Schritt-für-Schritt: So können Sie Cyberghost auf Ihrem Raspberry Pi mit OpenVPN für Raspbian/RaspBMC konfigurieren

Willkommen zu dieser umfassenden Anleitung, die Ihnen zeigt, wie Sie Cyberghost OpenVPN auf Ihrem Raspberry Pi einrichten. Egal, ob Sie Ihren Pi als sicheren Medienserver, als Gateway für Ihr Heimnetzwerk oder einfach nur für privateres Surfen nutzen möchten – die Integration eines VPN-Dienstes wie Cyberghost ist ein entscheidender Schritt zu mehr Online-Sicherheit und Privatsphäre. Diese Anleitung ist speziell für Benutzer von Raspbian (und ähnlichen Debian-basierten Systemen wie dem ehemaligen RaspBMC, heute OSMC) konzipiert und führt Sie detailliert durch jeden Schritt.

Der Raspberry Pi ist ein vielseitiger Mini-Computer, der sich hervorragend für solche Aufgaben eignet. Mit OpenVPN und Cyberghost verwandeln Sie Ihren Pi in eine Festung gegen neugierige Blicke und stellen sicher, dass Ihre Daten geschützt sind. Lassen Sie uns direkt eintauchen!

Warum ein VPN auf dem Raspberry Pi?

• Datenschutz: Verbergen Sie Ihre IP-Adresse und verschlüsseln Sie Ihren Internetverkehr.
• Sicherheit: Schützen Sie sich in öffentlichen WLAN-Netzwerken oder vor potenziellen Überwachungen.
• Geoblocking umgehen: Greifen Sie auf Inhalte zu, die in Ihrer Region normalerweise gesperrt sind.
• Torrents sicher herunterladen: Viele nutzen ihren Pi für Downloads; ein VPN ist hier unerlässlich.
• Zentraler Schutz: Schützen Sie alle Geräte in Ihrem Heimnetzwerk, indem Sie den Pi als VPN-Gateway einrichten (obwohl diese Anleitung sich auf den Pi selbst konzentriert, ist es der erste Schritt dazu).

Voraussetzungen für die Konfiguration

Bevor wir mit der eigentlichen Konfiguration beginnen, stellen Sie sicher, dass Sie die folgenden Dinge bereithalten:

• Ein Raspberry Pi (Modell 3B, 3B+, 4 oder neuer wird empfohlen für bessere Performance).
• Eine SD-Karte mit installiertem Raspbian OS (oder einem anderen Debian-basierten System).
• Eine stabile Internetverbindung für Ihren Raspberry Pi.
• Ein aktives Cyberghost VPN-Abonnement.
• Zugang zum Terminal Ihres Raspberry Pi (entweder direkt oder über SSH).

Stellen Sie sicher, dass Ihr Raspberry Pi auf dem neuesten Stand ist, bevor Sie beginnen. Öffnen Sie das Terminal und führen Sie die folgenden Befehle aus:

sudo apt update
sudo apt upgrade -y

Schritt 1: Cyberghost OpenVPN Konfigurationsdateien herunterladen

Der erste Schritt besteht darin, die speziellen OpenVPN-Konfigurationsdateien von Cyberghost zu beziehen. Diese unterscheiden sich von den Standard-Client-Downloads, da sie auf die manuelle Einrichtung zugeschnitten sind.

