Die Anleitung führt durch folgende Schritte:

• Vorbereitung des Raspberry Pi 4, meist mit einem aktuellen Raspberry Pi OS (ARM64).
• Installation der benötigten Softwarepakete und Hinzufügen des Wazuh-Repositorys.
• Installation und Konfiguration der Wazuh-Komponenten (z. B. Agent, Server, Dashboard) auf dem Raspberry Pi.
• Starten und Aktivieren der Wazuh-Dienste, damit sie beim Systemstart automatisch laufen.
• Abschließend Zugriff auf das Wazuh Dashboard zur Überwachung und Verwaltung der Sicherheitsereignisse.

Der Blogeintrag hebt hervor, dass die Installation zwar einige Schritte erfordert, aber mit der Anleitung auch für Einsteiger nachvollziehbar ist. Das Ergebnis ist eine kostengünstige, aber leistungsfähige Sicherheitslösung für kleine Netzwerke.

Der Beitrag Wazuh auf einem Raspberry Pi 4 installieren erschien zuerst auf .

WPA-Passwort von Klartext in eine Passphrase umwandeln
Wifi-Shepherd in ein anderes Netzwerk umziehen
Die Ethernet Mac-Adressen in Nmap aktualisieren
Bluetooth aktivieren und Verbindung mit SSH herstellen

WPA-Passwort von Klartext in eine Passphrase umwandeln

Um den Wifi-Shepherd in unserem WLAN-Netzwerk nutzen zu können, hatten wir in Teil 1 im ersten Schritt die Datei wpa-supplicant.conf erzeugt und das Passwort in Klartext eingegeben. Diese Vorgehensweise ist relativ unsicher, da diese Einstellungen nun auch in der Konfiguration des Wifi-Shepherd als Datei /etc/wpa_supplicant/wpa_supplicant.conf vorliegen.

Mit Hilfe des kleinen Programms wpa-passphrase sind Sie aber in der Lage, das Klartext-Passwort in eine kryptische Passphrase umzuwandeln. Nutzen Sie dazu folgenden Befehl:

wpa_passphrase "SSID" | sudo tee -a /etc/wpa_supplicant/wpa_supplicant.conf > /dev/null

Tragen Sie hier für „SSID“ den Namen Ihres WLAN-Netzwerkes ein. Jetzt müssen Sie noch das Passwort über die Konsole eingeben und danach mit ENTER bestätigen. Die Passphrase wird direkt in die Konfigurationsdatei geschrieben, die Sie mit folgendem Befehl einsehen bzw. bearbeiten können:

sudo nano /etc/wpa_supplicant/wpa_supplicant.conf

Nachdem Sie nochmals geprüft haben, ob das Klartext Passwort richtig ist, können Sie die bereits auskommentierte Zeile löschen und die Datei speichern.

ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=netdev
update_config=1
country=US

# reading passphrase from stdin
network={
        ssid="SSID"
        #psk="GutenMorgenDeutschland"
        psk=5e5d56a78391af6ee1dc05e979cc8320701133d0ba61ff4ca82a7aca4b20f65e
}

Wifi-Shepherd in ein anderes Netzwerk umziehen

Wenn Sie Ihren Wifi-Shepherd in einem anderen Netzwerk nutzen möchten, dann müssen Sie nur zwei Dateien anpassen und eine löschen.

Am einfachsten geht es, wenn noch eine ssh-Verbindung zum Wifi-Shepherd (im „alten WLAN“) besteht und Sie die Konfiguration dort ändern können. Öffnen Sie zuerst die Datei wifi-shepherd.sh im Verzeichnis /home/pi/wifi-shepherd und tragen dort den IP-Adressbereich des neuen Netzwerkes ein. Evtl. muss hier auch der Hostname angepasst werden.

Danach gehen Sie wie oben beschrieben vor und erstellen eine Passphrase für das neue Netzwerk und übernehmen diese Einstellungen in die Datei wpa_supplicant.conf

Abschließend löschen Sie die Datei mac_known.txt aus dem Verzeichnis /home/pi/wifi-shepherd.

cd /home/pi/wifi-shepherd
rm mac_known.txt

Nun können Sie den Wifi-Shepherd entfernen und in das neue WLAN überführen. Wenn Sie nicht warten wollen bis das Skript gemäß den Einstellungen in crontab automatisch startet, können Sie es jederzeit in der Konsole ausführen:

/home/pi/wifi-shepherd/wifi-shepherd.sh

Haben Sie dagegen keine Möglichkeit diese Änderung in einem bestehenden WLAN-Netzwerk vorzunehmen, so müssen Sie die Dateien wpa_supplicant.conf und ssh im boot-Verzeichnis der SD-Karte neu anlegen. Gehen Sie dazu wie im ersten Teil beschrieben vor.

Ist dann die Verbindung mit SSH hergestellt, so muss hier auch die Datei mac_known.txt gelöscht und die Konfiguration in wifi-shepherd.sh den neuen Bedingungen angepasst werden.

