Cómo configurar una VPN en Tomato

¿Para qué se utiliza el firmware Tomato?

Tomato es un firmware personalizado para routers. Es compatible con el cliente OpenVPN y está disponible en una amplia variedad de routers. Puedes comprobar si tu router es compatible con el firmware Tomato aquí. [Aquí] puedes consultar un artículo en inglés sobre cómo instalar el firmware Tomato en un router (https://en.wikibooks.org/wiki/Tomato_Firmware/Installation_and_Configuration).

Ten en cuenta que estos cambios se llevan a cabo en el panel de configuración de tu router. Para acceder a él, ve a la IP local de tu router desde tu navegador web. Por defecto, las dos IP locales más comunes que tienen la mayoría de los routers son 192.168.1.1 o 192.168.0.1; abre  http://192.168.1.1_ o http://192.168.0.1  para acceder a ellas en tu navegador. Encontrarás la IP por defecto, el nombre de usuario y la contraseña en el Manual de usuario de tu router.

Cómo configurar la VPN en el firmware Tomato

  1. Para abrir la página de configuración del router en tu navegador introduce la dirección local del router (192.168.1.1 por defecto).
  2. En el menú de la izquierda, haz clic en Túnel VPN (VPN tunneling) -> Cliente OpenVPN (OpenVPN client).

    Pestaña Basic de configuración del cliente OpenVPN del firmware Tomato con la dirección del servidor NordVPN, la interfaz TUN, el protocolo UDP, la autorización TLS y las credenciales configuradas

      3. Establece las siguientes opciones:

Marca la casilla Empezar con WAN (start with WAN).
Tipo de interfaz (interface type): selecciona TUN.
Protocolo (protocolo): elige UDP o TCP y ten en cuenta que esto será importante más adelante.
Dirección del servidor/puerto (server address/port):

En el primer campo, introduce el nombre de host del servidor al que te quieres conectar.

Sigue los pasos a continuación para encontrar el mejor servidor para tu conexión:

  1. Inicia sesión en tu Nord Account y haz clic en NordVPN.

    Página de Servicios de Nord Account con NordVPN seleccionado en la barra lateral izquierda

      2. Desplázate hasta Configuración avanzada (advanced settings) y haz clic en Configurar NordVPN manualmente (set up NordVPN manually).


Sección de configuración avanzada de Nord Account con el enlace 'Set up NordVPN manually' resaltado

  3. Selecciona la pestaña Servidores recomendados (server recommendation). Se te recomendará el mejor servidor en función de tu ubicación.


Página de Configuración de Nord Account con la pestaña Server recommendation resaltada

  4. Si pulsas Filtros avanzados (advanced filters) puedes personalizar aún más los servidores recomendados al seleccionar el Tipo de servidor (server type) y el Protocolo de seguridad (security protocol).


Pestaña Server recommendation de Nord Account con el enlace Advanced filters resaltado


Recomendación de servidor de Nord Account mostrando los menús desplegables de filtros Server type y Security protocol

En caso de que desees seleccionar un servidor específico, sigue estos pasos:

  1. En Configurar NordVPN manualmente, selecciona Archivos de configuración de OpenVPN (OpenVPN configuration files).

    Página de Configuración de Nord Account con la pestaña OpenVPN configuration files resaltada

      2. Encuentra el servidor al que deseas conectarte usando la barra de Búsqueda o desplazándote hacia abajo y descárgalo haciendo clic en Descargar UDP (download UDP) o Descargar TCP (download TCP).


Página de archivos de configuración OpenVPN de Nord Account con los botones Download UDP y Download TCP resaltados

  3. Cuando te conectes a OpenVPN e IKEv2 manualmente, vas a tener que usar el Nombre de usuario y la Contraseña de la pestaña Credenciales del servicio (service credentials).


Página de Configuración de Nord Account con la pestaña Service credentials resaltada, mostrando los campos Username y Password

Encontrarás tus credenciales del servicio de NordVPN (el nombre de usuario y la contraseña) en el panel de control de Nord Account

Sigue los pasos a continuación para encontrar las credenciales del servicio para la configuración manual de la conexión:

  1. Inicia sesión en tu Nord Account, haz clic en NordVPN, y, en Configuración manual, haz clic en credenciales del servicio (service credentials). Aquí encontrarás el nombre de usuario y contraseña necesarios para conectarte manualmente.

