Im ersten Teil des Tutorials haben wir gezeigt, wie Sie mit dem Raspberry Pi W einen Reise-Router einrichten können. Wir werden im zweiten Teil eine VPN-Verbindung einrichten. Für diesen Test haben wir uns für Surfshark entschieden. Die Konfiguration für andere Anbieter könnte ähnlich erfolgen.
Wir gehen nun davon aus, dass Sie einen Zugang zu Surfshark haben und Zugriff auf den Nutzernamen und das Passwort haben.
Schritt 1: Nutzerdaten und Konfiguration kopieren und auf den Raspberry übertragen
Loggen Sie sich bei Surfshark mit Ihren Nutzerdaten ein. Unter Manual Setup – Credentials finden Sie die notwendigen Daten.

Erstelle Sie dann eine Textdatei cred.txt und fügen hier in der ersten Zeile den Nutzernamen und in der zweiten Zeile das Passwort ein. Das sieht dann beispielhaft wie folgt aus:
aGHREhj65jkjtrkluiLvWsDT
zk73gfrlkiuz876lo09hgGCJ
Wechseln Sie nun zu “Locations” und laden sich die Konfiguration für ein Land herunter. Wählen Sie hier “Download UDP” aus.

Kopieren Sie beide Dateien in das Verzeichnis /etc/openvpn des Raspberry Pi Zero W.
scp de-fra.prod.surfshark.comsurfshark_openvpn_udp.ovpn root@192.168.180.1:/etc/openvpn
scp creds.txt root@192.168.180.1:/etc/openvpn
Stellen Sie nun eine Verbindung zum Raspberry Pi Zero W mittels ssh her:
ssh root@192.168.180.1
Schritt 2: OpenVPN Konfiguration anpassen
Im ersten Teil des Tutorials haben wir bereits die Pakete installiert, die für OpenVPN benötigt werden. Wer dies noch nicht getan hat, der kann es jetzt nachholen:
opkg update
opkg install openvpn-openssl
opkg install luci-app-openvpn
Wechseln Sie nun in das Verzeichnis /etc/openvpn und benennen Sie die übertragene Konfigurationsdatei um. Damit OpenWrt die Datei später automatisch verarbeitet, sollte sie die Endung .conf bekommen.
mv de-fra.prod.surfshark.comsurfshark_openvpn_udp.ovpn de-fra.prod.surfshark.comsurfshark_openvpn_udp.conf
Öffnen Sie nun die Konfigurationsdatei mit einem Editor (vi oder nano) und ändern Sie folgende Zeile ab:
auth-user-pass cred.txt
Somit sollte nun OpenWrt erkennen, welche Nutzerdaten für die Einwahl zu Surfshark zu verwenden sind.
Schritt 3: Netzwerk und Firewall anpassen
Wir empfehlen die derzeitige Konfiguration zu sichern, um bei möglichen Fehlern schnell wieder den Urzustand herstellen zu können.
cd /etc/config
cp firewall firewall.backup
cp network network.backup
cp wireless wireless.backup
Um eine weiteres Netzwerkinterface hinzuzufügen, geben Sie folgende Befehle auf der Konsole ein:
uci set network.surfsharktun=interface
uci set network.surfsharktun.proto='none'
uci set network.surfsharktun.ifname='tun0'
uci commit network
Die Firewall passen Sie mit diesen Kommandos an:
uci add firewall zone
uci set firewall.@zone[-1].name='vpnfirewall'
uci set firewall.@zone[-1].input='REJECT'
uci set firewall.@zone[-1].output='ACCEPT'
uci set firewall.@zone[-1].forward='REJECT'
uci set firewall.@zone[-1].masq='1'
uci set firewall.@zone[-1].mtu_fix='1'
uci add_list firewall.@zone[-1].network='surfsharktun'
uci add firewall forwarding
uci set firewall.@forwarding[-1].src='lan'
uci set firewall.@forwarding[-1].dest='vpnfirewall'
uci commit firewall
Wer die DNS-Server von Surfshark nutzen möchte, der ändert die Netzwerkkonfiguration (siehe ersten Teil) unter /etc/config/network wie folgt ab:
config interface 'loopback'
option device 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'
config globals 'globals'
option ula_prefix 'fd60:4740:068d::/48'
config device
option name 'br-lan'
option type 'bridge'
list ports 'wlan0'
config interface 'lan'
option device 'br-lan'
option proto 'static'
option ipaddr '192.168.180.1'
option netmask '255.255.255.0'
option ip6assign '60'
config interface 'wwan'
option proto 'dhcp'
option peerdns '0'
option dns '62.252.172.57 149.154.159.92'
config interface 'surfsharktun'
option proto 'none'
option device 'tun0'
Wenn man die Konfiguration der Firewall mit den Einstellungen aus dem ersten Teil vergleicht, stellt man fest, dass in der Datei /etc/config/firewall folgende Einträge hinzugekommen sind:
config zone
option name 'vpnfirewall'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'
list network 'surfsharktun'
config forwarding
option src 'lan'
option dest 'vpnfirewall'
Stellen Sie nun sicher, dass OpenVPN nach jedem Neustart ausgeführt wird und starten Sie Ihren Reise-Router neu:
/etc/init.d/openvpn enable
reboot
Schritt 4: Prüfen, ob Sie über die VPN-Verbindung geschützt sind
Stellen Sie nach dem Neustart des Routers eine Verbindung zum Access-Point “Travel” her und öffnen Sie folgende Webseite:
https://surfshark.com/what-is-my-ip
Wenn hier “Protected” angezeigt wird, dann haben Sie die Installation erfolgreich abgeschlossen. Prüfen Sie auch die Optionen “DNS leak checker” und “WebRTC leak checker” auf der Webseite.

Wer ein Feintuning durchführen möchte, der findet auf der Webseite des Anbieters weitere Hinweise und Unterstützung.