1. Melden Sie sich auf der offiziellen Cyberghost Webseite in Ihrem Konto an.
2. Navigieren Sie zu „Meine Geräte” oder „VPN-Verwaltung” (die genaue Bezeichnung kann variieren).
3. Suchen Sie nach einer Option zum „Einrichten eines neuen Geräts” oder „Manuelle Konfiguration”.
4. Wählen Sie „Router” oder „Linux” als Gerätetyp, da dies die generischen OpenVPN-Dateien bereitstellt.
5. Cyberghost wird Sie auffordern, einen bevorzugten VPN-Serverstandort, das Protokoll (OpenVPN) und möglicherweise einen bestimmten Server auszuwählen. Wählen Sie Ihre Präferenzen.
6. Sehr wichtig: Sie müssen hier auch Ihren OpenVPN-Benutzernamen und Ihr OpenVPN-Passwort generieren. Diese sind *nicht* Ihre Cyberghost-Anmeldedaten, sondern spezielle Anmeldedaten nur für OpenVPN! Notieren Sie diese sicher.
7. Laden Sie die generierten Konfigurationsdateien herunter. Dies ist in der Regel eine ZIP-Datei, die mehrere `.ovpn`-Dateien, CA-Zertifikate (`ca.crt`) und möglicherweise eine TLS-Authentifizierungsdatei (`ta.key`) enthält.

Nach dem Download müssen Sie diese Dateien auf Ihren Raspberry Pi übertragen. Die einfachste Methode ist über SCP (Secure Copy Protocol), wenn Sie SSH aktiviert haben:

# Ersetzen Sie <benutzername> durch Ihren Pi-Benutzernamen und <ip-adresse> durch die IP Ihres Pi
# Wechseln Sie in das Verzeichnis, in dem Sie die heruntergeladenen Dateien gespeichert haben
scp cyberghost_config.zip <benutzername>@<ip-adresse>:/home/<benutzername>/

Alternativ können Sie die SD-Karte am PC mounten und die Dateien direkt kopieren oder auf dem Pi selbst mit `wget` herunterladen, wenn Sie einen direkten Download-Link haben.

Schritt 2: OpenVPN auf dem Raspberry Pi installieren

Jetzt installieren wir den OpenVPN-Client auf Ihrem Raspberry Pi. Öffnen Sie ein Terminalfenster auf Ihrem Pi und führen Sie den folgenden Befehl aus:

sudo apt install openvpn -y

Dieser Befehl installiert alle notwendigen Komponenten für OpenVPN.

Schritt 3: OpenVPN Konfiguration vorbereiten

Sobald OpenVPN installiert ist und die Konfigurationsdateien auf Ihrem Pi sind, müssen wir sie einrichten.

1. Entpacken der Dateien: Wenn Sie eine ZIP-Datei übertragen haben, entpacken Sie diese zuerst.

   unzip cyberghost_config.zip

   Wechseln Sie in das neu erstellte Verzeichnis.

2. Dateien organisieren: Es ist ratsam, die Konfigurationsdateien in ein sicheres Verzeichnis zu verschieben, z.B. nach `/etc/openvpn/`.

   sudo mkdir -p /etc/openvpn/cyberghost
   sudo mv *.ovpn ca.crt ta.key /etc/openvpn/cyberghost/

   Hinweis: Nicht alle Konfigurationspakete enthalten `ta.key`. Falls nicht vorhanden, ignorieren Sie diesen Teil des Befehls.

3. Konfigurationsdatei bearbeiten: Wählen Sie eine `.ovpn`-Datei aus dem Verzeichnis `/etc/openvpn/cyberghost/` aus. Benennen Sie sie für die Einfachheit um, z.B. in `client.conf`.

   sudo mv /etc/openvpn/cyberghost/ihr_gewaehlter_server.ovpn /etc/openvpn/cyberghost/client.conf

   Öffnen Sie diese Datei mit einem Texteditor, z.B. `nano`:

   sudo nano /etc/openvpn/cyberghost/client.conf

   Sie müssen zwei wichtige Änderungen vornehmen:

   • Fügen Sie die Zeile `auth-user-pass /etc/openvpn/cyberghost/auth.txt` hinzu. Suchen Sie nach Zeilen wie `auth-user-pass` oder `askpass` und passen Sie diese an oder fügen Sie die neue Zeile am Ende hinzu.
   • Stellen Sie sicher, dass die Pfade zu `ca.crt` und `ta.key` korrekt sind. Wenn Sie die Dateien in `/etc/openvpn/cyberghost/` verschoben haben, sollten die Pfade relativ oder absolut sein, z.B. `ca ca.crt` oder `ca /etc/openvpn/cyberghost/ca.crt`.

