Mit ein wenig Know-how verwandeln Sie im Handumdrehen einen Raspberry Pi in ein abgesichertes System mit integriertem VPN-Gateway für die Geräte in Ihrem heimischen Netz.

Dieses Video ist in Deutschland leider nicht verfügbar, da es möglicherweise Musik enthält, für die die erforderlichen Musikrechte von der GEMA nicht eingeräumt wurden. Das tut uns leid. Zwar bekommen Sie diese Meldung aufgrund der jüngst erfolgten Einigung zwischen Youtube und der GEMA nicht mehr zu Gesicht, doch sprechen noch zahlreiche andere Gründe für einen via VPN getunnelten Internetzugang: Abgesehen vom schlichten Wunsch danach, sich anonym im Internet zu bewegen, gibt es weiterhin zahlreiche geogeblockte Webseiten und unsichere öffentliche Netzwerke.

Nun reißt das Aktivieren eines VPNs zwar in der Regel die virtuellen Grenzen im WWW nieder, doch in Sachen Privacy bedarf es mehr als eines Tunnels in das Internet eines fremden Landes. Schon alleine das Aufrufen einer Webseite mit dem üblicherweise genutzten Browser hinterlässt zahlreiche Spuren, durch die man Rückschlüsse auf den Anschlussinhaber ziehen kann. Von daher sollten auf Privatsphäre bedachte Nutzer zu spezialisierten Distributionen wie Tails [1] greifen.

Tails zielt als Live-System auf die Nutzung von einem USB-Stick oder optischen Medium, eine Installation auf einem schnellen Massenspeicher sieht es nicht vor. Zudem gibt es die Privacy-Distribution bislang nur für 32- und 64-Bit-PCs; eine ARM-Variante für den Raspberry Pi fehlt nach wie vor. Der Grund liegt unter anderem im kleinen Arbeitsspeicher des RasPi: In 1 GByte RAM lässt sich nicht das komplette System laden.

Dennoch bietet sich der Raspberry Pi ideal als System zum Schutz der Privatsphäre an: Er kostet wenig und lässt sich daher – mit eingeschränkter Softwareauswahl – als Zweit- oder Drittrechner im Haus aufstellt. Er verbraucht kaum Strom, sodass er rund um die Uhr laufen und beispielsweise Serverdienste anbieten kann. Zudem kann man das Linux-System relativ leicht so einrichten, dass garantiert jedes vom Computer abgeschickte Bit über das VPN eines vertrauenswürdigen Anbieters läuft. Als Beispiel in diesem Artikel nutzen wir den US-Dienst Private Internet Access oder kurz PIA [2].

RasPi als VPN-Gateway

Installieren Sie im ersten Schritt Raspbian [3] auf dem Raspberry Pi. Soll das System später lediglich als VPN-Gateway dienen, können Sie auf die grafische Oberfläche verzichten. Spielen Sie in diesem Fall die Lite-Version des Betriebssystems ein.

Nach der Installation aktualisieren Sie das System und passen mittels des Raspberry-Pi-Konfigurationswerkzeugs die Spracheinstellungen an (Listing 1). Möchten Sie den RasPi ohne Eingabegeräte und Monitor betreiben, müssen Sie zudem darauf achten, dass Sie seit der Raspbian-Version vom 25.11.2016 den SSH-Server schon vor der Installation aktivieren müssen. Erstellen Sie dazu auf der Boot-Partition eine leere Datei mit dem Namen ssh [4].

$ sudo apt update
$ sudo apt full-upgrade
$ sudo raspi-config

Für die Einwahl in einen OpenVPN-Server benötigen Sie nun die Pakete aus der ersten Zeile von Listing 2. Die Uncomplicated Firewall Ufw bietet dabei eine einfache Absicherung, falls einmal das VPN ausfallen sollte. Der Bittorrent-Client mit integriertem Webfrontend Transmission (zweite und dritte Zeile) dient später als Probe aufs Exempel, ob auch kritische Dienste wie Filesharing über das VPN laufen. Benötigen Sie Bittorrent nicht, lassen Sie die Installation (und spätere Konfiguration) des Transmission-Diensts auch außen vor.

