Der sichere Weg: Wie greife ich via SSH von extern auf einen Raspberry Pi im Gast-LAN zu?

Der Raspberry Pi ist ein vielseitiger Mini-Computer, der in unzähligen Projekten als Server, Smart-Home-Zentrale oder einfach als Lernplattform dient. Ihn von überall erreichen zu können, ist für viele Anwendungsfälle unerlässlich. Doch was, wenn der Raspberry Pi sich in einem Gast-LAN befindet? Dieses Szenario stellt besondere Herausforderungen dar, da Gastnetzwerke per Definition darauf ausgelegt sind, Geräte vom Hauptnetzwerk und oft auch von direkten externen Zugriffen zu isolieren. Dieser Artikel beleuchtet detailliert, wie Sie trotzdem sicher und zuverlässig via SSH von extern auf Ihren Raspberry Pi im Gast-LAN zugreifen können.

Wir werden die Hürden des Gast-LANs verstehen, essenzielle Sicherheitsmaßnahmen beleuchten und verschiedene technische Lösungen vorstellen, die es Ihnen ermöglichen, diese Isolation zu überwinden, ohne Kompromisse bei der Sicherheit einzugehen. Ziel ist es, Ihnen einen umfassenden Leitfaden an die Hand zu geben, damit Ihr Pi auch im Gastnetzwerk stets erreichbar ist.

Warum ein Gast-LAN? Die Herausforderung verstehen

Ein Gast-LAN (oft auch als Gäste-WLAN oder separates Gastnetzwerk bezeichnet) ist eine Funktion vieler Router, die es ermöglicht, ein separates Netzwerksegment bereitzustellen. Der Hauptzweck eines Gast-LANs ist die Isolation. Geräte in diesem Netzwerk sind vom Hauptnetzwerk (und damit von Ihren persönlichen Geräten und Daten) getrennt. Dies bietet erhebliche Sicherheitsvorteile:

• Schutz des Hauptnetzwerks: Sollte ein Gerät im Gast-LAN kompromittiert werden, kann es nicht direkt auf andere Geräte in Ihrem Heimnetzwerk zugreifen.
• Eingeschränkter Zugriff: Gäste oder IoT-Geräte erhalten in der Regel nur Internetzugang, nicht aber Zugriff auf lokale Ressourcen wie NAS-Systeme, Drucker oder andere Computer.
• Netzwerksegmentierung: Es hilft, Ihr Netzwerk zu organisieren und potenzielle Sicherheitsrisiken zu minimieren.

Gerade für Geräte wie einen Raspberry Pi, der potenziell dauerhaft läuft und mit dem Internet verbunden ist, kann ein Gast-LAN sinnvoll sein. Doch die Isolation, die Sicherheit bietet, ist gleichzeitig die größte Hürde für den externen SSH-Zugriff. Router sind oft so konfiguriert, dass sie keine Port-Weiterleitungen für Geräte im Gast-LAN zulassen oder dass Geräte im Gast-LAN keine direkten eingehenden Verbindungen von außen akzeptieren können, selbst wenn der Router versucht, sie weiterzuleiten.

Grundlagen des SSH-Zugriffs und erste Schritte

Bevor wir uns den komplexeren Lösungen zuwenden, sollten die Grundlagen sitzen. SSH (Secure Shell) ist das Standardprotokoll, um sich sicher mit entfernten Linux-Systemen zu verbinden. Es verschlüsselt die gesamte Kommunikation zwischen Client und Server und schützt so vor Abhören und Manipulation.

Auf Ihrem Raspberry Pi muss der SSH-Dienst (OpenSSH-Server) aktiviert sein. Bei aktuellen Raspberry Pi OS-Versionen ist SSH standardmäßig deaktiviert, kann aber einfach aktiviert werden:

• Via raspi-config: sudo raspi-config > Interface Options > SSH > Yes.
• Durch Erstellen einer leeren Datei namens ssh im Boot-Verzeichnis der SD-Karte vor dem ersten Start.