   Speichern Sie die Datei (`STRG+O`, `ENTER`, `STRG+X`).

4. Authentifizierungsdatei erstellen: Erstellen Sie eine neue Datei namens `auth.txt` im selben Verzeichnis.

   sudo nano /etc/openvpn/cyberghost/auth.txt

   In diese Datei tragen Sie in der ersten Zeile Ihren OpenVPN-Benutzernamen und in der zweiten Zeile Ihr OpenVPN-Passwort ein (die Sie in Schritt 1 generiert haben). Es sollte so aussehen:

   IhrOpenVPNBenutzername
   IhrOpenVPNPasswort

   Speichern Sie die Datei.

5. Berechtigungen setzen: Es ist *entscheidend* für die Sicherheit, die Berechtigungen für die `auth.txt`-Datei zu beschränken, damit nur der Root-Benutzer darauf zugreifen kann.

   sudo chmod 600 /etc/openvpn/cyberghost/auth.txt

Schritt 4: OpenVPN starten und testen

Jetzt können wir eine erste Testverbindung herstellen.

sudo openvpn --config /etc/openvpn/cyberghost/client.conf

Beobachten Sie die Ausgabe im Terminal. Wenn die Verbindung erfolgreich hergestellt wird, sehen Sie Meldungen wie `Initialization Sequence Completed` oder `Connected`. Wenn Fehler auftreten, überprüfen Sie Ihre Konfigurationsdatei und die Authentifizierungsdatei auf Tippfehler.

Um zu überprüfen, ob Ihre IP-Adresse geändert wurde, öffnen Sie ein neues Terminalfenster (während OpenVPN im ersten Fenster läuft) und führen Sie aus:

curl ifconfig.me

Die angezeigte IP-Adresse sollte nun zu dem Cyberghost-Serverstandort gehören, den Sie ausgewählt haben, und nicht mehr Ihre ursprüngliche öffentliche IP-Adresse sein.

Beenden Sie die Testverbindung mit `STRG+C` im ersten Terminalfenster.

Schritt 5: OpenVPN als Dienst einrichten (Autostart)

Damit OpenVPN automatisch beim Start des Raspberry Pi eine Verbindung herstellt und im Hintergrund läuft, richten wir es als systemd-Dienst ein.

1. Kopieren Sie Ihre vorbereitete Konfigurationsdatei in das Hauptverzeichnis von OpenVPN, damit systemd sie findet:

   sudo cp /etc/openvpn/cyberghost/client.conf /etc/openvpn/client.conf

   Hinweis: systemd sucht standardmäßig nach `.conf`-Dateien im `/etc/openvpn/`-Verzeichnis und erstellt für jede gefundene Datei einen Dienst. Wenn Sie mehrere Konfigurationen haben, könnten Sie diese in `/etc/openvpn/client/` ablegen und den Dienst spezifisch starten.

2. Aktivieren und starten Sie den OpenVPN-Dienst:

   sudo systemctl enable openvpn@client
   sudo systemctl start openvpn@client

   Der Name `openvpn@client` bezieht sich auf die Datei `client.conf` im Verzeichnis `/etc/openvpn/`. Wenn Ihre Konfigurationsdatei `meinvpn.conf` heißen würde, wäre der Dienstname `openvpn@meinvpn`.

3. Überprüfen Sie den Status des Dienstes:

   sudo systemctl status openvpn@client

   Sie sollten `Active: active (running)` sehen.