$ sudo apt install openvpn ufw
$ sudo apt install transmission-daemon
$ sudo update-rc.d -f transmission-daemon remove

Entscheiden Sie sich für Transmission, stoppen Sie den Dienst und konfigurieren ihn so, dass er nicht mehr automatisch während des Bootvorgangs lädt (Listing 3). Zudem müssen Sie dafür sorgen, dass Sie (und andere Nutzer in Ihrem Netzwerk) das Webfrontend aufrufen dürfen. Der Stream-Editor Sed erledigt das direkt in der Kommandozeile: Die Syntax lautet dabei sed -i -e s/'Suche'/'Ersetze'/ Datei. Der Schalter -i weist Sed dabei an, direkt in der Datei zu arbeiten, und -e führt die nachfolgende Option als Sed-Skript aus.

$ sudo service transmission-daemon stop
$ sudo sed -i -e s/'"rpc-authentication-required": true'/'"rpc-authentication-required": false'/ /etc/transmission-daemon/settings.json
$ sudo sed -i -e s/'127.0.0.1'/'127.0.0.1, 192.168.*.*'/ /etc/transmission-daemon/settings.json
$ sudo grep rpc /etc/transmission-daemon/settings.json
    "rpc-authentication-required": false,
[...]
    "rpc-whitelist": "127.0.0.1, 192.168.*.*",
[...]
$ sudo service transmission-daemon start

Bittorrent ins VPN zwingen

Statt der Sed-Kommandos könnten Sie die Datei /etc/transmission-daemon/settings.json auch mit einem klassischen Editor wie etwa Nano bearbeiten. Die Ausgabe des Kommandos grep in Listing 3, Zeile 5 zeigt, an welchen Stellen Sie Hand anlegen müssen. Je nach Konfiguration Ihres Routers müssen Sie die Kommandos noch an den IP-Bereich Ihres Netzwerks anpassen. Der Eintrag 192.168.*.* deckt sämtliche IPs von 192.168.0.1 bis 192.168.255.255 ab.

Nach dem abschließenden Neustart des Transmission-Servers können Sie ihn aus dem LAN unter http://IP-Adresse:9091 aufrufen (Abbildung 1). Fügen Sie hier jedoch noch keine Torrents ein: Noch funkt der RasPi sämtliche Daten direkt über Ihre Internet-Anbindung. Es wird also höchste Zeit, den VPN-Zugang einzurichten.

Abbildung 1: Der Transmission-Daemon eignet sich als schlanker Bittorrent-Client mit integrierter Weboberfläche für den Raspberry Pi.

In der Regel bieten VPN-Anbieter direkt OpenVPN und somit entsprechende Konfigurationsdateien an. Bei PIA erhalten Sie diese über die Homepage. Mit den Kommandos aus Listing 4 laden Sie sie als Paket herunter und entpacken die Dateien mitsamt der benötigten Zertifikate nach /etc/openvpn/.

$ wget http://www.privateinternetaccess.com/openvpn/openvpn.zip
$ sudo unzip openvpn.zip -d /etc/openvpn
  inflating: /etc/openvpn/AU Melbourne.ovpn
  [...]
  inflating: /etc/openvpn/ca.rsa.2048.crt
  inflating: /etc/openvpn/crl.rsa.2048.pem
$ sudo sed -i -e s/'#AUTOSTART="home office"'/'AUTOSTART="PIA"'/ /etc/default/openvpn
$ grep AUTOSTART /etc/default/openvpn 
#AUTOSTART="all"
#AUTOSTART="none"
AUTOSTART="PIA"

Damit der OpenVPN-Client beim Booten automatisch einen der landesspezifischen VPN-Server von PIA lädt, passen Sie noch den Autostart-Eintrag in der Datei /etc/default/openvpn an. Durch AUTOSTART="PIA" lädt der OpenVPN-Dienst bei seinem Start automatisch die (noch anzulegende) Konfigurationsdatei PIA.conf aus /etc/openvpn/.