Nach der Aktivierung können Sie sich vom internen Netzwerk aus (wenn Sie im selben Gast-LAN sind) via ssh pi@<IP-Adresse_des_Pi> verbinden. Doch dieses Wissen hilft uns nicht bei einem externen Zugriff. Hierfür benötigen wir weiterführende Strategien.

Unerlässliche Sicherheitsmaßnahmen von Anfang an

Ein von extern erreichbares System ist immer ein potenzielles Ziel für Angreifer. Daher ist Sicherheit oberste Priorität. Bevor Sie überhaupt an externe Erreichbarkeit denken, implementieren Sie folgende Maßnahmen:

• Starke Passwörter: Ändern Sie das Standardpasswort des Benutzers pi sofort. Verwenden Sie ein langes, komplexes Passwort.
• SSH-Schlüssel anstelle von Passwörtern: Dies ist die Goldstandard-Methode. Erzeugen Sie ein SSH-Schlüsselpaar (einen privaten und einen öffentlichen Schlüssel). Den öffentlichen Schlüssel hinterlegen Sie auf dem Raspberry Pi. Anschließend können Sie die passwortbasierte Anmeldung für SSH komplett deaktivieren. Dies schützt effektiv vor Brute-Force-Angriffen.
• SSH-Port ändern: Der Standard-SSH-Port 22 wird ständig von Bots gescannt. Indem Sie einen anderen, nicht-standardmäßigen Port (z.B. 2222 oder einen anderen hohen Port) verwenden, reduzieren Sie den Lärm in Ihren Logs und entziehen sich den offensichtlichsten Scan-Angriffen. Dies ist keine Sicherheit im eigentlichen Sinne (Security through obscurity), aber eine sinnvolle Ergänzung.
• Fail2ban: Installieren Sie fail2ban. Dieses Tool überwacht die Login-Versuche und blockiert IP-Adressen, von denen zu viele fehlerhafte Anmeldeversuche kommen. Es ist ein exzellenter Schutz vor Brute-Force-Angriffen.
• Regelmäßige Updates: Halten Sie Ihr Raspberry Pi OS und alle installierten Pakete stets aktuell (sudo apt update && sudo apt upgrade -y). Sicherheitslücken werden regelmäßig entdeckt und durch Updates behoben.
• Firewall auf dem Pi (UFW): Auch wenn der Router eine Firewall hat, sollten Sie eine lokale Firewall auf dem Pi einrichten. UFW (Uncomplicated Firewall) ist einfach zu konfigurieren. Erlauben Sie nur den SSH-Zugriff von bestimmten IP-Adressen oder Netzwerken und nur auf dem von Ihnen gewählten Port.

Methoden für den externen SSH-Zugriff auf den Pi im Gast-LAN

Da eine direkte Port-Weiterleitung am Router zum Gast-LAN in der Regel nicht funktioniert oder unsicher ist, müssen wir auf Methoden zurückgreifen, bei denen der Raspberry Pi die Verbindung initiiert, anstatt auf eingehende Verbindungen zu warten.

1. Reverse SSH Tunnel (Der klassische Workaround)

Der Reverse SSH Tunnel ist eine elegante und effektive Methode, um die Isolation des Gast-LANs zu umgehen. Ihr Raspberry Pi (im Gast-LAN) stellt eine SSH-Verbindung zu einem extern erreichbaren Server (z.B. einem kleinen VPS – Virtual Private Server – oder einem anderen Rechner mit öffentlicher IP-Adresse) her. Dieser Tunnel wird dann genutzt, um den Zugriff vom externen Client zum Pi zu leiten.

Wie es funktioniert:
Der Pi baut einen Tunnel zum öffentlichen Server auf und sagt dem Server: „Ich möchte, dass du einen bestimmten Port (z.B. 10022) auf deiner öffentlichen Schnittstelle öffnest. Alle Verbindungen, die auf diesen Port zukommen, leite bitte über diese SSH-Verbindung an meinen SSH-Server (Port 22 auf dem Pi) weiter.”

Vorteile:

• Überwindet NAT und Firewalls im Gast-LAN.
• Sicher, da die Verbindung vom Pi ausgeht und SSH-verschlüsselt ist.
• Relativ einfach einzurichten mit einem grundlegenden VPS.

