Raspberry Pi als schwarzes Loch im Netzwerk

[HoneyBadger]

Hi,

ich überlege, meinen kompletten Netzwerktraffic über einen Raspberry Pi mit Pi-Hole zu schleusen. Das Ganze in Verbindung mit No Track. Am liebsten würde ich das direkt mit meinem VPN-Anbieter verknüpfen. Da weiß ich allerdings nicht, ob das so einfach geht.
Einen neuen Router, der OpenVPN unterstütz, zu kaufen, macht nicht so wirklich viel Sinn, da meine 7490 gerade einmal knapp 2 Jahre alt ist.

Hat einer Erfahrungen mit dem Routing in dieser Konstellation (Pi-Hole, No Track und VPN)?

Habe noch keinen Pi, um´s einfach mal zu testen. Die Anschaffung lohnt für mich nur, wenn´s auch geht.

Grüße

 

[Metal_Warrior]

@HoneyBadger: Gleich mal vorweg: Ich hab Pi-hole noch nicht ausprobiert und auch noch keinen VPN-Server selber hier am Laufen, aber ich weiß grundsätzlich, wie das läuft. Daher sehe ich auch kein Problem für dein Setup:

VPN: Der VPN-Server gibt jedem angehängten Client eine IP-Adresse aus seinem Pool, d. h. es läuft dort ein DHCP-Server (oder man lässt das von dnsmasq machen). Dieser DHCP-Server bietet nicht nur die IP für den Client an, sondern auch alle möglichen Zusatzinformationen: Subnetmask, Gateway und DNS-Server sind die häufigsten Optionen, aber da geht schon noch mehr (was für dich jetzt nicht wichtig ist). Und damit ist dieses Kapitel erschlagen, denn weiter geht's eh mit dnsmasq.

Pi-hole: Letztendlich nichts anderes als eine große Config-Datei für dnsmasq, in der lokal aufgelöste Domainadressen stehen, nämlich die von den jeweiligen Adware-Domains. Dein DNS-Server spielt also Zensursula - gute Anfragen werden richtig beantwortet (mit Abfrage nach upstream etc.), "böse" Anfragen werden mit einer lokalen IP beantwortet, auf der ein Apache oder nginx läuft und ein GIF liegt (oder halt nen leeres HTML-Dokument). Tracker werden da auch direkt hingeleitet, erreichen also ihre Bestimmungsorte nicht.

Alles für sich funktioniert problemlos auch auf einem RPi, und da du ja nur im VPN-Server deinen DNS-Server angibst und verteilst, wird das auch im Zusammenspiel laufen.

 

[mathmos]

Einen VPN-Zugang auf einem Raspberry laufen zu lassen macht wenig Spaß. Wenn ich den VPN-Zugang direkt auf meinen normalen Rechnern laufen lasse, kann ich die Bandbreite meines Internetanschlusses komplett nutzen (derzeit sage und schreibe 10 MBit). Bei mehreren Versuchen den VPN-Zugang über den Raspberry abzuwickeln ist davon nur ein Bruchteil verfügbar gewesen (mehrmals mit mehreren VPN-Anbietern getestet) und der Raspberry war sehr ausgelastet. Ich vermute mal, das die Hardware die Verschlüsselung nicht packt.

 

[Metal_Warrior]

@mathmos: Vergiss an der Stelle den Upload nicht - die asymmetrischen Leitungen haben nur 10% der Geschwindigkeitsangabe des Anbieters als Upload zur Verfügung, das halte ich für das weitaus größere Problem an diesem Setup. Also surfen von extern wird nur mit 10% der eigenen Leitung möglich sein, unabhängig von der Hardware des Servers.

[Edit]
Ich sehe grad, ich hab mich oben verlesen: Du willst ja gar nicht von extern rein, sondern deinen kompletten Netzwerktraffic über VPN routen lassen. Prinzipiell möglich, ja, wenn du am Router DHCP abschaltest, den Raspi als DHCP-Server einrichtest und den Raspi selbst dafür als Gateway angibst (der Raspi selbst muss aber für den eigenen Traffic den Router als Gateway nutzen und du musst dann die Verbindungen durchschleifen - das sollte aber laufen). Dass dann die Crypto den Prozessor der alten Raspis an den Rand des Möglichen bringt, glaub ich gern, der RPi3 sollte das aber mittlerweile können. Einziges Manko: Hängst du über die USB-Schnittstelle noch was ran, zerlegt es dir die Bandbreite, weil selbst beim RPi3 AFAIK noch USB und Ethernet über einen relativ schmalen Bus laufen.

