Konfiguration af OpenWrt med NordVPN

Understøtter NordVPN OpenWrt?

Det er blevet oplyst, at routere med OpenWRT-firmware understøtter VPN-tjenester såsom NordVPN. Du bør dog være opmærksom på, at følgende konfiguration ikke er blevet testet af NordVPN's medarbejdere. Den er i stedet blevet videregivet og testet af vores fantastiske kunder. NordVPN vil især gerne takke "ulmwind", et aktivt medlem af OpenWRT-fællesskabet, for vedkommendes kontinuerlige hjælp med at give os opdaterede OpenWRT-anvisninger.

Denne artikel indeholder to vejledninger til konfiguration af OpenWrt:

• Anvisninger til brugerfladen GUI (forenklet version)
• Anvisninger til brugerfladen CLI (mere avanceret)

Hvis der opstår problemer, er du velkommen til at kontakte vores supportteam for at få yderligere hjælp. Dette er en avanceret vejledning, men den indeholder også nogle anvisninger, der er mere enkle.

Anvisninger til brugerfladen GUI

I denne vejledning viser vi dig, hvordan du konfigurerer en NordVPN-forbindelse på routere med OpenWrt-firmware via LuCI-webbrugerfladen. 

1. Tilgå OpenWrt-routerens LuCI-brugerflade ved at indtaste dens lokale IP-adresse i din internetbrowser og logge ind. Standard-IP-adressen er 192.168.1.1 , og brugernavnet er root.
   
   
   
   Der er som standard ikke oprettet nogen adgangskode, så du kan lade denne plads være tom. Når du logger ind, vil du dog få en besked om at oprette en adgangskode.
   
   
   For at gøre det skal du klikke på System > Administration, og så kan du oprette en adgangskode der.
2. Når du er logget ind, skal du vælge fanen System og vælge Software.
   
   
   
   
3. Klik på knappen "Update lists", og vent på, at processen er færdig, og klik på "Dismiss”.
4. Installer følgende pakker ved at indtaste deres navn i feltet "Filter" og klikke på "Install…”.
   1. openvpn-openssl
   2. ip-full
   3. luci-app-openvpn
      
      
      
      \
5. Klik på "Save & Apply", og opdatér router-siden. Nu bør du se en ny fane, der hedder VPN. Klik på den, og vælg OpenVPN i rullelisten.
6. Nu skal du downloade OpenVPN-klientens konfigurationsfiler. Du kan være forbundet til en anbefalet server via din Nord Account.

Følg trinnene nedenfor for at finde konfigurationsfilerne til manuel forbindelse:

1. Log ind på din Nord Account, og klik på NordVPN.
   
   
   
   
2. Rul ned til Avancerede indstillinger, og klik på Konfigurér NordVPN manuelt .
   
   
   
   
3. Vælg fanen OpenVPN-konfigurationsfiler.
   
   
   
   
4. Find den server, du ønsker at forbinde til, ved at bruge Søgefeltet eller ved at rulle ned og downloade den ved at klikke på Download UDP eller Download TCP.
   
   
   
   
5. Når du forbinder til OpenVPN og IKEv2 manuelt, skal du bruge Brugernavnet og Adgangskoden fra fanen Adgangsoplysninger til tjenester.
   
   
   
   

I denne vejledning bruger vi serveren us5104.nordvpn.com.

7. Under afsnittet "OVPN configuration file upload" skal du navngive VPN-forbindelsen i feltet "Instance name" (vi har kaldt den "nordvpn_us".) Derefter skal du klikke på knappen "Choose File", finde den downloadede serverfil og klikke på "Upload".
   
   
   
   
8. I afsnittet "OpenVPN instances" skal du klikke på knappen "Edit" ud for den instans, du lige har oprettet.
   
   
   
   
9. I det nederste felt skal du indtaste dit brugernavn og din adgangskode til NordVPN-tjenesten i hver sin linje. username
   password
   
   
   Du kan finde dine adgangsoplysninger til NordVPN-tjenesten (brugernavn og adgangskode til tjenesten) i Nord Account-kontrolpanelet:

Følg trinnene nedenfor for at finde adgangsoplysningerne til tjenesten, der skal bruges til manuel konfiguration af forbindelsen:

1. Log ind på din Nord Account, klik på NordVPN, og under Manual konfiguration, klik på Tjenestens adgangsoplysninger. Her finder du det brugernavn og den adgangskode, du skal bruge for at forbinde manuelt.
   
