Startseite>Der Raspberry Pi als VPN-Gateway mit Access Point
Aus Raspberry Pi Geek 04/2017

Der Raspberry Pi als VPN-Gateway mit Access Point

© hxdyl, 123RF

Gut getunnelt

Christoph Langner

Mit ein wenig Know-how verwandeln Sie im Handumdrehen einen Raspberry Pi in ein abgesichertes System mit integriertem VPN-Gateway für die Geräte in Ihrem heimischen Netz.

Dieses Video ist in Deutschland leider nicht verfügbar, da es möglicherweise Musik enthält, für die die erforderlichen Musikrechte von der GEMA nicht eingeräumt wurden. Das tut uns leid. Zwar bekommen Sie diese Meldung aufgrund der jüngst erfolgten Einigung zwischen Youtube und der GEMA nicht mehr zu Gesicht, doch sprechen noch zahlreiche andere Gründe für einen via VPN getunnelten Internetzugang: Abgesehen vom schlichten Wunsch danach, sich anonym im Internet zu bewegen, gibt es weiterhin zahlreiche geogeblockte Webseiten und unsichere öffentliche Netzwerke.

Nun reißt das Aktivieren eines VPNs zwar in der Regel die virtuellen Grenzen im WWW nieder, doch in Sachen Privacy bedarf es mehr als eines Tunnels in das Internet eines fremden Landes. Schon alleine das Aufrufen einer Webseite mit dem üblicherweise genutzten Browser hinterlässt zahlreiche Spuren, durch die man Rückschlüsse auf den Anschlussinhaber ziehen kann. Von daher sollten auf Privatsphäre bedachte Nutzer zu spezialisierten Distributionen wie Tails [1] greifen.

Tails zielt als Live-System auf die Nutzung von einem USB-Stick oder optischen Medium, eine Installation auf einem schnellen Massenspeicher sieht es nicht vor. Zudem gibt es die Privacy-Distribution bislang nur für 32- und 64-Bit-PCs; eine ARM-Variante für den Raspberry Pi fehlt nach wie vor. Der Grund liegt unter anderem im kleinen Arbeitsspeicher des RasPi: In 1 GByte RAM lässt sich nicht das komplette System laden.

Dennoch bietet sich der Raspberry Pi ideal als System zum Schutz der Privatsphäre an: Er kostet wenig und lässt sich daher – mit eingeschränkter Softwareauswahl – als Zweit- oder Drittrechner im Haus aufstellt. Er verbraucht kaum Strom, sodass er rund um die Uhr laufen und beispielsweise Serverdienste anbieten kann. Zudem kann man das Linux-System relativ leicht so einrichten, dass garantiert jedes vom Computer abgeschickte Bit über das VPN eines vertrauenswürdigen Anbieters läuft. Als Beispiel in diesem Artikel nutzen wir den US-Dienst Private Internet Access oder kurz PIA [2].

Editor

An vielen Stellen dieses Tutorials gilt es, Konfigurationsdateien zu bearbeiten. Am einfachsten erledigen Sie das auf dem RasPi mit dem Editor Nano. Zum Bearbeiten öffnen Sie die Datei mit dem Kommando sudo nano Datei. Das sudo vor dem Befehl sorgt für administrative Rechte. Ihre Änderungen sichern Sie mit [Strg]+[O] und einem Druck auf die Eingabetaste, danach beenden Sie den Editor mit [Strg]+[X].

RasPi als VPN-Gateway

Installieren Sie im ersten Schritt Raspbian [3] auf dem Raspberry Pi. Soll das System später lediglich als VPN-Gateway dienen, können Sie auf die grafische Oberfläche verzichten. Spielen Sie in diesem Fall die Lite-Version des Betriebssystems ein.

Nach der Installation aktualisieren Sie das System und passen mittels des Raspberry-Pi-Konfigurationswerkzeugs die Spracheinstellungen an (Listing 1). Möchten Sie den RasPi ohne Eingabegeräte und Monitor betreiben, müssen Sie zudem darauf achten, dass Sie seit der Raspbian-Version vom 25.11.2016 den SSH-Server schon vor der Installation aktivieren müssen. Erstellen Sie dazu auf der Boot-Partition eine leere Datei mit dem Namen ssh [4].

