Wie man anderen vorgaukelt, man sei zu Hause

Die Idee hierzu kam, weil ich mir vor ein paar Tagen einen alternativen TV-Anbieter geklickt habe. Da ich hier keine Werbung machen will, ist es erst mal egal, welcher das ist. Das Problem hierbei ist: Dieser Anbieter blockiert einige TV-Programme, wenn man nicht im heimischen Netzwerk ist. Gut, ich könnte jetzt diese Option für eine kleinere Summe dazubuchen, aber warum, wenn ich mir dieses Geld sparen kann?!

D.h. ich muss dem TV Client / dem TV-Anbieter nur zeigen, dass ich sei zu Hause, obwohl ich es in Wirklichkeit nicht bin. Doch wie geht das? Das will ich hier in diesem Tutorial erklären. Man darf hier das jetzt nicht falsch verstehen. Ich kann mit einer VPN Verbindung zum Heimischen Netzwerk solche Dinge umgehen. Jedoch sollte man es in erster Linie auch von der Seite sehen, dass eine VPN Verbindung mehr Sicherheit in Öffentlichen Netzwerken bietet. Denn wer sich gerne mit seinem Laptop in ein Internet Caffee setzt, sollte sich darüber im Klaren sein, dass solche Orte auch gerne von Menschen genutzt werden, die eben nicht da abhängen, einen Kaffee trinken und mit Ihrem Laptop im Netz rum surfen. Denn so einen AccessPoint kann man auch gut fälschen und dann werden eure Daten mitgelesen. Und zwar alles: Zugangsdaten von Bankkonten, Facebook, Instagram etc. Wenn ich also eine VPN Verbindung nutze, dann ist die Verbindung schon ab verlassen des Laptops verschlüsselt und es funktionieren solche Abhörmethoden, sog. Man in the Middle Angriffe nicht mehr.

VPN ist Lösung

Viele Firmen nutzen diese Möglichkeit bereits, um Ihre Mitarbeiter im HomeOffice auf das Firmennetzwerk zugreifen zu lassen. Die Wahl der Verbindungen, als über was man eine VPN Verbindung herstellt ist, sind unterschiedlich.

Ich will das hier nur mal erwähnen, bevor hier die Fragen aufkommen, was gibt es denn für alternativen?

In diesem Tutorial werden wir WireGuard in Verbindung mit einer Fritz!Box verwenden, obwohl es noch die Möglichkeit von OpenVPN oder IPSec gibt. Ich hab hier mal eine Tabelle gebastelt, die die unterschiede aufzeigen soll:

Ok, weiter im Text. Das Klassische Was brauchen wir spare ich mir, weil wir alles mit Boardmitteln unseres Linux Betriebssystems basteln werden. Wie gesagt, ich verwende hier im Tutorial WireGuard und eine Fritz!Box. Wer keine hat, sollte in seinem Router eine entsprechende Funktion für VPN finden. Der Speedport Router der Deutschen Telekom hat sowas und nutzt standardmäßig WireGuard.

Kleiner Hinweis am Rande

Noch ein kleiner Hinweis für StarLink Nutzer: Keine Sorge, diese VPN Verbindung funktioniert auch mit StarLink ohne dass man extra was einstellen muss. Wichtig ist nur: Man hat neben dem Gen3 auch noch einen weiteren Router im Einsatz, der die Internet Verbindung regelt. Also der Gen3 im Bypass Modus, der richtige Router macht den Rest.

WireGuard einrichten

Im ersten Schritt öffnen wir das Konfigurationsmenü unserer Fritz!Box im Browser. Entweder via https://fritz.box oder https://192.168.178.1. Letzteres geht nur dann, wenn man die IP Adresse der Fritz!Box nicht geändert hat.

Gut weiter im Text. Wir gehen im Menü auf Internet -> Freigaben und wählen Links WireGuard aus.

Die Konfiguration ist eigentlich recht unkompliziert.

Wir wählen dort VPN (WireGuard) aus und klicken dann auf Verbindung hinzufügen. Wichtig ist dann im nächsten Schritt Einzelgerät verbinden auswählen, bzw. ausgewählt lassen und auf weiter. Auf der nächsten Seite dann einfach nur noch einen Namen für die Verbindung festlegen und auf Fertigstellen klicken. Die Fritz!Box wird nun eine Bestätigung für die Änderung verlangen. Wer ein Telefon mit der Fritz!Box verbunden hat, gibt dann einfach das ein, was die Meldung anzeigt, alternativ kann man unten drunter dann auf den Link klicken, die LEDs an der Fritz!Box fangen an zu blinken, einfach auf einen Schalter am Router drücken wo es blinkt und die Konfiguration ist bestätigt.

Im letzten sich öffnenden Fenster hat man dann die Optionen die Konfiguration entweder per QR Code auf dem Gerät einzurichten oder die Konfiguration herunterzuladen. Wir nehmen letzteres.

