Mijn dochter gebruikt Private Internet Access (PIA) om Amerikaanse Netflix te kijken op haar smartphone en laptop. Ze vertelde echter dat ze dan niet kon casten naar haar Chromecast en soms is kijken op een groter TV scherm toch wel fijner. Netflix heeft namelijk allerlei maatregelen getroffen om dit te voorkomen als je gebruik maakt van een VPN-truc.
Om dit op te lossen moet je de Chromecast verbinding laten maken met dezelfde verbinding als je VPN connectie op je smartphone en/of laptop. Ik heb dit opgelost door van een Raspberry Pi een Wi-Fi hotspot te maken, waarbij de internet verbinding via een VPN verbinding loopt.
In deze blog leg ik uit hoe ik voor elkaar heb gekregen. In mijn stappen hieronder maak ik gebruik van Private Internet Access (PIA) als VPN provider.
Raspbian
Als eerste heb ik de lite versie van Raspbian gedownload vanaf deze lokatie en met Win32DiskImager naar een SD kaart geschreven.
Vanuit veiligheidsoogpunt staat in de laatste versie van Raspbian SSH standaard uitgeschakeld. Hierdoor kun je niet remote inloggen met Putty. Dit is eenvoudig op te lossen door, nadat je image hebt gezet op je SD kaart, een leeg bestand met de naam ‘ssh’ te zetten in de boot partitie (de eerste drive-letter van je SD kaart).
Stop het SD kaartje in je Raspberry PI en sluit de USB power aan. Met behulp van je router kun je kijken welk IP-adres je Raspberry Pi heeft gekregen via DHCP. Hierna kun je met Putty inloggen op je Raspberry PI met user-naam ‘pi’ en wachtwoord ‘raspberry’. Vergeet niet je standaard paswoord te veranderen met het commando ‘passwd’.
Update de Raspberry Pi naar de laatste software:
sudo apt-get update sudo apt-get upgrade sudo rpi-update sudo reboot
Eventueel kun je hierna met ‘sudo raspi-config’ nog instellingen plegen naar jouw inzicht (host-name, lokalisatie en Advanced/Expand Filesystem).
Ook is het handig dat je Samba installeert zodat je eventueel altijd met een browser je files op je Raspberry Pi kunt benaderen:
sudo apt-get install samba samba-common-bin sudo useradd some_user_name sudo smbpasswd -a some_user_name
Voeg nu de volgende regels toe aan de file ‘/etc/samba/smb.conf’
[Root] browseable = yes writeable = yes path = / revalidate = yes comment = Share to Root valid users = some_user_name available = yes
Restart je samba service met het volgende commando:
sudo /etc/init.d/smbd restart
We hebben nu dus een werkend Operating Systeem op de SD kaart van een Raspberry PI staan.
Wi-Fi Hotspot
Om een Wi-Fi Hotpost op te zetten heb je ‘hostapd’ (hotspot) en ‘dnsmasq’ (DHCP, DNS) nodig. Installeer deze twee packages met de commando’s:
sudo apt-get install hostapd sudo apt-get install dnsmasq
Aangezien we nogal wat aanpassingen gaan verrichten is het beste om de twee packages na installatie even te stoppen:
sudo systemctl stop hostapd sudo systemctl stop dnsmasq
Configureer static IP adres voor eth0 / wlan0 interfaces
Hiervoor assign je een vast IP-adres aan je eth0 en wlan0 interface. Edit hiervoor de file ‘/etc/dhcpcd.conf’
sudo nano /etc/dhcpcd.conf
Voeg de volgende regels toe aan deze file:
interface eth0 static ip_address=192.168.1.72 static routers=192.168.1.1 static domain_name_servers=1.1.1.1 interface wlan0 static ip_address=192.168.0.10/24 denyinterfaces eth0
Configureer DHCP server
Als iemand met jouw Wi-Fi hotspot verbind dan moet deze natuurlijk een IP-adres krijgen. Je moet hiervoor de file ‘/etc/dnsmasq.conf’ aanpassen.
