Unterstützt NordVPN OpenWrt?
Es wurde berichtet, dass Router mit OpenWrt-Firmware VPNs wie NordVPN unterstützen. Bitte beachte jedoch, dass die folgende Konfiguration nicht von NordVPN-Mitarbeitern getestet wurde – sie wurde stattdessen von unseren wunderbaren Kunden geteilt und getestet. NordVPN möchte sich insbesondere bei ulmwind, einem aktiven Mitglied der OpenWrt-Community, für die kontinuierliche Unterstützung bei der Bereitstellung von aktuellen OpenWrt-Anleitungen bedanken.
Dieser Artikel enthält zwei Anleitungen zur OpenWrt-Einrichtung:
- GUI-Anleitung (vereinfachte Version)
- CLI-Anleitung (für Fortgeschrittene)
Wenn du Probleme hast, kannst du dich gerne an unser Support-Team wenden! Dies ist ein Tutorial für Fortgeschrittene, aber es enthält auch einige einfachere Anleitungen.
GUI-Anleitung
In dieser Anleitung zeigen wir dir, wie du eine NordVPN-Verbindung auf Routern mit OpenWrt-Firmware über die LuCI-Weboberfläche einrichten kannst.
-
Du kannst auf die LuCI-Schnittstelle deines OpenWrt-Routers zugreifen,
indem du seine lokale IP-Adresse in deinen Internetbrowser eingibst und
dich einloggst. Die Standard-IP-Adresse
ist 192.168.1.1 und der
Benutzername ist root.
Standardmäßig ist kein Passwort eingerichtet, du kannst dieses Feld also leer lassen, aber wenn du dich anmeldest, bekommst du eine Nachricht, dass du ein Passwort einrichten sollst.
Wenn du auf System > Administration klickst, kannst du dort ein Passwort einrichten. -
Wenn du dich angemeldet hast, wähle die
Registerkarte System und Software.
- Klicke auf die Schaltfläche Update lists, warte, bis der Vorgang abgeschlossen ist, und klicke dann auf Dismiss.
-
Installiere die folgenden Pakete, indem du ihren Namen in das Feld
Filter eingibst und auf
Install... klickst.
- openvpn-openssl
- ip-full
-
luci-app-openvpn
- Klicke auf Save & Apply und aktualisiere die Router-Seite. Jetzt solltest du eine neue Registerkarte namens VPN sehen. Klicke darauf und wähle OpenVPN aus dem Dropdown-Menü.
- Jetzt musst du die OpenVPN-Client-Konfigurationsdateien herunterladen. Du kannst dich über deinen Nord Account mit einem empfohlenen Server verbinden.
Mit den folgenden Schritten kannst du die Konfigurationsdateien für den manuellen Verbindungsaufbau finden:
-
Melde dich mit deinem
Nord Account
an
und klicke auf NordVPN.
-
Scrolle runter zu Erweiterte Einstellungen (Advanced
Settings) und klicke auf
NordVPN manuell einrichten (Set up NordVPN manually).
-
Wähle die Registerkarte
OpenVPN-Konfigurationsdateien (OpenVPN configuration
files).
-
Du kannst den Server, mit dem du dich verbinden möchtest, über die
Suchleiste finden oder nach unten scrollen und ihn herunterladen, indem
du auf UDP herunterladen (Download UDP) oder
TCP herunterladen (Download TCP) klickst.
-
Wenn du dich mit OpenVPN &
IKEv2 manuell verbindest, musst du den
Benutzernamen (Username) und das
Passwort (Password) aus der Registerkarte
Service-Anmeldedaten (Service credentials) verwenden.
Für diese Anleitung werden wir den Server us5104.nordvpn.com verwenden.
-
Gib unter dem Abschnittsnamen
OVPN configuration file upload die VPN-Verbindung im
Feld Instance name ein (wir haben sie
„nordvpn_us“ genannt). Klicke anschließend auf die
Schaltfläche Choose File, suche die heruntergeladene
Serverdatei und klicke auf Upload.
-
Klicke im Abschnitt OpenVPN instances auf die
Schaltfläche Edit neben der Instanz, die du gerade
erstellt hast.
-
Gib im unteren Feld deinen Benutzernamen und dein Passwort für den
NordVPN-Service in separaten Zeilen ein.
username
password
Du findest deine NordVPN-Service-Anmeldedaten (deinen Benutzernamen und dein Passwort) im Nord Account-Dashboard:
Mit den folgenden Schritten kannst du die Service-Anmeldedaten für den manuellen Verbindungsaufbau finden:
-
**Melde dich in deinem
Nord Account
an, klicke auf NordVPN und unter
Manuelle Einrichtung (Manual setup) auf
Service-Anmeldedaten (Service credentials). Hier
findest du den Benutzernamen und das
Passwort, die du für die manuelle Verbindung benötigst.
