2277426

Eigene IP-Adresse mit Raspberry Pi anonymisieren

02.06.2017 | 10:00 Uhr |

Anonym ins Netz – egal mit welchem Browser oder Endgerät? Leider gibt es dafür nur wenige Möglichkeiten. Eine davon: Den Raspberry Pi als kleinen WLAN-Accesspoint mit Tor/Onion-Verschlüsselung ins Netzwerk zu hängen. Anschließend gehen Mac, iPhone, PC und sonstige Endgeräte unerkannt ins Internet.

Wäre es nicht schön, wenn Ihr gesamter Internet-Datenverkehr anonym arbeiten würde? Falls Sie zu den Zeitgenossen gehören, die unter dem Stichwort „Anonymisierung“ vor allem das Setzen eines Facebook-Pseudonyms und den Verzicht auf die Herausgabe persönlicher Daten im Netz, haben wir ganz schlechte Nachrichten für Sie: Sie sind nicht anonym, nicht im Geringsten. Eine Phalanx von Überwachern beobachtet Sie im Netz auf Schritt und Tritt. Und falls Sie einen Fehler machen – Stichwort Hasskommentare – können Ermittlungsbehörden Sie auch ganz einfach aufspüren. Traurig aber wahr: Pseudo-Anonymisierung nutzt nichts, denn der Dreh- und Angelpunkt jeder Internet-Verfolgung ist die IP-Adresse. Die vergibt jeder Provider, sobald Sie sich einwählen – und führt Buch darüber, wer wann welche IP-Adresse genutzt hat. Genau die gilt es deshalb zu verschleiern, um wirklich anonym im Netz zu surfen.

Anonym surfen mit Tor/Onion

Am einfachsten ist das Anonymisieren mit dem Onion-Netzwerk. Um das auf Ihrem Mac zu nutzen, können Sie einfach den Tor-Browser , einen modifizierten Firefox, herunterladen und installieren. Allerdings gibt es inzwischen eine Vielzahl von Geräten in jedem WLAN-Netzwerk, vom iPhone über das iPad bis hin zu Windows-Rechnern, Android-Smartphones und sogar Druckern, die permanent online sind – und gegebenenfalls Ihre IP-Adresse entlarven. Deshalb ist es sinnvoll, das WLAN des Routers durch eine sogenannte Middlebox zu ersetzen: Ein kleines Gerät, das selbst ein WLAN aufspannt und den gesamten Datenverkehr anonymisiert. Hier kommt der preiswerte Bastelrechner Raspberry Pi ins Spiel: Mit diesem lässt sich nämlich sehr einfach eine Tor-Middlebox bauen.

Wie funktioniert das Onion-Netzwerk?

Das Tor/Onion-Netzwerk ist eine Möglichkeit, die eigene IP-Adresse zu verschleiern: Statt direkt über den Provider ins Netz zu gehen, greift die Tor-Software auf einen Server im Tor-Netzwerk zu. Dieses besteht aus zahlreichen weltweit verstreuten Rechnern. Die Tor-Software sucht selbstständig einen Weg durch das Onion-Netzwerk. Ein anderer Rechner mit einem anderen Internetanschluss dient dann als Austrittspunkt. Das bedeutet: Für Websites und Dienste, die Sie ansurfen, verwenden Sie nicht mehr ihre IP-Adresse, sondern die des Austrittsservers, womit Sie bereits anonym unterwegs sind. Die Rückverfolgbarkeit wird durch die Ländergrenzen verhindert: Keine Regierung und kein Dienstleister ist in der Lage, das gesamte Onion-Netzwerk zu überwachen und wenn, dann nur mit extremem Aufwand. Damit ist die Anonymität in den allermeisten Fällen gewährleistet.

Raspberry Pi als Tor-Router verwenden

Alles, was Sie für eine solche Middlebox brauchen, ist ein Raspberry Pi 3 samt Micro-SD-Karte und Stromversorgung sowie ein Ethernet-Kabel. Für die Ersteinrichtung brauchen Sie natürlich einen Monitor und ein USB-Maus samt USB-Tastatur. Der Raspberry Pi 3 eignet sich deshalb so gut als Middlebox, weil er sowohl einen 100-MBit-Ethernet-Anschluss, als auch integriertes WLAN besitzt: Sie müssen zunächst keinen separaten WLAN-Adapter kaufen und einrichten. Es sei denn, Sie wollen die WLAN-Leistung des Tor-Accesspoints steigern. Anschließend sind einige Software-Anpassungen nötig. Doch zunächst muss der Raspberry Pi einmal normal eingerichtet werden:

Raspberry Pi 3 Starter-Kit ab 70 Euro bei Amazon

Raspberry Pi mit dem Mac installieren

1. Laden Sie das aktuelle Raspbian-with-Pixel von der Raspberry-Pi-Website : Per Bittorrent geht das übrigens schneller. 

2. Laden Sie gleichzeitig die aktuellste Version von ApplePi-Baker herunter und installieren Sie sie.


3. Stecken Sie, sobald der Raspbian-Download angeschlossen ist, eine Micro-SD-Karte per Cardreader oder SD-Adapter an Ihren Mac und starten Sie ApplePi-Baker. Der verlangt beim Start Ihr Mac-Admin-Passwort.

