Mit wenigen Handgriffen rüsten Sie einen Raspberry Pi zum portablen VPN-Gateway auf, das auch außerhalb der EU den Konsum heimischer Mediendienste und das Umgehen von Netzzensur ermöglicht.
Für viele Menschen ist der Jahresurlaub die schönste Zeit im ganzen Jahr, jene Zeit, auf die man hinarbeitet und auf die man sich freut. Allerdings gilt nicht für alle Menschen das Prinzip, dass ein Urlaub umso mehr Spaß macht, je weiter entfernt von der Heimat er stattfindet. Zudem möchte nicht jeder, der in Urlaub fährt, über dessen gesamte Dauer die Verbindungen zur Heimat vollständig kappen.
Ein gutes Beispiel dafür sind heimische Medien: Wer gerade irgendwo auf der Welt unterwegs ist, findet dort kaum deutsche Sender im Fernseher auf dem Hotelzimmer. Auch wenn lineares Fernsehen zunehmend ins Hintertreffen gerät, betreffen entsprechende Einschränkungen auch die oft liebgewonnenen Streaming-Dienste. Wer Netflix etwa aus Ägypten heraus aufruft, findet dort trotz Nutzung desselben Accounts nicht dasselbe Material wie in der deutschen Heimat. Mancherorts kommen auch noch staatliche Zensurmaßnahmen hinzu, die selbst diese Form des Vergnügens unterbinden, damit niemand hört oder sieht, was nicht gehört oder gesehen werden soll.
Fernsehen, Medien, Überwachung
Die im Artikel beschriebenen Lösungen eignen sich in den meisten Ländern der Welt, um auf Dienste wie hiesige TV-Streaming-Angebote, Netflix & Co. und nahezu jede andere beliebige Ressource im Internet zuzugreifen.
Wer sich nicht bei einem der großen VPN-Anbieter einmietet, sondern auf dem heimischen Router eine VPN-Gegenstelle per DynIP und IPsec oder Waveguard installiert oder etwa OpenVPN auf Port 443 lauschen lässt, verschafft sich – die entsprechende Anbindung daheim vorausgesetzt – noch mehr Freiheiten: Der Zugriff auf Port 443 einer beliebigen IP-Adresse, bei der es sich nicht eindeutig um die IP eines Anbieters handelt, lässt sich aus Sicht einer staatlichen Zensur zumindest nicht anhand der Ziel- oder Quell-IP als VPN-Verbindung identifizieren. Sie sieht zunächst aus wie eine normale Verbindung mit HTTPS.
Die in diesem Artikel beschriebene Vorgehensweise schafft ein per VPN mit der Heimat verbundenes Internet-Gateway, über das sich das Netz mit derselben Freiheit genießen lässt, wie es auch am heimischen Computer zu Hause der Fall wäre. Vorsicht sollten Sie allerdings insbesondere dann walten lassen, wenn Sie sich in einem autoritären Land mit strikter Zensur befinden. Dazu zählt durchaus auch das ein oder andere beliebte Touristenziel. Schließlich möchten Sie nicht, dass die Polizei Ihr Hotelzimmer stürmt, weil sie sinistre Absichten vermutet, obwohl Sie eigentlich nur den Tatort schauen oder Nachrichten in der eigenen Sprache konsumieren wollten.
Ein Smartphone oder ein Tablet mit VPN bieten dann oft die einzig valide Alternative, vorausgesetzt, man ist entsprechend vorbereitet, begnügt sich für die Dauer der Reise mit dem sprichwörtlichen Mäusekino und möchte nicht die falschen Dinge schauen. Die Streaming-Anbieter haben längst dazugelernt und erzwingen in ihren Apps auf Tablets und Smartphones heute Zugriff auf die GPS-Module, um herauszufinden, wo sich das Gerät wirklich befindet. Dann hilft auch ein VPN nichts, und wer den GPS-Zugriff verweigert, bekommt lediglich eine schnöde Warnmeldung serviert.