- Kopiere nun den Pfad zur Anmeldedatei, der direkt über dem Feld mit den Anmeldedaten angegeben ist, und füge ihn neben der Zeile auth-user-pass im Abschnitt Config file oben ein.
Sie sollte wie folgt aussehen: auth-user-pass /etc/openvpn/nordvpn\_us.auth
- Klicke auf die Schaltfläche Save am unteren Rand.
- Klicke oben auf der Seite auf die Registerkarte Network und wähle Interfaces.
- Wähle die Schaltfläche Add new interface… und nenne sie nordvpntun.
- Klicke auf das Dropdown-Menü Protocol und wähle Unmanaged.
-
Gib im Dropdown-Menü Interface den Namen
tun0 in das untere Feld -- custom -- ein und drücke die Eingabetaste.
- Klicke auf die Schaltflächen Create interface und Save.
- Wähle oben noch einmal die Registerkarte Network und gehe zum Abschnitt Firewall.
- Klicke auf die Schaltfläche Add und stelle sie wie folgt ein:```
- Nenne sie vpnfirewall.
2. Setze die Option Input auf Reject.
3. Stelle Output auf Accept und Forward auf Reject.
4. Aktiviere die Option Masquerading.
5. Aktiviere die Option MSS clamping.
6. Wähle im Dropdown-Menü Covered Networks die Option nordvpntun.
7. Wähle im Dropdown-Menü Allow forward from source zones die Option lan.
8. Klicke auf die Schaltfläche Save.
```
19. Suche im Abschnitt Zones die Zone mit dem Namen lan und klicke auf die Schaltfläche Edit.
20. Wähle in der Dropdown-Liste Allow forward to destination zones den Eintrag nordvpntun.
21. Klicke erneut auf Network' oben auf der Seite und wähle dann DHCP and DNS aus der Dropdown-Liste.
22. In der Registerkarte General Settings findest du die Option DNS forwardings und kannst dort die NordVPN DNS-Adressen eingeben. Die Adressen sind: 103.86.96.100 und 103.86.99.100
23. Gehe zur Registerkarte Resolv and Hosts Files, aktiviere das Kontrollkästchen Ignore resolve file und klicke auf die Schaltfläche Save & Apply.
24. Gehe danach zurück zur Registerkarte VPN > OpenVPN.
25. Aktiviere im Abschnitt OpenVPN instances die Option Enable neben der NordVPN-Option in der Liste und klicke auf die Schaltfläche Save & Apply.
26. Klicke auf die Schaltfläche Start neben der erstellten NordVPN-Instanz, um dich mit dem VPN-Server zu verbinden.
Sobald du diese Anweisungen ausgeführt hast, solltest du über die konfigurierte Verbindung verbunden sein. Um zu überprüfen, ob du erfolgreich warst, besuche die Homepage von NordVPN – der Status oben auf der Seite sollte Geschützt (Protected) sein.
Wenn du die VPN-Verbindung trennen möchtest, kannst du auf die Schaltfläche Stop neben der NordVPN-Option im Menü VPN > OpenVPN > OpenVPN instances' klicken.
## CLI-Anleitung
Wenn du nach einem Tutorial für Fortgeschrittene suchst, kannst du auch dieser Anleitung folgen. Damit du die Vorteile eines VPN auf OpenWrt nutzen kannst, benötigst du einen Router mit OpenWrt-Firmware und einem aktivierten OpenVPN-Client. Die Hauptseite der Firmware ist [https://openwrt.org/](https://openwrt.org/).
1. Zuerst musst du über SSH auf deinen Router zugreifen und seine LAN-IP-Adresse verwenden. Standardmäßig ist die IP-Adresse auf 192.168.1.1 und der Benutzername auf root eingestellt, aber die IP-Adresse kann abweichen, wenn du einen der Standardwerte geändert hast.