Nachteile:

• Benötigt einen externen Server mit öffentlicher IP-Adresse.
• Der Tunnel muss stabil gehalten werden (z.B. mit autossh).

Beispielhafter Ablauf:

1. Vorbereitung auf dem öffentlichen Server (VPS):
   • Stellen Sie sicher, dass SSH-Zugriff möglich ist und dass der SSH-Dienst auf eingehende Tunnelverbindungen vorbereitet ist. Fügen Sie in der /etc/ssh/sshd_config die Zeile GatewayPorts yes hinzu und starten Sie den SSH-Dienst neu.
   • Erstellen Sie einen dedizierten Benutzer für den Pi auf dem VPS.
   • Kopieren Sie den öffentlichen SSH-Schlüssel des Pi (siehe unten) in die ~/.ssh/authorized_keys dieses Benutzers auf dem VPS.
2. Vorbereitung auf dem Raspberry Pi:
   • Generieren Sie ein SSH-Schlüsselpaar: ssh-keygen -t rsa -b 4096. Geben Sie keine Passphrase ein, wenn der Pi unbeaufsichtigt den Tunnel aufbauen soll.
   • Kopieren Sie den öffentlichen Schlüssel auf den VPS: ssh-copy-id -i ~/.ssh/id_rsa.pub user@your_vps_ip.
   • Installieren Sie autossh: sudo apt install autossh. Dies stellt sicher, dass der Tunnel bei Unterbrechungen automatisch wieder aufgebaut wird.
3. Einrichten des Tunnels auf dem Pi (als systemd service für Persistenz):

   Erstellen Sie eine Systemd-Service-Datei (z.B. /etc/systemd/system/reverse-ssh-tunnel.service):

   [Unit]
   Description=AutoSSH tunnel to VPS
   After=network-online.target
   
   [Service]
   User=pi
   ExecStart=/usr/bin/autossh -M 0 -N -o "ServerAliveInterval 30" -o "ServerAliveCountMax 3" -R 10022:localhost:22 user@your_vps_ip -i /home/pi/.ssh/id_rsa
   RestartSec=5
   Restart=always
   
   [Install]
   WantedBy=multi-user.target
           

   Ersetzen Sie user durch den Benutzernamen auf Ihrem VPS, your_vps_ip durch die IP Ihres VPS und 10022 durch den gewünschten Port auf dem VPS. Der Befehl bedeutet: „Leite den Port 10022 auf dem VPS (R = remote) an localhost:22 des Pi weiter.”

   Aktivieren und starten Sie den Dienst:
   sudo systemctl enable reverse-ssh-tunnel
sudo systemctl start reverse-ssh-tunnel

4. Zugriff von extern:

   Sie können sich nun von Ihrem externen Rechner aus mit dem Pi verbinden, indem Sie sich zuerst mit dem VPS verbinden und dann lokal auf dem VPS den Port 10022 ansprechen:

   ssh user@your_vps_ip -p 10022 (wenn der SSH-Client auf dem externen Rechner den Jump direkt kann)

   Alternativ, wenn Ihr SSH-Client keine direkte Port-Weiterleitung über den Tunnel unterstützt oder Sie den Zugriff durch eine weitere Schicht absichern möchten, können Sie sich zuerst auf dem VPS anmelden und dann von dort auf den Raspberry Pi zugreifen:

   ssh user@your_vps_ip (loggt sich auf dem VPS ein)
   ssh pi@localhost -p 10022 (loggt sich vom VPS auf den Pi ein, da der Tunnel den Port 10022 des VPS auf den Port 22 des Pi weiterleitet).

   Noch eleganter ist die Nutzung der SSH-Konfiguration (~/.ssh/config) auf Ihrem lokalen Rechner:

   Host raspberrypi-extern
       HostName your_vps_ip
       Port 10022
       User pi
       IdentityFile ~/.ssh/your_private_key
           

   Danach reicht ein einfaches ssh raspberrypi-extern.