Eine Voraussetzung für eine Lösung ist also, dass sie ohne VPN-Sensor daherkommt, den irgendwer anzapfen könnte. Fertig gibt es das allerdings als Produkt nicht. Wer also auch im Urlaub gern von Zeit zu Zeit ein paar Stunden mit Entspannung vor der Glotze verbringt, lernt also entweder schnell die Sprache des jeweiligen Gastgebers oder guckt in die Röhre.
Ägypten?!?
Vor exakt diesem Problem stand ich vor ein paar Monaten in Ägypten: Nur Zeug in der Glotze, das ich kaum oder gar nicht verstand, und praktisch keine Möglichkeit, etwa auf einen hiesigen Streaming-Dienst zurückzugreifen, um zumindest die Tagesschau zu sehen. Selbst die ARD zeigt mittlerweile beim Gros der Sendungen in der ARD-Mediathek bloß einen schnöden Urheberrechtshinweis an, weil man für das ausgestrahlte Material nur Rechte für Deutschland hat.
Die Techniker unter der Leserschaft kennen aber wohl das Gefühl, dass ein Problem wie dieses in Nerds auslöst: “Da muss doch was zu machen sein”, dachte ich, und grübelte über die Herausforderung nach. Schnell wusste ich: Würde ich das Problem technisch einmal lösen wollen, dann so, dass die Lösung nicht nur für diesen Urlaub funktioniert, sondern auch für künftige Reisen. Das bringt indes einige Einschränkungen mit sich. Einen Computer selbst im Mini-Format nimmt man kaum mal eben im Handgepäck mit, weil die Geräte dafür zu schwer und zu unhandlich sind. Obendrein gehen leistungsfähige Kleincomputer mit AMD-Ryzen-CPU oder einem Intel Core ganz schön ins Geld und bieten überbordend viel Rechenleistung für die zu lösende Aufgabe. Auch Laptops sind eher unkomfortabel, denn sie lassen sich oft zwar an Fernseher anschließen, sind dann aber nicht gut aus der Ferne zu steuern.
Vorbereitung ist die halbe Miete
Zwar hat es durchaus etwas Spektakuläres an sich, eine Lösung wie die skizzierte ad hoc und vor Ort im eigenen Hotelzimmer zu konstruieren. Allerdings hat das Prinzip auch etliche Nachteile, und ganz generell würde ich dazu raten, eine entsprechende Lösung zu Hause zu bauen und dann einfach mit an den Einsatzort zu nehmen.
Zunächst hatte ich im konkreten Fall etwa großes Glück, dass ein RasPi 4 vor Ort ohne Probleme zu bekommen war – sogar im Kit, also mit SD-Karte und dem meisten benötigten Zubehör (Abbildung 1). Was dem Kit freilich nicht beilag, war eine Tastatur, die aber zumindest für die initiale Einrichtung des RasPi im Regelfall notwendig ist. Den meisten Kits liegt ein HDMI-auf-Mini-HDMI Kabel bei, mit dem sich zentrale Einstellungen wie die für das lokale Netz vornehmen lassen. Die Tastatur war in meinem Fall vor Ort aber für kleines Geld einfach zu bekommen – Glück gehabt. Auch Googles Chromecast, der quasi die letzte Etappe des Vorgangs darstellte, war in Ägypten gut zu beschaffen, schon weil Amazon in Ägypten liefert. Das ist allerdings längst nicht auf der ganzen Welt so, und je nach Gastgeberland kann ein Unterfangen wie meines vor Ort auch ganz schnell ins Wasser fallen.
Auch von der Softwareseite her droht Ungemach: Die Zensur vieler Länder macht es unmöglich, VPN-Clients wie den von Mullvad oder NordVPN überhaupt erst herunterzuladen. Dann hat man ein Henne-Ei-Problem, weil man ohne funktionierende VPN-Software nicht an die VPN-Software kommt, die man für den RasPi benötigt. Bastelt man die Kombination vorab am heimischen Arbeitstisch, spart man sich Sonderausgaben wie jene für die Tastatur und umgeht etwaige Netzwerkprobleme. Genau dazu rate ich dringend.

