PiVPN installiert OpenVPN auf dem Raspberry Pi

© Gennady Kireev, 123RF

Tunnelbauer

Ein Virtual Private Network schützt Ihre Daten vor neugierigen Blocken Dritter. PiVPN übernimmt dabei das Einrichten und Managen von OpenVPN.

Der Begriff Virtuelles Privates Netzwerk, kurz VPN, fällt seit ein paar Jahren immer wieder im Kontext von Arbeitnehmern im Home-Office, als Abhilfe gegen Zensur im Internet, als Schutzwall beim Filesharing oder ganz allgemein bei Geeks, die sich mithilfe von VPN-Tunnels durch das Internet graben.

Bei den einen geht es darum, sich sicher ins Netzwerk des Arbeitgebers einzuklinken, die anderen versuchen trotz Sperren kritisch Nachrichten zu lesen oder erhoffen sich mehr Anonymität im Netz. Viel Anwender mögen den Sinn eines VPN nicht auf den ersten Blick erkennen, doch es gibt viele Fälle, in denen ein verschlüsselter Pfad ins eigene Netz durchaus nützlich ist.

So nutzen viele Reisende während einer Fahrt mit dem ICE gerne das seit Anfang des Jahres kostenlose WLAN der Bahn [1]. Die Bahn setzt öffentliche Hotspots ein, in die Sie sich ohne eine Verschlüsselung einbuchen. Das macht die Bahn zum Betreiber, eröffnet dem Unternehmen aber gleichzeitig die Möglichkeit, sich in den Datenstrom einzuklinken.

Die Bahn trennt zwar mittels sogenannter IP Client Isolation das WLAN auf [2], was verhindert, dass die einzelnen Geräte im Netz miteinander kommunizieren. Das hindert jedoch einen Angreifer nicht daran, einfach nur die virtuellen Ohren aufzusperren und den unverschlüsselt durch den Äther laufenden Datenverkehr mitzuschneiden [3].

Warum ein VPN-Zugang?

Die Bahn selbst rät daher, nur verschlüsselte Webseiten aufzurufen, also solche mit einem https:// vor dem Domainnamen. Google, Facebook und viele andere leiten inzwischen automatisch auf eine solche sichere Webseite um. Kleine Betreiber, etwa viele der in Deutschland beliebten Foren, bieten allerdings erst gar keine SSL-Verschlüsselung an.

Selbst bei Anwendungen am Computer oder Apps am Smartphone ist es nicht immer klar, wie diese mit Diensten im Internet kommunizieren. Dabei kommt es auf den Entwickler an: Sicherheit setzt voraus, dass er sauber arbeitet und das Programm so schreibt, dass es Daten nur verschlüsselt überträgt. Sie als Anwender sind meist nicht in der Lage, das zu kontrollieren.

Mit einem VPN-Zugang sichern Sie sich nun in einem öffentlichen Netzwerk oder bei der Einwahl über einen Hotspot ab: Der Computer (das umfasst auch Smartphones und Tablets) verbindet sich bei einem VPN über einen verschlüsselte Tunnel mit einem entsprechenden Server, der dann als Ausgangspunkt dient.

So leitet das System sämtliche Daten (egal, ob diese an sich verschlüsselt sind) bis zu diesem sicher durch das Netz. Im Fall des ICE-WLANs gelingt es weder der Bahn als Anbieter noch anderen Fahrgästen, die Kommunikation abzuhören oder gar in sie einzugreifen. Derselbe VPN-Zugang sichert dann zusätzlich gegen unerwünschte Lauscher im WLAN eines Hotels oder Internet-Cafés ab.

Auf der anderen Seite bietet ein VPN-Zugang in die eigenen vier Wände auch ganz praktischen Nutzen: Indem Sie sich von unterwegs ins eigene Netzwerk einklinken, erhalten Sie Zugriff auf alle Dienste im heimischen Netz. Legen Sie Ihre Daten etwa auf der Netzwerkfreigabe eines NAS-Geräts ab, dann haben Sie von überall Zugriff darauf, selbst auf Reisen – ganz, wie es Unternehmen mit ihren Mitarbeitern im Home-Office machen. Dabei brauchen Sie nur das VPN gesondert zu konfigurieren. Alle anderen Diensten bleiben geschützt hinter dem Router verborgen.