2. VPN (Virtual Private Network)

Ein VPN schafft einen verschlüsselten Tunnel, der Ihren gesamten Netzwerkverkehr umleiten kann. Für den Zugriff auf einen Pi im Gast-LAN gibt es zwei Hauptansätze, die sinnvoll sind:

• Pi als VPN-Client zu einem externen VPN-Server: Der Pi verbindet sich selbst mit einem VPN-Server (z.B. einem selbst gehosteten WireGuard/OpenVPN-Server auf einem VPS oder einem kommerziellen VPN-Dienst). Dann verbinden Sie sich ebenfalls mit demselben VPN-Server. Sobald beide im VPN-Netzwerk sind, können sie miteinander kommunizieren, als wären sie im selben lokalen Netz. Dies ist eine sehr robuste und sichere Methode.
• Pi als VPN-Server: Der Pi selbst hostet einen VPN-Server (z.B. WireGuard oder OpenVPN). Dies ist jedoch im Gast-LAN problematisch, da der Pi dann eingehende Verbindungen über einen Port empfangen müsste, der am Router weitergeleitet werden müsste – was das Gast-LAN ja verhindert. Diese Option ist daher meist nur für das Haupt-LAN praktikabel.

Für das Gast-LAN ist die erste Variante (Pi als VPN-Client) die bevorzugte Lösung. Tools wie WireGuard sind besonders leistungsfähig und ressourcenschonend für den Raspberry Pi.

Vorteile (Pi als VPN-Client):

• Sehr hohe Sicherheit durch End-to-End-Verschlüsselung.
• Nicht nur SSH, sondern alle Netzwerkdienste des Pi sind über den VPN-Tunnel erreichbar.
• Überwindet NAT und Firewalls, da die Verbindung vom Pi ausgeht.

Nachteile:

• Benötigt einen externen VPN-Server (VPS oder ein Gerät im Hauptnetzwerk mit Port-Weiterleitung).
• Etwas komplexere Einrichtung als ein einfacher Reverse SSH Tunnel.

3. Zero-Trust-Netzwerke / Mesh-VPN-Lösungen (z.B. Tailscale, ZeroTier, Cloudflare Tunnel)

Dies sind moderne Lösungen, die immer beliebter werden, da sie die Komplexität traditioneller VPNs oder Port-Weiterleitungen reduzieren. Services wie Tailscale, ZeroTier oder Cloudflare Tunnel (ehemals Argo Tunnel) ermöglichen es, Geräte sicher miteinander zu verbinden, unabhängig davon, wo sie sich befinden und welche Art von NAT oder Firewall dazwischenliegt.

Wie es funktioniert:
Ein kleiner Agent wird auf dem Raspberry Pi installiert. Dieser Agent verbindet sich mit den Servern des jeweiligen Dienstleisters und erstellt einen sicheren Tunnel. Die Dienste nutzen Techniken wie STUN/TURN und NAT-Traversal, um Peer-to-Peer-Verbindungen herzustellen, selbst hinter komplexen Netzwerkkonfigurationen.

a) Tailscale / ZeroTier:

Tailscale und ZeroTier erstellen ein „Mesh-VPN”. Jedes Gerät, auf dem der Client installiert ist und das mit Ihrem Konto verknüpft ist, kann mit jedem anderen Gerät in Ihrem Mesh kommunizieren. Sie erhalten private IP-Adressen (z.B. 100.x.x.x bei Tailscale), die über das Internet direkt zwischen Ihren Geräten routbar sind. Die Verbindung ist Ende-zu-Ende verschlüsselt.

Vorteile:

• Extrem einfache Einrichtung, oft in wenigen Minuten erledigt.
• Überwindet alle Arten von NAT und Firewalls im Gast-LAN.
• Kein eigener externer Server oder Port-Weiterleitung erforderlich.
• Sehr sicher durch Zero-Trust-Architektur und starke Verschlüsselung.
• Unterstützt SSH, VNC, HTTP und andere Dienste.

Nachteile:

• Abhängigkeit von einem Drittanbieterdienst.
• Kostenpflichtig für größere Netzwerke oder erweiterte Funktionen (oft kostenlose Tarife für private Nutzung).