4. Testen Sie erneut Ihre IP-Adresse nach einem Neustart des Pi, um sicherzustellen, dass alles automatisch funktioniert.

   sudo reboot

   Nach dem Neustart loggen Sie sich wieder ein und überprüfen Ihre IP:

   curl ifconfig.me

Schritt 6 (Optional, aber empfohlen): Kill Switch einrichten

Ein VPN Kill Switch ist eine wichtige Sicherheitsmaßnahme. Er sorgt dafür, dass Ihr Internetverkehr blockiert wird, sollte die VPN-Verbindung unerwartet abbrechen. Dies verhindert, dass Ihre tatsächliche IP-Adresse oder Daten preisgegeben werden.

Wir verwenden `iptables`, um diese Regeln einzurichten.

1. Grundlegende Kill Switch Regeln erstellen:

   # Regeln löschen (optional, wenn Sie neu starten)
   sudo iptables -F
   sudo iptables -X
   sudo iptables -Z
   
   # Standard-Richtlinien setzen (Verbindung erlauben)
   sudo iptables -P INPUT ACCEPT
   sudo iptables -P FORWARD ACCEPT
   sudo iptables -P OUTPUT ACCEPT
   
   # Alle bestehenden Verbindungen zulassen
   sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
   sudo iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
   
   # Loopback-Interface zulassen
   sudo iptables -A INPUT -i lo -j ACCEPT
   sudo iptables -A OUTPUT -o lo -j ACCEPT
   
   # SSH-Verbindungen zulassen (falls Sie per SSH verbunden sind)
   # Ersetzen Sie <ihre_lokale_ip> durch die IP-Adresse Ihres PCs, von dem aus Sie SSH nutzen
   # Dies ist wichtig, damit Sie nicht ausgesperrt werden!
   # Wenn Sie keine feste lokale IP haben, ist dieser Schritt riskant.
   # Alternativ können Sie diesen Schritt überspringen und direkt zu Schritt 6.2 gehen und die Regeln nach dem Testen laden.
   # sudo iptables -A INPUT -p tcp --dport 22 -s <ihre_lokale_ip> -j ACCEPT
   # sudo iptables -A OUTPUT -p tcp --sport 22 -d <ihre_lokale_ip> -j ACCEPT
   
   # DNS-Verkehr zulassen (wichtig für die Namensauflösung des VPN-Servers)
   # Wenn Ihr VPN eigene DNS-Server bereitstellt, kann dies später entfernt werden
   sudo iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
   sudo iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
   
   # Erlaube OpenVPN-Verkehr (UDP Port 1194 ist Standard, Cyberghost verwendet oft auch andere Ports wie 443 TCP)
   # Prüfen Sie Ihre .ovpn-Datei nach dem Port (z.B. "remote cyberghost-server.com 443 tcp")
   # Hier ein Beispiel für UDP 1194 und TCP 443
   sudo iptables -A OUTPUT -p udp --dport 1194 -j ACCEPT
   sudo iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
   
   # Erlaube eingehenden Verkehr vom VPN-Tunnel (z.B. tun0)
   sudo iptables -A INPUT -i tun0 -j ACCEPT
   
   # Erlaube ausgehenden Verkehr über den VPN-Tunnel
   sudo iptables -A OUTPUT -o tun0 -j ACCEPT
   
   # BLOCKIEREN Sie ALLEN ANDEREN eingehenden und ausgehenden Verkehr!
   sudo iptables -P INPUT DROP
   sudo iptables -P FORWARD DROP
   sudo iptables -P OUTPUT DROP

   Diese Regeln leiten den gesamten Verkehr über das VPN (tun0-Interface) und blockieren alles andere. Achten Sie auf die Ports, die Cyberghost verwendet. Diese stehen in Ihrer `.ovpn`-Datei (z.B. `remote ip_adresse port_nummer protocol`).

