Anleitung: Raspberry Pi als VPN-Router nutzen

VPN-Verbindungen sind eine feine Sache, schützen sie Euch doch effektiv vor Verfolgung im Netz. Allerdings besitzt die in Deutschland so beliebte FritzBox wie viele andere Router keine Option, mit der Ihr einen VPN-Anbieter direkt im Router einrichten könntet. Deshalb benötigt Ihr einen VPN-Router, der diese Aufgabe übernimmt und sich zwischen Eure Endgeräte und den eigentlichen Router schaltet. Mit dem Raspberry Pi ist das kein Problem.

Raspberry Pi VPN-Router: Die Vor- und Nachteile

Grundsätzlich müsst Ihr zwei Einrichtungsschritte durchführen, um den Raspberry Pi als VPN-Router zu verwenden: Zunächst müsst Ihr den Pi als Router einrichten. Wichtig ist, dass Ihr einen Pi mit eingebauter Ethernet- und WiFi-Verbindung verwendet, als den Raspberry Pi 3 oder neuer. Wir empfehlen aufgrund der Leistungsfähigkeit aber dringend den Einsatz des Raspberry Pi 4 oder höher. Andernfalls müsst ihr nämlich noch einen zusätzlichen WLAN-Adapter einrichten und routen, was eher lästig ist. Zudem muss der Kompaktrechner zuvor als Router eingerichtet werden.

Was Ihr für den Raspberry als VPN-Router benötigt

Um den Pi als Router und VPN-Gateway zu betreiben, benötigt ihr in unserem Setup die folgenden Dinge:

• Raspberry Pi 3 oder 4
• Ein solides Raspberry-Pi-Netzteil
• Eine Micro-SD-Karte mit mindestens 4 GB Speicher
• Ein OpenWRT-Image für den Raspberry Pi
• Balena Etcher, um das Image auf die SD-Karte zu schreiben

Raspberry Pi 4 Computer Official Full Kit with Official Fan System and Raspberry Pi SO (8GB RAM, White) *

Nicht verfügbar

Bei Amazon ansehen *

(* = Affiliate-Link / Bildquelle: Amazon-Partnerprogramm)

1. Raspberry Pi als OpenWRT-Router installieren

Die einfachste Möglichkeit, den Raspberry Pi als Router zu Verwenden, ist OpenWRT. Denn die reguläre Einrichtung des Pis als Router ist nicht ganz banal. Zum Glück gibt es inzwischen vorgefertigte Images mit OpenWRT, die die Installation sehr leicht machen:

• OpenWRT selbst bietet Images für den Raspberry Pi bis Version 3 an (hier unter „Installation“)
• Im OpenWRT-Forum gibt es ein dediziertes RPI4-Image, das regelmäßig aktualisiert wird. Zudem gibt es ein praktisches voreingerichtetes RPI-Image mit einer älteren Version von Rehan Kumar, das Euch eine Menge Einrichtungsarbeit erspart. Das werden wir in dieser Anleitung im Folgenden verwenden.

Ladet zunächst das passende Image (openwrt-bcm27xx-bcm2711-rpi-4-ext4-factory.img.gz oder openwrt-bcm27xx-bcm2711-rpi-4-squashfs-factory.img.gz) für Euren Pi 4 herunter und spielt es mit Etcher auf die SD-Karte. Anschließend könnt ihr diese in Euren Raspberry Pi stecken und den Bastelrechner hochfahren. Achtung: Der Pi sollte per Ethernet-Kabel an Eurem normalen Router hängen!

Das war es auch schon: Ist der Pi hochgefahren, taucht ein WLAN „OpenWRT“ in Eurer WLAN-Übersicht auf. Das WLAN-Passwort der Rehan-Kumar-Images lautet „tastypi1$2“. Bei den OpenWRT-Versionen für Raspberry Pi 3 und älter ist zunächst nur Ethernet aktiv: Ihr müsst Euren Rechner per LAN-Kabel mit dem Pi verbinden und den OpenWRT-Pi danach per SSH über die IP-Adresse 192.168.1.1 ssh root@192.168.1.1 von Grundauf einrichten wie hier beschrieben. Die Rehan-Kumar-Version für den Pi 4 macht es euch also deutlich leichter: Nachdem Ihr Euch mit dem Pi-WLAN verbunden habt, könnt Ihr einfach im Browser die IP-Adresse 10.10.10.1 eingeben und landet auf der Weboberfläche Eures OpenWRT-Routers.