Einrichtung (Beispiel Tailscale):

1. Melden Sie sich bei Tailscale an und installieren Sie den Client auf Ihrem Raspberry Pi:

   curl -fsSL https://tailscale.com/install.sh | sh
   sudo tailscale up
           

2. Folgen Sie den Anweisungen, um den Pi mit Ihrem Tailscale-Konto zu authentifizieren.
3. Installieren Sie Tailscale auf Ihrem externen Gerät (Laptop, Smartphone).
4. Sobald beide Geräte online sind, können Sie sich vom externen Gerät mit der Tailscale-IP des Pi via SSH verbinden (z.B. ssh [email protected]).

b) Cloudflare Tunnel:

Cloudflare Tunnel (durch den Dienst cloudflared) ermöglicht es, lokale Server sicher mit dem Internet zu verbinden, ohne offene Ports am Router zu benötigen. Der Pi stellt eine ausgehende Verbindung zu Cloudflare her. Cloudflare leitet dann Anfragen, die an Ihre Domain gerichtet sind, über diesen Tunnel an den Pi weiter.

Vorteile:

• Sehr sicher, da keine Ports offen sind.
• Integriert sich nahtlos mit Cloudflare DNS und Web-Sicherheitsfunktionen.
• Kostenlos für einen einzelnen Tunnel.
• Einfache Konfiguration über die Cloudflare-Oberfläche.

Nachteile:

• Hauptsächlich für HTTP/HTTPS-Dienste konzipiert, aber auch SSH ist über einen TCP-Proxy möglich.
• Benötigt eine eigene Domain bei Cloudflare.
• Abhängigkeit von Cloudflare.

Einrichtung:

1. Registrieren Sie sich bei Cloudflare und fügen Sie Ihre Domain hinzu.
2. Installieren Sie cloudflared auf dem Raspberry Pi.
3. Authentifizieren Sie cloudflared mit Ihrem Cloudflare-Konto und erstellen Sie einen Tunnel.
4. Konfigurieren Sie in der Cloudflare-Oberfläche einen DNS-Eintrag (z.B. ssh.meinedomain.de), der auf den Tunnel zeigt und als Ziel den SSH-Dienst auf Ihrem Pi (ssh://localhost:22) angibt.
5. Sie können dann via ssh [email protected] auf den Pi zugreifen, wobei Cloudflare die Verbindung proxy.

Zusammenfassung und Empfehlung

Der Zugriff auf einen Raspberry Pi im Gast-LAN von extern erfordert kreative Lösungen, die die inhärente Isolation des Netzwerks umgehen, indem der Pi die Verbindung nach außen initiiert. Direkte Port-Weiterleitungen sind hier meist nicht praktikabel oder unsicher.

• Der Reverse SSH Tunnel ist eine robuste und DIY-freundliche Methode, die volle Kontrolle bietet, aber einen externen VPS erfordert. Er ist besonders geeignet für Benutzer, die bereits einen VPS besitzen oder maximale Kontrolle über ihre Infrastruktur wünschen.
• Die Nutzung von VPNs, bei denen der Pi als Client agiert und sich mit einem externen VPN-Server verbindet, ist ebenfalls eine sehr sichere und flexible Lösung, die den Zugriff auf alle Dienste des Pi ermöglicht.
• Moderne Zero-Trust-Netzwerk-Lösungen wie Tailscale, ZeroTier oder Cloudflare Tunnel sind oft die einfachsten und schnellsten Wege, um dieses Problem zu lösen. Sie bieten eine hervorragende Balance aus Sicherheit, Benutzerfreundlichkeit und Funktionalität, ohne dass Sie sich um Port-Weiterleitungen oder eigene VPS-Verwaltung kümmern müssen. Für die meisten Heimanwender sind diese Dienste die empfehlenswertesten Optionen.

Unabhängig von der gewählten Methode: Priorisieren Sie stets die Sicherheit. Starke Passwörter, SSH-Schlüssel, Fail2ban und regelmäßige Updates sind nicht optional, sondern obligatorisch. Mit den hier vorgestellten Strategien steht einem sicheren und zuverlässigen Zugriff auf Ihren Raspberry Pi im Gast-LAN nichts mehr im Wege.