Raspberry Pi 4 mit VPN

  • Hallo, ich habe mir einen Raspberry Pi 4 zugelegt und grundinstalliert. Bin noch Linux Laie. Die Steuerung möchte ich über Fernsteuerung via VNC und SSH machen, Den Zugriff habe ich soweit auch hinbekommen. Desktop und Drucken funktionieren auch. Als Anwendung ist geplant, Cryproprojekte zu staken. Ich habe gelesen, dass der Zugriff über SSH nicht sicher ist bezüglich möglicher Hacker und dass man "tunneln" sollte. Welchen VPN - Server sollte ich wählen und wo kann ich mich dazu einlesen bezüglich der Installation? Ich benötige eine step by step Anleitung, da ich wie gesagt Linux auf Befehlsebene noch nicht kann.

    danke für Eure Tipps

  • Ich habe gelesen, dass der Zugriff über SSH nicht sicher ist bezüglich möglicher Hacker

    Wie heißt dein Standard-Benutzer? Benutzt er noch das Default-Passwort? Darf er sich mit Passwort am RPi über SSH anmelden?


    Hint: Nicht SSH ist unsicher, sondern der das System einrichtet, macht es unsicher.

    Menschen die keine Ironie verstehen finde ich super!

  • Hallo Andi,


    ich möchte letzteres, d.h. mit dem Raspberry über eine sichere Verbindung ins Internet.

  • Wie heißt dein Standard-Benutzer? Benutzt er noch das Default-Passwort? Darf er sich mit Passwort am RPi über SSH anmelden?


    Hint: Nicht SSH ist unsicher, sondern der das System einrichtet, macht es unsicher.

    Hallo llutz. ich habe nur einen Nutzer angemeldet (Standardnutzer pi), und das bin ich selbst, aber für diesen habe ich ein neues Paaswort vergeben. Aber im pi telegram forum wurde geschrieben, dass die Kommunikation zwischen pi und dem steuernden PC offen ist und somit auch das Passwort leicht geknackt werden kann?

  • Hallo Rolando,

    Ich habe gelesen, dass der Zugriff über SSH nicht sicher ist bezüglich möglicher Hacker

    und wer schreibt solchen Blödsinn?

    ssh ist ein etabliertes Verfahren zur Fernwartung von Rechnern. Bedingung ist natürlich, dass der Dienst (der sshd) richtigt konfiguriert ist. Wer immer noch mit "Benutzername + Passwort" arbeitet, ist selber schuld, wenn die "bösen Hacker" dich "darauf hinweisen" und deine Gerätschaften übernehmen.


    Und dann bitte ich dich, deinen geplanten Verwendungszweck "mit dem Raspberry über eine sichere Verbindung ins Internet" noch etwas zu konkretisieren.

    Ich gebe dir dazu eine Hilfestellung:

    • Willst du dich über das VPN über irgend einen (kommerziellen) Anbieter ins Ausland verbinden um dort eine "ausländische IP" zu holen um bspw. Geoblocking zu umgehen usw.?
    • Willst du deine eigene Identität verschleiern (Anonymisierung, woran so mancher noch glaubt)?
    • Oder willst du mit dem VPN zwei Standort mit einem recht abhörsicheren Kanal verbinden?

    Sowohl bei der richtigen Konfiguration des sshd als auch bei der Einrichtung eines VPN der dritten Art kann ich dir gerne helfen.

  • Hallo,


    Hier eine Anleitung zur Grundeinstellung unter anderem wird auch auf den SSH-Zugang, wie auch auf den Standardbenutzer "pi" eingegangen.


    Grüße

    Dennis

    ... ob's hinterm Horizont wirklich so weit runter geht oder ob die Welt vielleicht doch gar keine Scheibe ist?

  • AHA,

    hier will also jemand wirklich "verkaufen", dass man mit Verstecken Sicherheit erzeugen kann? Streiche "pi" und setze "<irgendwas>.

    Vergiss es einfach!

    In der gleichen Zeit, in der du den Benutzer umbenannt hast, hast du auch ein ordentliches Schlüsselpaar mit 4K-Schlüssellänge und möglichst noch einem PW für den private Key erzeugt und den public Key auf den Pi kopiert. Dann noch schnell einige Änderungen in der sshd_config vorgenommen und dann hast du wirkliche Sicherheit.

  • /dev/null meinst du mit dem Key dass, das in der Anleitung unter Punkt 1.5.1.2 erklärt wird?


    Wenn nicht hätte zumindest ich Interesse an mehr Informationen zu dem Thema wie auch zu der sshd_config. Muss ja nicht umbedingt hier sein, ist ja nicht mein Thema hier :stumm: Aber ist vielleicht für mehrere interessant.


    Grüße

    Dennis

    ... ob's hinterm Horizont wirklich so weit runter geht oder ob die Welt vielleicht doch gar keine Scheibe ist?

  • AHA,

    hier will also jemand wirklich "verkaufen", dass man mit Verstecken Sicherheit erzeugen kann? Streiche "pi" und setze "<irgendwas>.

    Vergiss es einfach!

    In der gleichen Zeit, in der du den Benutzer umbenannt hast, hast du auch ein ordentliches Schlüsselpaar mit 4K-Schlüssellänge und möglichst noch einem PW für den private Key erzeugt und den public Key auf den Pi kopiert. Dann noch schnell einige Änderungen in der sshd_config vorgenommen und dann hast du wirkliche Sicherheit.

    hättest Du dafür auch eine Anleitung?