4. Wählen Sie links im Feld des Apple-Pi-Bakers die SD-Karte aus. Klicken Sie danach einmal auf „Prep for NOOBS“ und bestätigen Sie die Lösch-Warnung mit OK. Wählen Sie danach im Feld „Pi-Ingredients“ die Raspbian-Imagedatei und klicken Sie auf „Restore Backup“.


5. Das Raspbian-Betriebssystem für den Raspberry Pi wird jetzt auf die Speicherkarte kopiert. Das kann je nach Geschwindigkeit der Karte eine Weile dauern. Die Karte wird anschließend ausgeworfen, Sie können sie abziehen.


6. Stecken Sie die Karte jetzt in Ihren Raspberry Pi und schließen Sie diesen an einen externen Monitor an. Verbinden Sie Tastatur und Maus. Ganz zum Schluss können Sie den Strom anschließen: Der Pi fährt jetzt hoch und richtet sich selbst ein.


7. Fertig: Der Raspberry Pi hat in den Pixel-Desktop gebootet ist jetzt betriebsbereit. Nun können Sie sich mit den Feinheiten befassen, die für die Tor-Installation notwendig sind.


Keyboard einstellen und SSH aktivieren


Um die Wartung und die folgende Einrichtung zu erleichtern, sollten Sie sowohl das Tastatur-Layout auf „Deutsch“ umstellen, als auch SSH auf dem Raspberry Pi aktivieren. Das funktioniert inzwischen ganz bequem über die grafische Benutzeroberfläche:

1. Zunächst ist die Keyboard-Einstellung wichtig. Wählen Sie im Raspberry-Pi-Startmenü oben links "Preferences -> Mouse" and "Keyboard Settings". Klicken Sie im folgenden Fenster das Tab „Keyboard“ und dort auf „Keyboard Layout“. Wählen Sie als „Country“ Germany und als „Variant“ German. Bestätigen Sie beide Fenster mit OK.


2. Anschließend sollten Sie noch den SSH-Fernzugriff aktivieren. Auf diese Weise können Sie den Pi später (oder schon während der noch folgenden Schritte) ganz bequem mit dem Mac einrichten. Öffnen Sie dazu im Startmenü des Pi Preferences -> Raspberry Pi Configuration und klicken Sie im folgenden Fenster auf „Interfaces“. Setzen Sie hier bei „SSH“ den Punkt „Enabled“. Zusätzlich können Sie auch den VNC-Zugriff aktivieren, das macht manche Schritte vom Mac aus leichter. Speichern Sie mit OK. SSH ist jetzt aktiv.


3. Sie können den Raspberry Pi jetzt einmal neu starten. Den Warnhinweis über die Passwort-Sicherheit können Sie zunächst ignorieren. SSH und VNC sind aktiv, womit der Pi auch ohne Keyboard, Maus und Monitor weiter eingerichtet werden kann. Verbinden Sie ihn per Ethernet mit Ihrem Router. Alles, was verbunden sein muss, ist das Ethernet-Kabel sowie die Stromversorgung des Raspberry Pi. Geben Sie dem Pi zwei Minuten zum hochfahren. 


4. Sie können sich jetzt vom Mac aus mit dem Raspberry Pi verbinden: Öffnen Sie ein Terminalfenster und geben Sie hier ssh pi@raspberrypi ein. Daraufhin erscheint gegebenenfalls eine gruselige Warnmeldung. Diese bedeutet aber nur, dass sich die IP-Adresse des Pi geändert hat. Um den Fehler zu beheben, geben Sie 
 ssh-keygen -R raspberrypi
 im Terminal ein.


5. Verbinden Sie sich erneut mit ssh pi@raspberrypi mit dem Raspi. Nun meldet SSH, dass die Authentizität des Hosts nicht bestätigt werden kann. Bestätigen Sie durch die Eingabe von „yes“. Nun meldet der Mac, dass der Pi zur Liste bekannter Hosts hinzugefügt wurde, die Authentifizierung aber fehlgeschlagen ist. Das ist jedoch kein Problem, denn ab sofort klappt die SSH-Verbindung reibungslos: Geben Sie dazu erneut ssh pi@raspberrypi ein: Sie können jetzt das Standard-Passwort „raspberry“ eingeben. Anschließend steht die SSH-Verbindung.


