Mit wenigen Handgriffen rüsten Sie einen Raspberry Pi zum portablen VPN-Gateway auf, das auch außerhalb der EU den Konsum heimischer Mediendienste und das Umgehen von Netzzensur ermöglicht.
Für viele Menschen ist der Jahresurlaub die schönste Zeit im ganzen Jahr, jene Zeit, auf die man hinarbeitet und auf die man sich freut. Allerdings gilt nicht für alle Menschen das Prinzip, dass ein Urlaub umso mehr Spaß macht, je weiter entfernt von der Heimat er stattfindet. Zudem möchte nicht jeder, der in Urlaub fährt, über dessen gesamte Dauer die Verbindungen zur Heimat vollständig kappen.
Ein gutes Beispiel dafür sind heimische Medien: Wer gerade irgendwo auf der Welt unterwegs ist, findet dort kaum deutsche Sender im Fernseher auf dem Hotelzimmer. Auch wenn lineares Fernsehen zunehmend ins Hintertreffen gerät, betreffen entsprechende Einschränkungen auch die oft liebgewonnenen Streaming-Dienste. Wer Netflix etwa aus Ägypten heraus aufruft, findet dort trotz Nutzung desselben Accounts nicht dasselbe Material wie in der deutschen Heimat. Mancherorts kommen auch noch staatliche Zensurmaßnahmen hinzu, die selbst diese Form des Vergnügens unterbinden, damit niemand hört oder sieht, was nicht gehört oder gesehen werden soll.
Fernsehen, Medien, Überwachung
Die im Artikel beschriebenen Lösungen eignen sich in den meisten Ländern der Welt, um auf Dienste wie hiesige TV-Streaming-Angebote, Netflix & Co. und nahezu jede andere beliebige Ressource im Internet zuzugreifen.
Wer sich nicht bei einem der großen VPN-Anbieter einmietet, sondern auf dem heimischen Router eine VPN-Gegenstelle per DynIP und IPsec oder Waveguard installiert oder etwa OpenVPN auf Port 443 lauschen lässt, verschafft sich – die entsprechende Anbindung daheim vorausgesetzt – noch mehr Freiheiten: Der Zugriff auf Port 443 einer beliebigen IP-Adresse, bei der es sich nicht eindeutig um die IP eines Anbieters handelt, lässt sich aus Sicht einer staatlichen Zensur zumindest nicht anhand der Ziel- oder Quell-IP als VPN-Verbindung identifizieren. Sie sieht zunächst aus wie eine normale Verbindung mit HTTPS.
Die in diesem Artikel beschriebene Vorgehensweise schafft ein per VPN mit der Heimat verbundenes Internet-Gateway, über das sich das Netz mit derselben Freiheit genießen lässt, wie es auch am heimischen Computer zu Hause der Fall wäre. Vorsicht sollten Sie allerdings insbesondere dann walten lassen, wenn Sie sich in einem autoritären Land mit strikter Zensur befinden. Dazu zählt durchaus auch das ein oder andere beliebte Touristenziel. Schließlich möchten Sie nicht, dass die Polizei Ihr Hotelzimmer stürmt, weil sie sinistre Absichten vermutet, obwohl Sie eigentlich nur den Tatort schauen oder Nachrichten in der eigenen Sprache konsumieren wollten.
Ein Smartphone oder ein Tablet mit VPN bieten dann oft die einzig valide Alternative, vorausgesetzt, man ist entsprechend vorbereitet, begnügt sich für die Dauer der Reise mit dem sprichwörtlichen Mäusekino und möchte nicht die falschen Dinge schauen. Die Streaming-Anbieter haben längst dazugelernt und erzwingen in ihren Apps auf Tablets und Smartphones heute Zugriff auf die GPS-Module, um herauszufinden, wo sich das Gerät wirklich befindet. Dann hilft auch ein VPN nichts, und wer den GPS-Zugriff verweigert, bekommt lediglich eine schnöde Warnmeldung serviert.
Eine Voraussetzung für eine Lösung ist also, dass sie ohne VPN-Sensor daherkommt, den irgendwer anzapfen könnte. Fertig gibt es das allerdings als Produkt nicht. Wer also auch im Urlaub gern von Zeit zu Zeit ein paar Stunden mit Entspannung vor der Glotze verbringt, lernt also entweder schnell die Sprache des jeweiligen Gastgebers oder guckt in die Röhre.