2. Das OpenVPN-Paket ist standardmäßig nicht im Firmware-Image enthalten. Du kannst sie mit den folgenden Befehlen installieren:
opkg update\
opkg install openvpn-openssl\
opkg install ip-full
Zusätzlich kannst du die LuCI-Komponente der OpenVPN-Konfiguration installieren, aber das ist optional. Das kannst du mit diesem Befehl tun:
opkg install luci-app-openvpn
3. Wenn du das OpenVPN-Paket installiert hast, kannst du es automatisch starten lassen, wenn der Router startet, wenn du diesen Befehl eingibst:
/etc/init.d/openvpn enable
4. Als Nächstes musst du die Serverkonfigurationsdateien herunterladen.
Mit den folgenden Schritten kannst du die Konfigurationsdateien für den manuellen Verbindungsaufbau finden:
1. Melde dich mit deinem [Nord Account](https://my.nordaccount.com/) an und klicke auf NordVPN.
2. Scrolle runter zu Erweiterte Einstellungen (Advanced Settings) und klicke auf NordVPN manuell einrichten (Set up NordVPN manually).
3. Wähle die Registerkarte OpenVPN-Konfigurationsdateien (OpenVPN configuration files).
4. Du kannst den Server, mit dem du dich verbinden möchtest, über die Suchleiste finden oder nach unten scrollen und ihn herunterladen, indem du auf UDP herunterladen (Download UDP) oder TCP herunterladen (Download TCP) klickst.
5. Wenn du dich mit OpenVPN & IKEv2 manuell verbindest, musst du den Benutzernamen (Username) und das Passwort (Password) aus der Registerkarte Service-Anmeldedaten (Service credentials) verwenden.
6. Für diese Anleitung haben wir den Server uk2054.nordvpn.com verwendet. Du solltest jedoch den Server verwenden, den die Website für dich vorschlägt.
Um eine Serverdatei herunterzuladen, wähle das Land, mit dem du dich verbinden möchtest, klicke auf „Show available protocols“, klicke mit der rechten Maustaste auf „Download config“ für „OpenVPN TCP“ oder „OpenVPN UDP“ und wähle „Copy link address“.
Danach kannst du zu deiner SSH-Sitzung zurückkehren und den folgenden Befehl ausführen:
wget -P /etc/openvpn [https://downloads.nordcdn.com/configs/files/ovpn\_udp/servers/uk2054.nordvpn.com.udp.ovpn](https://downloads.nordcdn.com/configs/files/ovpn_udp/servers/uk2054.nordvpn.com.udp.ovpn)
Achte jedoch darauf, dass du den Link verwendest, den du für deine spezielle Serverdatei kopiert hast. Mit diesem Befehl wird die Konfigurationsdatei in das Verzeichnis /etc/openvpn heruntergeladen, damit du leicht darauf zugreifen kannst.
Alternativ kannst du die Serverkonfigurationsdatei auch auf einen anderen Rechner herunterladen und sie mit alternativen Methoden wie SCP oder SFTP auf den OpenWrt-Router übertragen.
_Für ältere OpenWrt-Builds:_\
Du kannst einfach ein Archiv hier herunterladen: [https://downloads.nordcdn.com/configs/archives/certificates/servers.zip](https://downloads.nordcdn.com/configs/archives/certificates/servers.zip). In dem heruntergeladenen Archiv findest du die entsprechenden Dateien mit den Erweiterungen .crt und .key. Die Dateien sind für jeden VPN-Server spezifisch.
7. Die OpenVPN-Konfiguration für NordVPN erfordert, dass du bei jedem Start von OpenVPN deinen Benutzernamen und dein Passwort für den NordVPN-Service eingibst. Wir werden jedoch einige Anpassungen vornehmen, damit die Anmeldedaten automatisch bereitgestellt werden.
Der Einfachheit halber installieren wir zunächst den Texteditor nano, indem wir den folgenden Befehl ausführen:
opkg install nano
Ansonsten kannst du den eingebauten Texteditor vi verwenden. Weitere Informationen zu Texteditoren findest du in diesem Artikel: [https://openwrt.org/docs/guide-user/base-system/user.beginner.cli](https://openwrt.org/docs/guide-user/base-system/user.beginner.cli).
Öffne nun die heruntergeladene Serverkonfigurationsdatei mit dem Texteditor nano. In unserem Fall würde der Befehl lauten:
nano /etc/openvpn/uk2054.nordvpn.com.udp.ovpn
Danach fügst du das Wort „secret“ (ohne Anführungszeichen) an die Zeichenfolge „auth-user-pass“ an. Die resultierende Zeile sollte lauten:
auth-user-pass secret
Jetzt müssen wir eine neue Datei namens _secret_ erstellen, in der die Zugangsdaten für den NordVPN-Service gespeichert werden. Dazu führst du den folgenden Befehl aus:
nano /etc/openvpn/secret
Damit wird eine neue Datei erstellt und mit dem Texteditor nano geöffnet.