Raspberry Pi als Accesspoint-Funktion einrichten

Nun geht es ans Eingemachte: Sie müssen den jetzt per Ethernet-Kabel mit Ihrem Router verbundenen Raspberry Pi als Onion-Middlebox einrichten. Das bedeutet, dass Sie den Kleinstrechner zunächst mit Accesspoint-Funktionen für den WLAN-Zugriff ausstatten müssen. Der Vorgang ist ausgesprochen knifflig, doch zum Glück hat der findige Pi-User Harry Allerston ein einfaches Skript dafür entwickelt. Vorab müssen Sie noch ein wenig Software installieren: Aktualisieren Sie mit sudo apt-get update die Paketquellen und geben Sie anschließend sudo apt-get install iptables-persistent git ein, um iptables zu installieren. Ein Installer öffnet sich. Bestätigen Sie hier alle vier Voreinstellungsfenster mit der Eingabetaste. Danach kann es los gehen:


1. Falls Sie sich zwischenzeitlich ausgeloggt haben, müssen Sie sich jetzt noch einmal per ssh pi@raspberrypi vom Mac auf den Raspberry Pi verbinden. Wenn nicht, können Sie direkt mit Schritt 2 weitermachen.

2. Laden Sie das Accesspoint-Skript mit dem Befehl git clone   auf den Pi herunter.


3. Öffnen Sie den heruntergeladenen Ordner, indem Sie cd RPI-Wireless-Hotspot eintippen und mit der Eingabetaste bestätigen.


4. Geben Sie jetzt sudo ./install ein, um das Installations-Skript für den Raspberry-Pi-Accesspoint zu starten. Bestätigen Sie die erste Nachfrage der Installation mit „y“. Das Skript startet und aktualisiert die Paketlisten, anschließend wird die nötige Software installiert.


5. Beantworten Sie die Frage nach den preconfigured DNS servers mit „y“.


6. Beantworten Sie die Frage nach Unblock-Us DNS-Servers mit „N“.


7. Beantworten Sie die Frage nach den OpenDNS-Servern mit „y“.


8. Nun fragt das Skript, ob Sie die vom Skript voreingestellten Zugangsdaten zum Accesspoint übernehmen wollen. Beantworten Sie die Frage mit „N“, um eigene Einstellungen zu setzen.


9. Nun müssen Sie ein neues Passwort für das WLAN eingeben, dass der Pi aufspannen soll. Wir wählen „Torpi-123“, Sie können aber ein beliebiges Passwort setzen. Dabei wird nichts angezeigt. Sie müssen das Passwort zur Bestätigung noch einmal eingeben.


10. Nun können Sie noch einen Netzwerk-Namen für das WLAN des Pis eingeben. Wir wählen „Tor-Pi“ und drücken die Enter-Taste.


11. Zuguterletzt müssen Sie noch einen WLAN-Kanal eingeben. Kanal 6 dürfte hier seinen Zweck erfüllen. Geben Sie „6“ ein und drücken Sie die Eingabetaste.


12. Nun fragt der Installer noch, ob Sie einen bestimmten WLAN-Chipsatz verwenden. Da Sie den internen WLAN-Chip des Pis verwenden, antworten Sie mit „N“.


13. Die Frage nach dem Chromecast-Support für Unblock-Us können Sie ebenfalls mit „N“ beantworten.


14. Fertig: Der Raspberry-Pi ist als Accesspoint aufgesetzt und startet neu. 


15. Nehmen Sie jetzt ein anderes Gerät zur Hand, etwa Ihr iPhone oder Ihr iPad oder auch Ihren Mac und wählen Sie das neue Tor-Pi-WLAN aus. Nach Eingabe des Passworts „Torpi-123“ sollte darüber eine Internetverbindung möglich sein. Allerdings ist die noch nicht anonymisiert, der Raspi ist jetzt erst einmal „nur“ ein Router, der aus einem Ethernet-Anschluss ein WLAN-Signal macht.

Den Raspberry-Pi zum Tor-Router machen

Nach der Einrichtung des Accesspoints müssen Sie den Raspberry Pi in einen Tor-Pi verwandeln, der alle Internetanfragen, die über das WLAN reinkommen, direkt ins Onion-Netzwerk weitergibt. Zwar gibt es ein praktisches Skript , das diese Schritte theoretisch automatisch ausführt – dummerweise wollte das bei uns nicht vollständig funktionieren. Vermutlich, weil es lange nicht aktualisiert wurde. Verbinden Sie sich erneut per SSH mit Ihrem Mac auf den Raspberry Pi.


