PiVPN installiert OpenVPN auf dem Raspberry Pi

© Gennady Kireev, 123RF

Tunnelbauer

Ein Virtual Private Network schützt Ihre Daten vor neugierigen Blocken Dritter. PiVPN übernimmt dabei das Einrichten und Managen von OpenVPN.

Der Begriff Virtuelles Privates Netzwerk, kurz VPN, fällt seit ein paar Jahren immer wieder im Kontext von Arbeitnehmern im Home-Office, als Abhilfe gegen Zensur im Internet, als Schutzwall beim Filesharing oder ganz allgemein bei Geeks, die sich mithilfe von VPN-Tunnels durch das Internet graben.

Bei den einen geht es darum, sich sicher ins Netzwerk des Arbeitgebers einzuklinken, die anderen versuchen trotz Sperren kritisch Nachrichten zu lesen oder erhoffen sich mehr Anonymität im Netz. Viel Anwender mögen den Sinn eines VPN nicht auf den ersten Blick erkennen, doch es gibt viele Fälle, in denen ein verschlüsselter Pfad ins eigene Netz durchaus nützlich ist.

So nutzen viele Reisende während einer Fahrt mit dem ICE gerne das seit Anfang des Jahres kostenlose WLAN der Bahn [1]. Die Bahn setzt öffentliche Hotspots ein, in die Sie sich ohne eine Verschlüsselung einbuchen. Das macht die Bahn zum Betreiber, eröffnet dem Unternehmen aber gleichzeitig die Möglichkeit, sich in den Datenstrom einzuklinken.

Die Bahn trennt zwar mittels sogenannter IP Client Isolation das WLAN auf [2], was verhindert, dass die einzelnen Geräte im Netz miteinander kommunizieren. Das hindert jedoch einen Angreifer nicht daran, einfach nur die virtuellen Ohren aufzusperren und den unverschlüsselt durch den Äther laufenden Datenverkehr mitzuschneiden [3].

Warum ein VPN-Zugang?

Die Bahn selbst rät daher, nur verschlüsselte Webseiten aufzurufen, also solche mit einem https:// vor dem Domainnamen. Google, Facebook und viele andere leiten inzwischen automatisch auf eine solche sichere Webseite um. Kleine Betreiber, etwa viele der in Deutschland beliebten Foren, bieten allerdings erst gar keine SSL-Verschlüsselung an.

Selbst bei Anwendungen am Computer oder Apps am Smartphone ist es nicht immer klar, wie diese mit Diensten im Internet kommunizieren. Dabei kommt es auf den Entwickler an: Sicherheit setzt voraus, dass er sauber arbeitet und das Programm so schreibt, dass es Daten nur verschlüsselt überträgt. Sie als Anwender sind meist nicht in der Lage, das zu kontrollieren.

Mit einem VPN-Zugang sichern Sie sich nun in einem öffentlichen Netzwerk oder bei der Einwahl über einen Hotspot ab: Der Computer (das umfasst auch Smartphones und Tablets) verbindet sich bei einem VPN über einen verschlüsselte Tunnel mit einem entsprechenden Server, der dann als Ausgangspunkt dient.

So leitet das System sämtliche Daten (egal, ob diese an sich verschlüsselt sind) bis zu diesem sicher durch das Netz. Im Fall des ICE-WLANs gelingt es weder der Bahn als Anbieter noch anderen Fahrgästen, die Kommunikation abzuhören oder gar in sie einzugreifen. Derselbe VPN-Zugang sichert dann zusätzlich gegen unerwünschte Lauscher im WLAN eines Hotels oder Internet-Cafés ab.

Auf der anderen Seite bietet ein VPN-Zugang in die eigenen vier Wände auch ganz praktischen Nutzen: Indem Sie sich von unterwegs ins eigene Netzwerk einklinken, erhalten Sie Zugriff auf alle Dienste im heimischen Netz. Legen Sie Ihre Daten etwa auf der Netzwerkfreigabe eines NAS-Geräts ab, dann haben Sie von überall Zugriff darauf, selbst auf Reisen – ganz, wie es Unternehmen mit ihren Mitarbeitern im Home-Office machen. Dabei brauchen Sie nur das VPN gesondert zu konfigurieren. Alle anderen Diensten bleiben geschützt hinter dem Router verborgen.