   
   
   
2. Nu skal du kopiere stien til filen med adgangsoplysningerne, der er angivet lige over feltet med adgangsoplysningerne, og indsætte den ud for linjen "auth-user-pass" i afsnittet "Konfigurationsfil" ovenfor.

Det bør se sådan ud: auth-user-pass /etc/openvpn/nordvpn\_us.auth  

11. Klik på knappen Save nederst.
12. Klik på fanen "Network" øverst på siden, og vælg "Interfaces".
13. Vælg knappen "Add new interface...", og navngiv den "nordvpntun".
14. Klik på rullelisten "Protocol", og vælg "Unmanaged".
15. I rullelisten "Interface" skal du indtaste navnet "tun0" i det nederste felt -- custom -- og trykke på Enter-tasten.
    
    
    
    

16. Klik på knapperne "Create interface" og "Save".
17. Vælg fanen "Network" øverst igen, og gå til afsnittet "Firewall".
18. Klik på knappen "Add", og juster den på følgende måde:
    1. Navngiv den “vpnfirewall”
    2. Angiv indstillingen "Input" som "Reject"
    3. Lad "Output" være "Accept" og "Forward" være "Reject"
    4. Markér indstillingen "Masquerading"
    5. Markér indstillingen "MSS clamping"
    6. I rullelisten "Covered Networks" skal du vælge "nordvpntun"
    7. I rullelisten "Allow forward from source zones" skal du vælge "lan"
    8. Klik på knappen "Save".
       
       
       
       

19. I afsnittet "Zones" skal du finde den zone, der hedder "lan", og klikke på knappen "Edit".
    
    
    
    

20. I rullelisten "Allow forward to destination zones" skal du markere angivelsen "nordvpntun".
    
    
    
    

21. Klik igen på "Network'' øverst på siden, og vælg derefter "DHCP and DNS" i rullelisten.
22. På fanen "General Settings" skal du finde indstillingen "DNS forwardings" og indtaste NordVPN's DNS-adresser der. Adresserne er: 103.86.96.100 og 103.86.99.100
    
    
    
    

23. Gå til fanen "Resolv and Hosts Files", markér afkrydsningsfeltet "Ignore resolve file", og klik på knappen "Save & Apply".
    
    
    
    

24. Til sidst skal du gå tilbage til fanen "VPN" > "OpenVPN".
25. I afsnittet »OpenVPN instances" skal du markere indstillingen "Enable" ud for NordVPN-indstillingen på listen og klikke på knappen "Save & Apply".
    
    
    
    

26. Klik på knappen "Start" ud for den oprettede NordVPN-forekomst for at forbinde til VPN-serveren.

Når du har fulgt disse anvisninger, bør du være forbundet med den konfigurerede forbindelse. For at tjekke, om du er forbundet, skal du besøge NordVPN's hjemmeside – statussen øverst på siden skal vise "Beskyttet".

Hvis du ønsker at afbryde forbindelsen til VPN-forbindelsen, kan du klikke på knappen "Stop" ud for NordVPN-indstillingen i afsnittet "VPN" > "OpenVPN" > "OpenVPN instances".

Anvisninger til brugerfladen CLI

Hvis du leder efter en mere avanceret vejledning, kan du følge denne guide i stedet. For at få fordelene ved et VPN på OpenWrt skal du have en router med både OpenWrt-firmware, og OpenVPN-klienten skal være aktiveret. Hovedsiden for firmwaren er https://openwrt.org/.