1. Geben Sie nun den Befehl sudo apt-get install tor ein, um die Tor-Software zu installieren. Bestätigen Sie die Installation mit „Y“.


2. Öffnen Sie jetzt mit sudo nano /etc/tor/torrc die Tor-Konfigurationsdatei und fügen Sie am Ende die folgenden Zeilen hinzu:

Log notice file /var/log/tor/notices.log
VirtualAddrNetwork 10.192.0.0/10
AutomapHostsSuffixes .onion,.exit
AutomapHostsOnResolve 1

TransPort 9040
TransListenAddress 192.168.42.1

DNSPort 53

DNSListenAddress 192.168.42.1


Speichern Sie die Datei anschließend mit (Ctrl)+(X) und Druck auf (Y) ab.


3. Als nächstes müssen Sie dem WLAN-Interface des Raspberry Pi mitteilen, dass es sämtlichen Internetverkehr durch die Tor-Software laufen lassen soll. Tippen Sie also zunächst sudo iptables -F ein und drücken Sie die Eingabetaste.

4. Geben Sie nun sudo iptables -t nat -F ein, drücken Sie erneut Enter.


5. Geben Sie außerdem die Zeilen:


sudo iptables -t nat -A PREROUTING -i wlan0 -p tcp --dport 22 -j REDIRECT --to-ports 22
sudo iptables -t nat -A PREROUTING -i wlan0 -p udp --dport 53 -j REDIRECT --to-ports 53


sudo iptables -t nat -A PREROUTING -i wlan0 -p tcp --syn -j REDIRECT --to-ports 9040

ein, jeweils ebenfalls gefolgt von der Eingabetaste.


6. Zuguterletzt müssen Sie die Eingaben noch als Skript speichern. Geben Sie dafür sudo sh -c "iptables-save > /etc/iptables.ipv4.nat" ein und drücken Sie die Eingabetaste.


7. Das war es auch schon: Starten Sie jetzt den Tor-Dienst, indem Sie sudo service tor start eingeben. Prüfen Sie danach den Status von Tor mit dem Befehl sudo service tor status . Wenn keine Fehlermeldung auftaucht, ist alles glatt gelaufen.

8. Sorgen Sie jetzt noch mit dem Befehl sudo update-rc.d tor enable dafür, dass Tor automatisch beim Systemstart des Pi geladen wird. Anschließend können Sie die Einrichtung mit sudo reboot abschließen, indem Sie den Raspberry Pi einmal neu starten.

Zuguterletzt: Onion-Pi testen

Wenn alles installiert ist, ist es Zeit, den Onion-Pi bzw. Tor-Pi zu testen. Prüfen Sie zunächst ihre aktuelle Provider-IP-Adresse, indem Sie auf einem Rechner, der mit Ihrem normalen WLAN verbunden ist, die Website https://check.torproject.org aufrufen. Hier wird jetzt ihre aktuelle „normale“, unverschlüsselte IP angezeigt.


Verbinden Sie nun ein Endgerät – zum Beispiel Ihr iPhone oder iPad – mit dem WLAN, das Ihr Raspberry Pi bereitstellt – im Workshop ist das das WLAN „Tor-Pi“. Öffnen Sie anschließend auch auf diesem Endgerät https://check.torproject.org . Wenn die Website meldet, dass Sie mit dem Tor-Netzwerk verbunden sind und hier eine andere IP-Adresse angezeigt wird, als vorher mit Ihrem regulären WLAN, hat alles geklappt: Sobald Sie das Raspberry-Pi-WLAN verwenden, sind Sie per Onion-Netzwerk anonym im Netz unterwegs! Wir wünschen viel Spaß dabei.

Natürlich ist der Tor-Pi oder Onion-Pi keine Rakete. Das liegt aber weniger am Gerät, als am Netzwerk selbst: Durch die Weiterleitung über zahlreiche Server in verschiedenen Ländern wird der Datenverkehr natürlich stark abgebremst. Übrigens: Der Pi kann auch ohne Weiteres an anderen Ethernet-Ports angeschlossen werden und eignet sich damit auch hervorragend als mobiler Router für Urlaubsländer, in denen entweder das Internet zensiert oder stark überwacht wird. Denn das Onion-Netzwerk wurde ursprünglich zu diesem Zweck entwickelt: Es sollte Zensurmaßnahmen umgehen.

Noch ein kleiner Hinweis zum Schluss: Es besteht beim Tor-Pi –wie beim gesamten Onion-Netzwerk – eine theoretische Gefahr durch sogenannte „Bad Exit Nodes“. Im Blog von Mike Kuketz finden Sie einen interessanten Artikel  darüber – und wie Sie das Problem vermeiden können.

0 Kommentare zu diesem Artikel

Macwelt Marktplatz

2277426