RasPi als VPN-Server

Nun gibt es nicht nur eine bestimmte VPN-Art: Es existieren kommerzielle wie freie Implementationen eines virtuellen Zugangs zum Netzwerk. In der Welt der freien Software gilt jedoch OpenVPN [4] als De-facto-Standard. Entsprechende Server wie Clients gibt es für so gut wie jedes gängige Betriebssystem, darunter für Android und iOS auf Smartphones und Tablets.

Falls Sie nun einen Router verwenden, der keine VPN-Option besitzt oder zu dem Ihnen für das gewünschte Gerät ein entsprechender Client fehlt, stellen Sie im LAN mit einem RasPi einen kostengünstigen VPN-Server auf. Die dabei entstehende Last fällt relativ gering aus. Von daher eignet sich für dieses Projekt eigentlich jede RasPi-Variante, von der ersten Generation bis hin zum Raspberry Pi 3.

Das Skript PiVPN [5] nimmt Ihnen dabei einen Großteil der Arbeit ab: Es installiert ausgehend von einem aktuellen Raspbian-System den OpenVPN-Server und konfiguriert automatisch das System. Die Webseite des Projekts empfiehlt, das Skript direkt über Curl zu starten. Aus Sicherheitsgründen erscheint es jedoch ratsam, es vorab herunterzuladen (etwa mit Wget) und dann von Hand auszuführen (Listing 1).

Listing 1

 

$ wget https://install.pivpn.io -O pivpn.sh
$ chmod +x pivpn.sh
$ ./pivpn.sh

Das Skript lädt zuerst alle anstehenden Updates über die Paketverwaltung auf das System und spielt auf demselben Weg OpenVPN ein (Abbildung 1). Die Konfiguration des Diensts erfolgt im weiteren Verlauf über eine textbasierte Ncurses-Oberfläche. Das System benötigt nun eine statische IP-Adresse; das Skript bietet an, die aktuellen Einstellungen für das Netzwerk (die in der Regel vom WLAN-Router kommen) zu übernehmen oder diese noch weiter anzupassen.

Abbildung 1: Die Installation von PiVPN erfolgt über ein Skript, das OpenVPN mitsamt den Werkzeugen zum Verwalten installiert.

Außerdem wählen Sie den Nutzer aus, der die VPN-Einstellungen verwaltet (üblicherweise pi) und aktivieren anschließend die automatische Installation der von Raspbian bereitgestellten Sicherheitsupdates. Danach wählen Sie das Protokoll (im Normalfall UDP) sowie den Port (die Vorgabe ist hier 1194) aus.

Von UDP als Protokoll sollten Sie in der Regel nicht abweichen. Wählen Sie einen anderen Port, hat dies keine Konsequenzen. Dann liegt es nur an Ihnen, sich zu erinnern, dass Ihr VPN von der Port-Empfehlung abweicht. Das Port-Forwarding (siehe Kasten "Port-Weiterleitung") passen Sie entsprechend an. PiVPN berücksichtigt den hier gesetzten Port später beim Erstellen von Zertifikaten und schreibt ihn direkt in die daraus resultierende Konfigurationsdatei.

Port-Weiterleitung

Möchten Sie einen Server wie OpenVPN hinter einem WLAN-Router betreiben, funktioniert das in der Regel nicht. Der Router trennt per NAT (Network Adress Translation) das interne Netzwerk vom Internet. Über eine Port-Weiterleitung sorgen Sie jedoch dafür, dass Sie Dienste auf einem Server in den eigenen vier Wänden aus dem Internet erreichen. Dazu leiten Sie gezielt Anfragen an die Internet-IP des Routers auf zuvor konfigurierte Ports (etwa Port 80/TCP für HTTP oder Port 443/TCP für HTTPS) an den jeweiligen Host im LAN weiter.

Für PiVPN schleifen Sie nun Port 1194/UDP an die IP-Adresse des Raspberry Pi durch. Des Weiteren sollten Sie den Router so konfigurieren, dass er dem RasPi immer dieselbe IP-Adresse zuweist. Im selben Schritt bietet es sich an, eine DynDNS-Adresse einzurichten. Konsultieren Sie dazu die Dokumentation des Routers.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Raspberry Pi Geek kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Ionas-RasPi-Server mit Cockpit 3.0

    Bei vielen Geräten liefert der Hersteller höchstens noch ein kurzes Faltblatt als Anleitung mit – wenn überhaupt. Ionas vertreibt seinen RasPi-Server hingegen mit individuellem Support beim Einrichten und Konfigurieren der angeschlossenen Clients.