Die Ethernet Mac-Adressen in Nmap aktualisieren

Dem einen oder anderen ist es vielleicht bei seinen Tests schon aufgefallen – die von Nmap genutzte Datei mit den Mac-Adressen ist nicht auf den neusten Stand. Daher wird in unserer HTML-Seite in der Spalte „MAC_VENDOR“ oftmals ein „Unknown“ ausgegeben, obwohl Online-Anbieter für die angegebene Mac-Adresse den korrekten Hersteller auflisten. 

Um auch die von Nmap genutzten Daten zu aktualisieren, stellen Sie eine Verbindung per ssh zum Wifi-Shepherd her und installieren das Skript von David Tonhofer. Führen Sie dazu folgende Befehle aus:

cd /home/pi/wifi-shepherd
sudo apt install moreutils
git clone https://github.com/dtonhofer/ieee_oui_downloader.git
cd ieee_oui_downloader 
./update_nmap_mac_db.sh

Das Skript lädt die aktuellen Daten von Server standards-oui.ieee.org herunter und speichert diese im Verzeichnis ab. Der Wifi-Shepherd braucht auch hier einige Zeit, bis er alle Daten verarbeitet hat. Ist der Prozess abgeschlossen, so wird die heruntergeladene Datei mit der in Nmap verfügbaren Datei verglichen. In unserem Beispiel wurden 4146 neue Einträge gefunden.

Sie haben außerdem die Möglichkeit die Einträge (siehe Screenshot) miteinander zu vergleichen.

Wer die heruntergeladene Datei anstatt der von Nmap zur Verfügung gestellten Daten nutzen möchte, der geht wie folgt vor:

cd /usr/share/nmap/
sudo mv nmap-mac-prefixes nmap-mac-prefixes.old 
sudo cp /tmp/nmap_oui_processing.1ILJZV/nmap-mac-prefixes .

Das zufällig angelegte temporäre Unterverzeichnis könnte in Ihrem Fall abweichen. Passen Sie den Befehl hier ggf. an. Beim nächsten Scan wird der Wifi-Shepherd die Hersteller in der Tabelle korrekt ausgeben.

Bluetooth aktivieren und Verbindung mit SSH herstellen

Bis jetzt konnten wir uns nur per WLAN auf den Wifi-Shepherd verbinden. Da das Gerät ebenfalls über eine Bluetooth-Schnittstelle verfügt, wäre es natürlich wünschenswert auch hierüber zuzugreifen. Im nächsten Schritt werden wir ein sogenanntes PAN (Personal Area Network) aufbauen, das eine IP-Adresse für den Wifi-Shepherd bereitstellt und somit eine Kommunikation über SSH zulässt.

Die dazu benötigte Software ist schnell heruntergeladen und installiert:

sudo apt-get install bluez-tools

Nun müssen noch 4 Dateien angelegt werden. Kopieren Sie einfach den Inhalt in die entsprechende Datei und speichern diese im angegebenen Verzeichnis ab.

sudo nano /etc/systemd/network/pan0.netdev

[NetDev]
Name=pan0
Kind=bridge

sudo nano /etc/systemd/network/pan0.network

[Match]
Name=pan0

[Network]
Address=172.20.1.1/24
DHCPServer=no

sudo nano /etc/systemd/system/bt-agent.service

[Unit]
Description=Bluetooth Auth Agent

[Service]
ExecStart=/usr/bin/bt-agent -c NoInputNoOutput
Type=simple

[Install]
WantedBy=multi-user.target

sudo nano /etc/systemd/system/bt-network.service

[Unit]
Description=Bluetooth NEP PAN
After=pan0.network

[Service]
ExecStart=/usr/bin/bt-network -s nap pan0
Type=simple

[Install]
WantedBy=multi-user.target

Folgende Befehle richten die Dienste so ein, dass sie automatisch nach jedem Neustart des Wifi-Shepherd bereitstehen:

sudo systemctl enable systemd-networkd
sudo systemctl enable bt-agent
sudo systemctl enable bt-network

Um Bluetooth sofort zu verwenden, starten Sie die Dienste mit folgenden Kommandos:

sudo systemctl start systemd-networkd
sudo systemctl start bt-agent
sudo systemctl start bt-network

Zu Abschluss setzen wir den Parameter „Discoverable“ auf 1. Nun haben Sie 180 Sekunden Zeit, um sich mit dem Wifi-Shepherd zu verbinden. Im Folgenden zeigen wir dies anhand eines Windows 10-PC.

sudo bt-adapter --set Discoverable 1

Wählen Sie auf dem Windows-Desktop „Bluetooth-Geräte hinzufügen“ aus.

In der Auswahl sollte hier nur das Gerät „raspberrypi“ erscheinen.

