Nun fehlt noch die Konfiguration des DHCP-Servers. Sie erfolgt über die bereits bei der Installation des Diensts auf die Festplatte geschriebene Datei /etc/dnsmasq.conf. Die in der Vorlage enthaltene Beispielkonfiguration löschen Sie komplett und ersetzen sie durch die Vorgaben aus Listing 19.
Listing 19
interface=wlan0 listen-address=172.24.1.1 bind-interfaces server=8.8.8.8 domain-needed bogus-priv dhcp-range=172.24.1.50,172.24.1.150,12h
Weiter müssen Sie dem System erlauben, Datenpakete weiterzuleiten. Das erledigen Sie über den Eintrag net.ipv4.ip_forward=1 in der Datei /etc/sysctl.conf. Sie müssen ihn lediglich einkommentieren; Listing 20 übernimmt das für Sie, zugleich aktiviert es die neue Konfiguration ohne einen Neustart.
Listing 20
$ sudo sed -i 's/#net.ipv4.ip_forward/net.ipv4.ip_forward/g' /etc/sysctl.conf $ sudo sysctl -p /etc/sysctl.conf
Zum Abschluss passen Sie noch die Firewall an. Sie blockiert bis auf ein paar Ausnahmen jeglichen Datenverkehr abseits des VPN-Tunnels. Zudem fehlen noch die entsprechenden Regeln, um die über die WLAN-Schnittstelle empfangenen Datenpakete zum VPN weiterzuleiten – im Jargon spricht man hier von Masquerading.
Die Masquerading-Regeln müssen Sie in Raspbian noch per Iptables erstellen, da Ufw diese Funktion erst ab Version 0.35 beherrscht. Fügen Sie daher die Zeilen aus Listing 21 in die Datei /etc/rc.local vor dem abschließenden exit 0 ein. Danach rufen Sie das Skript einmal von Hand auf, schalten die Geräte-ID wlan0 des WLAN-Moduls in der Firewall frei und starten die zwei beteiligten Dienste neu (Listing 22).
Listing 21
# Masquerading-Regeln setzen iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE iptables -A FORWARD -i tun0 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -i wlan0 -o tun0 -j ACCEPT
Listing 22
$ sudo /etc/rc.local $ sudo ufw allow in on wlan0 $ sudo ufw allow out on wlan0 $ sudo service hostapd restart $ sudo service dnsmasq restart
Danach finden Sie das vom Raspberry Pi aufgespannte WLAN in den Netzwerkeinstellungen eines Laptops oder Smartphones wieder. Nach der Eingabe der Zugangsdaten und dem Verbindungsaufbau bestätigt dann ein Aufruf von http://icanhazip.com – oder mit etwas mehr Komfort https://whatismyip.com – im Browser des mobilen Geräts den Erfolg der Aktion (Abbildung 4).
Abbildung 4: Als VPN-Gateway tunnelt der Raspberry Pi sämtliche Anfragen durch mobile Geräte durch das VPN.
Fazit
Nach Abschluss aller Schritte verfügen Sie nun über einen Rechner in Ihrem Netz, der sämtliche Daten durch einen VPN-Tunnel schickt. Bricht der einmal aus irgendeinem Grund zusammen, dann sorgt die Firewall dafür, dass keine Daten durchrutschen. Je nach eingesetztem VPN-Dienstleister sichern Sie sich so gegen Tracking im Netz oder Zensureingriffe ab. Optional “verlängern” Sie das VPN-Gateway per WLAN – allerdings verraten mobile Geräte in der Regel trotzdem Ihre Identität.
Dies ließe sich mit einem zweiten VPN-Tunnel verhindern: Richten Sie eine weitere VPN-Verbindung ein, beispielsweise über einen zweiten Anbieter oder zu einem VPN-Server in einem anderen Land, dann können Sie die Datenpakete von wlan0 nach tun1 durchleiten. Mobile Geräte erscheinen so im Internet mit einer anderen IP als der Raspberry Pi. Auf diesem Weg könnten Sie auf dem RasPi kritische Dienste laufen lassen, ohne dass Sie sich über mobile Geräte am VPN-Gateway verraten.
Infos
- Tails: https://tails.boum.org
- Private Internet Access: https://deu.privateinternetaccess.com
- Raspbian: https://www.raspberrypi.org/downloads/raspbian/
- SSH auf dem Raspberry Pi aktivieren: https://linuxundich.de/raspberry-pi/ssh-auf-dem-raspberry-pi-aktivieren-jetzt-unter-raspian-noetig
- Check My Torrent IP: http://checkmytorrentip.upcoil.com