1. For at komme i gang skal du have adgang til din router via SSH ved hjælp af dens LAN-IP-adresse. IP-adressen er som standard indstillet til 192.168.1.1, og brugernavnet er root. IP-adressen kan dog være forskellig, hvis du har ændret nogle af standardværdierne.
2. OpenVPN-pakken er som standard ikke inkluderet i firmware-billedet. For at installere den skal du køre følgende kommandoer: opkg update
   opkg install openvpn-openssl
   opkg install ip-full Derudover kan du installere LuCI-komponenten i OpenVPN-konfigurationen, hvilket dog er valgfrit. Du kan gøre det ved at køre denne kommando: opkg install luci-app-openvpn
3. Når du har installeret OpenVPN-pakken, kan du ved routerens opstart få den til at starte automatisk ved at køre denne kommando: /etc/init.d/openvpn enable
4. Dernæst skal du downloade serverens konfigurationsfiler.

Følg trinnene nedenfor for at finde konfigurationsfilerne til manuel forbindelse:

1. Log ind på din Nord Account, og klik på NordVPN.
   
   
   
   
2. Rul ned til Avancerede indstillinger, og klik på Konfigurér NordVPN manuelt .
   
   
   
   
3. Vælg fanen OpenVPN-konfigurationsfiler.
   
   
   
   
4. Find den server, du ønsker at forbinde til, ved at bruge Søgefeltet eller ved at rulle ned og downloade den ved at klikke på Download UDP eller Download TCP.
   
   
   
   
5. Når du forbinder til OpenVPN og IKEv2 manuelt, skal du bruge Brugernavnet og Adgangskoden fra fanen Adgangsoplysninger til tjenester.
   
   
   
   
6. I denne vejledning har vi brugt serveren uk2054.nordvpn.com. Du bør dog bruge den server, som hjemmesiden foreslår for dig. For at downloade en serverfil skal du vælge det land, hvor du ønsker at oprette forbindelse, klikke på "Vis tilgængelige protokoller", højreklikke på "Download config" for "OpenVPN TCP" eller "OpenVPN UDP" og vælge "Kopiér linkadresse". Derefter vender du tilbage til din SSH-session og kører følgende kommando: wget -P /etc/openvpn https://downloads.nordcdn.com/configs/files/ovpn_udp/servers/uk2054.nordvpn.com.udp.ovpn Du skal dog sørge for at bruge det link, du har kopieret til din konkrete serverfil. Denne kommando downloader konfigurationsfilen til mappen /etc/openvpn, så den er nem at få adgang til. Du kan også downloade serverens konfigurationsfil på en anden maskine og overføre den til OpenWrt-routeren med andre metoder, f.eks. protokollerne SCP eller SFTP. For older OpenWrt builds:
   Du kan blot downloade et arkiv her https://downloads.nordcdn.com/configs/archives/certificates/servers.zip. I det downloadede arkiv finder du de tilsvarende filer med .crt- og .key-udvidelser. Filerne er specifikke for hver VPN's server.
7. OpenVPN-konfigurationen for NordVPN kræver, at du indtaster dit brugernavn og din adgangskode til NordVPN-tjenesten, hver gang OpenVPN starter. Vi foretager dog nogle justeringer, så adgangsoplysningerne bliver angivet automatisk. For at gøre processen lettere installerer vi først teksteditoren nano ved at køre følgende kommando: opkg install nano Du kan også bruge den indbyggede teksteditor vi. Du kan få flere oplysninger om teksteditorer i denne artikel: https://openwrt.org/docs/guide-user/base-system/user.beginner.cli. Nu skal du åbne den downloadede serverkonfigurationsfil med teksteditoren nano. I dette eksempel ville kommandoen være: nano /etc/openvpn/uk2054.nordvpn.com.udp.ovpn Derefter skal du tilføje ordet "secret" (uden anførselstegn) til strengen "auth-user-pass". Dernæst bør linjen se sådan ud: auth-user-pass secret Nu er det tid til at oprette en ny fil med navnet secret, hvor adgangsoplysningerne til NordVPN-tjenesten skal gemmes. Det gør du ved at køre følgende kommando: nano /etc/openvpn/secret Den opretter den nye fil og åbner den med teksteditoren nano. I den første linje i filen skal du indtaste dit brugernavn til NordVPN-tjenesten og i den anden linje din adgangskode til NordVPN-tjenesten. Du kan finde dine adgangsoplysninger til NordVPN-tjenesten (brugernavn og adgangskode til tjenesten) i Nord Account-kontrolpanelet