Verbinden Sie sich mit dem Gerät und rufen danach die Netzwerkeinstellungen auf:

Klicken Sie auf „Bluetooth-Netzwerkverbindung“ und dann auf „Bluetooth-Netzwerkgeräte anzeigen“

Mit Klick über die rechte Maustaste wählen Sie „Verbindung herstellen über:“ an. Danach können Sie über Eigenschaften die TCP/IP Einstellungen vornehmen. Tragen Sie hier eine feste IP-Adresse aus dem Netzwerkbereich 172.20.1.0/24 ein. Als Beispiel haben wir hier 172.20.1.10 gewählt.

Zum Abschluss können Sie sich mit SSH auf den Wifi-Shepherd verbinden. Nutzen Sie dafür folgenden Befehl:

ssh pi@172.20.1.1

Der Beitrag Wifi-Shepherd – Teil 2 – Anpassen und erweitern erschien zuerst auf .

Update 2020-05-11: Dar erste Release eines Wifi-Shepherd Abbildes (540 MB) ist nun als Download verfügbar. Dazu die 7zip-Datei herunterladen und entpacken. Dann das Image auf die SD Karte schreiben und für das Setup den Anweisungen auf der Github-Seite folgen. Im zweiten Teil der Artikelserie haben wir einige optionale Veränderungen bzw. Verbesserungen vorgenommen.

Was ist der Wifi-Shepherd?

Der Wifi-Shepherd ist ein kleines Werkzeug auf der Basis eines Raspberry Pi Zero W mit dessen Hilfe Sie kleine WLAN Netzwerke (z.B. zu Hause) stromsparend überwachen können.

Er scannt in regelmäßigen Abständen das Netzwerk und lernt, welche Geräte darin aktiv sind. Das Ergebnis stellt er auf einer übersichtlichen Webseite dar, die dann über das Netzwerk abgerufen werden kann.

Wird ein neues Gerät in Ihrem WLAN erkannt, so sendet er eine E-Mail mit den relevanten Informationen.

Was ist der Wifi-Shepherd nicht?

Das Gerät ergreift keine weiteren Schutzmaßnahmen, wenn sich z.B. ein Angreifer im Netzwerk befindet. Sie müssen anhand der zugestellten E-Mail selbst entscheiden, ob es sich um einen legitimen Nutzer bzw. Gerät handelt.

Wie arbeitet der Wifi-Shepherd?

Da der Raspberry Pi Zero W standardmäßig über WLAN verfügt, erfolgt die gesamte Kommunikation über diese Schnittstelle. Um seine Arbeit verrichten zu können, benötigt er also nur den Strom eines externen Gerätes, eines Netzteils oder einer Power Bank.

Das Gerät ist optional mit einem USB-A Addon Board ausgestattet. Das bedeutet, dass er an fast allen Geräten verwendet werden kann, die Strom über eine USB-Schnittstelle zur Verfügung stellen. Wer möchte, der kann das Gerät auch über die USB-Schnittstelle des Raspberry mit einem Kabel verbinden.

Der Wifi-Shepherd muss einmalig vom Nutzer im lokalen WLAN eingerichtet werden und speichert dann alle relevanten Daten. Dabei lernt er, welche Geräte sich im Netzwerk befinden und behält diese Informationen auch, wenn er mal abgeschaltet wurde.

Als Betriebssystem wird Raspbian Buster Lite verwendet, das die meisten Komponenten wie Nmap, Python und ssmtp bereits an Bord hat. Der Rest wird von verschiedenen Skripten erledigt.

Der Wifi-Shepherd verwendet den freien Portscanner Nmap, um das WLAN-Netzwerk in bestimmten Zeitabständen zu scannen.  Das Ergebnis wird zunächst über die Option -oN in eine Datei umgeleitet. Eigentlich wir nur ein sogenannter „Ping Sweep“ (-sP) über den gesamten Netzwerkbereich durchgeführt. Es erfolgt weder ein Portscan, noch werden die laufenden Services auf den angeschlossenen Geräten getestet. Da wir die MAC-Adressen der verbundenen Geräte ermitteln wollen, muss Nmap zwingend mit administrativen Rechten (sudo) gestartet werden.

Das Ergebnis wird dann in eine csv-Datei umgewandelt. Dies erfolgt mit Hilfe eines Python-Skriptes von Thomas D. (maaaz). Um alles darstellen zu können, wird die html-Ausgabe über ein Shell-Skript genierte und mit Hilfe von DataTables ausgegeben.

In diesem ersten Teil werden wir zeigen, wie Sie den Wifi-Shepherd installieren und einrichten. Der zweite Teil ist für zusätzliche Informationen vorbehalten und soll weitere Einblicke in die Funktionsweise des Wifi-Shepherd geben.

Wifi-Shepherd installieren und einrichten in drei Schritten

Schritt 1 – Betriebssystem herunterladen und einrichten

Als Grundlage wird das „Raspbian Buster Lite“ Abbild benötig, das ca. 450 MB umfasst. Das aktuelle Image kann auf der Produkt-Webseite heruntergeladen werden.

Entpacken Sie die ZIP-Datei und schreiben Sie die darin enthaltene IMG-Datei auf die Speicherkarte. Dafür können Sie Ihre bevorzugte Software entsprechend Ihres Betriebssystems verwenden. Unter Windows hat sich der Win32DiskImager bewährt. Eine kurze Anleitung finden Sie z.B. hier.

