwaltungseinheit mit eigener CA für Zertifikate.
• User: VPN-Nutzerprofil mit individuellem Zertifikat.

Webkonsole aufrufen:

https://pritunlvpn.example.com

Mit Admin-Daten anmelden.

Neuen Server erstellen

In der Navigation Servers auswählen und Add Server klicken.

Angaben ausfüllen (Name, DNS-Server, Port, Protokoll, Netzwerkbereich) und speichern.

Nach erfolgreicher Erstellung erscheint die Meldung Successfully added server.

Um den Server zu starten, muss zuerst eine Organisation angelegt werden.

Organisation anlegen

Unter Users → Add Organization eine neue Organisation benennen und hinzufügen.

Danach die Organisation über Servers → Attach Organization dem Server zuweisen.

Nun kann der Server gestartet werden.

VPN-Benutzer erstellen

Um neue Benutzerprofile für VPN-Verbindungen einzurichten, folge diesen Schritten:

Unter Users auf Add User klicken.

Den gewünschten Benutzernamen eingeben und die passende Organisation auswählen.

E-Mail-Adresse des Benutzers eintragen und einen sicheren PIN für die VPN-Authentifizierung setzen.

Mit Add speichern. Der Benutzer erscheint nun in der Organisation.

Zum Herunterladen des Benutzerprofils auf Download Profile klicken. Dies speichert ein Archiv auf dem lokalen Rechner.

Alternativ lässt sich über Link ein öffentlicher Downloadlink bereitstellen, den der Benutzer verwenden kann, um sein Profil mit einem Pritunl-Client herunterzuladen.

Pritunl VPN-Server absichern

Um den VPN-Server zu schützen, solltest du die aktiven Firewall-Regeln prüfen und sicherstellen, dass alle benötigten Ports freigegeben sind.

In der Webkonsole unter Servers die Serverprofile anzeigen, um Ports und Protokolle einzusehen.

Terminal öffnen und Firewallstatus überprüfen:

$ sudo ufw status

Erforderlichen VPN-Port freigeben, z. B. 12800/udp:

$ sudo ufw allow 12800/udp

UFW neu laden:

$ sudo ufw reload

Firewallregeln erneut prüfen:

$ sudo ufw status

Hinweis: Jeder Pritunl-Server kann einen individuellen Port verwenden. Daher sollte für jedes Serverprofil unter Servers → Server überprüft werden, welcher Port für Verbindungen freigegeben werden muss.

Pritunl VPN-Server testen

Pritunl unterstützt verschiedene Clientanwendungen wie den Pritunl Client, OpenVPN Connect oder die WireGuard-App, abhängig vom verwendeten VPN-Protokoll. Die folgenden Schritte zeigen, wie ein Benutzerprofil heruntergeladen und mit dem Pritunl Client verbunden wird.

Im Webinterface ein Benutzerprofil herunterladen.

Pritunl VPN Client auf dem Gerät installieren (Windows, macOS oder Linux).

Pritunl Client öffnen und im oberen Menü auf Import klicken.

Die heruntergeladene .tar-Datei auswählen und importieren:

Browse Profile → Archiv wählen → Import.

Nach dem Import Benutzer- und Serverinformationen prüfen und auf Connect klicken.

Bei Aufforderung den PIN des Benutzers eingeben, um die VPN-Verbindung zu authentifizieren.

Statusinformationen und Traffic-Daten im Client überwachen.

Mithilfe eines IP-Checkers sicherstellen, dass die öffentliche IP nun die IP des VPN-Servers widerspiegelt.

In der Pritunl Webkonsole unter Users kontrollieren, ob sich der Status des Benutzers von Offline zu Online geändert hat.

VPN-Benutzer widerrufen

Um einem Benutzer den Zugriff zu entziehen, öffne in der Webkonsole den Menüpunkt Users.

Den gewünschten Benutzer auswählen.

Oben rechts auf Delete Selected klicken.

Damit wird das Benutzerprofil samt Zertifikat widerrufen und der Zugriff auf den VPN-Server entfernt.

Fazit

In diesem Leitfaden wurde gezeigt, wie Pritunl auf Ubuntu 24.04 installiert und ein vollständiger VPN-Server eingerichtet wird. Pritunl bietet eine benutzerfreundliche Weboberfläche, mit der sich Server, Organisationen und Benutzer effizient verwalten lassen. Benutzerprofile können sowohl mit OpenVPN als auch mit WireGuard genutzt werden, abhängig von der gewählten Serverkonfiguration. Weitere Informationen sind in der offiziellen Pritunl-Dokumentation verfügbar.