Den Inhalt dieser Datei entnehmen Sie Listing 5. Die Konfiguration orientiert sich an den Vorgaben zum niederländischen VPN-Zugang von PIA und ergänzt diese um erweiterte Logs sowie den Aufruf zweier Skripte (vpn-up.sh und vpn-down.sh) nach dem Start und nach dem Beenden der VPN-Verbindung. Bevorzugen Sie einen Tunnelausgang in einem anderen Land, passen Sie die Konfiguration entsprechend an.

client
dev tun
proto udp
remote nl.privateinternetaccess.com 1198
resolv-retry infinite
nobind
persist-key
persist-tun
cipher aes-128-cbc
auth sha1
tls-client
remote-cert-tls server
auth-user-pass /etc/openvpn/userpass.data
comp-lzo
verb 1
reneg-sec 0
crl-verify /etc/openvpn/crl.rsa.2048.pem
ca /etc/openvpn/ca.rsa.2048.crt
disable-occ
log-append /var/log/piavpn.log
status-version 3
status status
script-security 2
up /etc/openvpn/update-resolv-conf
route-up /etc/openvpn/vpn-up.sh
down /etc/openvpn/vpn-down.sh

Die Zugangsdaten holt sich der OpenVPN-Client aus der Datei /etc/openvpn/userpass.data. Dort tragen Sie in der ersten Zeile Ihre Benutzerkennung beim VPN-Anbieter und in der zweiten das zugehörige Passwort ein (Listing 6). Damit nicht jeder Nutzer des Systems diese Daten einsehen kann, ändern Sie mittels sudo chmod 600 /etc/openvpn/userpass.data die Dateirechte, sodass nur noch Root die Datei auslesen darf.

benutzernamepasswort

Anchließend füllen Sie die Skripte /etc/openvpn/vpn-up.sh (Listing 7) und /etc/openvpn/vpn-down.sh (Listing 8). Damit das System diese auch ausführen darf, fehlen noch die entsprechenden Rechte. Die setzen Sie mit den Befehlen aus der ersten Zeile von Listing 9. Dann lassen Sie zur Übernahme der Änderungen an der /etc/default/openvpn Systemd nach modifizierten Konfigurationen suchen und starten schlussendlich den OpenVPN-Dienst neu (zweite und dritte Zeile).

#!/bin/sh
# Dienste wie Transmission starten
service transmission-daemon start

#!/bin/sh
# Dienste wie Transmission beenden
service transmission-daemon stop
# DNS-Leaks verhindern
/etc/openvpn/update-resolv-conf

$ sudo chmod +x /etc/openvpn/vpn-down.sh /etc/openvpn/vpn-up.sh
$ sudo systemctl daemon-reload
$ sudo service openvpn restart

Nun baut OpenVPN automatisch die Verbindung auf. Die dabei entstehenden Meldungen schiebt das Programm nach /var/log/piavpn.log. Mittels sudo tail -f /var/log/piavpn.log sehen Sie diese während des Verbindungsaufbaus ein (Abbildung 2).

Abbildung 2: Probleme beim Verbindungsaufbau zum VPN-Server ermitteln Sie anhand des Logs in /var/log/piavpn.log.

Löcher stopfen

Ob das VPN auch wirklich funktioniert, prüfen Sie über http://icanhazip.com: Diese Webseite spuckt als Ausgabe lediglich ihre öffentliche IP aus. Über das Kommando curl -s icanhazip.com funktioniert das auch von der Eingabeaufforderung aus. Ergänzen Sie den Befehl um einen Geo-IP-Lookup, erhalten Sie Ihren aktuellen Standort – zumindest aus der Sicht des Internets. Je nachdem, ob das VPN aktiv ist, meldet der Aufruf geoiplookup nun Deutschland oder die Niederlande als Standort (Listing 10).