2. OpenWRT auf dem Raspberry Pi testen

Vergebt jetzt ein Root-Passwort für den Pi-Router und klickt auf „Login“. Falls der Pi jetzt ein fehlendes Root-Passwort bemängelt, ist das kein Problem: Startet den Pi einfach einmal neu und ruft erneut 10.10.10.1 auf: Die Meldung sollte jetzt verschwunden sein und die Benutzeroberfläche mit dem gesetzten Passwort geschützt sein. Ruft eine andere Internetseite auf, um das OpenWRT-WLAN Eures Pis zu testen: Wenn der Pi per Ethernet an Eurem Router hängt und Euer PC das OpenWRT-WLAN verwendet, läuft der Internet-Verkehr durch den Pi. Wenn Ihr alle Websites aufrufen könnt, ist das OpenWRT-System einsatzbereit: Ihr habt jetzt einen kleinen OpenWRT-Router, den ihr wie jeden anderen Router benutzen könnt.

3. OpenWRT auf dem Pi 4 aktualisieren

Über das Menü System -> Backup/Flash Firmware könnt ihr jetzt noch per „Upload a sysupgrade-compatible image here to replace the running firmware“ das Update installieren. Nehmt hierfür NICHT die (veraltete) Rehan-Kumar-Version, sondern die offizielle Sysupgrade-Version von openwrt.org. Den Warnhinweis könnt ihr ignorieren. Anschließend ist Euer OpenWRT-Raspberry-Pi auf dem aktuellsten Stand, bleibt aber eingerichtet wie zuvor. An dieser Stelle habt Ihr den Raspberry Pi als WLAN-Router eingerichtet.

4. OpenVPN in OpenWRT installieren

Nun müsst Ihr noch OpenVPN und einige Tools installieren. Dafür gibt es zwei Möglichkeiten: Entweder, Ihr öffnet in der OpenWRT-Weboberfläche den Menüpunkt System -> Software und installiert die Komponenten hier. Oder Ihr verbindet Euch per SSH mit dem Pi. Öffnet in diesem Fall ein Terminal- oder Kommandozeilenfenster und gebt hier
ssh root@openwrt
ein. Anschließend müsst ihr noch das Passwort eingeben, das ihr in Schritt 2 für die Benutzeroberfläche vergeben habt. Jetzt seid Ihr per SSH mit dem Router-Basissoftware verbunden. Gebt nun folgende Befehle ein:

opkg update
opkg install openvpn-openssl
Zusätzlich solltet Ihr noch
opkg install ip-full und
opkg install luci-app-openvpn
ausführen: Dadurch erhaltet ihr auch in der Weboberfläche eine VPN-Verwaltung und müsst das nicht in der Kommandozeile erledigen. Loggt Euch anschließend einmal aus der Weboberfläche aus und wieder ein, dann taucht die OpenVPN-Verwaltung als neuer Menüpunkt auf.

4. VPN-Service unter OpenWRT einrichten

Öffnet jetzt die Weboberfläche Eures OpenWRT-Pi und klickt auf den neuen Menüpunkt VPN -> OpenVPN. Hier könnt Ihr eine OVPN-Datei hochladen, die die Konfiguration des VPN-Anbieters enthält. Wir nehmen im Beispiel jetzt den beliebten Service NordVPN. Dieser bietet OpenVPN-Konfigurationsdateien (*.ovpn) an. Andere VPN-Anbieter haben diese in aller Regel auch im Angebot, eine einfache Google-Suche mit „OVPN+(VPN-Anbieter)“ sollte Euch auf die Seite Eures Anbieters führen.

