Aller au contenu principal
NUKOE

VPN domestique avec WireGuard sur Raspberry Pi : guide complet

• 8 min •
Un Raspberry Pi configuré en serveur VPN WireGuard, prêt à sécuriser vos connexions.

Sie sind unterwegs, mit dem WLAN eines Hotels oder Coworking-Spaces verbunden, und stellen fest, dass einige Websites blockiert sind – oder schlimmer noch, dass Ihr Datenverkehr abgefangen werden könnte. Die Lösung? Ein persönliches VPN, das bei Ihnen zu Hause auf einem Raspberry Pi mit dem WireGuard-Protokoll gehostet wird. Im Gegensatz zu kommerziellen VPN-Diensten behalten Sie die volle Kontrolle über Ihre Daten und Konfiguration. Und vor allem: Es ist viel einfacher einzurichten, als Sie denken.

Warum ein persönliches VPN statt eines kostenpflichtigen Dienstes?

Kommerzielle VPNs versprechen Anonymität und geografische Entsperrung, haben aber zwei große Nachteile: Sie sehen Ihren gesamten Datenverkehr und werden oft von den strengsten Firewalls blockiert. Indem Sie Ihren eigenen VPN-Server auf einem Raspberry Pi zu Hause einrichten, profitieren Sie von einer verschlüsselten Verbindung zu Ihrem Zuhause, als ob Sie in Ihrem lokalen Netzwerk wären. Wie ein Artikel im Blog von Jeff Geerling betont, können Sie so von außen auf Ihr NAS, Ihren Bearbeitungsserver oder andere lokale Dienste zugreifen, ohne sensible Ports freizugeben. Darüber hinaus ist diese Art von persönlichem VPN, das auf WireGuard basiert, viel schwerer zu blockieren, da es nur einen einzigen UDP-Port verwendet und sogar als HTTPS-Datenverkehr getarnt werden kann.

Benötigte Hardware und Vorbereitung

Um zu beginnen, benötigen Sie:

  • Einen Raspberry Pi (Modell 3B+ oder höher, ein Pi 4 oder 5 wird für bessere Leistung empfohlen)
  • Eine microSD-Karte (16 GB reichen aus)
  • Ein stabiles Netzteil
  • Vorzugsweise eine kabelgebundene Internetverbindung (WLAN kann funktionieren, aber Ethernet ist zuverlässiger)
  • Einen Domainnamen oder eine öffentliche IP-Adresse (nach Möglichkeit fest, sonst ein DDNS)

Installieren Sie Raspberry Pi OS Lite (ohne grafische Oberfläche) auf der SD-Karte, aktivieren Sie SSH und melden Sie sich an. Aktualisieren Sie das System mit `sudo apt update && sudo apt upgrade -y`.

Installation von PiVPN: Das Tool, das alles vereinfacht

Anstatt WireGuard manuell zu konfigurieren, verwenden Sie PiVPN, ein Installationsskript, das die Erstellung des Servers und die Generierung der Client-Konfigurationsdateien automatisiert. Der Vorteil? Es kümmert sich auch um Firewall-Regeln, Routing und sogar die Integration mit dynamischen IP-Adressen über einen DDNS-Dienst. Das Level1techs-Forum erinnert daran, wie wichtig es ist, iptables richtig zu konfigurieren, damit das VPN auf das Internet zugreifen kann, während der Zugriff auf das lokale Netzwerk bei Bedarf eingeschränkt wird.

Führen Sie den Befehl aus: `curl -L https://install.pivpn.io | bash`

Folgen Sie den Anweisungen auf dem Bildschirm: Wählen Sie WireGuard als Protokoll, wählen Sie die Netzwerkschnittstelle (vorzugsweise eth0), legen Sie einen Port fest (der Standard 51820 ist geeignet) und konfigurieren Sie Ihren DNS (z. B. 1.1.1.1 oder den Ihres ISP). Sobald die Installation abgeschlossen ist, generieren Sie ein Client-Profil mit `pivpn add` und exportieren Sie die `.conf`-Datei.

Router-Konfiguration: Der entscheidende Schritt

Damit Ihr VPN von außen erreichbar ist, müssen Sie den UDP-Port 51820 auf Ihrem Router öffnen und an die lokale IP-Adresse des Raspberry Pi weiterleiten. Dieser Schritt ist oft der kniffligste, da jeder Router eine andere Oberfläche hat. Konsultieren Sie die Dokumentation Ihres Geräts oder verwenden Sie UPnP, wenn Sie Ihrem lokalen Netzwerk vertrauen. Ohne diese Weiterleitung kann der eingehende Datenverkehr Ihren VPN-Server nicht erreichen.

> Zu vermeidende Falle: Wenn Ihr ISP CGNAT (gemeinsame IP-Adresse) verwendet, können Sie keinen Port direkt öffnen. Verwenden Sie in diesem Fall einen günstigen VPS als Relay oder einen Tunneling-Dienst (wie Tailscale, das unter der Haube WireGuard verwendet).