$ sudo apt install geoip-bin
$ sudo service openvpn stop
$ geoiplookup $(curl -s icanhazip.com)
GeoIP Country Edition: DE, Germany
$ sudo service openvpn start
$ geoiplookup $(curl -s icanhazip.com)
GeoIP Country Edition: NL, Netherlands

Die über Bittorrent ermittelbare IP lässt sich ebenfalls kontrollieren: Dazu übernehmen Sie den von Check My Torrent IP [5] angezeigten Magnetlink in das Webfrontend von Transmission und warten, bis sich die Webseite im Browser aktualisiert. Sie zeigt nach einem kurzen Moment in der Liste unterhalb der Internet-IP Ihres Browsers die VPN-IP des Raspberry Pi an (Abbildung 3). Die Fehlermeldung innerhalb von Transmission selbst dürfen Sie dabei getrost ignorieren. Sie rührt daher, dass bei diesem Test kein “richtiger” Download vonstatten geht.

Abbildung 3: Mit Seiten wie Check My Torrent IP prüfen Sie, ob Dienste wie Bittorrent Ihre Daten über das VPN schicken.

Nun sorgen die Up- und Down-Skripte dafür, dass kritische Dienste wie beispielsweise Transmission nur dann laufen, wenn der OpenVPN-Dienst die zuvor konfigurierte Verbindung aufbauen konnte (Listing 11). Sollte mit dieser jedoch einmal etwas schieflaufen – beispielsweise das Programm abstürzen – dann überträgt der Dienst weiterhin Daten, allerdings direkt über die eigene Leitung. Von daher gilt es, das System so abzusichern, dass es nur Daten über den VPN-Tunnel ins Internet schicken kann.

$ sudo service openvpn stop
$ sudo service transmission-daemon status | grep Active
   Active: inactive (dead) since Do 2016-12-01 17:37:50 CET; 7s ago
$ sudo service openvpn start
$ sudo service transmission-daemon status | grep Active
   Active: active (running) since Do 2016-12-01 17:37:22 CET; 21s ago

Dazu haben Sie schon am Anfang die Uncomplicated Firewall installiert. Das von Canonical entwickelte Programm lässt sich sehr einfach einrichten (Listing 12). Im ersten Schritt blockieren Sie sämtlichen Datenverkehr, um dann den VPN-Tunnel tun0 gezielt freizuschalten. Im internen Netz soll das System erreichbar bleiben, daher geben Sie den Adressbereich (hier 192.168.0.0 bis 192.168.255.255) frei. Eventuell gilt es, diese Zeilen an den Adressbereich Ihres Netzwerks anzupassen. Anschließend machen Sie für OpenVPN eine weitere Ausnahme: Der VPN-Client muss sich über Port 1198 (je nach Anbieter auch einen anderen Port) zum Gegenstück im Internet verbinden können.

### Erst einmal jeglichen Traffic ablehnen
$ sudo ufw default deny incoming
$ sudo ufw default deny outgoing
### Das VPN-Gateway in der Firewall freigeben
$ sudo ufw allow in on tun0
$ sudo ufw allow out on tun0
### Ausnahme für internes Netzwerk (IP-Bereich bitte anpassen)
$ sudo ufw allow in on eth0 from 192.168.0.0/16
$ sudo ufw allow out on eth0 to 192.168.0.0/16
### Ausnahme für OpenVPN an eth0 (Port entsprechend anpassen)
$ sudo ufw allow in on eth0 from any port 1198
$ sudo ufw allow out on eth0 to any port 1198
### Firewall aktivieren
$ sudo ufw enable

Der Schutz durch die Firewall lässt sich leicht testen: In Listing 13 starten Sie OpenVPN und kontrollieren mit einem Geo-IP-Lookup den Status des VPN-Zugangs. Schießen Sie nun den OpenVPN-Dienst ohne Rücksicht ab, fließt kein weiteres Bit mehr ins Internet, selbst ein Ping landet im Nichts. Der Neustart der VPN-Verbindung scheitert nach diesem Angriff an der Firewall – am sichersten ist es, nun das System neu zu starten.