Nun müssen Sie noch folgende zwei Dateien erstellen, die ebenfalls im Wurzelverzeichnis der Boot-Partition zu platzieren sind:

ssh
wpa_supplicant.conf

Die Datei ssh ist leer und kann so übernommen werde. In der Datei wpa_supplicant.conf müssen Sie die Informationen Ihres WLAN-Netzwerkes hinterlegen, damit sich der Wifi-Shepherd dort einloggen kann. Passen Sie daher die Variablen „ssid“ und „psk“ Ihren Bedingungen an. Leider ist das Passwort hier in Klartext anzugeben, was ein stückweit unsicher ist. Beachten Sie dies, wenn Sie den Wifi-Shepherd verwenden:

ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=netdev
update_config=1
country=US

network={
        ssid="your-SSID"
        scan_ssid=1
        psk="your-Password"
}

In einigen Fällen scheint es erforderlich zu sein das Managementprotokoll anzugeben. Das würde dann wie folgt aussehen:

ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=netdev
update_config=1
country=US

network={
        ssid="your-SSID"
        scan_ssid=1
        psk="your-Password“
        proto=WPA
        key_mgmt=WPA-PSK
}

Ich empfehle erstmal mit der oberen Datei zu beginnen und dann evtl. auf die zweite Variante auszuweichen.

Sollten Sie diese Datei unter Windows (z.B. mit Notepad++) schreiben, so muss darauf geachtet werden, dass sie im Unix-Format abgelegt wird. Die Einstellungen in Notepad++ findet man und Bearbeiten – Format Zeilenende. Siehe dazu auch folgende weitere Informationen.

Erfolgskontrolle für Schritt 1

Sie sollten nun in der Lage sein, einen ping auf den Wifi-Shepherd abzusetzen. Dies könnte je nach Netzwerkeinstellungen per Hostname raspberry oder auf die IP-Adresse erfolgen. Notfalls müssen Sie diese über Ihren WLAN-Router ermitteln. Wenn alles funktioniert, empfehle ich später dem Wifi-Shepherd über den DHCP-Server eine feste IP-Adresse zu vergeben.

Als nächstes loggen Sie sich per ssh über den Hostnamen oder der IP-Adresse mit folgendem Befehl ein. Als Passwort verwenden Sie raspberry:

ssh pi@IP-Adresse

Über folgenden Befehl können Sie nochmals prüfen, ob die WLAN-Netzwerkeinstellungen greifen und der Wifi-Shepherd das Internet erreichen erreicht.

sudo service dhcpcd status
ping google.de

Schritt 2 – Raspbian anpassen und Software installieren

Wir sind immer noch mit dem Wifi-Shepherd per ssh verbunden und werden mit Hilfe des Konfigurationswerkzeuges weitere Einstellungen vornehmen. Dazu rufen Sie das Programm wie folgt auf:

sudo raspi-config

Nutzen Sie die erste Option, um ein neues Passwort festzulegen.

Danach wechseln Sie in die Option 4 und dort zu I1 um die regionalen Einstellungen vorzunehmen.

Wählen Sie nun über die Option I2 die Zeitzone für Ihre Region aus und passen bei Notwendigkeit die Tastatureinstellungen mit der Option I3 an.

Bevor Sie ein Update des Betriebssystems vornehmen, sollte Sie zunächst prüfen, ob der gesamte Speicherbereich Ihrer SD-Karte für den Wifi-Shepard nutzbar ist. Hierzu wechseln Sie mit der Option 7 in die „Advanced Options“ und wählen dort die Option A1 aus. Nach einem Neustart des Wifi-Shepherd sollte dann die gesamte Kapazität zur Verfügung stehen.

Nun kann ein Update der Software mit folgendem Befehl durchgeführt werden:

sudo apt update && sudo apt upgrade

Beachten Sie hierbei, dass der Raspberry Pi nicht der schnellste ist und das Update über das Internet je nach verfügbarer Geschwindigkeit ein wenig dauern kann.

Jetzt wird es Zeit, die benötigten Software Pakete für den Wifi-Shepherd zu installieren. Dies erledigt folgende Kommandozeile:

sudo apt install nmap python apache2 ssmtp mailutils git

Ich habe mich hier für den Apache-Webserver entschieden, da das Paket für Raspbian verfügbar ist. Natürlich könnte auch ein anderes Produkt Verwendung finden. Da bereits Python installiert ist, könnte alternativ auch ein einfacher Webserver über folgenden Befehl z.B. auf dem Port 9000 realisiert werden:

python -m SimpleHTTPServer 9000

Der Apache Webserver wird nach dem Reboot automatisch gestartet. Falls dies bei Ihnen nicht der Fall sein sollte, können Sie dies mit folgender Kommandozeile aktivieren:

sudo update-rc.d apache2 enable

Zum Abschluss dieses Schrittes wechseln sie nochmal in das Verzeichnis /home/pi/ und laden von Github das Wifi-Shepherd Repository und das Python-Skript von Thomas D. herunter. Beachten Sie dabei genau die Reihenfolge der folgenden Kommandos:

cd /home/pi
git clone https://github.com/eaglefn/wifi-shepherd.git
cd wifi-shepherd
git clone https://github.com/maaaaz/nmaptocsv.git
chmod +x csvtohtml.sh wifi-shepherd.sh

Erfolgskontrolle für Schritt 2

Jetzt sollten alle relevanten Dateien auf dem Wifi-Shepherd vorhanden sein und die notwendigen Dienste laufen. Prüfen Sie, ob die Daten im richtigen Verzeichnis vorliegen und der Apache-Service gestartet ist.