In der ersten Zeile der Datei gibst du deinen NordVPN-Benutzernamen und in der zweiten das NordVPN-Passwort ein.
Du findest deine NordVPN-Service-Anmeldedaten (Service-Benutzername und Service-Passwort) im [Nord Account-Dashboard](https://my.nordaccount.com/dashboard/nordvpn/)
Mit den folgenden Schritten kannst du die Service-Anmeldedaten für den manuellen Verbindungsaufbau finden:
1. \*\*Melde dich in deinem [Nord Account](https://my.nordaccount.com/) an, klicke auf NordVPN und unter Manuelle Einrichtung (Manual setup) auf Service-Anmeldedaten (Service credentials). Hier findest du den Benutzernamen und das Passwort, die du für die manuelle Verbindung benötigst.
2. Du kannst OpenVPN mithilfe der heruntergeladenen Konfigurationsdatei auf zwei Arten konfigurieren:
1. Ändere die Dateierweiterung von .ovpn in .conf, damit OpenVPN sie automatisch anhand ihrer Erweiterung findet.
Dazu kannst du den Befehl mv verwenden:
mv /etc/openvpn/uk2054.nordvpn.com.udp.ovpn /etc/openvpn/uk2054.nordvpn.com.udp.conf
2. Gib den Dateinamen in „/etc/config/openvpn“ mit den folgenden „uci“-Befehlen an:
uci set openvpn.nordvpn=openvpn\
uci set openvpn.nordvpn.enabled='1'\
uci set openvpn.nordvpn.config='/etc/openvpn/uk2054.nordvpn.com.udp.ovpn'\
uci commit openvpn
Danach sollte die Datei „/etc/config/openvpn“ die folgenden angehängten Zeichenfolgen enthalten:
config openvpn 'nordvpn'\
option enabled '1'\
option config '/etc/openvpn/uk2054.nordvpn.com.udp.ovpn'
Du kannst das überprüfen, indem du diesen Befehl ausführst:
tail /etc/config/openvpn
Du kannst auch die Dateierweiterung von .ovpn in .conf ändern und sie in der Datei „/etc/config/openvpn“ angeben – in diesem Fall wird OpenVPN jedoch nur einmal mit dieser Konfigurationsdatei gestartet.
3. Erstelle eine neue Netzwerkschnittstelle, indem du die folgenden Befehle ausführst:
uci set network.nordvpntun=interface\
uci set network.nordvpntun.proto='none'\
uci set network.nordvpntun.ifname='tun0'\
uci commit network
Wenn alles fehlerfrei ausgeführt wurde, sollte die Datei „/etc/config/network“ die folgenden angehängten Zeichenfolgen enthalten:
config interface 'nordvpntun'\
option proto 'none'\
option ifname 'tun0'
Das kann mit dem Befehl tail /etc/config/network überprüft werden.
4. Erstelle eine neue Firewall-Zone und füge eine Weiterleitungsregel von LAN zu VPN hinzu, indem du die folgenden Befehle ausführst:
uci add firewall zone\
uci set firewall.@zone\[-1\].name='vpnfirewall'\
uci set firewall.@zone\[-1\].input='REJECT'\
uci set firewall.@zone\[-1\].output='ACCEPT'\
uci set firewall.@zone\[-1\].forward='REJECT'\
uci set firewall.@zone\[-1\].masq='1'\
uci set firewall.@zone\[-1\].mtu\_fix='1'\
uci add\_list firewall.@zone\[-1\].network='nordvpntun'\
uci add firewall forwarding\
uci set firewall.@forwarding\[-1\].src='lan'\
uci set firewall.@forwarding\[-1\].dest='vpnfirewall'\
uci commit firewall
Falls alles korrekt ausgeführt wurde, sollte die Datei „/etc/config/firewall“ die folgenden angehängten Zeichenfolgen enthalten:
config zone\
option name 'vpnfirewall'\
option input 'REJECT'\
option output 'ACCEPT'\
option forward 'REJECT'\
option masq '1'\
option mtu\_fix '1'\
list network 'nordvpntun'
config forwarding\
option src 'lan'\
option dest 'vpnfirewall'
Du kannst das überprüfen, indem du den Befehl tail -13 /etc/config/firewall ausführst. Dadurch werden die letzten 13 Zeilen angezeigt, die die oben genannten Zeichenfolgen enthalten sollten.