    "sichere Verbindung ins Internet": also ich möchte desktop crypto wallets so online halten, dass sie permanent im Netz zur Verfügung stehen, um am staking-Prozess teilzunehmen. Bisher mache ich das mit einem windows-PC. Jetzt soll die wallet auf dem raspberry laufen. Und die Bedienung des Raspberry erfolgt über PC via SSH. Wie mache ich das wasserfest ?

  • /dev/null meinst du mit dem Key dass, das in der Anleitung unter Punkt 1.5.1.2 erklärt wird?

    zumindest habe ich das verstanden und es würde mich wieder ein Stück weiter bringen. Aber warum kann ich das denn nicht aich für den User pi mit neuem Passwort machen?

  • Aber warum kann ich das denn nicht aich für den User pi mit neuem Passwort machen?

    Ich denke das der Grund für den Wechsel des Usernamens darin liegt, das "jeder" den Namen "pi" schon kennt und somit würde die erste Hürde, das rausfinden des Benutzernamens, schon mal wegfallen.


    Ich bin allerdings auch noch am Anfang und kann dir keine weiteren detailierten Antworten geben.


    Grüße

    Dennis

    ... ob's hinterm Horizont wirklich so weit runter geht oder ob die Welt vielleicht doch gar keine Scheibe ist?

  • Dennis89 :

    ich habe das tut auch gelesen, und mir mein eigenes in anlehnung geschrieben. funktioniert alles wunderbar. in dem original-tut sind zwei dinge 'übersehen' worden, möchte ich aber erst mit franjo 'besprechen'. das tut ist sehr gut von ihm.

    --- wer lesen kann, ist klar im Vorteil ---

    --- Freude entsteht aus Mangel an Information ---

    --- Scheiße ist, wenn der Furz etwas wiegt ---


  • Perlchamp ich habe meinen Pi auch nach dieser Anleitung eingerichtet. Ich bin nur immer an weiteren Ansichten und Informationen interessiert.


    Mein Pi ist nur im Heimnetz verfügbar, vondem her ist es wirklich nur der Interesse geschuldet, wenn ich nach weiterer Sicherheit frage:)

    ... ob's hinterm Horizont wirklich so weit runter geht oder ob die Welt vielleicht doch gar keine Scheibe ist?

  • Rolando


    Wenn du eine VPN ins Internet willst kannst du dir einen Anbieter wie z.b. Perfect privacy, Nordon VPN usw. Holen.

    Anschließend kannst du den OVPN Client auf den Rasperry pi installieren und die ovpn Datei einbinden.


    Gruß Andi17

  • Wenn es um den Zugang aus dem eigenen Netz ins Internet geht, wird ein externer Provider benötigt.


    Als Alternative zu OpenVPN käme noch Wireguard in Frage. Es gibt inzwischen externe VPN-Anbieter, die auch Wireguard-Zugänge anbieten. Das ist nach meiner Erfahrung leichter zu installieren als OpenVPN, wobei das eher ein gradueller Unterschied ist.


    Um einen eigenen VPN-Server zu installieren (für den Zugang von außen ins eigene Netz) würde ich einem Anfänger zu PiVPN raten. Da wird der größte Teil der Installation von Scripten ausgeführt, was die Sache erleichtert. PiVPN.org bietet inzwischen auch Wireguard als Alternative zum OpenVPN-Server an. Wer die Sorge hat, dass die Scripte irgendetwas anrichten, kann die Einrichtung hinterher selbst noch mal modifizieren (z.B. neue Keys anlegen, Ports ändern etc.).


    Zum „Härten“ des eigenen Raspi gibt es auf der Heimatseite der Raspi-Organisation eine recht ordentliche Anleitung, die schon mal die wesentlichen Dinge abdeckt.

    https://www.raspberrypi.org/do…configuration/security.md


    Wenn dann noch statt einer Vielzahl von Portweiterleitungen der Router schön dicht bleibt, und ggf. per VPN von außen zugegriffen wird, ist schon sehr viel erreicht.

  • Sorry, ich habe leider nicht bis zum Ende gelesen. Als ich das mit dem anderen Benutzernamen gehört hatte, dachte ich, dass das die "Lösung" sein.

    Überreagiert und dumm gelaufen!


    Das mit der public-key Authentisierung, die in der Anleitung auch gut und ausreichend beschrieben wurde, ist das allererste, was man zur Gewährleistung der Sicherheit von ssh machen sollte. Den auf einen (Linux-)Rechner erzeugten public-key kann man gleich beim Übertragen des Betriebssystems mit auf die SD kopieren. Ich mache das so, dass ich in der root-Partition unter /home/pi/ gleich den Ordner .ssh anlege und dort hinein meine authorized_keys mit allen meinen public-keys kopiere. Wichtig ist, dass letztendlich der oder die public-keys dort landen.

    Die public-key-Authentisierung ist ja in den Voreinstellungen schon aktiviert => also das gleich beim ersten Start testen. Wenn der Zugang damit funktioniert hat (erst dann!) sollten die Anmeldung als root und mittels Passwort gleich deaktiviert werden. Falls es wider Erwarten nicht funktionieren sollte, hat man ja zur Behebung des Fehlers noch die Methode mit dem Passwort. Ursache dafür ist meistens, dass der private-key auf den Server kopiert wurde.

    Danach kann man noch die Anzahl der Fehlversuche auf 1-2 setzen und die Zeit bis zum Verwerfen einer nicht geglückten Verbindung auf wenige Sekunden festlegen. Bei funktionierender Auth mit public-key sollte ein Versuch und wenige Sekunden reichen.