Damit ist die Einrichtung an der Fritz!Box erledigt und wir wenden uns nun der Konfiguration unter Linux zu.

WireGuard auf dem Linux Laptop installieren

Hier brauchen wir den WireGuard Client und die WireGuard-Tools.

Also machen wir folgendes:

sudo apt update && sudo apt install wireguard wireguard-tools

Ist das installiert, können wir die WireGuard Konfiguration integrieren.

Das machen über sudo nmcli connection import type wireguard file wg-laptop-cmr.conf Bitte hier den Namen des ConfigFiles anpassen und auch den Pfad.

In den Einstellungen unter Netzwerk sollte nun die WireGuard Verbindung auftauchen und auch schon aktiv sein. Unter Cinnamon lässt sich die VPN Verbindung nun ganz bequem über das Netzwerk Symbol in der Taskleiste aktivieren und deaktivieren.

Wenn die VPN Verbindung aktiv ist, testen wir das ganze mal.

Da ich meinen Laptop unterwegs über die Hotspot Funktion meines Smartphones online bringe, verbinde ich also auch hier zu Hause meinen Laptop mit dem Smartphone um so aus dem Heimischen Netzwerk zu verschwinden :D

Um zu das nun zu testen, geben wir im Terminal einfach mal folgendes ein:

dig @192.168.178.1 heise.de

oder

dig heise.de

Beides sollte eine saubere Antwort liefern.

Ein weiterer Vorteil ist: Wer einen AdGuard Home betreibt und diesen Netzwerkweit im Router als DNS eingetragen hat, nutzt den gleich mit. So ist man dann noch vor Tracking und nerviger Werbung geschützt.

Weiter gehts, für die ganz bequemen

Ich bin so einer, der vergisst auch manchmal, dass man sowas einschalten sollte, wenn ich unterwegs bin. Was also, wenn es einen Weg gäbe, sowas automatisiert geschehen zu lassen?

Kein Problem: Hier also weiter im Text VPN Verbindung für faule Leute :D

Wie man das automatisiert

Wir erstellen uns im Prinzip 2 Scripte.

Ein Script nur dafür, der quasi den Schalter darstellt, um die VPN zu aktivieren oder zu deaktivieren. Ein weiteres Script

Doch zunächst prüfen wir mal, welche Geräte überhaupt vorhanden sind und was davon verbunden ist.

Dazu nageln wir kurz nmcli devices in die Konsole.

Die Aussgabe sollte in etwa so aussehen:

DEVICE      TYPE      STATE      CONNECTION
enp3s0      ethernet  connected  Kabelverbindung 1
wlp2s0      wifi      disconnected  --
wg0         wireguard disconnected --

Merke dir die Namen:

• dein LAN-Interface → z. B. enp3s0
• dein WLAN-Interface → z. b. wlp2s0
• dein WireGuard-VPN → z. b. WgLaptop oder wie NetworkManager den nennt

Bauen wir nun das Script. Wichtig! Die Namen der einzelnen Devices müssen noch angepasst werden, wer also das Script so 1:1 kopiert, sollte das im Hinterkopf behalten, wenn es nicht funktioniert.

Das Script erstellen wir mit sudo nano /usr/local/bin/net-auto.sh

#!/bin/bash

LAN_IF="enp3s0" # Name anpassen!
WLAN_IF="wlp2s0" # Name anpassen!
VPN_NAME="wg-laptop" # Name anpassen!

LAN_STATE=$(nmcli -f GENERAL.STATE device show "$LAN_IF" | grep -o '[0-9]*')

# 100 = connected
if [ "$LAN_STATE" -eq 100 ]; then
    nmcli radio wifi off
    nmcli connection down "$VPN_NAME"
else
    nmcli radio wifi on
    nmcli device wifi connect "DEIN_WLAN_NAME" password "DEIN_PASSWORT"
    nmcli connection up "$VPN_NAME"
fi

Anschließend sudo chmod +x /usr/local/bin/net-auto.sh

Als nächstes brauchen wir das zweite Script als Service Datei im systemd, welches wir mit sudo nano /etc/systemd/system/net-auto.service erstellen:

[Unit]
Description=Automatisches Umschalten zwischen LAN/WLAN/VPN
After=network.target

[Service]
Type=oneshot
ExecStart=/usr/local/bin/net-auto.sh

Eigentlich, wenn man richtig faul ist, braucht es noch einen Timer, der alle 10 Sekunden prüft, ob eine LAN Verbindung existiert oder ob es WLAN ist. Vorrausgesetzt man verbindet seinen Laptop auch zu Hause via LAN Kabel (ja ich weiß, per Wlan ist es einfacher, aber LAN ist halt stabiler, vor allen beim zocken.)