Abbildung 1: Handlich und gut: Zwar fehlen auf dem Foto noch das Netzteil und der Surfstick, doch auch mit diesen Komponenten ist das Gesamtpaket klein genug für das Handgepäck im Flugzeug.
Wer vergleichbaren Komfort wie am heimischen Fernseher will, benötigt dafür in der Ferne üblicherweise eine Streaming-Kiste etwa von Apple oder von Google. Die allerdings können im Regelfall kein VPN. Sie sind stattdessen darauf angewiesen, dass ihr Zugang zum Netz das Thema VPN quasi transparent in die Verbindung einbettet. Gedanklich kam ich deshalb relativ schnell beim Raspberry Pi an, und allmählich formte sich im Kopf die Idee eines portablen VPN-Gateways auf Grundlage des britischen SBC. Der ist wirklich portabel, lässt sich mittels eines Mehrfachnetzteils für USB-C-kompatible Geräte problemlos mit Strom versorgen und braucht folglich kein eigenes Netzteil (weniger Gepäck!). Dennoch bietet er auf der Hard- wie auf der Softwarebene alle benötigten Funktionen. Und weil ich ab Werk ohne jede Geduld ausgestattet bin, war ebenso fix klar, dass ich das Projekt noch an Ort und Stelle umsetzen wollte (Abbildung 2).
Teile beschaffen
Ohne RasPi kein RasPi-VPN-Gateway, und so war nach dem Zusammenstellen der Liste der benötigten Teile die erste Herausforderung, die Komponenten zusammenzubekommen. Weil Amazon an meinem Aufenthaltsort in Ägypten funktioniert, stellte sich das Problem allerdings als übersichtlich heraus. Innerhalb von 24 Stunden war ich stolzer Besitzer eines RasPi-Kits mit HDMI-Kabel, Gehäuse, SD-Karte und Netzteil sowie eines Chromecast von Google. Der würde, so der Plan, später am Fernseher hängen, sich mit dem vom RasPi bereitgestellten WLAN verbinden und durch dessen aktive VPN-Verbindung hindurch den Weg in die Weite des Internets finden, mit deutscher Adresse.

Abbildung 2: Ad-Hoc-Hacking: Die Idee, ein VPN-Gateway auf Grundlage des Raspberry Pi zu bauen, entstand vor Ort im Urlaub – und fand dort auch gleich ihre Umsetzung.
Der gesamte Vorgang vom Auspacken des RasPi bis zum ersten Bild eines deutschen TV-Senders im ägyptischen Hotelzimmer-TV hat in etwa drei Stunden gedauert, was aber nicht zuletzt auf meine etwas eingerosteten Kenntnisse im Hinblick auf die Administration moderner Desktops zurückzuführen ist. Zwar kann man auf einem Debian-System auch heute noch seine Netzwerkkarten in interfaces konfigurieren und hostapd manuell ausrollen, um den RasPi in einen WLAN-Access-Point zu verwandeln. Sinnvoll ist das aber kaum, denn der von vielen Admins verschmähte NetworkManager erledigt dieselben Aufgaben mit wenigen Kommandozeilenbefehlen.
Apropos sinnvoll: Es gibt mehrere denkbare Optionen, den RasPi einerseits als WLAN-Access-Point und andererseits als Client in einem anderen WLAN zu betreiben. Der WLAN-Chip des RasPi unterstützt diese Konfiguration durchaus. Sie kommt im Alltag allerdings mit ein paar unpraktischen Einschränkungen daher, derer der Bastler sich bewusst sein sollte. Zunächst stellt sich freilich die Frage, mit welchem WLAN sich der RasPi für seinen eigenen Internet-Uplink denn verbinden soll. Hotel-WLANs arbeiten oft langsam, weil sie entweder gedrosselt oder schon von Anbieterseite her lahm sind. Hinzu kommen oft zusätzliche Filter, die Hotelbetreiber nutzen, um den Traffic einzelner Clients einzudämmen.