Schritt 3 – Wifi-Shepherd Skript anpassen und Maildienst konfigurieren

Öffnen Sie dazu das Skript wifi-shepherd.sh und nehmen dazu die notwendigen Einstellungen am Kopf des Skriptes vor. Wichtig sind vor allem folgende Parameter:

# Make your settings here!
Wifi_Shepherd_Hostname="raspberrypi.lan"
Wifi_Network="192.168.1.0/24"
EmailReceiver="your@email.com"

Der Hostname wir benötigt, um den Wifi-Shepherd selbst bei den Netzwerkscans auszuschließen. Er wird für Ihr System mit folgendem Befehl ermitteln:

hostname -A

Außerdem sind der Netzwerkbereich Ihres WLAN-Netzes und der gewünschte Empfänger der E-Mails anzugeben.

Um E-Mail versenden zu können, müssen Sie über einen entsprechenden Account verfügen. Hier wird die Installation anhand eines Freemail-Kontos bei GMX erläutert. Ich gehe im Weiteren davon aus, dass die Zugangsdaten und die entsprechende E-Mail-Adresse bekannt sind.

Die notwendigen Komponenten für den E-Mail-Versand haben wir bereits im vorhergehenden Schritt installiert. Nun müssen nur noch die Dateien /etc/ssmtp/ssmtp.conf und /etc/ssmtp/revaliases angepasst werden.

sudo nano /etc/ssmtp/ssmtp.conf

Verwenden Sie hier die Zugangsdaten für Ihren Account:

root=email@gmx.de
mailhub=mail.gmx.net:465
AuthUser=email@gmx.de
AuthPass=Passwort
UseTLS=YES
rewriteDomain=gmx.net
hostname=gmx.net
FromLineOverride=NO

Jetzt noch die zweite Datei:

sudo nano /etc/ssmtp/revaliases

Gehen Sie hier analog wie oben vor:

root:email@gmx.de:mail.gmx.net:465
pi:email@gmx.de:mail.gmx.net:465

Das war es fast auch schon. GMX hat für das versenden von E-Mails, noch eine zusätzliche Sicherheit eingebaut, die Sie aktivieren müssen, wenn E-Mails nicht über den Webmail-Client verschickt werden. Gehen Sie dazu in die Einstellungen und setzen ein Harken bei „POP3 und IMAP Zugriff“ erlauben.

Erfolgskontrolle für Schritt 3

Wenn alles richtig eingestellt ist und die Zugangsdaten stimmen, sollte Sie eine Testmail über folgendes Kommando absetzen können:

echo "Hello world email body" | mail -s "Test Subject" empfaenger@domain.com

Damit der Wifi-Shepherd seine Scans in bestimmten Zeitabschnitten durchführen kann, wird zum Abschluss noch ein cronjob eingerichtet. Rufen Sie dazu folgenden Befehl auf tragen hier die gewünschten Daten ein:

crontab -e

In unserem Beispiel soll der Wifi-Shepherd alle 10 Minuten seine Arbeit verrichten:

*/10 * * * * /home/pi/wifi-shepherd/wifi-shepherd.sh

Siehe auch Github Projektseite. Im zweiten Teil der Artikelserie werden wir einige optionale Veränderungen bzw. Verbesserungen am Wifi-Shepherd vornehmen.

Der Beitrag Wifi-Shepherd – Teil 1 – Installieren und einrichten erschien zuerst auf .

Als Betriebsystem ist Kali Linux installiert. Eine entsprechende Anleitung findet man hier. Wer die gesamte Kapazität der Speicherkarte nutzen will, findet eine Anleitung hier. Als WLAN-USB-Adapter nutze ich den AWUS036NEH von ALFA. Der Chipsatz wird von Kali Linux automatisch erkannt. Es sind keine zusätzlichen Treiber erforderlich.

Die Konfiguration hinter einem Internet-Router könnte wie folgt aussehen:

Die Installation läuft in mehreren Schritten ab:

Wir benötigen für unser Vorhaben einige zusätzlichen Pakete.  Dazu nutzen wir folgende Befehle:

sudo apt-get update
sudo apt-get upgrade
sudo apt-get install hostapd udhcpd bind9 openvpn 
									

Netzwerkschnittstellen konfigurieren

Die LAN-Schnittstelle wird automatisch als eth0 erkannt. Sie kann eine IP-Adresse vom lokalen Router per DHCP beziehen. Mit diese Konfiguration sind also dafür keine weiteren Einstellungen zu tätigen.