Ägypten?!?
Vor exakt diesem Problem stand ich vor ein paar Monaten in Ägypten: Nur Zeug in der Glotze, das ich kaum oder gar nicht verstand, und praktisch keine Möglichkeit, etwa auf einen hiesigen Streaming-Dienst zurückzugreifen, um zumindest die Tagesschau zu sehen. Selbst die ARD zeigt mittlerweile beim Gros der Sendungen in der ARD-Mediathek bloß einen schnöden Urheberrechtshinweis an, weil man für das ausgestrahlte Material nur Rechte für Deutschland hat.
Die Techniker unter der Leserschaft kennen aber wohl das Gefühl, dass ein Problem wie dieses in Nerds auslöst: “Da muss doch was zu machen sein”, dachte ich, und grübelte über die Herausforderung nach. Schnell wusste ich: Würde ich das Problem technisch einmal lösen wollen, dann so, dass die Lösung nicht nur für diesen Urlaub funktioniert, sondern auch für künftige Reisen. Das bringt indes einige Einschränkungen mit sich. Einen Computer selbst im Mini-Format nimmt man kaum mal eben im Handgepäck mit, weil die Geräte dafür zu schwer und zu unhandlich sind. Obendrein gehen leistungsfähige Kleincomputer mit AMD-Ryzen-CPU oder einem Intel Core ganz schön ins Geld und bieten überbordend viel Rechenleistung für die zu lösende Aufgabe. Auch Laptops sind eher unkomfortabel, denn sie lassen sich oft zwar an Fernseher anschließen, sind dann aber nicht gut aus der Ferne zu steuern.
Vorbereitung ist die halbe Miete
Zwar hat es durchaus etwas Spektakuläres an sich, eine Lösung wie die skizzierte ad hoc und vor Ort im eigenen Hotelzimmer zu konstruieren. Allerdings hat das Prinzip auch etliche Nachteile, und ganz generell würde ich dazu raten, eine entsprechende Lösung zu Hause zu bauen und dann einfach mit an den Einsatzort zu nehmen.
Zunächst hatte ich im konkreten Fall etwa großes Glück, dass ein RasPi 4 vor Ort ohne Probleme zu bekommen war – sogar im Kit, also mit SD-Karte und dem meisten benötigten Zubehör (Abbildung 1). Was dem Kit freilich nicht beilag, war eine Tastatur, die aber zumindest für die initiale Einrichtung des RasPi im Regelfall notwendig ist. Den meisten Kits liegt ein HDMI-auf-Mini-HDMI Kabel bei, mit dem sich zentrale Einstellungen wie die für das lokale Netz vornehmen lassen. Die Tastatur war in meinem Fall vor Ort aber für kleines Geld einfach zu bekommen – Glück gehabt. Auch Googles Chromecast, der quasi die letzte Etappe des Vorgangs darstellte, war in Ägypten gut zu beschaffen, schon weil Amazon in Ägypten liefert. Das ist allerdings längst nicht auf der ganzen Welt so, und je nach Gastgeberland kann ein Unterfangen wie meines vor Ort auch ganz schnell ins Wasser fallen.
Auch von der Softwareseite her droht Ungemach: Die Zensur vieler Länder macht es unmöglich, VPN-Clients wie den von Mullvad oder NordVPN überhaupt erst herunterzuladen. Dann hat man ein Henne-Ei-Problem, weil man ohne funktionierende VPN-Software nicht an die VPN-Software kommt, die man für den RasPi benötigt. Bastelt man die Kombination vorab am heimischen Arbeitstisch, spart man sich Sonderausgaben wie jene für die Tastatur und umgeht etwaige Netzwerkprobleme. Genau dazu rate ich dringend.
Abbildung 1: Handlich und gut: Zwar fehlen auf dem Foto noch das Netzteil und der Surfstick, doch auch mit diesen Komponenten ist das Gesamtpaket klein genug für das Handgepäck im Flugzeug.