  • Der Raspberry Pi als VPN-Gateway mit Access Point

    Mit ein wenig Know-how verwandeln Sie im Handumdrehen einen Raspberry Pi in ein abgesichertes System mit integriertem VPN-Gateway für die Geräte in Ihrem heimischen Netz.

  • Der Ionas-Server auf Basis eines Raspberry Pi

    Mit dem Raspberry Pi lässt sich schnell ein günstiger und stromsparender Server aufbauen. Scheuen Sie den Aufwand oder trauen Sie sich das Aufsetzen von Server und Clients nicht zu, dann bekommen Sie mit dem Ionas-Server Hardware und Support aus einer Hand.

  • Aktuelle Software im Kurztest

    Mit Gadmin-Samba 0.2.9 stellen Sie Dateifreigaben für Windows-Rechner bereit, ohne dazu umständlich per Editor Konfigurationsdateien bearbeiten zu müssen.Auf dem RasPi spielt der leichtgewichtige Webserver Lighttpd 1.4.31 seine Qualitäten voll aus. Er bietet alle wichtigen Funktionen, wird von vielen CMS unterstützt und benötigt nur minimale Systemressourcen.Mit Sslh 1.13 bündeln Sie alle wichtigen Dienste für eine sichere Kommunikation hinter einem einzigen Port. Das spart Konfigurationsarbeit an der heimischen Firewall und hebelt die Beschränkungen vieler Provider aus.Der leistungsfähige Netzwerk-Manager Wicd 1.7.2.4 lässt sich intuitiv bedienen und erlaubt damit das schnelle und unkomplizierte Konfigurieren von Netzwerkverbindungen aller Art.

  • eBlocker 2 filtert aggressive Anzeigen und Tracker

    Filter und Werbeblocker einzurichten ist besonders auf Smartphones aufwendig. Den eBlocker hingegen schließen Sie einfach nur an Ihren Router an.

Aktuelle Ausgabe

12/2019
RasPi-Alternativen

Diese Ausgabe als PDF kaufen

Preis € 9,99
(inkl. 19% MwSt.)

Stellenmarkt

Neuigkeiten

  • Grußbotschaften

    Mit Sonic Pi zaubern Sie komplexe Sounds, die Sie bei Bedarf sogar noch während des Abspielens modifizieren.

  • Das Runde und das Eckige

    Mit dem MCP4725 ergänzen Sie einen RasPi um einem D/A-Wandler, der bei Bedarf noch weitere Funktionen erfüllt.

  • Alles unter Kontrolle

    Schon ein einfaches Mikrocontrollerboard wie das CY8CKIT-049-42xx bietet erstaunlich viele Möglichkeiten beim Ansteuern von Hardware.

  • Viele Kerne

    Das Spresense Development Board von Sony lässt sich mit der Arduino IDE programmieren und bringt auch ein eigenes Entwickler-SDK mit.

  • Exotische Früchte

    Der aus China stammende Orange Pi positioniert sich mit einem guten Preis und interessanten Features gegen die RasPi-Truppe. Kann er sich auch behaupten?

  • Flexibler Surfer

    Mit dem neuen RasPi 4 setzen Sie einen öffentlichen Webkiosk schnell und kostengünstig auf.

  • Auskunftsfreudig

    Viele Devices, so auch der E.ON-Aura-Controller, verwenden eine Schnittstelle namens REST, um Zustandsdaten zu übermitteln. Mit ein wenig Bastelei lesen Sie diese auch über Ihr Smartphone aus.

  • Doppelt gemessen

    Mit wenig Aufwand und einem Pi Zero realisieren Sie einen mobilen Zweikanal-Spannungsprüfer.

  • Elegant zusammengeführt

    Tizonia streamt Musik von Online-Quellen und lokalen Sammlungen. Die schlanke Architektur macht den Player zur guten Wahl für den Einsatz auf dem RasPi.

  • Kommunikativ

    Nicht jeder traut sich zu, sein eigenes Smartphone zu bauen. Allerdings kann jeder Linux-Nutzer den Raspberry Pi im Handumdrehen zu einem VoIP-Telefon aufrüsten.