Der WLAN Adapter wird standardmäßig als wlan0 erkannt.  Um eine statische IP-Adresse zu konfigurieren ergänzen wir die folgenden Einstellungen in der Datei /etc/network/interfaces:

auto wlan0
iface wlan0 inet static
address 172.16.1.1
netmask 255.255.255.0

									

DHCP einrichten

Um einen DHCP-Server einzurichten, muss die Datei /etc/udhcpd.conf angepasst werden:

start 172.16.1.2
end 172.16.1.254
interface wlan0
remaining yes
opt dns 172.16.1.1
option subnet 255.255.255.0
opt router 172.16.1.1
option lease 864000 # 10 Tage

									

Danach  wird in der Datei  /etc/default/udhcpd folgender Eintrag vorgenommen:

DHCPD_ENABLED=“yes“

WLAN-Accesspoint einrichten

Für die Konfiguration wird die Datei  /etc/hostapd/hostapd.conf  genutzt. Hier sind folgende Einstellungen vorzunehmen:

interface=wlan0
ssid=Name_des_Accesspoints
hw_mode=g
channel=6
macaddr_acl=0
auth_algs=1
ignore_broadcast_ssid=0
wpa=2
wpa_passphrase=DEIN_Passwort
wpa_key_mgmt=WPA-PSK
wpa_pairwise=TKIP
rsn_pairwise=CCMP

									

Sollte der Treiber des WLAN-USB-Adapters nicht automatisch erkannt werden oder ein Treiber zusätzlich notwendig sein, so ist eine weitere Zeile mit den Angaben zum Treiber hinzuzufügen (z .B. driver=nl80211).

Diese Konfiguration machen wir nun bekannt indem folgende Zeile in die Datei /etc/default/hostapd eigefügt wird:

DAEMON_CONF=“/etc/hostapd/hostapd.conf“

Damit die neuen Einstellungen greifen, werden die Dienste neu gestartet. Die beiden letzten Befehle gewährleisten, dass die Dienste auch nach einem Reboot des Raspberry automatisch starten.

sudo service hostapd start
sudo service udhcpd start
sudo update-rc.d hostapd enable
sudo update-rc.d udhcpd enable

									

DNS einrichten

Auch diese Einstellungen sind schnell vorgenommen. Hierzu sind folgende Eintragungen in der Datei /etc/bind/named.conf.options zu machen. Damit „zapfen“ wir die Google-DNS-Server an.

forwarders {
8.8.8.8;
8.8.4.4;
};

									

Auch hier starten wir den Dienst neu und gewährleisten den automatischen Start nach dem Reboot.

sudo service bind9 restart
sudo update-rc.d bind9 enable
									

NAT und VPN-Router einrichten

NAT wird mit folgendem Befehl aktiviert:

sudo sh -c "echo 1 > /proc/sys/net/ipv4/ip_forward"
									

Um dies auch hier permanent einzurichten empfehle ich der Datei /etc/sysctl.conf folgenden Eintrag zu machen:

net.ipv4.ip_forward=1

Für die Einrichtung des VPN Dienstes muss je nach Provider eine Lösung gefunden werden. HMA hat einen guten Linux-Support. Unter anderem sind fertige Skripte verfügbar, die die Einrichtung auf dem Raspberry sehr einfach machen.  Ich empfehle auf dieser Seite im Abschnitt „How to save username+password“ ein Skript herunterzuladen. Es gewährleistet, dass die Nutzerdaten nicht nach jedem Neustart neu eingegeben werden müssen. Mit den folgenden Befehlen wird dieses Skript heruntergeladen und ausführbar gemacht und in der letzen Zeile ausgeführt.

In diesem Beispiel wird TCP als bevorzugtes Protokoll genutzt und ein Server am Standort Frankfurt ausgewählt. Wer lieber UDP nutzen möchte, der kann dies mit mit dem Eintrag -p udp vornehmen. Eine Liste mit den derzeit verfügbaren VPN-Servern und den jeweils unterstützten Protokollen findet man hier.

cd  /home
wget http://hmastuff.com/linux/hma-vpn-mod.sh
chmod +x hma-vpn-mod.sh
./hma-vpn-mod.sh –p tcp Frankfurt

									

Wird die VPN-Verbindung korrekt aufgebaut, so sollte die Netzwerkschnittstelle tun0 verfügbar sein und  über eine IP-Adresse verfügen. Der Befehl ipconfig wird hier alles weitere anzeigen.