$ sudo service openvpn start
$ geoiplookup $(curl -s icanhazip.com)
GeoIP Country Edition: NL, Netherlands
$ sudo pkill -9 -f openvpn
Getötet
$ ping -c 1 raspberrypi.org
ping: unknown host raspberrypi.org

RasPi als VPN-Access-Point

Über Ethernet an das lokale Netzwerk angeschlossen, bleibt das WLAN-Modul des Raspberry Pi 3 ungenutzt. Von daher muss die VPN-Verbindung nicht dem RasPi exklusiv vorbehalten bleiben: Richtet man auf dem Raspbian-System einen Access Point ein, lässt sich über ihn ein Laptop oder ein Smartphone via VPN mit dem Internet verbinden. Allerdings tauschen besonders mobile Geräte mit Android oder iOS konzeptbedingt permanent mit Google und Apple Daten aus und verraten damit die Identität des Nutzers, was den Sinn eines VPNs hintertreibt.

Für den Access Point müssen Sie weitere Pakete installieren: Das WLAN selbst spannt Hostapd auf, der einfache DNS- und DHCP-Server Dnsmasq weist den Rechnern darin eine IP-Adresse zu. Zudem müssen Sie dafür sorgen, dass Raspbian dem WLAN-Gerät wlan0 nicht automatisch eine IP-Adresse zuweist. Mit der Zeile denyinterfaces wlan0 in der Konfigurationsdatei /etc/dhcpcd.conf verhindern Sie das (Listing 14). Anschließend ersetzen Sie in der /etc/network/interfaces die Konfiguration der WLAN-Schnittstelle durch den Inhalt von Listing 15 und laden dann sämtliche betroffenen Dienste und Geräte neu (Listing 16).

$ sudo apt-get install dnsmasq hostapd resolvconf
$ echo denyinterfaces wlan0 | sudo tee -a /etc/dhcpcd.conf

# allow-hotplug wlan0
# iface wlan0 inet manual
#     wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf
allow-hotplug wlan0
iface wlan0 inet static
    address 172.24.1.1
    netmask 255.255.255.0
    network 172.24.1.0
    broadcast 172.24.1.255
#   wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf

$ sudo systemctl daemon-reload
$ sudo service dhcpcd restart
$ sudo ifdown wlan0; sudo ifup wlan0

Den Hostapd-Dienst richten Sie über die zu erstellende Datei /etc/hostapd/hostapd.conf ein. Listing 17 enthält alle nötigen Einstellungen für einen Raspberry Pi 3 mit seinem integrierten WLAN-Modul. In den Zeilen 15 und 16 sollten Sie für die SSID und das Passwort des WLANs eigene Werte setzen. Damit Hostapd diese Konfiguration auch nutzt, müssen Sie in /etc/default/hostapd noch den Pfad zur Datei eintragen (Listing 18).

interface=wlan0
driver=nl80211
hw_mode=g
channel=6
ieee80211n=1
wmm_enabled=1
ht_capab=[HT40][SHORT-GI-20][DSSS_CCK-40]
macaddr_acl=0
auth_algs=1
ignore_broadcast_ssid=0
wpa=2
wpa_key_mgmt=WPA-PSK
rsn_pairwise=CCMP
# Bitte Netzwerk-Name und Passwort ändern
ssid=VPN-Gateway
wpa_passphrase=raspberry

[...]
#DAEMON_CONF=""
DAEMON_CONF="/etc/hostapd/hostapd.conf"
[...]