Listing 1

 

$ sudo apt update
$ sudo apt full-upgrade
$ sudo raspi-config

Für die Einwahl in einen OpenVPN-Server benötigen Sie nun die Pakete aus der ersten Zeile von Listing 2. Die Uncomplicated Firewall Ufw bietet dabei eine einfache Absicherung, falls einmal das VPN ausfallen sollte. Der Bittorrent-Client mit integriertem Webfrontend Transmission (zweite und dritte Zeile) dient später als Probe aufs Exempel, ob auch kritische Dienste wie Filesharing über das VPN laufen. Benötigen Sie Bittorrent nicht, lassen Sie die Installation (und spätere Konfiguration) des Transmission-Diensts auch außen vor.

Listing 2

 

$ sudo apt install openvpn ufw
$ sudo apt install transmission-daemon
$ sudo update-rc.d -f transmission-daemon remove

Entscheiden Sie sich für Transmission, stoppen Sie den Dienst und konfigurieren ihn so, dass er nicht mehr automatisch während des Bootvorgangs lädt (Listing 3). Zudem müssen Sie dafür sorgen, dass Sie (und andere Nutzer in Ihrem Netzwerk) das Webfrontend aufrufen dürfen. Der Stream-Editor Sed erledigt das direkt in der Kommandozeile: Die Syntax lautet dabei sed -i -e s/'Suche'/'Ersetze'/ Datei. Der Schalter -i weist Sed dabei an, direkt in der Datei zu arbeiten, und -e führt die nachfolgende Option als Sed-Skript aus.

Listing 3

 

$ sudo service transmission-daemon stop
$ sudo sed -i -e s/'"rpc-authentication-required": true'/'"rpc-authentication-required": false'/ /etc/transmission-daemon/settings.json
$ sudo sed -i -e s/'127.0.0.1'/'127.0.0.1, 192.168.*.*'/ /etc/transmission-daemon/settings.json
$ sudo grep rpc /etc/transmission-daemon/settings.json
    "rpc-authentication-required": false,
[...]
    "rpc-whitelist": "127.0.0.1, 192.168.*.*",
[...]
$ sudo service transmission-daemon start

Desktop-System

Die hier für den Raspberry Pi gezeigten Schritte lassen sich problemlos auch auf PCs unter Debian oder dessen Derivaten (wie Ubuntu) übertragen. Achten Sie dort beim Installieren darauf, dass sie nicht ausgerechnet Ihr normales Benutzerkonto mit personalisiertem Webbrowser und Mailclient nutzen: Andernfalls führen Sie alle Bemühungen um einen anonymisierten Internet-Zugang ad absurdum.

Bittorrent ins VPN zwingen

Statt der Sed-Kommandos könnten Sie die Datei /etc/transmission-daemon/settings.json auch mit einem klassischen Editor wie etwa Nano bearbeiten. Die Ausgabe des des Grep-Kommandos in Listing 3, Zeile 5 zeigt, an welchen Stellen Sie Hand anlegen müssen. Je nach Konfiguration Ihres Routers müssen Sie die Kommandos noch an den IP-Bereich Ihres Netzwerks anpassen. Der Eintrag 192.168.*.* deckt sämtliche IPs von 192.168.0.1 bis 192.168.255.255 ab.

Nach dem abschließenden Neustart des Transmission-Servers können Sie ihn aus dem LAN unter http://<I>IP-Adresse<I>:9091 aufrufen (Abbildung 1). Fügen Sie hier jedoch noch keine Torrents ein: Noch funkt der RasPi sämtliche Daten direkt über Ihre Internet-Anbindung. Es wird also höchste Zeit, den VPN-Zugang einzurichten.

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 8 HeftseitenPreis €0,99
(inkl. 19% MwSt.)
€0,99 – Kaufen
RASPBERRY PI GEEK KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS
Deutschland