In den allermeisten Ländern der Welt funktioniert mobiles Internet obendrein sehr viel besser als stationäres WLAN. So auch in Ägypten: Für verhältnismäßig kleines Geld bekommt man SIM-Karten der lokalen Anbieter mit Touristentarif, der für einen bestimmten Zeitraum eine echte Daten-Flatrate bietet. Das jedoch erweitert die Einkaufsliste noch um mindestens ein Mobilfunkmodem. Klassiker wie Huaweis E3372 bieten sich hier an: Sie funken zwar nur nach dem LTE-Standard mit 150 Mbit/s maximaler Geschwindigkeit. Die erreichen aber selbst zu Hause viele Menschen nicht. Andererseits genügen 150 Mbit/s völlig für Streams in 4K oder sogar 8K (was in den meisten Hotels schon am passenden Fernseher scheitern dürfte).
Der einzige Nachteil könnte sein, dass es im 4G-Netz üblicherweise deutlich dichter zugeht als im Netz der neuesten Generation. Es schadet nicht, vor Ort nach Möglichkeit ein paar Tests vorzunehmen, um Performance und Stabilität des lokalen LTE-Netzes zu erkunden. Ich stellte in meinem Fall schnell fest, dass die Performance des 4G-Netzes völlig ausreichend war. Im lokalen Mobilfunk-Shop besorgte ich mir also eine entsprechende SIM-Karte für Touristen und hatte damit das Uplink-Thema abgehandelt.
Gerade Huaweis E3372 ist in dieser Hinsicht übrigens sehr dankbar: Es fungiert wie eine Art Mini-Router und installiert nach erfolgreichem Verbindungsaufbau ohne zusätzliche Konfiguration auf dem Linux-System eine Schnittstelle namens eth0. Das früher leidige Herumhantieren mit Wvdial entfällt also ebenso wie das Nachschlagen von AT-Kommandos für die Modemkonfiguration.
Die letzte benötigte Komponente war ein USB-zu-Ethernet-Adapter, um mich mit dem RasPi per SSH verbinden zu können. Ich empfand es als sehr nervig, die Konfiguration des RasPi trotz Keyboard am Fernseher zu erledigen, und die 10 Euro Aufpreis für den Ethernet-Dongle waren mir die Sache durchaus wert. Wer das Konstrukt zu Hause vorbereitet, spart sich diesen Posten in der Regel, weil bereits ein passender Netzwerkadapter vorhanden ist, den man unmittelbar mit dem RasPi verbinden kann. Auch das dafür benötigte Netzwerkkabel dürften Sie im heimischen Fundus haben, sodass Sie es anders als ich nicht vor Ort zusätzlich bestellen müssen.
Die Rechnung für sämtliche Komponenten belief sich letztlich auf knappe 250 Euro, womit ich leben kann – der Obolus erscheint mir für das Gespann aus RasPi, Google Chromecast sowie der benötigten Peripherie für ein dauerhaft nutzbares Gerät durchaus angemessen. Die Beschaffung der Hardware und deren Zusammenbau waren allerdings nur die erste Hälfte der Miete – der zweite Teil, die Vorbereitung der Software, ist eigentlich spannender.
Einstieg
Schnell stand für mich fest, dass Raspberry Pi OS die sinnvollste Option im Hinblick auf die Aufgabe war. Es basiert auf Debian, das ich noch einigermaßen gut kenne, und kommt mit nicht ganz so viel Schnickschnack daher wie manche andere RasPi-Distribution und ist eine gute Allround-Lösung. Obendrein gibt es in Form von Raspberry Pi Imager (Abbildung 3) ein eigenes Werkzeug, das unter Windows eine MicroSD-Karte mit Pi OS bespielen kann – und ein Windows-Notebook hatte ich dabei.
Flugs steckte ich also die MicroSD-Karte in den mitgelieferten USB-A-auf-MicroSD-Adapter, diesen ins Notebook, und lud Pi OS über das Hotel-WLAN herunter. Das Image-Werkzeug für Pi OS bietet etliche Optionen, etwa jene, das Passwort für Root gleich unter Windows festzulegen – das entpuppte sich schnell als sehr nützlich (Abbildung 4). Flott war die MicroSD-Karte betankt, im RasPi versenkt und dieser an den Hotelfernseher angeschlossen, wo sich bald der Pi-OS-Bootscreen zeigte. Auch die billige Tastatur steckte bereits am RasPi, sodass ich mich als Root im Terminal nach [Strg]+[Alt]+[F1] anmelden konnte. Ab Werk bootet Pi OS ja in die grafische Oberfläche, die in meinem Falle mangels Maus aber nur schwer zu bedienen gewesen wäre.