 

[HoneyBadger]

Ich frage mich auch, warum die das von AVM nicht einfach einbauen. Wollen sonst ja auch immer so innovativ sein und bringen ständig neue Features. Aber einen externen VPN wollen die einfach nicht unterstützen. Na ja, man muss nicht alles verstehen.

Könnte sich die Konstellation von Pi-Hole und der VPN Software beißen oder müsste ich ohnehin direkt den VPN fix in den Netzwerkeinstellungen verankern? Kompliziert/einfach? Eine Linuxoberfläche (z.B. Noobs) macht ja Sinn. Nur mit Linux habe ich relativ wenig Berührungspunkte. Achja, Wartung vom Pi geht sicherlich per Remotezugriff, oder?

No Track lässt sich ja einfach in die Listen von Pi-Hole einbinden. Wenn der VPN fix verankert werden muss, ist das mit dem Wechsel des Servers wahrscheinlich etwas fummelig. Würde ich zumindest vermuten.

Lässt sich beim Pi auch eine Firewall so konfigurieren, dass der Traffic generell geblockt wird, wenn keine Verbindung zum VPN besteht?

 

[TBow]

Raspberry Pi als VPN/Tor Router:
https://www.youtube.com/watch?v=_dp1r4aKfeg
bzw.
http://makezine.com/projects/browse-anonymously-with-a-diy-raspberry-pi-vpntor-router/

Lässt sich beim Pi auch eine Firewall so konfigurieren, dass der Traffic generell geblockt wird, wenn keine Verbindung zum VPN besteht?

Yep, wenn man dem Pi mittels iptables sagt, dass er nur Verbindungen zum VPN zulassen darf, dann wird alles durch den Router gesendet. Bricht der Tunnel zusammen, dann geht nichts mehr durch. Müsste im Kapitel Routing behandelt werden. aber eine Suche im Web bringt auch genügend Srcipte zum Vorschein.

Nur mit Linux habe ich relativ wenig Berührungspunkte. Achja, Wartung vom Pi geht sicherlich per Remotezugriff, oder?

Das wäre eine Möglichkeit, dass ein Angreifer sich vom Computer auf den Raspberry Router weiterhangelt.

 

[Metal_Warrior]

Das wäre eine Möglichkeit, dass ein Angreifer sich vom Computer auf den Raspberry Router weiterhangelt.
Touchscreen für den Pi kaufen und alles Notwendige darüber erledigen.

Ernsthaft? Linux ist dafür ausgelegt, die erste Mauer am Internet zu sein... Klar gibts hin und wieder Lücken wie bei anderen Systemen auch, aber im Grunde genommen ist die Furcht, dass der Pi von Remote übernommen wird, um Größenordnungen geringer einzuschätzen als die, dass dein Router gehackt wird - zumindest wenn man SSH richtig einrichtet und Telnet nicht zulässt. Natürlich ist Remoteadministration möglich, und auch kein Problem. Wieso sollte sie das sein? Selbst wenn der Angreifer bereits auf dem administrierenden Client ist, ist die Gefahr, dass dein RPi übernommen wird, nicht höher als die, dass dein Router übernommen wird.

 

[TBow]

Ernsthaft?

Eingentlich nicht, aber ich wollte das erwähnen. Je weniger Angriffsfläche, desto besser. Der Nutzer soll entscheiden.
Das Problem ist, dass bei einem kompromittierten System, Passwörter für die Verbindung zum Router entwendet werden können. Gibt es keine derartige Verbindung, dann fällt das Szenario flach.
Das wäre dann der Schutz der Anonymität, gegen Ausspähung der Internetaktivitäten hilft das jedoch natürlich nicht.

 

[HoneyBadger]

Mit Remote meinte ich auch nur innerhalb des Netzwerks. Zugriff von außen ist nicht relevant. Insofern ist es okay, wenn der Pi für Wartungsarbeiten nur die IP von zum Beispiel meinem Desktop schluckt.

Also ist mein Gedanke bis hier nicht verkehrt, dass ich mir mit einem Pi eine solide Firewall- und Antischnüffelapparatur für die ganze Familie zusammen schrauben kann.

Die Links muss ich mir morgen früh mal ansehen. Bin gerade unterwegs. Aber schon einmal danke.