Følg trinnene nedenfor for at finde adgangsoplysningerne til tjenesten, der skal bruges til manuel konfiguration af forbindelsen:

1. Log ind på din Nord Account, klik på NordVPN, og under Manual konfiguration, klik på Tjenestens adgangsoplysninger. Her finder du det brugernavn og den adgangskode, du skal bruge for at forbinde manuelt.
   
   
   
   
2. Du kan konfigurere OpenVPN med den konfigureringsfil, du har downloadet, på en af to måder:
   1. Skift filtypen fra .ovpn til .conf, så OpenVPN automatisk kan finde den ved hjælp af filtypen. Det gør du ved at bruge kommandoen mv: mv /etc/openvpn/uk2054.nordvpn.com.udp.ovpn /etc/openvpn/uk2054.nordvpn.com.udp.conf
   2. Angiv filnavnet i "/etc/config/openvpn" ved at bruge følgende "uci"-kommandoer: uci set openvpn.nordvpn=openvpn
      uci set openvpn.nordvpn.enabled='1'
      uci set openvpn.nordvpn.config='/etc/openvpn/uk2054.nordvpn.com.udp.ovpn'
      uci commit openvpn Derefter bør filen "/etc/config/openvpn" indeholde følgende vedhæftede strenge: config openvpn 'nordvpn'
      option enabled '1'
      option config '/etc/openvpn/uk2054.nordvpn.com.udp.ovpn' Du kan tjekke det ved at køre denne kommando: tail /etc/config/openvpn Du kan også ændre filtypen fra .ovpn til .conf og angive den i filen "/etc/config/openvpn". I så fald starter OpenVPN dog kun med denne konfigurationsfil én gang.\
3. Opret en ny netværksbrugerflade ved at køre følgende kommandoer: uci set network.nordvpntun=interface
   uci set network.nordvpntun.proto='none'
   uci set network.nordvpntun.ifname='tun0'
   uci commit network Filen "/etc/config/network" bør indeholde følgende vedhæftede strenge, hvis du har gjort alt korrekt: config interface 'nordvpntun'
   option proto 'none'
   option ifname 'tun0' Det kan kontrolleres ved at bruge kommandoen tail /etc/config/network.
4. Opret en ny firewallzone, og tilføj en regel for videresendelse fra LAN til VPN ved at køre følgende kommandoer: uci add firewall zone
   uci set firewall.@zone[-1].name='vpnfirewall'
   uci set firewall.@zone[-1].input='REJECT'
   uci set firewall.@zone[-1].output='ACCEPT'
   uci set firewall.@zone[-1].forward='REJECT'
   uci set firewall.@zone[-1].masq='1'
   uci set firewall.@zone[-1].mtu_fix='1'
   uci add_list firewall.@zone[-1].network='nordvpntun'
   uci add firewall forwarding
   uci set firewall.@forwarding[-1].src='lan'
   uci set firewall.@forwarding[-1].dest='vpnfirewall'
   uci commit firewall Hvis du har gjort det korrekt, bør filen "/etc/config/firewall" indeholde følgende vedhæftede strenge: config zone
   option name 'vpnfirewall'
   option input 'REJECT'
   option output 'ACCEPT'
   option forward 'REJECT'
   option masq '1'
   option mtu_fix '1'
   list network 'nordvpntun' config forwarding
   option src 'lan'
   option dest 'vpnfirewall' Du kan tjekke det ved at køre kommandoen tail -13 /etc/config/firewall. Denne handling viser de sidste 13 linjer, som bør indeholde de førnævnte strenge.
5. Nu skal du konfigurere DNS-serverne. Den nemmeste fremgangsmåde er at bruge NordVPN DNS til routerens WAN-brugerflade. For at tilføje NordVPN DNS skal du køre følgende kommandoer:

uci set network.wan.peerdns='0'  

uci del network.wan.dns  
uci add\_list network.wan.dns='103.86.96.100'  
uci add\_list network.wan.dns='103.86.99.100'  
uci commit  
  