Abbildung 4: Raspberry Pi Imager übernimmt auf Wunsch sogar noch vor dem Flashen des Abbilds die Konfiguration.
Weil ich mir das Gefummel am Fernseher trotzdem nicht antun wollte, verband ich den Raspberry Pi mittels eines Netzwerkkabels über einen Ethernet-Adapter mit meinem Notebook, konfigurierte ein lokales Netz auf beiden Systemen und hatte im Anschluss eine funktionierende SSH-Verbindung. Schnell tat sich jedoch das nächste Problem auf. Den RasPi mittels Huawei-Surfstick und lokaler SIM-Karte ins Netz zu bringen, war keine große Herausforderung. Einstecken, läuft. NordVPN ließ sich im Anschluss dann allerdings schon nicht mehr herunterladen. Anstelle der NordVPN-Website erschien lediglich eine Fehlermeldung, wonach die HTTP-Verbindung mittendrin unterbrochen war. Die staatliche Zensur funktionierte also nicht nur, sondern sie war auch ausgesprochen stümperhaft.
Das merkte ich auch, als ich auf meinem iPad NordVPN unmittelbar aus Apples App Store installieren und einrichten konnte. Im Anschluss konfigurierte ich das iPad als persönlichen Hotspot, verband per raspi-config den Raspberry Pi damit und hatte nun weitgehend freien Zugang zum Netz. NordVPN bietet eine eigene Anleitung [1] an, um seinen Client unter Linux und speziell Debian zu installieren. Dazu genügen wenige Befehle, die im Wesentlichen die Quellen für die NordVPN-Pakete auf dem System hinterlegen und im Anschluss die Software installieren.
Für NordVPN entschied ich mich deshalb, weil ich bei diesem Anbieter aus grauer Vorzeit ohnehin noch einen leicht zu reaktivierenden Account hatte und NordVPN relativ gut und flott funktioniert. Obendrein bietet der Client unter Linux verschiedene Features wie eine Killswitch-Funktion, die jeglichen Traffic nach draußen unterbindet, falls die VPN-Verbindung mal nicht funktioniert. Das ist auch deshalb praktisch, weil NordVPN mittlerweile auf das moderne Wireguard-VPN setzt. Hier gibt es anders als bei IPsec oder OpenVPN keinen formalen Schritt des Herstellens der Verbindung. Funktioniert das VPN also mal nicht, merkt man das nicht unmittelbar an einer Fehlermeldung, sondern im schlechtesten Fall daran, dass das System die Pakete eben doch ohne VPN durch das Netz bläst. Der NordVPN-Client verhindert zuverlässig, dass genau das passiert – und sorgt für manche Überraschung im Prozess, doch dazu später mehr. Am Ende der NordVPN-Installation jedenfalls funkte auch der RasPi durch ein VPN hindurch und war weitgehend frei.
Eine Eigenheit gibt es bei dem Werkzeug allerdings zu beachten. Um NordVPN auf der Kommandozeile zu aktivieren, besteht der Dienst auf einem Callback per Browser. Am Ende des Konfigurationsvorgangs zeigt NordVPN in der Kommandozeile dazu einen Link an, den man in den eigenen Browser kopiert, um sich bei NordVPN mit Benutzername und Passwort anzumelden. Am Ende dieses Schritts erhält man einen neuen Link, den man dem NordVPN-Client mittels des Parameters callback mit auf den Weg gibt. Erst danach kommt die Verbindung mittels nordvpn connect zustande.