In Kali Linux  gibt es ein Paket namens „iptables-persistent“ welches das automatische Laden der gespeicherten iptables Rules übernimmt. Dafür müssen die Rules in der Datei /etc/iptables/rules.v4 für IPv4 und in /etc/iptables/rules.v6 für IPv6 gespeichert werden. Dazu führen wir folgende Kommandos aus, um die Regeln das erste mal zu laden

cd /etc
mkdir iptables
iptables -A FORWARD -o tun0 -i wlan0 -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -F POSTROUTING
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
									

Mit der Anweisung  sudo apt-get install iptables-persistent wird das Paket installiert. Die Frage ob die derzeitigen Regeln in die Dateien  / etc/iptables/rules.v4 bzw./etc/iptables/rules.v6 gespeichert werden sollen, kann mit „Ja“ beantwortet werden.

Nun sollte nach einem Neustart alles automatisch funktionieren. Sollte dies nicht der Fall sein, so kann man mit folgenden Befehlen die Regeln speichern bzw. wiederherstellen.

iptables-save > /etc/iptables/rules.v4
iptables-restore < /etc/iptables/rules.v4

Damit der VPN-Service auch nach dem Reboot des Raspberry Pi gestartet wird, legen wir noch eine Datei (z.B start_router.sh) mit folgenden Inhalt an:

#!/bin/sh
# HMA einrichten und starten
cd /home/frank
./hma-vpn-mod.sh -p tcp Frankfurt

Zum Abschluss wird noch eine Zeile in die Datei /etc/rc.local und zwar vor die Anweisung exit 0 eingetragen.  Das sieht dann als Beispiel so aus:

/home/frank/start_router.sh
exit 0

Update 17.01.2016

Wer IPVanish als VPN-Provider nutzt, findet die Konfigurationsdateien hier und eine Anleitung für OpenVPN hier.

Der Beitrag Raspberry Pi als WLAN Accesspoint und VPN Router erschien zuerst auf .

Ab Kali Linux 2.0 sollte man die hier beschriebene Methode anwenden.

Kali Linux < 2.0

Wer die vorgefertigten Abbilder von Kali Linux für den Raspberry Pi nutzen möchte, der wird auf der Webseite des Herstellers aktuell drei Images zum Download vorfinden.

Schreibt man ein Abbild mit dem Befehl dd nach folgender Anleitung auf die SD-Speicherkarte, so wird  man zunächst nur auf ca. 1,2 GB der Kapazität zurückgreifen können.

root@kali:~# df -h
Dateisystem    Größe Benutzt Verf. Verw% Eingehängt auf
rootfs          2,9G    1,5G  1,2G   56% /
/dev/root       2,9G    1,5G  1,2G   56% /
devtmpfs        460M       0  460M    0% /dev
tmpfs            93M    468K   93M    1% /run
tmpfs           5,0M    4,0K  5,0M    1% /run/lock
tmpfs           186M       0  186M    0% /run/shm
root@kali:~# 

									

Dies ist besonders ärgerlich, wenn eine MicoSD-Karte mit 32 GB oder mehr erworben wurde.

Der restliche, bisher nicht verwendete  Speicherplatz, lässt sich aber mit folgenden Schritten nutzbar machen.

root@kali:~# sudo fdisk -l

Disk /dev/mmcblk0: 32.2 GB, 32227983360 bytes
4 heads, 16 sectors/track, 983520 cylinders, total 62945280 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x000697c0

        Device Boot      Start         End      Blocks   Id  System
/dev/mmcblk0p1               1      125000       62500    c  W95 FAT32 (LBA)
/dev/mmcblk0p2          125001     6143999     3009499+  83  Linux


root@kali:~# sudo fdisk /dev/mmcblk0p2

Command (m for help): 
									

Im ersten Schritt wird die Partition 2 gelöscht. Hierbei werden keine Daten gelöscht, sondern nur die Partition! Dazu wird der Befehl „d“ (delete) aufgerufen und dann die Nummer der Partition „2“ angegeben.

In einem nächsten  Schritt wird eine neue, primäre Partition mit den Befehlen „n“ und „p“ angelegt, die als zweite Partition „2“ erstellt wird. Als Startsektor wird wider der bisherige Wert angegeben, der vorher bei der Partition /dev/mmcblk0p2 unter Start verzeichnet  war. In unserem Beispiel 125001. Als letzten Sektor wählt man den Standartwert aus,  um die volle Speicherkapazität der SD-Karte ausnutzen zu können.

Der  Befehl „w“ schreibt die  Partitionstabelle neu. Die Veränderungen sind erst nach einem Neustart des Systems aktiv.

Zum Abschluss  wird mit folgendem Befehl das Dateisystem so angepasst, dass die volle Kapazität der Speicherkarte ausgenutzt werden kann:

root@kali:~# sudo resize2fs /dev/mmcblk0p2
resize2fs 1.42.5 (29-Jul-2012)
Das Dateisystem auf /dev/mmcblk0p2 ist auf / eingehängt; Online-Grössenveränderung nötig
old_desc_blocks = 1, new_desc_blocks = 2
Das Dateisystem auf /dev/mmcblk0p2 ist nun 7852534 Blöcke groß.
									