1. Ladet zunächst die OVPN-Datei von Eurem VPN-Anbieter herunter. Standard ist Protokoll „UDP“, sollte UDP aber aus irgendeinem Grund gesperrt sein, könnt Ihr auch die TCP-Variante nehmen. UDP ist dabei grundsätzlich die bessere Wahl, weil es höhere Geschwindigkeiten bietet. Bei NordVPN sind die OVPN-Dateien nach Ländercode geordnet. Wollt Ihr zum Beispiel ein US-VPN-Server nutzen, müsst Ihr eine der Dateien mit „US“ vorne herunterladen.
2. Gebt die Datei in OpenWRT unter VPN -> OpenVPN -> OVPN configuration file upload an, vergebt einen Namen und klickt auf „Upload“.
3. Anschließend ist die VPN-Verbindung in der Liste der Verbindungen. Klickt auf „Edit“ für weitere Einstellungen. Hier müsst Ihr Ihr den Pfad des Auth-Keys einfügen (siehe Screenshot oben). Ins untere Feld müsst Ihr den Benutzernamen und das Passwort eintragen. Achtung: NordVPN hat dafür einen eigenen String, der nicht Eure Mailadresse mit Eurem normalen Passwort ist: Stattdessen erhaltet Ihr die nötigen Zugangsdaten nach dem Login auf NordVPN.com und Klick auf „NordVPN“ unter „Service Credentials“. Andere Anbieter wie ExpressVPN, Hide.Me oder Cyberghost dürften ähnlich verfahren.
4. Das war es auch schon: Speichert die Änderungen ab, markiert den Haken „Enable“ und klickt neben der neu erstellten VPN-Verbindung auf „Start“. Speichert die Änderungen anschließend ab, um die VPN-Verbindung zu starten.

NordVPN Standard 1-Jahres-Abonnement für 6 Geräte – digitale Sicherheitssoftware für sicheres und privates Internet *

Nicht verfügbar

Bei Amazon ansehen *

(* = Affiliate-Link / Bildquelle: Amazon-Partnerprogramm)

Firewall-Regel einrichten

Der OpenVPN-Dienst Eures OpenWRT-Pis stellt jetzt eine VPN-Verbindung her. Wenn Ihr jetzt versucht, eine Website aufzurufen, wird das aber nicht funktionieren. Es kommt zu einem Verbindungsfehler, und das ist auch erst einmal korrekt. Denn Ihr müsst noch die Firewall für den VPN-Dienst konfigurieren. Mit dem oben aktualisierten OpenWRT ab Version 19.07 ist das ein Kinderspiel:

1. Öffnet Network -> Firewall auf eurem OpenWRT-Pi.
2. Klickt neben dem WAN-Adapter auf „Edit“ und klickt auf den Reiter „Advanced Settings“.
3. Im Feld „Covered Devices“ wählt Ihr „tun0“ aus. Speichert die Änderungen anschließend ab.

Raspberry Pi-VPN-Router genießen und anonym surfen

Das war es auch schon: Ihr könnt jetzt über Euren Raspberry Pi als VPN-Router genießen: Wenn Ihr Euren Rechner per WLAN mit dem Pi verbindet, surft Ihr automatisch über eine VPN-Verbindung. Wichtig ist, dass Ihr das regelmäßig testet, etwa indem Ihr eine IP-Check-Website aufruft. Wir haben hier auch eine solche Seite, den Tutonaut IP-Check. Wenn der einen Standort in dem oben gewählten Land der OVPN-Datei ausgibt, seid Ihr auf der sicheren Seite: Euer Pi verbindet sich ins VPN – und Websites erhalten jetzt die IP-Adresse des VPN-Dienstes.

Das war es auch schon: Lasst den Pi einfach eingeschaltet an Eurem Router hängen oder packt ihn ein, wenn Ihr unterwegs ein sicheres WLAN braucht und eine LAN-Buchse vorhanden ist. Der Pi funktioniert jetzt an jedem Ethernet-Port, der Internet-Zugriff hat und bringt Euch sicher per WLAN und VPN-Dienst ins Internet. Natürlich ist das WLAN des Pis und die VPN-Verbindung nicht so schnell wie Euer regulärer Router mit einer ungeschützten Verbindung. Aber dank des Pis habt Ihr die Möglichkeit, jedes beliebige Gerät mit einem einfachen Wechsel der WLAN-Verbindung – nämlich von eurem regulären WLAN auf das des OpenWRT-Raspberry-Pi – mit einer sicheren und anoymen VPN-Verbindung auszustatten. Ganz ohne die lästige Installation von Client-Software oder ähnlichem. So eignet sich ein solcher Raspberry-Pi-VPN-Router natürlich auch hervorragend für ein Gast- oder Test-WLAN. Einzige Schwachstelle: Sonderlich schnell ist das Pi-WLAN nicht.

4% sparen

Raspberry Pi 4 Modell B; 4 GB, ARM-Cortex-A72 4 x, 1,50 GHz, 4 GB RAM, WLAN-ac, Bluetooth 5, LAN, 4 x USB, 2 x Micro-HDMI *

68,95 €

65,99 €

Bei Amazon ansehen *

(* = Affiliate-Link / Bildquelle: Amazon-Partnerprogramm)