Nun fehlt noch die Konfiguration des DHCP-Servers. Sie erfolgt über die bereits bei der Installation des Diensts auf die Festplatte geschriebene Datei /etc/dnsmasq.conf. Die in der Vorlage enthaltene Beispielkonfiguration löschen Sie komplett und ersetzen sie durch die Vorgaben aus Listing 19.

interface=wlan0
listen-address=172.24.1.1
bind-interfaces
server=8.8.8.8
domain-needed
bogus-priv
dhcp-range=172.24.1.50,172.24.1.150,12h

Weiter müssen Sie dem System erlauben, Datenpakete weiterzuleiten. Das erledigen Sie über den Eintrag net.ipv4.ip_forward=1 in der Datei /etc/sysctl.conf. Sie müssen ihn lediglich einkommentieren; Listing 20 übernimmt das für Sie, zugleich aktiviert es die neue Konfiguration ohne einen Neustart.

$ sudo sed -i 's/#net.ipv4.ip_forward/net.ipv4.ip_forward/g' /etc/sysctl.conf
$ sudo sysctl -p /etc/sysctl.conf

Zum Abschluss passen Sie noch die Firewall an. Sie blockiert bis auf ein paar Ausnahmen jeglichen Datenverkehr abseits des VPN-Tunnels. Zudem fehlen noch die entsprechenden Regeln, um die über die WLAN-Schnittstelle empfangenen Datenpakete zum VPN weiterzuleiten – im Jargon spricht man hier von Masquerading.

Die Masquerading-Regeln müssen Sie in Raspbian noch per Iptables erstellen, da Ufw diese Funktion erst ab Version 0.35 beherrscht. Fügen Sie daher die Zeilen aus Listing 21 in die Datei /etc/rc.local vor dem abschließenden exit 0 ein. Danach rufen Sie das Skript einmal von Hand auf, schalten die Geräte-ID wlan0 des WLAN-Moduls in der Firewall frei und starten die zwei beteiligten Dienste neu (Listing 22).

# Masquerading-Regeln setzen
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
iptables -A FORWARD -i tun0 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i wlan0 -o tun0 -j ACCEPT

$ sudo /etc/rc.local
$ sudo ufw allow in on wlan0
$ sudo ufw allow out on wlan0
$ sudo service hostapd restart
$ sudo service dnsmasq restart

Danach finden Sie das vom Raspberry Pi aufgespannte WLAN in den Netzwerkeinstellungen eines Laptops oder Smartphones wieder. Nach der Eingabe der Zugangsdaten und dem Verbindungsaufbau bestätigt dann ein Aufruf von http://icanhazip.com – oder mit etwas mehr Komfort https://whatismyip.com – im Browser des mobilen Geräts den Erfolg der Aktion (Abbildung 4).

Abbildung 4: Als VPN-Gateway tunnelt der Raspberry Pi sämtliche Anfragen durch mobile Geräte durch das VPN.

Fazit

Nach Abschluss aller Schritte verfügen Sie nun über einen Rechner in Ihrem Netz, der sämtliche Daten durch einen VPN-Tunnel schickt. Bricht der einmal aus irgendeinem Grund zusammen, dann sorgt die Firewall dafür, dass keine Daten durchrutschen. Je nach eingesetztem VPN-Dienstleister sichern Sie sich so gegen Tracking im Netz oder Zensureingriffe ab. Optional “verlängern” Sie das VPN-Gateway per WLAN – allerdings verraten mobile Geräte in der Regel trotzdem Ihre Identität.

Dies ließe sich mit einem zweiten VPN-Tunnel verhindern: Richten Sie eine weitere VPN-Verbindung ein, beispielsweise über einen zweiten Anbieter oder zu einem VPN-Server in einem anderen Land, dann können Sie die Datenpakete von wlan0 nach tun1 durchleiten. Mobile Geräte erscheinen so im Internet mit einer anderen IP als der Raspberry Pi. Auf diesem Weg könnten Sie auf dem RasPi kritische Dienste laufen lassen, ohne dass Sie sich über mobile Geräte am VPN-Gateway verraten.