In unserem Beispiel 30 GB!

root@kali:~# df -h
Dateisystem    Größe Benutzt Verf. Verw% Eingehängt auf
rootfs           30G    1,5G   27G    6% /
/dev/root        30G    1,5G   27G    6% /
devtmpfs        460M       0  460M    0% /dev
tmpfs            93M    468K   93M    1% /run
tmpfs           5,0M       0  5,0M    0% /run/lock
tmpfs           186M       0  186M    0% /run/shm
									

Optional kann nun mit folgenden Schritten ein SWAP-Bereich angelegt werden.

cd /var
sudo dd if=/dev/zero of=swapfile bs=1M count=128
sudo mkswap /var/swapfile
sudo swapon /var/swapfile

									

Danach wird die Datei /etc/fstab/ mit folgendem Inhalt neu angepasst und das System neu gestartet.

proc            /proc   proc    defaults                        0       0
/dev/mmcblk0p1  /boot   vfat    defaults                        0       0
/dev/mmcblk0p2  /       ext4    defaults,noatime,nodiratime     0       0
/var/swapfile   none    swap    sw                              0       0

									

Mit dem Befehl top lässt sich  nun der Speicherplatz des neuen SWAP-Bereiches (links oben) anzeigen.

root@kali:~# top

top - 23:14:16 up 0 min,  1 user,  load average: 0,52, 0,14, 0,05
Tasks:  83 total,   1 running,  82 sleeping,   0 stopped,   0 zombie
%Cpu(s):  0,0 us,  0,1 sy,  0,0 ni, 97,6 id,  2,2 wa,  0,0 hi,  0,1 si,  0,0 st
KiB Mem:    949492 total,    58196 used,   891296 free,     6376 buffers
KiB Swap:   131068 total,        0 used,   131068 free,    22552 cached

  PID USER      PR  NI  VIRT  RES  SHR S  %CPU %MEM    TIME+  COMMAND                                                                  
 1939 root      20   0  4112 2028 1644 R   0,7  0,2   0:00.16 top                                                                      
    1 root      20   0  1660 1080  976 S   0,0  0,1   0:00.74 init                                                                     
    2 root      20   0     0    0    0 S   0,0  0,0   0:00.00 kthreadd                                                                 
    3 root      20   0     0    0    0 S   0,0  0,0   0:00.01 ksoftirqd/0                                                              
    4 root      20   0     0    0    0 S   0,0  0,0   0:00.00 kworker/0:0                                                              
    5 root       0 -20     0    0    0 S   0,0  0,0   0:00.00 kworker/0:0H                                                             
    6 root      20   0     0    0    0 S   0,0  0,0   0:00.02 kworker/u8:0                                                             
    7 root      20   0     0    0    0 S   0,0  0,0   0:00.07 rcu_preempt                                                              
    8 root      20   0     0    0    0 S   0,0  0,0   0:00.00 rcu_sched                                                                
    9 root      20   0     0    0    0 S   0,0  0,0   0:00.00 rcu_bh                                                                   
   10 root      rt   0     0    0    0 S   0,0  0,0   0:00.01 migration/0                                                              
   11 root      rt   0     0    0    0 S   0,0  0,0   0:00.01 migration/1                                                              
   12 root      20   0     0    0    0 S   0,0  0,0   0:00.00 ksoftirqd/1                                                              
   13 root      20   0     0    0    0 S   0,0  0,0   0:00.00 kworker/1:0                                                              
   14 root       0 -20     0    0    0 S   0,0  0,0   0:00.00 kworker/1:0H                                                             
   15 root      rt   0     0    0    0 S   0,0  0,0   0:00.00 migration/2                                                              
   16 root      20   0     0    0    0 S   0,0  0,0   0:00.01 ksoftirqd/2                                                              
   17 root      20   0     0    0    0 S   0,0  0,0   0:00.00 kworker/2:0                                                              
   18 root       0 -20     0    0    0 S   0,0  0,0   0:00.00 kworker/2:0H                                                             
   19 root      rt   0     0    0    0 S   0,0  0,0   0:00.02 migration/3                                                              
   20 root      20   0     0    0    0 S   0,0  0,0   0:00.00 ksoftirqd/3                                                              
   21 root      20   0     0    0    0 S   0,0  0,0   0:00.00 kworker/3:0                                                              
   22 root       0 -20     0    0    0 S   0,0  0,0   0:00.00 kworker/3:0H                                                             
   23 root       0 -20     0    0    0 S   0,0  0,0   0:00.00 khelper                                                                  
   24 root      20   0     0    0    0 S   0,0  0,0   0:00.00 kdevtmpfs                                                                
   25 root       0 -20     0    0    0 S   0,0  0,0   0:00.00 netns                                                                    
   26 root       0 -20     0    0    0 S   0,0  0,0   0:00.00 perf                                                                     
   27 root      20   0     0    0    0 S   0,0  0,0   0:00.00 khungtaskd                                                               
   28 root       0 -20     0    0    0 S   0,0  0,0   0:00.00 writeback        
									

Der Beitrag Kali Linux Raspberry Pi SD-Speicherplatz vergrößern erschien zuerst auf .