RasPi als VPN-Server

Nun gibt es nicht nur eine bestimmte VPN-Art: Es existieren kommerzielle wie freie Implementationen eines virtuellen Zugangs zum Netzwerk. In der Welt der freien Software gilt jedoch OpenVPN [4] als De-facto-Standard. Entsprechende Server wie Clients gibt es für so gut wie jedes gängige Betriebssystem, darunter für Android und iOS auf Smartphones und Tablets.

Falls Sie nun einen Router verwenden, der keine VPN-Option besitzt oder zu dem Ihnen für das gewünschte Gerät ein entsprechender Client fehlt, stellen Sie im LAN mit einem RasPi einen kostengünstigen VPN-Server auf. Die dabei entstehende Last fällt relativ gering aus. Von daher eignet sich für dieses Projekt eigentlich jede RasPi-Variante, von der ersten Generation bis hin zum Raspberry Pi 3.

Das Skript PiVPN [5] nimmt Ihnen dabei einen Großteil der Arbeit ab: Es installiert ausgehend von einem aktuellen Raspbian-System den OpenVPN-Server und konfiguriert automatisch das System. Die Webseite des Projekts empfiehlt, das Skript direkt über Curl zu starten. Aus Sicherheitsgründen erscheint es jedoch ratsam, es vorab herunterzuladen (etwa mit Wget) und dann von Hand auszuführen (Listing 1).

Listing 1

 

$ wget https://install.pivpn.io -O pivpn.sh
$ chmod +x pivpn.sh
$ ./pivpn.sh

Das Skript lädt zuerst alle anstehenden Updates über die Paketverwaltung auf das System und spielt auf demselben Weg OpenVPN ein (Abbildung 1). Die Konfiguration des Diensts erfolgt im weiteren Verlauf über eine textbasierte Ncurses-Oberfläche. Das System benötigt nun eine statische IP-Adresse; das Skript bietet an, die aktuellen Einstellungen für das Netzwerk (die in der Regel vom WLAN-Router kommen) zu übernehmen oder diese noch weiter anzupassen.

Abbildung 1: Die Installation von PiVPN erfolgt über ein Skript, das OpenVPN mitsamt den Werkzeugen zum Verwalten installiert.

Außerdem wählen Sie den Nutzer aus, der die VPN-Einstellungen verwaltet (üblicherweise pi) und aktivieren anschließend die automatische Installation der von Raspbian bereitgestellten Sicherheitsupdates. Danach wählen Sie das Protokoll (im Normalfall UDP) sowie den Port (die Vorgabe ist hier 1194) aus.

Von UDP als Protokoll sollten Sie in der Regel nicht abweichen. Wählen Sie einen anderen Port, hat dies keine Konsequenzen. Dann liegt es nur an Ihnen, sich zu erinnern, dass Ihr VPN von der Port-Empfehlung abweicht. Das Port-Forwarding (siehe Kasten "Port-Weiterleitung") passen Sie entsprechend an. PiVPN berücksichtigt den hier gesetzten Port später beim Erstellen von Zertifikaten und schreibt ihn direkt in die daraus resultierende Konfigurationsdatei.

Port-Weiterleitung

Möchten Sie einen Server wie OpenVPN hinter einem WLAN-Router betreiben, funktioniert das in der Regel nicht. Der Router trennt per NAT (Network Adress Translation) das interne Netzwerk vom Internet. Über eine Port-Weiterleitung sorgen Sie jedoch dafür, dass Sie Dienste auf einem Server in den eigenen vier Wänden aus dem Internet erreichen. Dazu leiten Sie gezielt Anfragen an die Internet-IP des Routers auf zuvor konfigurierte Ports (etwa Port 80/TCP für HTTP oder Port 443/TCP für HTTPS) an den jeweiligen Host im LAN weiter.

Für PiVPN schleifen Sie nun Port 1194/UDP an die IP-Adresse des Raspberry Pi durch. Des Weiteren sollten Sie den Router so konfigurieren, dass er dem RasPi immer dieselbe IP-Adresse zuweist. Im selben Schritt bietet es sich an, eine DynDNS-Adresse einzurichten. Konsultieren Sie dazu die Dokumentation des Routers.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Raspberry Pi Geek kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Ionas-RasPi-Server mit Cockpit 3.0

    Bei vielen Geräten liefert der Hersteller höchstens noch ein kurzes Faltblatt als Anleitung mit – wenn überhaupt. Ionas vertreibt seinen RasPi-Server hingegen mit individuellem Support beim Einrichten und Konfigurieren der angeschlossenen Clients.