_Hvis du får fejlmeddelelsen "_uci: Entry not found__" efter at have kørt kommandoen_ _uci del network.wan.dns_, _kan du se bort fra den._  
  
Filen "/etc/config/network" bør indeholde afsnittet 'wan' med de tre nederste strenge tilføjet:  
  
config interface 'wan'  
<...>  
option peerdns '0'  
list dns '103.86.96.100'  
list dns '103.86.99.100'  
  
Du kan tjekke det ved at køre kommandoen cat /etc/config/network og finde brugerfladen 'wan' i outputtet.  
  
Du kan også tilføje forskellige DNS-adresser, såsom Googles, ved at køre disse kommandoer:  
  
uci set network.wan.peerdns='0'  
uci del network.wan.dns  
uci add\_list network.wan.dns='8.8.8.8'  
uci add\_list network.wan.dns='8.8.4.4'  
uci commit  
  
De tilføjede strenge bør ligne de foregående.  
 

(Valgfrit) For at forhindre lækage af trafik, hvis VPN-tunnelen afbrydes, kan du åbne filen "/etc/firewall.user" med en teksteditor og føje følgende indhold til den:

# This file is interpreted as a shell script.

# Her kan du placere dine egne iptables-regler, og de vil blive udført ved hver gang, firewallen starter/genstarter

# Interne uci-firewallkæder slettes og genskabes ved genindlæsning, så

# tilføj de brugerdefinerede regler til rodkæderne, f.eks. INPUT eller FORWARD, eller i de

# særlige brugerkæder, f.eks. input_wan_rule eller postrouting_lan_rule.

if (! ip a s tun0 up) && (! iptables -C forwarding_rule -j REJECT); then

iptables -I forwarding_rule -j REJECT

fi

Derudover skal du oprette en fil med navnet "99-prevent-leak" i mappen "/etc/hotplug.d/iface" ved at køre nano /etc/hotplug.d/iface/99-prevent-leak og tilføje følgende indhold i filen:

#!/bin/sh

if [ "$ACTION" = ifup ] && (ip a s tun0 up) && (iptables -C forwarding_rule -j REJECT); then

iptables -D forwarding_rule -j REJECT

fi

if [ "$ACTION" = ifdown ] && (! ip a s tun0 up) && (! iptables -C forwarding_rule -j REJECT); then

iptables -I forwarding_rule -j REJECT

fi

I nogle tilfælde kan OpenVPN-forbindelsen gå ned, og i de tilfælde kommer der en logmeddelelse, der indeholder noget i retning af "couldn't resolve host...". I dette tilfælde bevares selve VPN-tunnelen, men forbindelsen går tabt. For at oprette forbindelse til den automatisk igen skal du først åbne filen "/etc/rc.local" med en teksteditor og tilføje følgende linje:

/etc/openvpn/reconnect.sh &

Derudover skal du oprette filen "reconnect.sh" i mappen "/etc/openvpn". Det kan gøres ved at køre kommandoen nano /etc/openvpn/reconnect.sh.

I filen skal du indtaste følgende scriptindhold:

#!/bin/sh

n=10

while sleep 50; do

t=$(ping -c $n 8.8.8.8 | grep -o -E '[0-9]+ packets r' | grep -o -E '[0-9]+')

if [ "$t" -eq 0 ]; then

/etc/init.d/openvpn restart

fi

done

Når du har fulgt disse anvisninger, bør du være forbundet med den konfigurerede forbindelse. For at tjekke, om du er forbundet, skal du besøge NordVPN's hjemmeside – statussen øverst på siden skal vise "Beskyttet".

Hvis du ønsker at afbryde forbindelsen til VPN-forbindelsen, skal du køre følgende kommando:

service openvpn stop