Im konkreten Fall empfiehlt sich übrigens das Kommando nordvpn connect de berlin, um auch sicher mit einem VPN-Server in Deutschland zu reden. Kennen Sie einen gut funktionierenden Server, geben Sie idealerweise dessen Namen in der Form nordvpn connect ID an, etwa nordvpn connect de763. Ansonsten bekommen Sie früher oder später garantiert Probleme mit der Verbindung zu Streaming-Diensten. Jedenfalls sollten Sie darauf achten, einen Server innerhalb der Europäischen Union zu verwenden, denn da muss Streaming weitgehend funktionieren. Ab Werk nimmt NordVPN allerdings den nächstgelegenen Server, was auf meinem Ägypten-Trip zum Erreichen des gesetzten Zieles äußerst kontraproduktiv gewesen wäre.
Drei Schritte
Logisch betrachtet umfasst die Konfiguration eines VPN-Gateways auf Raspberry-Pi-Basis drei einfache Schritte. Zunächst steht die Grundkonfiguration des Systems an; dazu gehört die Konfiguration der Zeitzone ebenso wie jenes des Netzwerks. SSH lässt sich wahlweise per raspi-config aktivieren oder direkt im Image-Flash-Werkzeug unter Windows. Danach steht die Konfiguration von NordVPN auf dem Plan, damit das Gerät ausgehende Verbindungen entsprechend schützt. Schließlich gilt es noch, den RasPi so einzurichten, dass er als WLAN-Access-Point für Clients dient, die im Anschluss samt und sonders unter dem Schutz des VPNs im Netz surfen.
Konfigurationsorgien mit hostapd gehören heute der Vergangenheit an. Wie bereits erwähnt, leistet den größten Teil der Konfiguration heute Systemd im Gespann mit NetworkManager. Wenn eth0 als vom Surfstick angebotene Verbindung ins Netz zur Verfügung steht und das WLAN des Rechenknirpses noch unkonfiguriert ist, genügen wenige Befehle, um das gewünschte Setup zu erreichen. Zunächst deaktivieren Sie hostapd und dnsmasq in der eigenständigen Version, denn NetworkManager startet sie später so, wie er sie benötigt. Der Befehl sudo apt install dnsmasq hostapd erledigt das. Danach erfolgt das Aufsetzen des Access Points mit den Befehlen aus Listing 1.
Listing 1
Access Point einrichten
$ nmcli con add type wifi ifname wlan0 con-name hotspot autoconnect yes ssid martin_unterwegs $ nmcli con modify Hostspot 802-11-wireless.mode ap 802-11-wireless.band bg ipv4.method shared $ nmcli con modify Hostspot wifi-sec.key-mgmt wpa-psk $ nmcli con modify Hostspot wifi-sec.psk "SehrSicheresPasswort" $ nmcli con up hotspot
Geübte Netzwerker wie ich nehmen an dieser Stelle an, dass im nächsten Augenblick ein WLAN namens martin_unterwegs auf der WLAN-Liste der eigenen Geräte auftaucht, mit dem man sich unter Nutzung des vergebenen Passworts verbinden kann. Das WLAN tauchte tatsächlich auf, nur mit der Verbindung wollte es so recht nicht klappen. Damit begann eine fast anderthalbstündige Debugging-Session.
Des Rätsels Lösung war so offensichtlich wie kurios: NordVPN spendiert seinem Client wie beschrieben einen Killswitch, den es allerdings per Iptables implementiert. Ab Werk stellt NordVPN das System so ein, dass der Rechner für eingehenden Traffic weitgehend zugenagelt ist. Das lässt sich zwar mittels eines separaten Befehls auf der Kommandozeile zum Teil korrigieren, der die lokale Netzwerkerkennung aktiviert und freischaltet. Das setzt allerdings voraus, dass man einen administrativen Zugang zum RasPi hat, weil man ansonsten wieder den ungeliebten Fernseher für lokale Arbeiten nutzen muss. Obendrein funktioniert die lokale Freischaltung erst auf der Netzwerkebene, sodass sie für DHCP und BOOTP nicht funktioniert.