    Página de Configuración de Nord Account con la pestaña Service credentials resaltada, mostrando los campos Username y Password

Para el segundo campo, dependiendo del protocolo elegido anteriormente, introduce 1194 para UDP o 443 para TCP

Cortafuegos: Automático.
Modo de autorización: TLS.
Nombre de usuario/Autenticación de contraseña: Comprobado. Ahora introduce tus credenciales del servicio de NordVPN en los siguientes campos.

Autenticación del nombre de usuario Solo Desmarcar (por defecto).
Autenticación adicional de HMAC (tls-auth): en la lista desplegable, elige Saliente(1) (Outgoing(1)).
Crear NAT en el túnel: Comprobado.

Algunos routers de Tomato pueden no tener ningún campo para rellenar las credenciales de OpenVPN. En este caso ve a Administración -> Scripts e introduce los siguientes comandos en el campo «Init». Asegúrate de cambiar el nombre de usuario y la contraseña por tus credenciales del servicio de NordVPN:

echo username > /tmp/password.txt
echo password >> /tmp/password.txt
chmod 600 /tmp/password.txt

  1. Haz clic en la pestaña **Avanzado (advanced) y establece las siguientes opciones:

Intervalo de muestreo: 0
Redirigir el intervalo de internet: Comprobado
Aceptar la configuración de DNS: Modo Estricto
Sistema de cifrado: AES-256-CBC
Compresión: Deshabilitada
Tiempo de renegociación de TLS: -1
Reintento de conexión: -1
Verificar el certificado del servidor: Sin comprobar

Configuración personalizada:

remote-cert-tls server
remote-random
nobind
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
persist-key
persist-tun
ping-timer-rem
reneg-sec 0
auth sha512
#log /tmp/vpn.log
#Delete `#` en la siguiente línea si tu router no tiene los campos de las credenciales
#auth-user-pass /tmp/password.txt


Pestaña Advanced del cliente OpenVPN del firmware Tomato mostrando Accept DNS configurado como Strict, el cifrado AES-256-CBC y el campo Custom Configuration con las directivas OpenVPN

  2. Abre la pestaña Claves (keys).Abre un archivo de configuración que has descargado en el paso 3.

Clave estática (static key): pega el texto del bloque a .
Autoridad de certificación (certificate authority): pega el texto del bloque a . Deberías verlo así:


Pestaña Keys del cliente OpenVPN del firmware Tomato con los campos Static Key y Certificate Authority completados con los datos del certificado de NordVPN

  3. En la parte inferior de la página de configuración, haz clic en Guardar (save) para confirmar y guardar todos los ajustes. Para establecer una conexión, haz clic en Iniciar ahora (start now). Para comprobar si te has conectado correctamente, ve a la página Estado (status). 4. Configura el router para utilizar los servidores DNS de NordVPN para evitar fugas DNS:

Servidor DNS: Manual
DNS 1: 103.86.96.100
DNS 2: 103.86.99.100


Configuración WAN del firmware Tomato mostrando DNS Server configurado como Manual con las direcciones DNS de NordVPN 103.86.96.100 y 103.86.99.100 resaltadas

Configuración opcional de Kill Switch (para usuarios avanzados):

Ve a Administración > Scripts y, debajo de «Firewall» pega uno de los siguientes scripts.

  • Todos los clientes LAN perderán la conexión a internet si se cae una VPN:

WAN_IF=`nvram get wan_iface`
iptables -I FORWARD -i br0 -o $WAN_IF -j REJECT --reject-with icmp-host-prohibited
iptables -I FORWARD -i br0 -p tcp -o $WAN_IF -j REJECT --reject-with tcp-reset
iptables -I FORWARD -i br0 -p udp -o $WAN_IF -j REJECT --reject-with udp-reset

  • Solo una dirección IP específica perderá el acceso a internet si se cae una VPN:

WAN_IF=`nvram get wan_iface`
iptables -I FORWARD -i br0 -s `ip address` -o $WAN_IF -j REJECT --reject-with icmp-host-prohibited
iptables -I FORWARD -i br0 -s `ip address` -p tcp -o $WAN_IF -j REJECT --reject-with tcp-reset
iptables -I FORWARD -i br0 -s `ip address` -p udp -o $WAN_IF -j REJECT --reject-with udp-reset

¿Te ha resultado útil este artículo?

¿Sigues teniendo problemas?

  • Chat en tiempo real

  • Formulario de correo electrónico

Al hacer clic en "Chatear con el equipo de asistencia", aceptas nuestros Términos de servicio y reconoces nuestra Política de privacidad. La funcionalidad del chat se basa en las cookies. Al iniciar el chat, aceptas su uso. Más información en nuestra Política de cookies.