sudo nano /etc/dnsmasq.conf
Verander de ‘resolv-file’ entry als volgt (de file ’tun0.openvpn’ wordt straks in OpenVPN met het ‘update–resolv–conf’ script gevuld bij het maken van een VPN verbinding):
resolv-file=/var/run/resolvconf/interfaces/tun0.openvpn
Voeg de volgende regels toe aan deze file:
interface=wlan0 dhcp-range=192.168.0.11,192.168.0.30,255.255.255.0,24h
Configureer Hotspot
Hiervoor gebruik je de file ‘/etc/hostapd/hostapd.conf’.
sudo nano /etc/hostapd/hostapd.conf
Voeg de volgende regels toe aan deze file:
interface=wlan0 hw_mode=g channel=7 wmm_enabled=0 macaddr_acl=0 auth_algs=1 ignore_broadcast_ssid=0 wpa=2 wpa_key_mgmt=WPA-PSK wpa_pairwise=TKIP rsn_pairwise=CCMP ssid=NETWERK wpa_passphrase=WACHTWOORD
Kies voor NETWERK en WACHTWOORD je eigen waardes.
Nu moet je voor je Hotspot nog aangeven waar zijn configuratie file staat. Dit doe je in file ‘/etc/default/hostapd’
sudo nano /etc/default/hostapd
Zet in deze file de volgende regel:
DAEMON_CONF="/etc/hostapd/hostapd.conf"
Private Internet Access VPN
Installeer OpenVPN met commando:
sudo apt-get install openvpn
Haal de profielen van Private Internet Access (PIA) op voor je OpenVPN verbinding:
wget https://www.privateinternetaccess.com/openvpn/openvpn.zip sudo apt-get install unzip unzip openvpn.zip -d openvpn
Kies nu het PIA profiel waarvoor je een WiFi Hotspot wilt opzetten (ik kies hieronder USA / New-York):
sudo cp openvpn/ca.rsa.2048.crt openvpn/crl.rsa.2048.pem /etc/openvpn/ sudo cp openvpn/US\ New\ York\ City.ovpn /etc/openvpn/US.conf
Creëer file ‘/etc/openvpn/login’ die je gebruikersnaam en wachtwoord bevat van je PIA:
Gebruikersnaam Wachtwoord
Verander de permissies van deze file zodat alleen de root gebruiker deze kan lezen:
sudo chmod 600 /etc/openvpn/login
Stel nu OpenVPN zo in dat deze standaard bovenstaande file gebruikt om in te loggen.
sudo nano /etc/openvpn/US.conf
Verander de volgende regel van:
auth-user-pass
naar
auth-user-pass /etc/openvpn/login
Voeg verder de volgende regels toe:
script-security 2 up /etc/openvpn/update-resolv-conf down /etc/openvpn/update-resolv-conf
Je kunt nu controleren of je VPN verbinding daadwerkelijk werkt:
sudo openvpn --config /etc/openvpn/US.conf
Hierbij zou de output ongeveer het volgende moeten zijn:
Fri Jul 10 14:04:09 2020 OpenVPN 2.4.7 arm-unknown-linux-gnueabihf [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Feb 20 2019 Fri Jul 10 14:04:09 2020 library versions: OpenSSL 1.1.1d 10 Sep 2019, LZO 2.10 Fri Jul 10 14:04:09 2020 TCP/UDP: Preserving recently used remote address: [AF_INET]107.182.230.194:1198 Fri Jul 10 14:04:09 2020 UDP link local: (not bound) Fri Jul 10 14:04:09 2020 UDP link remote: [AF_INET]107.182.230.194:1198 Fri Jul 10 14:04:09 2020 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this Fri Jul 10 14:04:10 2020 [ae3adc1e63e163a8933ba9177f6220c5] Peer Connection Initiated with [AF_INET]107.182.230.194:1198 Fri Jul 10 14:04:11 2020 TUN/TAP device tun0 opened Fri Jul 10 14:04:11 2020 /sbin/ip link set dev tun0 up mtu 1500 Fri Jul 10 14:04:11 2020 /sbin/ip addr add dev tun0 local 10.32.10.6 peer 10.32.10.5 Fri Jul 10 14:04:11 2020 Initialization Sequence Completed
Je wilt dat deze verbinding voortaan automatisch wordt opgezet bij elke herstart van je Raspberry Pi. Enable VPN tijdens startup met:
sudo systemctl enable openvpn@US
Nu moet je nog wat aan routering doen. Als eerste moet je IP forwarding aanzetten met de volgende commando’s:
echo -e '\n#Enable IP Routing\nnet.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.conf sudo sysctl -p
Tenslotte moet je NAT voor je verkeer aanzetten van/naar je VPN tunnel. Ik gebruik hiervoor tun0 en eth0 (waarop internet binnenkomt).
sudo iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE sudo iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT sudo iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
Een zeer goede uitleg over iptables vind je hier.