An dem beschriebenen administrativen Zugang scheiterte es obendrein. WLAN-Clients konnten sich mit dem Access-Point zwar verbinden, erhielten allerdings per DHCP keine IP-Adresse. Das lag daran, dass NordVPN eingehenden Traffic auf sämtlichen Interfaces abgestellt hatte. Das Aktivieren der Erkennung lokaler Netze löste das Problem, und das WLAN war funktionstüchtig. Eine dauerhafte Lösung bot das aber noch nicht, denn nach jedem Reboot nagelte NordVPN bis zum erneuten Aufruf des Kommandos für lokale Clients das mühsam in den Paketfilter gerissene Loch wieder zu.
Nützlicher Dispatcher
Intuitiv hätte ich an dieser Stelle zur post-up-Anweisung aus früheren Debian-Versionen gegriffen. Die würde, sobald sich der Status einer Netzwerkschnittstelle ändert – etwa, weil das WLAN gestartet wird – die nötigen NordVPN-Befehle ausführen und die Kommunikation so freigeben. Eine ähnliche Einstellung bietet NetworkManager auch, und zwar in Form eines Dispatcher-Shell-Skripts unter /etc/NetworkManager/dispatcher.d/.
Aber Vorsicht: Bei einem Ereignis im Netzwerk ruft NetworkManager jedes Mal sämtliche Skripte auf. Es obliegt mithin dem Autor eines Dispatcher-Skripts, sicherzustellen, dass die enthaltenen Befehle nur dann greifen, wenn das Ereignis auf der richtigen Netzwerkschnittstelle (in unserem Fall wlan0) stattfindet. Das Beispiel aus Listing 2 vermittelt einen ersten Eindruck davon, wie so etwas aussehen kann.
Listing 2
Dispatcher-Skript
#!/usr/bin/env bash interface=$1 event=$2 if [[ $interface != "wlan0" ]] || [[ $event != "up" ]]; then return 0 fi # place your commands below this line nordvpn set killswitch off nordvpn set firewall off nordvpn set lan-discovery enable nordvpn set killswitch on nordvpn set firewall on sudo iptables -t nat -A POSTROUTING -o nordlynx -j MASQUERADE sudo iptables -A FORWARD -i nordlynx -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT sudo iptables -A FORWARD -i eth0 -o nordlynx -j ACCEPT
Das gezeigte Dispatcher-Skript leistet noch eine weitere wichtige Aufgabe: Es aktiviert Masquerading für das NordVPN-Interface, damit Clients aus dem WLAN heraus durch NordVPN hindurch auf das Internet zugreifen können. Damit das auch wirklich klappt, muss zudem die Systemcontrol-Variable für die Weiterleitung von IPv4-Paketen aktiv sein. Das Kommando aus Listing 3 erledigt das Reboot-sicher.
Listing 3
IPv4-Weiterleitung
$ echo -e 'net.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.conf && sysctl -a
Die Arbeit auf dem Raspberry Pi ist damit abgeschlossen, das Gerät arbeitet nun als portables VPN-Gateway. Sicherheitshalber und während die Ethernet-Verbindung mit meinem Windows-Notebook noch hergestellt war, führte ich mittels reboot einen Neustart herbei. Im Anschluss stellte ich sicher, dass der RasPi automatisch hochfährt, NordVPN eine Verbindung herstellen kann und DHCP und BOOTP im WLAN weiterhin funktionieren. Selbst bei einer im Augenblick scheinbar perfekt funktionierenden Konfiguration sollten Sie diesen Test sicherheitshalber vornehmen.
Der Rest war Schema F: Das gebaute Konstrukt verhält sich etwa einem Google Chromecast gegenüber exakt so wie jeder andere Access Point auch – wenn man davon absieht, dass der RasPi im Augenblick nur das unsichere WPA-PSK-Protokoll mit AES-Verschlüsselung unterstützt. Hier hege ich die Hoffnung, dass ein RasPi 5 besser performt, sollte er denn irgendwann einmal realistisch zu bekommen sein.
So oder so war es problemlos möglich, den vor Ort ebenfalls beschafften Google Chromecast an den Fernseher anzuschließen und mittels Google-Home-Anwendung zu konfigurieren. Haben Sie bereits einen Account für Google Home, sollten Sie darauf achten, darin für den RasPi einen komplett eigenen Standort anzulegen. Solange ich versuchte, den RasPi in das bestehende Netzwerk home zu integrieren, erschienen beim Herstellen der Verbindung etliche eigenartige Fehlermeldungen.
