Come configurare una VPN su Tomato

A cosa serve il firmware Tomato?

Tomato è un firmware personalizzato per i router. Supporta il client OpenVPN ed è disponibile su un'ampia gamma di router. Puoi verificare se il tuo router supporta il firmware Tomato qui. Un articolo su come installare il firmware Tomato su un router è disponibile qui.

Innanzitutto, queste modifiche si apportano nel pannello di configurazione web del router. Puoi accedervi collegandoti all'IP locale del router dal tuo browser. I due IP locali più comuni, ovvero quelli predefiniti per la maggior parte dei router, sono 192.168.1.1 o 192.168.0.1: puoi accedervi digitando http://192.168.1.1 o http://192.168.0.1 nella barra degli indirizzi del browser. L'IP predefinito, il nome utente e la password sono riportati nel manuale di istruzioni del router.

Ecco come configurare la VPN sul firmware Tomato:

1. Apri la pagina delle impostazioni del router nel tuo browser inserendo l'indirizzo locale del router (192.168.1.1 per impostazione predefinita).
2. Nel menu a sinistra, clicca su Tunneling VPN -> Client OpenVPN.
   
   
   
     3. Imposta le seguenti opzioni:

Avvia con WAN - seleziona la casella.
Tipo di interfaccia - seleziona TUN.
Protocollo - scegli tra UDP e TCP e ricorda la tua preferenza, perché sarà importante per un passaggio successivo.
Indirizzo/porta del server:

Nel primo campo, inserisci il nome host del server a cui vuoi connetterti. 

Segui la procedura descritta qui sotto per trovare il server migliore per la tua connessione:

1. Accedi al tuo Nord Account e clicca su NordVPN.
   
   
   
     2. Scorri verso il basso fino alla sezione Impostazioni avanzate e clicca su Configura NordVPN manualmente.

  3. Seleziona la scheda Raccomandazione server. In base al luogo in cui ti trovi, ti verrà consigliato il miglior server.

  4. Premendo Filtri avanzati, puoi personalizzare ulteriormente i server consigliati selezionando il Tipo di server e il Protocollo di sicurezza.

 Se desideri selezionare un server specifico, segui questi passaggi:

1. Nella sezione Configura NordVPN manualmente, scegli File di configurazione OpenVPN.
   
   
   
     2. Trova il server a cui desideri connetterti usando la barra Cerca; in alternativa, puoi scorrere verso il basso e scaricarlo facendo clic su Scarica UDP o Scarica TCP.

  3. Quando ti connetti a OpenVPN e IKEv2 manualmente, dovrai usare il Nome utente e la Password riportati nella scheda Credenziali di servizio.

Puoi trovare le tue credenziali del servizio NordVPN (nome utente e password) nella dashboard del Nord Account.

Segui i passaggi riportati qui sotto per trovare le credenziali di servizio per la configurazione manuale della connessione:

1. Accedi al tuo Nord Account, clicca su NordVPN e, nella sezione Configurazione manuale, clicca su Credenziali di servizio. Qui troverai il Nome utente e la Password necessari per connetterti manualmente.
   
   
   
   

Nel secondo campo, in base al protocollo che avevi scelto prima, inserisci 1194 per UDP oppure 443 per TCP. 

Firewall - automatico.
Modalità di autorizzazione - TLS.
Autenticazione con nome utente/password - selezionata. Inserisci le tue credenziali del servizio NordVPN nei campi sottostanti.

Solo autenticazione con nome utente - non selezionata (impostazione predefinita).
Autorizzazione HMAC aggiuntiva (tls-auth) - seleziona In uscita (1) dall'elenco a discesa.
Crea NAT sul tunnel - selezionato.

Su alcuni router Tomato potrebbero non essere disponibili i campi per inserire le credenziali OpenVPN. In tal caso, vai su Amministrazione -> Script e inserisci i comandi sottostanti nel campo Inizializzazione. Assicurati di cambiare il nome utente e la password, inserendo le tue credenziali del servizio NordVPN:

echo username > /tmp/password.txt
echo password >> /tmp/password.txt
chmod 600 /tmp/password.txt

1. Clicca sulla scheda Avanzate e imposta le seguenti opzioni:

Intervallo di polling: 0
Reindirizza il traffico internet: selezionato
Accetta configurazione DNS: rigorosa
Cifrario di crittografia: AES-256-CBC
Compressione: disabilitata
Tempo di rinegoziazione TLS: -1
Tentativo di riconnessione: -1
Verifica il certificato del server: non selezionato

Configurazione personalizzata:

remote-cert-tls server
remote-random
nobind
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
persist-key
persist-tun
ping-timer-rem
reneg-sec 0
auth sha512
#log /tmp/vpn.log
#Elimina `#` nella riga sotto, se sul tuo router non sono presenti i campi delle credenziali
#auth-user-pass /tmp/password.txt

  2. Apri la scheda Chiavi.Apri un file di configurazione scaricato al passaggio 3.

Chiave statica - incolla il testo da  al blocco .
Certificate Authority - incolla il testo da  al blocco . Il risultato dovrebbe essere simile a questo:

  3. Clicca su Salva in fondo alla pagina delle impostazioni per confermare e salvare tutte le modifiche apportate. Per stabilire una connessione, clicca su Avvia ora. Per verificare se la connessione è attiva, vai alla pagina Stato. 4. Configura il router per utilizzare i server DNS di NordVPN ed evitare i leak di DNS:

Server DNS: manuale
DNS 1: 103.86.96.100
DNS 2: 103.86.99.100

Configurazione facoltativa del Kill Switch (per utenti avanzati):

Vai su Amministrazione > Script e, nella sezione Firewall, incolla uno dei seguenti script.

• Ogni client nella LAN verrà disconnesso da internet in caso di interruzione del collegamento VPN:

WAN_IF=`nvram get wan_iface`
iptables -I FORWARD -i br0 -o $WAN_IF -j REJECT --reject-with icmp-host-prohibited
iptables -I FORWARD -i br0 -p tcp -o $WAN_IF -j REJECT --reject-with tcp-reset
iptables -I FORWARD -i br0 -p udp -o $WAN_IF -j REJECT --reject-with udp-reset

• Solo uno specifico indirizzo IP verrà disconnesso da internet in caso di interruzione del collegamento VPN:

WAN_IF=`nvram get wan_iface`
iptables -I FORWARD -i br0 -s `ip address` -o $WAN_IF -j REJECT --reject-with icmp-host-prohibited
iptables -I FORWARD -i br0 -s `ip address` -p tcp -o $WAN_IF -j REJECT --reject-with tcp-reset
iptables -I FORWARD -i br0 -s `ip address` -p udp -o $WAN_IF -j REJECT --reject-with udp-reset