2. Kill Switch testen:

   Sobald die Regeln gesetzt sind, prüfen Sie Ihre IP-Adresse (`curl ifconfig.me`). Sie sollte die VPN-IP anzeigen. Stoppen Sie dann den OpenVPN-Dienst:

   sudo systemctl stop openvpn@client

   Versuchen Sie nun erneut, Ihre IP zu prüfen:

   curl ifconfig.me

   Sie sollten keine Verbindung erhalten oder die Anfrage sollte fehlschlagen, was bedeutet, dass der Kill Switch funktioniert und Ihren Internetzugang blockiert, wenn das VPN nicht aktiv ist.

   Starten Sie den VPN-Dienst wieder, um normalen Internetzugang zu erhalten:

   sudo systemctl start openvpn@client

3. Kill Switch persistent machen:

   Die `iptables`-Regeln gehen nach einem Neustart verloren. Um sie persistent zu machen, müssen Sie sie speichern und beim Booten laden.

   # Installieren Sie iptables-persistent
   sudo apt install iptables-persistent -y
   
   # Speichern Sie die aktuellen Regeln
   sudo netfilter-persistent save

   Beim Speichern werden Sie gefragt, ob Sie IPv4- und IPv6-Regeln speichern möchten. Bestätigen Sie mit „Ja”. Die Regeln werden in `/etc/iptables/rules.v4` und `/etc/iptables/rules.v6` gespeichert und beim Booten automatisch geladen.

   Wenn Sie Änderungen an den `iptables`-Regeln vornehmen möchten, müssen Sie nach den Änderungen `sudo netfilter-persistent save` erneut ausführen.

Problembehebung bei häufigen Fehlern

• Fehler bei der Authentifizierung: Überprüfen Sie Ihren OpenVPN-Benutzernamen und Ihr Passwort in der `auth.txt`-Datei. Stellen Sie sicher, dass keine Leerzeichen oder Zeilenumbrüche am Ende der Zeilen sind. Prüfen Sie auch die Dateiberechtigungen (`chmod 600 auth.txt`).
• Verbindung wird nicht hergestellt: Überprüfen Sie die `.ovpn`-Datei auf korrekte Pfade zu `ca.crt` und `ta.key`. Stellen Sie sicher, dass der VPN-Server erreichbar ist (versuchen Sie, die IP-Adresse des Servers anzupingen).
• Kein Internetzugang nach VPN-Verbindung: Dies kann auf DNS-Probleme oder falsche Routen zurückzuführen sein. Überprüfen Sie die `.ovpn`-Datei auf die Zeile `dhcp-option DNS …` und stellen Sie sicher, dass diese aktiviert ist, oder fügen Sie manuell DNS-Server in Ihrem Pi hinzu (z.B. Google DNS `8.8.8.8`).
• Kill Switch Probleme: Überprüfen Sie Ihre `iptables`-Regeln sorgfältig. Ein kleiner Fehler kann den gesamten Internetzugang blockieren. Stellen Sie sicher, dass Sie die korrekten Ports für OpenVPN freigegeben haben und dass das `tun0`-Interface korrekt behandelt wird.
• Log-Dateien prüfen: Die wichtigsten Informationen finden Sie in den OpenVPN-Logs. Wenn Sie OpenVPN im Vordergrund starten (`sudo openvpn –config …`), sehen Sie die Meldungen direkt. Für den Dienststatus nutzen Sie `sudo journalctl -u openvpn@client –since „1 hour ago”`.

Fazit

Herzlichen Glückwunsch! Sie haben erfolgreich Cyberghost OpenVPN auf Ihrem Raspberry Pi eingerichtet und sogar einen Kill Switch konfiguriert, um Ihre Online-Privatsphäre und Sicherheit zu maximieren. Ihr Raspberry Pi ist nun ein geschützter Knotenpunkt in Ihrem Netzwerk, der Ihre Internetverbindung verschlüsselt und Ihre digitale Identität schützt.

Genießen Sie die Vorteile eines sicheren und privaten Internetzugangs direkt von Ihrem kleinen, leistungsstarken Raspberry Pi aus. Bleiben Sie sicher im Netz!