Der Netzwerkverkehr innerhalb des Netzwerks wird aber nicht beeinflusst, richtig? Allerdings müssten so ja auch die ganzen "smarten" Geräte mit geschützt sein, richtig?

 

[Metal_Warrior]

@HoneyBadger: Wenn der Raspi die DHCP-Funktion übernimmt und sich selbst dadurch für alle Geräte als Gateway präsentiert, ist der Router für alle anderen Geräte nur ein weiteres Gerät im Netzwerk, kein Internetzugang (denn der wird vom DHCP-Server festgelegt). Wichtig ist nur, dass du den DHCP-Server des Routers abschaltest. Also ja, der Pi kann zum Gateway für alles werden und damit zur kontrollierenden Instanz.

Ach, und bzgl. Remote-Administration: Es nützt für den Angriffsweg, den Tbow beschrieben hat, nichts, wenn der Raspi nur von deinem einen Windows-System über SSH angesprochen werden darf - denn das ist genau das Problem. Allerdings ist dieses Szenario ziemlich esoterisch - möglich, aber wenig wahrscheinlich.

 

[HoneyBadger]

Wenn ich den Pi 3 B für so ein Vorhaben nutzen würde, sollte ich dann auf weitere Tasks verzichten, damit alles gut ist oder könnte ich durchaus auch noch weitere Dinge damit erledigen, ohne das ich Performanceprobleme bekomme?
Brauchbare Bundles gibt´s ja schon für ca. 50,- €.

Bin allerdings auch über ein Angebot gestolpert, dass ich aus nostalgischen Gründen nicht verkehrt finde.

Spoiler

Raspberry Pi 3 Modell B - RetroPie Starterkit - Bestehend aus: Raspberry Pi 3, Micro USB Netzteil 5V / 2,5A, schwarzem Gehäuse, 2x USB 2.0 Controller im SNES Design grau, Toshiba 32GB Class 10 MicroSDHC Speicherkarte + Adapter, 2,0m HDMI Kabel und Kühlkörper-Set

Wenn ich´s besser lassen sollte, würde ich mir einfach bei Gelegenheit ein zweites Set holen.

 

[theSplit]

Also ich kann jetzt leider wenig zum Thema selbst sagen, aber @HoneyBadger, ich würde dir dazu raten einfach ein Pi-Bundle zu kaufen und selbst zu testen wie viel Luft nach oben du hast bei deinem Anwendungsfall.

Ich meine, das ist ein 1,2 Ghz Quadcore Prozessor. Und für ein wenig Routing/Filtering solltest du nicht permanente Auslastung haben, mit Sicherheit aber wäre so ein Programm, zum Beispiel "top" dir genau zeigen, wie die Auslastung von Speicher und Prozessor ist - ist wirklich einfach. Aber Kühlkörper solltest du unbedingt mit einkaufen!

Ich habe Noobs jetzt nicht selbst getestet und hab bei mir direkt Raspbian (Lite) laufen, aber man kann mit Tastatur und etwas einem zweiten Monitor mit HDMI den PI schnell startklar machen. Und auch nen Desktop installieren, zum Beispiel "xfce4" - den man auch noch sehr gut konfigurieren kann und nicht zu Ressourcenfressend ist. (Ist aber mein persönliches Empfinden )

Über "Raspi-config" kannst du dann bequem über "sudo raspi-config" -> "passwort eingeben" -> konfigurieren (Sprache, Tastaturlayout, Memory Split für die Grafikeinheit.....), schnell alles umstellen, ist aber ein kurzes und sehr durchdachtes Menü das nicht überfordert.

Rapsbian-Lite ist zum Beispiel sehr schnell installiert - würde ich dir sogar empfehlen, auch wenn du dann etwas Konsolenteufel spielen mußt um WLAN zu bekommen oder nen Desktop zu bekommen - aber selbst mit Updaten und den Desktop zu installieren, sind das mit den Guides auf RaspberryPi.org maximal 1,5 Stunden.

Und selbst wenn du ein paar Anfangsprobleme hast, man wird dir sicher auch helfen bei der Einrichtung.

 

[LadyRavenous]

Ich stimme Split zu mit Raspbian Lite. Es ist angenehm schlank (minimal image) und hat alles, was man benötigt. Da kann ich dir auch weiter helfen.