5. Jetzt musst du die DNS-Server konfigurieren. Am einfachsten geht das, wenn du NordVPN DNS für die WAN-Schnittstelle des Routers verwendest. Du kannst NordVPN DNS mit den folgenden Befehlen hinzufügen:
```
uci set network.wan.peerdns='0'
```
```
uci del network.wan.dns
uci add\_list network.wan.dns='103.86.96.100'
uci add\_list network.wan.dns='103.86.99.100'
uci commit
_Wenn du die Fehlermeldung „uci: Entry not found“ siehst, nachdem du den Befehl uci del network.wan.dns ausgeführt hast, kannst du sie ignorieren._
Die Datei „/etc/config/network“ sollte den Abschnitt 'wan' mit den drei unteren Zeichenfolgen enthalten:
config interface 'wan'
<...>
option peerdns '0'
list dns '103.86.96.100'
list dns '103.86.99.100'
Du kannst das überprüfen, indem du den Befehl cat /etc/config/network ausführst und in der Ausgabe nach der Schnittstelle 'wan' suchst.
Du kannst auch andere DNS-Adressen hinzufügen, z. B. die von Google, indem du diese Befehle ausführst:
uci set network.wan.peerdns='0'
uci del network.wan.dns
uci add\_list network.wan.dns='8.8.8.8'
uci add\_list network.wan.dns='8.8.4.4' *uci add\_list network.wan.dns='8.8.4.4'**
uci commit
Die angehängten Zeichenfolgen sehen ähnlich aus wie die vorherigen.
```
(Optional) Um zu verhindern, dass Datenverkehr verloren geht, wenn der VPN-Tunnel unterbrochen wird, kannst du die Datei „/etc/firewall.user“ mit einem Texteditor öffnen und den folgenden Inhalt hinzufügen:
\# Diese Datei wird als Shell-Skript interpretiert.
\# Hier kannst du deine benutzerdefinierten iptables-Regeln einfügen, die bei jedem (Neu-)Start der Firewall ausgeführt werden.
\# Interne UCI-Firewall-Ketten werden gelöscht und beim Neuladen neu erstellt, also solltest du
\# benutzerdefinierte Regeln in die Root-Chains einfügen, z. B. INPUT oder FORWARD, oder in die
\*\*\# speziellen Benutzerketten, z. B. input\_wan\_rule oder postrouting\_lan\_rule
if (! ip a s tun0 up) && (! iptables -C forwarding\_rule -j REJECT); then
iptables -I forwarding\_rule -j REJECT
fi
Zusätzlich solltest du eine Datei namens „99-prevent-leak“ im Ordner „/etc/hotplug.d/iface“ erstellen, indem du nano /etc/hotplug.d/iface/99-prevent-leak ausführst und den folgenden Inhalt in die Datei einfügst:
#!/bin/sh
if \[ "$ACTION" = ifup \] && (ip a s tun0 up) && (iptables -C forwarding\_rule -j REJECT); then
iptables -D forwarding\_rule -j REJECT
fi
if \[ „$ACTION“ = ifdown \] && (! ip a s tun0 up) && (! iptables -C forwarding\_rule -j REJECT); then
iptables -I forwarding\_rule -j REJECT
fi
In manchen Fällen kann die OpenVPN-Verbindung mit einer Log-Ausgabe wie „couldn't resolve host…“ abstürzen. In diesem Fall bleibt der VPN-Tunnel selbst bestehen, aber die Verbindung wird unterbrochen. Um die Verbindung automatisch wiederherzustellen, öffne zunächst die Datei „/etc/rc.local“ mit einem Texteditor und füge die folgende Zeile hinzu:
/etc/openvpn/reconnect.sh &
Außerdem musst du die Datei „reconnect.sh“ im Verzeichnis „/etc/openvpn“ erstellen. Das kannst du mit dem Befehl nano /etc/openvpn/reconnect.sh tun.
Gib in der Datei den folgenden Skriptinhalt ein:
#!/bin/sh
n=10
while sleep 50; do
t=$(ping -c $n 8.8.8.8 | grep -o -E '\[0-9\]+ packets r' | grep -o -E '\[0-9\]+')
if \[ "$t" -eq 0 \]; then
/etc/init.d/openvpn restart
fi
done
Sobald du diese Anweisungen ausgeführt hast, solltest du über die konfigurierte Verbindung verbunden sein. Du kannst auf der Homepage von NordVPN überprüfen, ob du Erfolg hattest. Oben auf der Seite sollte der Status „Geschützt“ (Protected) angezeigt werden.
Mit dem folgenden Befehl kannst du die VPN-Verbindung trennen:
service openvpn stop