  • Der Raspberry Pi als VPN-Gateway mit Access Point

    Mit ein wenig Know-how verwandeln Sie im Handumdrehen einen Raspberry Pi in ein abgesichertes System mit integriertem VPN-Gateway für die Geräte in Ihrem heimischen Netz.

  • Der Ionas-Server auf Basis eines Raspberry Pi

    Mit dem Raspberry Pi lässt sich schnell ein günstiger und stromsparender Server aufbauen. Scheuen Sie den Aufwand oder trauen Sie sich das Aufsetzen von Server und Clients nicht zu, dann bekommen Sie mit dem Ionas-Server Hardware und Support aus einer Hand.

  • Aktuelle Software im Kurztest

    Mit Gadmin-Samba 0.2.9 stellen Sie Dateifreigaben für Windows-Rechner bereit, ohne dazu umständlich per Editor Konfigurationsdateien bearbeiten zu müssen.Auf dem RasPi spielt der leichtgewichtige Webserver Lighttpd 1.4.31 seine Qualitäten voll aus. Er bietet alle wichtigen Funktionen, wird von vielen CMS unterstützt und benötigt nur minimale Systemressourcen.Mit Sslh 1.13 bündeln Sie alle wichtigen Dienste für eine sichere Kommunikation hinter einem einzigen Port. Das spart Konfigurationsarbeit an der heimischen Firewall und hebelt die Beschränkungen vieler Provider aus.Der leistungsfähige Netzwerk-Manager Wicd 1.7.2.4 lässt sich intuitiv bedienen und erlaubt damit das schnelle und unkomplizierte Konfigurieren von Netzwerkverbindungen aller Art.

  • eBlocker 2 filtert aggressive Anzeigen und Tracker

    Filter und Werbeblocker einzurichten ist besonders auf Smartphones aufwendig. Den eBlocker hingegen schließen Sie einfach nur an Ihren Router an.

Aktuelle Ausgabe

10/2019
Raspberry Pi 4B

Diese Ausgabe als PDF kaufen

Preis € 9,99
(inkl. 19% MwSt.)

Stellenmarkt

Neuigkeiten

  • Sonnige Zeiten

    UV-Strahlung ist für das menschliche Auge unsichtbar, was sie umso gefährlicher macht. Die Höhe der tatsächlichen Belastung verrät Ihnen das Selbstbauprojekt UV-Sensor.

  • Gut verpackt

    Für das Ansteuern kleiner Displays gibt es keine Programme von der Stange. Mit Python und einer Pygame-Bibliothek erstellen Sie trotzdem im Handumdrehen Anwendungen.

  • Macro-Mini-Micro-Bit

    Was dem Raspberry Pi für die Computerwelt gelungen ist, versucht der BBC Micro:bit für Mikrocontroller zu wiederholen. Das für Schüler entwickelte Kit hilft beim Einstieg in die hardwarenahe Programmierung.

  • Vorhang auf

    Mit dem modernen Video-Codec HEVC (H.265) erstellte Filme spielen bisherige RasPi-Modelle oft nur ruckelnd ab. Wir testen, ob der neue Raspberry Pi 4B das besser kann.

  • Überraschung!

    Eine optimierte Architektur und mehr RAM beschleunigen den RasPi 4B deutlich. Wir prüfen, wie gut sich der Neuling als Desktop-Rechner schlägt.

  • Durchgestartet

    Ein Stresstest zeigt, wie sich der neue Raspberry Pi 4 Modell B gegenüber den älteren Modellen abhebt.

  • Vierte Generation

    Eine schnellere CPU, USB 3.0 und Gigabit-Ethernet sind nur die Highlights des Raspberry Pi 4B: Das Board bringt viele weitere Neuerungen mit.

  • Tiefenmesser

    Um die Pumpe in einem Brunnenschacht möglichst genau zu positionieren, brauchen Sie dessen Tiefe. Die ermitteln Sie mithilfe eines präzisen Messgeräts aus einem Luftdrucksensor und einem Mikrocontroller.

  • Faktencheck

    Das via DVB-T2 ausgestrahlte Digital-TV liefert Bilder in HD-Qualität. Der dabei eingesetzte H.265-Standard überfordert allerdings kleine Mini-Rechner wie den Raspberry Pi – oder geht es doch?

  • Zugriff von außen

    React Native erlaubt es, Apps mit wenigen Zeilen Code zu programmieren. Mit einem entsprechenden Server sprechen Sie so den RasPi vom Smartphone aus an.