 

[HoneyBadger]

@theSplit: Dank Dir! Dann such ich mir mal ein schickes Bundle mit Kühlkörpern und schaue, was so geht. Bin vorhin noch drüber gestolpert, dass ich nicht auf den Controller aus dem zuvor benannten Bundle angewiesen bin. Das wusste ich zu dem Zeitpunkt des Postings noch nicht. Habe hier aber noch einen unbenutzten USB-Controller rum liegen. Vielleicht lässt sich der dann ja zum Laufen bringen.

Und für ein wenig Routing/Filtering solltest du nicht permanente Auslastung haben

Es wäre eher die VPN-Verschlüsselung, bei der ich mir nicht sicher bin, ob die kleine Kiste da nicht schon an ihre Grenzen stößt.

Aber ich gebe Dir recht. Im Zweifel --> Versuch macht klug!

 

[theSplit]

Also zu den USB Ports, du hast 4 Stück direkt am Gerät.

Übrigens wäre die richtige Domain http://raspberrypi.org ... die andere ist keine gültige Domain...

 

[HoneyBadger]

Muss mal schauen, wo ich die Kiste dann parke. Wenn´s alleine beim DHCP-Server mit VPN und dem ganzen Schicki-micki bleibt, werde ich wohl nichts davon brauchen. Denn dann knall ich die Kiste einfach per LAN-Kabel direkt an den Router und mach alles andere nur noch Remote. So oft muss man nach der Einrichtung ja denn eh nicht mehr ran. Wenn´s doch noch den Zweitjob der Daddelkiste bekommen sollte, wird´s halt per HDMI irgendwo in die Nähe des TV gestellt. Dann brauch ich allerdings wohl doch noch einen USB-Port für nen IR-Empfänger. Dann kann ich´s mit der Harmony koppeln.

 

[theSplit]

Also mit SSH kannst du die Kiste auch dann updaten, mußt du über "raspi-config" anschalten, ich glaube per Default ist es aus.

Und dann halt nur mal "apt update", "apt upgrade" laufen lassen, und schon ist die Kiste mit Sicherheitspatches beladen, falls vorhanden.

Das mit dem Desktop brauchst du dann natürlich auch nicht, aber du kannst einen installieren und über "raspi-config" (nach der Installation von zum Beispiel lightdm) - das Booten vom Raspberry in den Desktop an und ausschalten.

Auch mit Autologin als PI User ohne Desktop - und dort dann deine Skripte oder Programme, die du brauchst, starten lassen.

Nur dir sei auch gesagt, der PI hat keinen An oder Ausschalter, und er startet erst neu wenn das Stromkabel abgezogen und wieder angesteckt wird. Oder halt permanent Betrieb.
Oder du mußt dann über SSH explizit herunterfahren um ihn auszuschalten.

Mit dem Thema Sicherheit wenn du den PI als Gateway fürs Internet nimmst, habe ich mich aber noch nicht beschäftigt.
Zum Beispiel das bestimmte Pakete verworfen werden oder ähnliches.

Aber nun gut, ich glaube das sind genug Infos für den Anfang

 

[Metal_Warrior]

Mit dem Thema Sicherheit wenn du den PI als Gateway fürs Internet nimmst, habe ich mich aber noch nicht beschäftigt.
Zum Beispiel das bestimmte Pakete verworfen werden oder ähnliches.

Spätestens da muss er eh in die Konsole, weil das iptables ist, und da gibts meineswissens kein Frontend, das die ganzen Möglichkeiten ordentlich bündelt.

 

[theSplit]

Wenn es hier akut wird und du Lust und Zeit hast @ Metal_Warrior, kannst du ja nen Crashkurs geben, das würde mich auch interessieren.

 

[BurnerR]

Ich habe mir jüngst einen Ubiquiti EdgeRouter Lite angeschafft, zwar als VPN-Server, aber ist natürlich auch als Client konfigurierbar.
Kostet um die 70 Euro, also nicht übermäßig viel teurer als ein RPI mit Case und Zubehör.

Einen neuen Router, der OpenVPN unterstütz, zu kaufen, macht nicht so wirklich viel Sinn, da meine 7490 gerade einmal knapp 2 Jahre alt ist.

Das verstehe ich nicht ganz, du willst keinen Router, aber holst dir einen Mini-PC, den du dann zu einem Router umkonfigurierst, zu dem er aber eben nur begrenzt geeignet ist.
Oder ging das in Richtung kostenfrage? Ist vielleicht auch etwas überraschend, dass es so ein Topding für den Heimgebrauch für deutlich unter 100 Euro gibt.