Verbindung von überall

Sobald das Profil exportiert ist, installieren Sie die WireGuard-App auf Ihrem Smartphone, Tablet oder Laptop. Importieren Sie die `.conf`-Datei und aktivieren Sie die Verbindung. Sie sollten jetzt auf Ihr Heimnetzwerk zugreifen können, als ob Sie dort wären. Reddit-Benutzer bestätigen, dass diese Methode sogar in sehr restriktiven Umgebungen wie Universitäten funktioniert, in denen kommerzielle VPNs oft blockiert werden. Das leichte und schnelle WireGuard-Protokoll ermöglicht eine nahezu sofortige Verbindung.

Mythen und Realitäten des Heim-VPNs

Mythos: Es ist zu kompliziert für Nicht-Informatiker.

Realität: Mit PiVPN ist die Installation in etwa 20 Minuten erledigt. Das Schwierigste ist die Router-Konfiguration, aber einmal eingerichtet, funktioniert alles ohne Eingriff.

Mythos: Ein Raspberry Pi ist nicht leistungsstark genug für ein VPN.

Realität: WireGuard ist extrem leichtgewichtig. Selbst ein Pi 3 kann mehrere gleichzeitige Verbindungen ohne Verlangsamung bewältigen. Ein Pi 4 oder 5 kann Geschwindigkeiten nahe Gigabit erreichen, was für den persönlichen Gebrauch völlig ausreicht.

Mythos: Persönliche VPNs sind weniger sicher als kommerzielle Dienste.

Realität: Mit WireGuard profitieren Sie von modernster Verschlüsselung (Curve25519, ChaCha20, Poly1305). Das Hauptrisiko geht von Ihrer eigenen Konfiguration aus: Setzen Sie den Port nicht unnötig frei, verwenden Sie starke Schlüssel und aktualisieren Sie das System regelmäßig.

Fehlerbehebung und fortgeschrittene Tipps

  • Verbindungsproblem: Überprüfen Sie mit einem Tool wie `canyouseeme.org`, ob der Port geöffnet ist. Testen Sie auch, ob die Firewall des Pi den WireGuard-Datenverkehr zulässt.
  • Zugriff auf das lokale Netzwerk: Standardmäßig erlaubt PiVPN den Zugriff auf das lokale Subnetz. Wenn Sie den VPN-Client vom Rest Ihres LAN isolieren möchten, ändern Sie die iptables-Regeln, wie im Level1techs-Forum besprochen.
  • Mehrere Clients: Generieren Sie ein Profil pro Gerät mit `pivpn add`. Jeder Client hat seinen eigenen privaten Schlüssel, sodass Sie den Zugriff einzeln widerrufen können.
  • Leistung: Verwenden Sie ein Ethernet-Kabel für den Pi und vermeiden Sie WLAN für den Server. Auf der Client-Seite kann WLAN ohne Probleme verwendet werden.

Zusätzliche Sicherung

Um die Sicherheit zu erhöhen, können Sie:

  • Den SSH-Zugriff auf den Pi von außen deaktivieren (verwenden Sie das VPN nur für die Fernverwaltung)
  • Eine Firewall mit `ufw` oder `iptables` einrichten, um eingehende Verbindungen auf den WireGuard-Port zu beschränken
  • Automatische Updates mit `unattended-upgrades` aktivieren
  • Einen Reverse-Proxy wie Nginx verwenden, wenn Sie Webdienste hinter dem VPN bereitstellen möchten

Und wenn Sie keine feste Verbindung haben?

Wenn Ihr Zuhause keine öffentliche IP-Adresse hat (CGNAT), haben Sie zwei Optionen:

  1. Einen VPS verwenden: Mieten Sie einen Server bei einem Hosting-Anbieter (DigitalOcean, Linode) und installieren Sie WireGuard darauf. Sie haben eine feste IP, aber der Datenverkehr läuft über einen Dritten. Skripte wie Algo (erwähnt im GL.iNet-Forum) automatisieren diese Installation.
  2. Tailscale verwenden: Dieser für den persönlichen Gebrauch kostenlose Dienst erstellt ein Mesh-Netzwerk basierend auf WireGuard, ohne dass Ports geöffnet werden müssen. Es ist eine Zwischenlösung zwischen dem Heim-VPN und dem kommerziellen Dienst.

Die Zukunft des persönlichen VPNs

Mit dem Anstieg von Netzwerkbeschränkungen (Zensur, geografische Sperren, Filter in Unternehmen und Universitäten) wird das persönliche VPN zu einem unverzichtbaren Werkzeug für mobile Berufstätige und Privatpersonen, die ihre Privatsphäre schützen möchten. WireGuard, mittlerweile in den Linux-Kernel integriert, wird voraussichtlich zum De-facto-Standard für VPN-Verbindungen werden. Und dank Projekten wie PiVPN ist seine Demokratisierung im Gange.

Sind Sie bereit, die Kontrolle über Ihren Internetzugang zurückzugewinnen? Der Zeitaufwand für die Einrichtung ist minimal, aber die Freiheit, die es bietet, ist immens.

Weiterführende Informationen