happy-family-using-laptopDies ist eine kleine Anleitung, wie man dauerthaft die “Great Firewall of China” überwindet und diesen Zugang zum freien und unzensierten Internet auch dauerhaft allen an ein Netzwerk angeschlossenen Clients zur Verfügung stellt. Ideal für Einzelpersonen mit mehreren Rechnern (oder anderen internetfähigen Endgeräten) oder Firmen oder kleinen Arbeitsgrupopen in China, die auf einen ständigen unzensierten und verlässlichen Internetzugang angewiesen sind.

Ich beschreibe sowohl die konkrete Vorgehensweise anhand eines einfachen Beispieles, werde aber auch versuchen, die allgemeine Vorgehensweise zu erläutern, damit man gegebenenfalls sein Vorgehen anpassen kann. Hauptsächlich sind hier aber die Quellen für die Vorgehensweise zusammengetragen, aus der man sich seine eigene Anleitung “zusammenstricken” kann.

Nötige Hardware/Software und weitere Voraussetzungen:

  • Billiger WLAN/WIFI-Router, der DD-WRT unterstützt
  • Astrill VPN-Zugang mit zugebuchter Option “RouterPRO” (im ProAddon enthalten) und optional, aber sinnvoll “StealthVPN”-Option für mobilen Zugang mit dem Handy von unterwegs
  • Einen Internetzugang von China Telekom oder China Unicom
  • Etwas Zeit und Mut, einen Router zu eventuell in einen teuren Ziegelstein zu verwandeln 🙂

Bei der Auswahl des Router ist zwingende Voraussetzung, dass er mindestens 4 MB Flash-Speicher hat (besser sind auf jeden Fall 8 MB) und natürlich, dass die Firmware DD-WRT in der neuesten Version darauf läuft. Eine Liste der von dd-wrt-unterstützenden Geräte findet man hier und wer bereits einen Router hat sollte mal in der router-Datenbank von dd-wrt suchen, um zu sehen, ob sein Gerät fähig ist, dd-wrt zu fahren. Ich warne dringend davor mit einem Router im Produktiveinsatz zu expermentieren, weil das furchbar in die Hose gehen kann. Pberhaupt lehne ich jede Verantwortung für die Folgen aus dem Befolgen dieser Anleitung ab (So, das musste mal gesagt werden)

Der Buffalo WHR-WP-GN(-CH) mit Atheros AR7240, 400MHz, einfacher Antenne musste für meine Experimente herhalten...

Der Buffalo WHR-WP-GN(-CH) mit Atheros AR7240, 400MHz, einfacher Antenne musste für meine Experimente herhalten…

Ich habe mir einen alten, aber soliden Router gesucht und weil ich schon in China war, fiel meine Wahl auf einen billigen “WHR-HP-GN” von Buffalo – gekauft habe ich den bei taobao.com (TMALL) für 250 RMB (zur Zeit ca. 35 Euro inkl. Versand) Ich kann nur davon abraten das Ding bei kleinen Händlern bei Taobao zu kaufen, die den Router für 150-200 RMB anbieten. Einer konnte nicht liefern, der zweite lieferte einen anderen Buffalo-Router mit anderem Chipsatz und weniger RAM. Argument des Händlers bei der Beschwerde: “Wo ist denn der Unterschied?” Dank meiner Frau konnte man ihm klarmachen, dass der Unterschied in der Typenbezeichnung, dem Chipsatz, dem internen Speicher und der dd-WRT-Unterstützung liegt und ich nun mal auch keine grüne Hose haben will, wenn ich eine rote angeboten bekomme, bestelle & bezahle.

Für das Flashen des Routers mit dd-wrt (an dieser Stelle sei erwähnt, dass es sich um eine Firmware eines Drittanbieters handelt, mit dem man sehr vielen Routern ein eigenes kleines Linux-Betriebssystem verpassen kann) gibt es zahlreiche Router-spezifische Anleitungen, aber so ein “altes Schätzchen” wie der WHR-HP-GN ließ sich mit dem von Buffalo installierten Web-Interface mit dieser Firmware (download) problemlos (!) neu bespielen. Eine andere Version gibt es von Buffalo als Download von der Website, aber leider nur für in der EU oder USA verkaufte Geräte. Der in China angeboetene WHR-HP-GN mit dem Zusatz -CH erlaubt die Installation dieser Firmware allerdings nicht.

