Raspberry PI als mobiler Router – Warum ich keine FritzBox mehr verwende!

von Sergej Kukshaus vor einem jahr

Der Router, das Werkzeug, mit dem man sich im heutigen Zeitalter ins Internet einwählt.

Meistens stehen die in der Ecke und verrichten Ihren Dienst. Manche besser als andere. Man kennt man die Fritz!Box, Speedport (Telekom) oder EasyBox (Vodafone).

Die günstigeren Modelle, haben meist nicht das, was man benötigt und die teuren Modelle, sind … naja, teuer 🙂 Außerdem bieten die nicht den Spaß, wenn man mit einem Raspberry PI damit haben könnte.

Bevor man jedoch solch ein Router anschafft, sollte man bedenken, dass Raspberry PI „nur“ 100MBit/s übertragen kann und kein 1GBit/s. Ein BananaPI hat übrigens auch eine 1GB/s Schnittstelle und ist nur geringfügig teurer. Die Tutorials sollten theoretisch auch auf einem BanannaPI funktionieren.

Da die meisten Haushalte (mich eingeschlossen) jedoch nicht über eine 100MBit Internetleitung verfügen, sind die gegebenen Bedingungen vollkommen ausreichend.

Codename: Jupiter

Das Projekt wird unter dem Codenamen „Jupiter“ laufen.

Warum Jupiter?

Jupiter (also der Planet) ist der „Boxsack“ unseres Sonnensystems.

Unser kleiner Router ist der Boxsack des Intranets. Jupiter fängt also alles gefährliche ab und ermöglicht dem Benutzer (also dir) ein sorgenfreies Leben 🙂

Alle verwendeten Dienste im Überblick

Für dem Router werden mehrere Dienste benötigt. Diese Dienste werde ich mit dir Schritt für Schritt auf dem PI installieren. Am Ende hat man dann ein Raspberry PI stehen, der als vollwertiger Ersatz für alle gängigen Router dient. Das kleine Kerlchen wird jedoch alle Router in puncto Sicherheit soweit in den Schatten stellen, dass man diese noch nicht einmal sehen wird 🙂

Verwendete Hardware im Überblick

Bevor wir mit dem Router loslegen, benötigst du noch ein bisschen Hardware. Die komplette Hardware liegt irgendwo um die 100€. Der Preis schwankt immer ein wenig. Vielleicht hast du ja auch schon einiges Zuhause, sodass du es dir nicht mehr anschaffen brauchst.

Raspbian richtig installieren

Ohne ein Betriebssystem, auch keine weitere Arbeit. In diesem Artikel zeige ich dir, wie du ein Betriebssystem auf dein Raspberry Pi bekommst und eine Grundkonfiguration vornimmst, die du bedenkenlos auf allen Raspberry Pi Systemen verwenden kannst.

Netzwerk einrichten

Standard ist gefährlich. Leider wird viel zu häufig die IP Adresse verwenden, die im Auslieferungszustand konfiguriert war. In diesem Artikel gehe ich kurz auf die Alternativen ein und warum man den etwas anderen Standard verwenden sollte.

DHCP Server mit isc-dhcp-server

DHCP trägt eigentlich nicht zu Sicherheit bei. Es ist eine reine Bequemlichkeit. Wenn man es sich genau überlegt, könnte man sagen, DHCP wäre etwas gegen die Sicherheit. Aber wir wollen ja nicht so ganz übertreiben 🙂

hostapd für das WLAN

Auch das WLAN ist eine potenzielle Gefahrenquelle. In diesem Artikel erkläre ich, wie man sich diese Gefahrenquelle ins Haus holt (Komfort) und auf ein Mindestmaß entschärft, sodass man damit Leben kann (Sicherheit).

Samba Server – als Domain Controller

Noch eine Funktion aus dem Bereich Komfort. Ist normalerweise in keinem Router enthalten. Jedoch sehr nützlich beispielsweise für eine globale Rechteverwaltung (Sicherheit).

Printserver mittels CUPS installieren

Aktuell habe ich 3 Drucker, 2 Standrechner, 1 Laptop, 1 Netbook, 2 Handies und paar RaspPI’s und ein paar VMs im Einsatz. Von jedem diese Rechner möchte ich Drucken wollen ohne irgendwelches großes heckmeck zu betreiben. Ebenfalls Komfort 🙂

iptables Firewall

Reine Sicherheit. Komfort wird sogar insoweit eingedämmt, dass jede Maschine nur das darf, wofür sie eigentlich gedacht war.