Bovenstaande iptables moet je nog persistent maken. Gebruik hiervoor de ‘iptables-persistent’ en ‘netfilter-persistent’ packages. Installeer deze met:
sudo apt-get install iptables-persistent sudo apt-get install netfilter-persistent
Om de iptables persistent op te slaan geef je het volgende commando:
sudo netfilter-persistent save
Om de iptables regels toe te passen tijdens startup gebruik je het commando:
sudo systemctl enable netfilter-persistent
Blokkeren Chromecast DNS
De Chromecast heeft een hardcoded DNS setting naar Google die roet in het eten kan gooien. Daarom wil je deze ignoren. Dit doe je met de volgende iptables commando’s:
sudo iptables -I FORWARD --destination 8.8.8.8 -j REJECT sudo iptables -I FORWARD --destination 8.8.4.4 -j REJECT
Sla vervolgens de huidige iptables op met het commando:
sudo netfilter-persistent save
Reboot nu je Raspberry Pi:
sudo reboot
Tenslotte
Als laatste actie moet je je Chromecast opnieuw instellen. De Wi-Fi verbinding moet namelijk voortaan naar je nieuwe hotspot gaan waarop je VPN connectie draait.
Het enigste wat mijn dochter nu voortaan moet doen om de Chromecast met Netflix te gebruiken is op haar Smartphone verbinding maken met het nieuwe hotspot. Vervolgens kan ze dan content casten naar haar Chromecast. Kan ze eindelijk Grey’s Anatomy verder kijken, want die was er namelijk bij Videoland opeens afgegooid.
Tips
Ik had in het begin wat problemen met het activeren van het Access-Point. De volgende commando’s lostte dit voor mij op:
sudo systemctl unmask hostapd sudo systemctl enable hostapd sudo systemctl start hostapd
Een foutje is zo gemaakt als je met het ‘iptables’ commando bezig bent. Hieronder wat commando’s die je kunnen helpen.
Tonen huidige iptables instellingen
sudo iptables -L -n -v --line-numbers sudo iptables -t nat -L -n -v --line-numbers
Verwijderen iptables instellingen
Hieronder een aantal voorbeelden. Kies zelf welk type het is (b.v. FORWARD, POSTROUTING, etc.)
sudo iptables -D FORWARD <regel-nummer> sudo iptables -t nat -D POSTROUTING <regel-nummer>
Verwijderen alles instellingen m.b.t iptables
sudo iptables -F sudo iptables -t nat -F sudo iptables -t mangle -F sudo iptables -X
Om te controleren of je alles goed hebt gedaan kun je een zogenaamde ‘DNS leak test’ uitvoeren. Dit kun je op de volgende site doen:
https://www.dnsleaktest.com/
Je kunt hier tevens zien of je VPN zijn werk goed doet (je IP adres moet in het buitenland zijn en je DNS ook).
Mocht het onverhoopt na verloop van tijd niet meer werken, check dan even of er nieuwe profielen zijn voor OpenVPN en doorloop de betreffende stappen nogmaals.
Conclusie
Met een aantal simpele stappen kun je je Raspberry Pi omtoveren in een Wi-Fi Hotspot die onder water een specifieke VPN verbinding heeft. Door je Chromecast en je Smartphone met dit specifieke hotspot verbinding te laten maken kun je toch Amerikaanse Netflix via je Chromecast kijken. Bovenstaand verhaal lijkt simpel, maar ik moet eerlijkheidshalve wel zeggen dat ik het hele weekend bezig bent geweest om dit allemaal uit te zoeken 😉 .