Überhaupt muss man mit Geräten, die man in China kauft, aufpassen, weil die Regierung den Herstellern oft nur den Verkauf in China erlaubt, wenn sie Restriktionen in der Hard- oder Software in ihre Geräte einbauen. 🙁

Hat man nun einen Router mit dd-wrt, ob so erworben (Buffalo liefert mittlerweile auch Consumer-Geräte “ab Werk” bespielt mit dd-wrt an) oder selbst geflasht ist egal, kann man sich daran machen, die Astrill-Unterstützung auszuspielen. Anleitungen in Englisch finden sich im Wiki von Astrill. Tipp am Rande: Die Mitarbieter von Astrill helfen auch gerne im Chat  und sind sehr freundlich und geben gute Ratschläge. Natürlich wollen die auch verkaufen, aber sie sagen einem wenigstens, welche Option man zubuchen muss, wenn man z.B. in China sein Astrill in China auf einem Router betreiben möchte.

Grundsätzlich kann man entweder mit seinem Astrill-Client seinen Router bespielen lassen oder  per Internet seinen Router von der Astrill-Website aus einrichten oder das ganze per “Kommandozeile” vom Router aus machen. Letzteres entweder, indem man sich per ssh oder telnet auf dem Router einloggt oder direkt im Web-Interface des Router in der dd-wrt-Oberfläche unter Administration=>Commands. Eigentlich ist die Astrill-Software nicht viel mehr als ein OpenVPN-Plugin, aber aufgrund der Tatsache, dass der Router 8 MB Flash braucht, um Astrill (openVPN) per Client in dd-wrt zu integrieren, musste ich mit der Kommandozeile Vorlieb nehmen.

Dort kopiert man die Zeile
eval `wget -q -O - https://www.astrill.com/ddwrt/

install/YOUR_EMAIL/

YOUR_PASSWORD`
in die Eingabebox (natürlich muss man YOUR_EMAIL und YOUR_PASSWORD durch richte Angaben von seinem Astrill-Account ersetzen!)  und klickt beherzt auf “Run Commands”. Bei bestehender Internetverbindung sollte sich Astrill selbst installieren und auf ser Seite Status=>My Page in dd-wrt zur Verfügung stehen. Die weitere Einrichtung ist trivial, wenn man der Anleitung von Astrill folgt.

Endlich! dd-wrt läuft auf dem router und der Astrill-Zugang kann eingerichtet werden.

Endlich! dd-wrt läuft auf dem router und der Astrill-Zugang kann eingerichtet werden.

Hier wird es dann auch wichtig, dass man die Option “ProAddon” zugebucht hat, die RouterPRO enthält.

Eine ordentliche Einrichtung von Internetzugang, DHCP-Server, WLAN, Verschlüsselung usw vorausgesetzt, hat man nun einen dauerhaften VPN-Zugang zum Internet für alle angeschlossenen Clients ohne, dass die sich umständlich erst einen Client installieren müssen. Jeder Client hat Facebook, Twitter usw und P2P-Netzwerke sind problemlos erreichbar. Der bisher größte Vorteil, den ich feststellen konnte, ist, dass ich die Bandbreite und Geschwindigkeit meines chinesischen Internetzugangs nun zu 80-90% nutzen kann, während zuvor maximal 40% Nutzdaten transportiert wurden. Alles (und nicht nur chinesische Webseiten) wird wahnsinnig schnell, wenn die Zensursperren der Regierung nicht mehr greifen und DNS-Server sofort anworten. Eine leistungsstarke Router-Hardware zum Ver- und Entschlüsseln des Traffics vorausgesetzt, fällt die Verarbeitungszeit  und Handling des VPN überhaupt nicht mehr ins Gewicht!

Voila, et funzt!

Natürlich gibt dieser kurze Bericht nur einen kleinen Einblick und soll als Einstieg und Starthilfe dienen. Aber er zeigt, dass man mit relativ bescheidenen Mitteln und geringen Hardwarekosten um die 30 Euronen seinem Astrill-Zugang pimpem kann. Anstelle eines teuren Family-Accounts von Astrill kann man nun gemeinsam mit vielen Nutzern in den Genuß von unzensiertem Internet kommen ohne dass die einzelnen Endgeräte einen Astrill-client installieren müssen. Wenn Sie sich für Astrill als VPN-Anbieter entscheiden, wäre ich Ihnen sehr dankbar, wenn sie mich Ihnen eine Empfehlungsmail (“Astrill einen Freund empfehlen”) schicken darf, mit der Sie sich einen Zugang registrieren. Nutzen Sie doch dazu bitte formlos mein Kontaktformular und geben sie dort einfach als Betreff “Astrill” an. Vielen Dank!

Nachtrag: mit einem leistungsschwachen Router wie meinem ist die Verbindung manchmal etwas unzuverlässig. 🙁