Läuft der Chromecast einmal, lassen sich Anwendungen wie Waipu, Netflix oder Amazon Prime installieren und durch das WLAN hindurch per VPN betreiben. Ein weiterer Vorteil dieser Lösung: Man kann auch andere portable Geräte mit dem RasPi-Access-Point verbinden und so gegebenenfalls einer lausigen WLAN-Verbindung im Hotel entgehen.
Fazit
Geht nicht gibt’s nicht: Das gilt 2024 auch für TV- und Medienkonsum von Streaming-Diensten weitab der Heimat und der Europäischen Union. Die skizzierte Lösung leistete im Urlaub über viele Tage treue Dienste und ermöglichte sogar den Konsum der einschlägigen Streaming-Dienste mit 1080p- und 4k-Auflösung (Abbildung 5). Mehr kann man kaum verlangen, zumal auch die meisten Fernseher in Hotels nicht mehr Leistung bieten.

Abbildung 5: Erfolg: Hier zwar etwas überbelichtet wegen zu wenig Licht im Hotelzimmer, aber dennoch gut erkennbar – deutsches Fernsehen im Hotel in Ägypten in hervorragender Qualität.
Freilich hängt das beschriebene Prozedere stark davon ab, ob der HDMI-Anschluss des Hotelfernsehers zugänglich ist. Manche Hotels sind dazu übergegangen, die Geräte in Wandvorsprüngen zu verbauen, sodass sich die Ports kaum erreichen lassen. Andere Hotels verbieten über die Konfiguration des Fernsehers softwareseitig den Zugriff auf die HDMI-Ports. Im Gros der Hotels, in denen ich bisher zu Gast war, war der Anschluss von Geräten an den Fernseher jedoch kein Problem. Das Gespann aus Mobilfunkmodem, RasPi und Google Chromecast jedenfalls hat sich bewährt: Es ist klein, leicht und mithin gut transportabel, benötigt keine aktiven Lüfter und hat in Sachen Ressourcen trotzdem noch genug Luft zum Atmen.
Ausblick
Es gibt noch einige Möglichkeiten, das System zu tunen. Erwerben Sie etwa einen externen Wi-Fi-Stick, können Sie damit – zumindest nach einiger Bastelei – auch WPA3 in Ihrem WLAN fahren, haben dann jedoch ein Gerät mehr am Bein.
Ähnliches gilt für die Verbindung des RasPi zur Außenwelt. Falls Sie sich mit 4G/LTE partout nicht mehr anfreunden können, finden Sie auf dem Markt mittlerweile passende Modems zum Beispiel in Form des ZTE USB MU5001. Das kleine, handliche Modul gibt ähnlich wie der Surfstick von Huawei einfach über RJ45 eine IP aus, über die der RasPi die Verbindung herstellen kann. Allerdings reißt das Kistchen mit knapp 300 Euro auch ein ordentliches Loch ins Budget – das Achtfache dessen, was der Huawei-Stick aktuell kostet. Weil man mit 4G gut fernsehen kann und auch die meisten anderen alltäglichen Aufgaben gut funktionieren, ist diese Investition jedenfalls nicht zwingend nötig.
Sinnvoller wäre für den Fall der Fälle vermutlich, für deutlich weniger Geld eine Tastatur zu kaufen, mit der sich der RasPi vor Ort notfalls wiederbeleben lässt, falls bei seiner Netzwerkkonfiguration etwas fundamental schiefläuft. Dann sollten Sie aber neben einem HDMI-zu-Mini-HDMI-Kabel auch ein LAN-Kabel und einen Ethernet-USB-Adapter für das eigene Notebook im Gepäck haben, falls es – wie heute die meisten Geräte – ohne RJ45-Port daherkommt. Zwar haben Sie dann mehr Zeug im Schlepptau, verhindern damit aber sicher, dass es im Fernseher zappenduster wird. (jlu)






