So richtest du ein VPN auf Tomato ein

Wofür wird die Tomato-Firmware verwendet?

Tomato ist eine eigene Firmware für Router. Sie bietet OpenVPN-Client-Unterstützung und ist für viele Router verfügbar. Du kannst hier überprüfen, ob dein Router die Tomato-Firmware unterstützt. Einen Artikel darüber, wie du die Tomato-Firmware auf einem Router installierst, findest du hier.

Das Wichtigste zuerst: Diese Änderungen werden im Web-Konfigurationsbereich deines Routers vorgenommen. Du kannst auf diesen Bereich zugreifen, indem du die lokale IP deines Routers über deinen Webbrowser aufrufst. Die beiden häufigsten Standard-IP-Adressen der meisten Router sind 192.168.1.1 oder 192.168.0.1 – du kannst auf diese zugreifen, indem du http://192.168.1.1 oder http://192.168.0.1 in deinem Browser öffnest. Die Standard-IP, den Benutzernamen und das Passwort findest du im Benutzerhandbuch deines Routers.

So kannst du ein VPN auf der Tomato-Firmware einrichten:

1. Öffne die Seite mit den Routereinstellungen in deinem Browser, indem du die lokale Adresse des Routers eingibst (standardmäßig 192.168.1.1).
2. Klicke im Menü auf der linken Seite auf VPN Tunneling -> OpenVPN Client.
   
   
   
   3. Stelle die folgenden Optionen ein:

Start with WAN – Aktiviere das Kontrollkästchen.
Interface Type – Wähle TUN aus.
Protocol – Wähle entweder UDP oder TCP und merke es dir, denn das wird später wichtig sein.
Server Address/Port:

Gib in das erste Feld den Hostnamen des Servers ein, mit dem du dich verbinden willst. 

Mit den folgenden Schritten kannst du den besten Server für deine Verbindung finden:

1. Melde dich mit deinem Nord Account an und klicke auf NordVPN.
   
   
   
     2. Scrolle runter zu Erweiterte Einstellungen (Advanced Settings) und klicke auf NordVPN manuell einrichten (Set up NordVPN manually).

  3. Wähle die Registerkarte Server-Empfehlung (Server recommendation) aus. Je nach deinem Standort wird dir der beste Server empfohlen.

  4. Wenn du auf Erweiterte Filter (Advanced filters) klickst, kannst du die empfohlenen Server weiter anpassen, indem du den Servertyp (Server type) und das Sicherheitsprotokoll (Security protocol) auswählst.

 Mit diesen Schritten kannst du einen bestimmten Server auswählen:

1. Wähle unter NordVPN manuell einrichten (Set up NordVPN manually) die Option OpenVPN-Konfigurationsdateien (OpenVPN configuration files).
   
   
   
     2. Du kannst den Server, mit dem du dich verbinden möchtest, über die Suchleiste finden oder nach unten scrollen und ihn herunterladen, indem du auf UDP herunterladen (Download UDP) oder TCP herunterladen (Download TCP) klickst.

  3. Wenn du dich mit OpenVPN & IKEv2 manuell verbindest, musst du den Benutzernamen (Username) und das Passwort (Password) aus der Registerkarte Service-Anmeldedaten (Service credentials) verwenden.

Du findest deine NordVPN-Service-Anmeldedaten (deinen Benutzernamen und dein Passwort) im Nord Account-Dashboard.

Mit den folgenden Schritten kannst du die Service-Anmeldedaten für den manuellen Verbindungsaufbau finden:

1. **Melde dich in deinem Nord Account an, klicke auf NordVPN und unter Manuelle Einrichtung (Manual setup) auf Service-Anmeldedaten (Service credentials). Hier findest du den Benutzernamen und das Passwort, die du für die manuelle Verbindung benötigst.
   
   
   
   

Gib in das zweite Feld abhängig vom zuvor gewählten Protokoll 1194 für UDP oder 443 für TCP ein. 

Firewall – Automatic.
Authorization Mode – TLS.
Username/Password Authentication – Ausgewählt. Gib deine NordVPN-Service-Anmeldedaten in die unten stehenden Felder ein.

Username Authen. Only – Nicht ausgewählt (Standard).
Extra HMAC authorization (tls-auth) – Wähle Outgoing(1) aus der Dropdown-Liste.
Create NAT on tunnel – Ausgewählt.

Einige Tomato-Router haben möglicherweise keine Felder für die Eingabe von OpenVPN-Anmeldedaten. Gehe in einem solchen Fall zu *Administration -> Scripts und gib die folgenden Befehle in das Init-Feld ein. Stelle sicher, dass du den Benutzernamen und das Passwort in deinen NordVPN-Service-Anmeldedaten änderst:

echo username > /tmp/password.txt
echo password >> /tmp/password.txt
chmod 600 /tmp/password.txt

1. Klicke auf die Registerkarte Advanced und stelle die folgenden Optionen ein:

Poll Interval: 0
Redirect Internet traffic: Ausgewählt
Accept DNS configuration: Strict
Encryption cipher: AES-256-CBC
Compression: Deaktiviert
TLS Renegotiation Time: -1
Connection retry: -1
Verify server certificate: Nicht ausgewählt

Benutzerdefinierte Konfiguration:

remote-cert-tls server
remote-random
nobind
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
persist-key
persist-tun
ping-timer-rem
reneg-sec 0
auth sha512
#log /tmp/vpn.log
#Lösche `#` in der Zeile unten, wenn dein Router keine Felder für die Anmeldedaten hat
#auth-user-pass /tmp/password.txt

  2. Öffne die Registerkarte Keys.Öffne eine Konfigurationsdatei, die du in Schritt 3 heruntergeladen hast.

Static key – Füge den Text von in den -Block ein.
Certificate Authority – füge den Text von in den -Block ein. Er sollte so aussehen:

  3. Klicke unten auf der Einstellungsseite auf Save, um alle Einstellungen zu bestätigen und zu speichern. Um eine Verbindung herzustellen, klicke auf Start Now. Du kannst auf der Status-Seite überprüfen, ob du dich erfolgreich verbunden hast. 4. Richte den Router so ein, dass er die DNS-Server von NordVPN verwendet, um DNS-Lecks zu verhindern:

DNS Server: Manual
DNS 1: 103.86.96.100
DNS 2: 103.86.99.100

Optionalen Kill Switch einrichten (für fortgeschrittene Benutzer):

Navigiere zu Administration > Scripts und füge unter Firewall eines der folgenden Skripte ein.

• Jeder Client im LAN (Every client in LAN) verliert die Internetverbindung, wenn das VPN unterbrochen wird:

WAN_IF=`nvram get wan_iface`
iptables -I FORWARD -i br0 -o $WAN_IF -j REJECT --reject-with icmp-host-prohibited
iptables -I FORWARD -i br0 -p tcp -o $WAN_IF -j REJECT --reject-with tcp-reset
iptables -I FORWARD -i br0 -p udp -o $WAN_IF -j REJECT --reject-with udp-reset

• Nur eine bestimmte IP-Adresse verliert den Internetzugang, wenn das VPN unterbrochen wird:

WAN_IF=`nvram get wan_iface`
iptables -I FORWARD -i br0 -s `ip address` -o $WAN_IF -j REJECT --reject-with icmp-host-prohibited
iptables -I FORWARD -i br0 -s `ip address` -p tcp -o $WAN_IF -j REJECT --reject-with tcp-reset
iptables -I FORWARD -i br0 -s `ip address` -p udp -o $WAN_IF -j REJECT --reject-with udp-reset