Proxy Server mit Squid(guard)

Ein Proxy wird zu 90% für die Sicherheit eingesetzt. Hier werden für einige Rechner bzw. Benutzer diverse Internetseiten gesperrt. Besucht man öfter mal eine Seite, wird diese komplett zwischengespeichert, sodass die Performance gesteigert wird.
Ein Proxy Server ist auch perfekt geeignet um nervige Werbung loszuwerden

DNS Server mit bind

Im Produktiveinsatz merkt man nichts von einem DNS Server. Eingesetzt wird er um die Server miteinander per Namen bekannt zu machen. Noch wichtiger: Gefährliche Domains werden nahezu komplett blockiert. Schutz vor 95% der Phishing Angriffe. Ebenfalls werden die Potenziellen Quellen für Malmware gefiltert.

CA mit OpenSSL

Alle meine Dienste sollen mit einer gesicherten Datenübertragung laufen. Damit ich nicht alle Zertifikate auf jedem Gerät immer und immer wieder nach installieren muss, erstelle ich mir eine Certificate Authority. Anschließend werden alle Zertifikate von der CA abgeleitet und sind somit automatisch vertrauenswürdig.

10 Kommentare
Matthias
6. August 2019 17:12

Super Seite,
habe einige Aspekte endlich mal verstanden.

alternativ999@gmail.com
1. Februar 2020 12:04

Das ist absolut Klasse was du hier zusammengestellt hast. Ganz dickes Lob. Wenn ich etwas Zeit hab werde ich das mit Sicherheit angehen und so auch aufsetzen.
Das macht schließlich viel mehr Spaß wenn man so was selbst aufsetzen kann, und dabei auch in die Materie einsteigen kann.

Anders
17. März 2020 05:32

Super erklärt!

18. März 2020 20:36

Hi Andreas,

Danke für die Blumen 🙂

Gruß
Sergej

Edmund
26. April 2020 11:07

Hallo Sergej, Du hast ein sehr spannendes Thema wunderbar und verständlich erklärt, gratuliere hierzu. Ich hätte mir gerne die notwendigen Teile auf Amazon bestellt, leider kann ich die Links hierzu nicht finden?

Christian
26. Mai 2020 16:03

Hallo zusammen,

Gibt es eine Möglichkeit mir alle angemeldeten Geräte mit IP Adresse anzeigen zu lassen, oder gibt es dafür sogar eine grafische Oberfläche?

Gruß
Christian

5. Juni 2020 15:33

Hey Christian,

ja, man kann sich die IPs in Logs ansehen.
Für eine grafische Oberfläche kannst du dir webmin (http://www.webmin.com/) ansehen. Webmin zeigt dir alle Geräte an, die mittels DHCP eine IP-Adresse zugewiesen bekommen haben.

Gruß
Sergej

A. Maurus
5. Juni 2020 12:04

Danke für diese sinnvoll dokumentierte Anleitung.
Ich suche eine ergänzende ( oder eben einschränkende) Version für raspberry pi hotspot mit landingpage.
Die Anleitungen welche ich im Internet gefunden habe sehen keine Einschränkungen im Hotspotbetrieb vor oder ich habe es nicht richtg verstanden.
Szenario: auf unserem Hauptplatz soll für Tagestouristen eine WLAN- Hotspot zur Verfügung gestellt werden.
Wir möchten jedoch nicht einfach alle Internetseiten zur Verfügung stellen. (Ausschluss von Porno, Hacking…)
Gibte es eine Möglichkeit, diese Anleitung um die Funktionalität für einen Hotspot abzuändern?

5. Juni 2020 15:27

Hey Maurus,

So oder so musst du dich an dieser Stelle mit einem Filter beschäftigen. Wie du explizit eine Seite davor schaltest, kann ich dir nicht sagen. Macht in den meisten Fällen auch nur Sinn, wenn man beispielsweise sein WLAN „vermietet“ (1€/Tag WLAN-Nutzung). Ansonsten reicht es auch aus, wenn man bei Bedarf das WLAN Passwort rausgibt und einen entsprechenden Web-Filter installiert (https://www.bytebee.de/raspberry-proxy-server/)

Ich hoffe, ich konnte dir da ein wenig weiterhelfen 🙂

Gruß
Sergej

... und was meinst du dazu?
Deine E-Mail-Adresse wird nicht veröffentlicht.