Wer vergleichbaren Komfort wie am heimischen Fernseher will, benötigt dafür in der Ferne üblicherweise eine Streaming-Kiste etwa von Apple oder von Google. Die allerdings können im Regelfall kein VPN. Sie sind stattdessen darauf angewiesen, dass ihr Zugang zum Netz das Thema VPN quasi transparent in die Verbindung einbettet. Gedanklich kam ich deshalb relativ schnell beim Raspberry Pi an, und allmählich formte sich im Kopf die Idee eines portablen VPN-Gateways auf Grundlage des britischen SBC. Der ist wirklich portabel, lässt sich mittels eines Mehrfachnetzteils für USB-C-kompatible Geräte problemlos mit Strom versorgen und braucht folglich kein eigenes Netzteil (weniger Gepäck!). Dennoch bietet er auf der Hard- wie auf der Softwarebene alle benötigten Funktionen. Und weil ich ab Werk ohne jede Geduld ausgestattet bin, war ebenso fix klar, dass ich das Projekt noch an Ort und Stelle umsetzen wollte (Abbildung 2).
Teile beschaffen
Ohne RasPi kein RasPi-VPN-Gateway, und so war nach dem Zusammenstellen der Liste der benötigten Teile die erste Herausforderung, die Komponenten zusammenzubekommen. Weil Amazon an meinem Aufenthaltsort in Ägypten funktioniert, stellte sich das Problem allerdings als übersichtlich heraus. Innerhalb von 24 Stunden war ich stolzer Besitzer eines RasPi-Kits mit HDMI-Kabel, Gehäuse, SD-Karte und Netzteil sowie eines Chromecast von Google. Der würde, so der Plan, später am Fernseher hängen, sich mit dem vom RasPi bereitgestellten WLAN verbinden und durch dessen aktive VPN-Verbindung hindurch den Weg in die Weite des Internets finden, mit deutscher Adresse.
Abbildung 2: Ad-Hoc-Hacking: Die Idee, ein VPN-Gateway auf Grundlage des Raspberry Pi zu bauen, entstand vor Ort im Urlaub – und fand dort auch gleich ihre Umsetzung.
Der gesamte Vorgang vom Auspacken des RasPi bis zum ersten Bild eines deutschen TV-Senders im ägyptischen Hotelzimmer-TV hat in etwa drei Stunden gedauert, was aber nicht zuletzt auf meine etwas eingerosteten Kenntnisse im Hinblick auf die Administration moderner Desktops zurückzuführen ist. Zwar kann man auf einem Debian-System auch heute noch seine Netzwerkkarten in interfaces konfigurieren und hostapd manuell ausrollen, um den RasPi in einen WLAN-Access-Point zu verwandeln. Sinnvoll ist das aber kaum, denn der von vielen Admins verschmähte NetworkManager erledigt dieselben Aufgaben mit wenigen Kommandozeilenbefehlen.
Apropos sinnvoll: Es gibt mehrere denkbare Optionen, den RasPi einerseits als WLAN-Access-Point und andererseits als Client in einem anderen WLAN zu betreiben. Der WLAN-Chip des RasPi unterstützt diese Konfiguration durchaus. Sie kommt im Alltag allerdings mit ein paar unpraktischen Einschränkungen daher, derer der Bastler sich bewusst sein sollte. Zunächst stellt sich freilich die Frage, mit welchem WLAN sich der RasPi für seinen eigenen Internet-Uplink denn verbinden soll. Hotel-WLANs arbeiten oft langsam, weil sie entweder gedrosselt oder schon von Anbieterseite her lahm sind. Hinzu kommen oft zusätzliche Filter, die Hotelbetreiber nutzen, um den Traffic einzelner Clients einzudämmen.
In den allermeisten Ländern der Welt funktioniert mobiles Internet obendrein sehr viel besser als stationäres WLAN. So auch in Ägypten: Für verhältnismäßig kleines Geld bekommt man SIM-Karten der lokalen Anbieter mit Touristentarif, der für einen bestimmten Zeitraum eine echte Daten-Flatrate bietet. Das jedoch erweitert die Einkaufsliste noch um mindestens ein Mobilfunkmodem. Klassiker wie Huaweis E3372 bieten sich hier an: Sie funken zwar nur nach dem LTE-Standard mit 150 Mbit/s maximaler Geschwindigkeit. Die erreichen aber selbst zu Hause viele Menschen nicht. Andererseits genügen 150 Mbit/s völlig für Streams in 4K oder sogar 8K (was in den meisten Hotels schon am passenden Fernseher scheitern dürfte).
