Slik konfigurerer du et VPN på Tomato

Hva brukes Tomato-fastvare til?

Tomato er en tilpasset fastvare for rutere. Det tilbyr OpenVPN-klientstøtte og er tilgjengelig på en rekke rutere. Du kan sjekke om ruteren din støtter Tomato-fastvare her. En artikkel om hvordan du installerer Tomato-fastvare på en ruter finner du her.

Først og fremst blir disse endringene gjort i det nettbaserte konfigurasjonspanelet til ruteren din. Du får tilgang til panelet ved å besøke den lokale IP-en til ruteren din fra nettleseren. De to vanligste og standard lokale IP-ene som de fleste rutere har er 192.168.1.1 eller 192.168.0.1 – du får tilgang til disse ved å åpne http://192.168.1.1 eller [http://192.168.0.1](http://192.168.0.1/a min/index.html#/home) i nettleseren din. Standard IP, brukernavn og passord er oppført i ruterens bruksanvisning.

Slik konfigurerer du et VPN på Tomato-fastvare:

1. Åpne ruterens innstillingsside i nettleseren ved å skrive inn ruterens lokale adresse (192.168.1.1 som standard).
2. I menyen på venstre side klikker du på VPN Tunneling -> OpenVPN-klient (OpenVPN Client).
   
   
   
     3. Angi følgende alternativer:

Start med WAN: Hak av i boksen.
Grensesnittype: Velg TUN.
Protokoll: Velg enten UDP eller TCP og husk hvilken du velger, da dette vil være viktig senere.
Serveradresse/port:

I det første feltet skriver du inn vertsnavnet til serveren du ønsker å koble til. 

Følg trinnene nedenfor for å finne den beste serveren for tilkoblingen din:

1. Logg inn på Nord Account og klikk på NordVPN.
   
   
   
     2. Bla ned til Avanserte innstillinger (Advanced Settings) og klikk på Konfigurer NordVPN manuelt (Set up NordVPN manually).

  3. Velg fanen for Serveranbefaling (Server recommendation). Den beste serveren anbefales basert på hvor du befinner deg.

  4. Ved å trykke på Avanserte filtre (Advanced filters) kan du tilpasse de anbefalte serverne ved å velge Servertype (Server type) og Sikkerhetsprotokoll (Security protocol).

 Dersom du ønsker å velge en bestemt server, følger du disse trinnene:

1. Under Konfigurer NordVPN manuelt (Set up NordVPN manually), velger du OpenVPN-konfigurasjonsfiler (OpenVPN configuration files).
   
   
   
     2. Finn serveren du ønsker å koble til ved å bruke Søkefeltet (Search), eller ved å bla nedover. Last den ned ved å klikke på Last ned UDP (Download UDP) eller Last ned TCP (Download TCP).

  3. Når du kobler til OpenVPN og IKEv2 manuelt, må du angi Brukernavnet (Username) og Passordet (Password) fra fanen Tilgangsopplysninger for tjenesten (Service credentials).

Du finner tilgangsopplysningene for NordVPN-tjenesten (tjenestens brukernavn og passord) i Nord Account-kontrollpanelet.

Følg trinnene nedenfor for å finne tilgangsopplysningene for manuell konfigurasjon av tilkobling:

1. Logg inn på Nord Account og klikk på NordVPN. Under Manuell konfigurasjon klikker du på Tilgangsopplysninger for tjenesten (Service credentials). Her finner du Brukernavn (Username) og Passord (Password) som trengs for en manuell tilkobling.
   
   
   
   

I det andre feltet, avhengig av hvilken protokoll du valgte tidligere, skriver du inn 1194 for UDP eller 443 for TCP.

Brannmur - Automatisk.
Autentiseringsmodus - TLS.
Brukernavn/passordautentisering - Haket av. Skriv inn tilgangsopplysningene for NordVPN-tjenesten i feltene under.

Kun brukernavnautentisering Ikke haket av (standard).
Ekstra HMAC-autentisering (tls-auth) - Velg Utgående(1) fra nedtrekksmenyen.
Opprett NAT på tunnel - Haket av.

Noen Tomato-rutere har kanskje ikke noen felt hvor du kan skrive inn OpenVPN-tilgangsopplysninger. Hvis det er tilfellet, går du til Administrasjon -> Skript og angir kommandoene nedenfor i initialiseringsfeltet. Pass på at du endrer brukernavnet og passordet til tilgangsopplysningene du har for NordVPN-tjenesten:

echo username > /tmp/password.txt
echo password >> /tmp/password.txt
chmod 600 /tmp/password.txt

1. Klikk på fanen Avansert og angi følgende alternativer:

Pollintervall: 0
Omdiriger internettrafikk: Haket av
Godta DNS-konfigurasjon: Streng
Krypteringschiffer: AES-256-CBC
Komprimering: Deaktivert
TLS-gjenforhandlingstid: -1
Tilkoblingsforsøk på nytt: -1
Bekreft serversertifikat: Ikke haket av

Tilpasset konfigurasjon:

remote-cert-tls server
remote-random
nobind
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
persist-key
persist-tun
ping-timer-rem
reneg-sec 0
auth sha512
#log /tmp/vpn.log
#Slett `#` i linjen nedenfor hvis ruteren ikke har feltene for tilgangsopplysninger
#auth-user-pass /tmp/password.txt

  2. Åpne Nøkler (Keys)-fanen.Åpne en konfigurasjonsfil du lastet ned i trinn 3.

Statisk nøkkel (Static Key) - lim inn teksten fra  til -blokken.
Serifikatutsteder - lim inn teksten fra  til -blokken. Det bør se slik ut:

  3. Klikk på Lagre (Save) på bunnen av innstillingssiden for å bekrefte og lagre alle innstillinger. For å opprette en tilkobling, klikker du på Start nå (Start Now). For å sjekke om tilkoblingen er vellykket, kan du gå til Status-siden. 4. Konfigurer ruteren til å bruke NordVPNs DNS-servere for å forhindre DNS-lekkasjer:

DNS-server: Manuell
DNS 1: 103.86.96.100
DNS 2: 103.86.99.100

Valgfri Kill Switch-konfigurasjon (for avanserte brukere):

Gå til Administrasjon -> Skript og under brannmur limer du inn en av følgende skript.

• Alle klienter på LAN mister internettilkoblingen hvis et VPN blir brutt:

WAN_IF=`nvram get wan_iface`
iptables -I FORWARD -i br0 -o $WAN_IF -j REJECT --reject-with icmp-host-prohibited
iptables -I FORWARD -i br0 -p tcp -o $WAN_IF -j REJECT --reject-with tcp-reset
iptables -I FORWARD -i br0 -p udp -o $WAN_IF -j REJECT --reject-with udp-reset

• Kun en bestemt IP-adresse mister internettilgang hvis et VPN blir brutt:

WAN_IF=`nvram get wan_iface`
iptables -I FORWARD -i br0 -s `ip address` -o $WAN_IF -j REJECT --reject-with icmp-host-prohibited
iptables -I FORWARD -i br0 -s `ip address` -p tcp -o $WAN_IF -j REJECT --reject-with tcp-reset
iptables -I FORWARD -i br0 -s `ip address` -p udp -o $WAN_IF -j REJECT --reject-with udp-reset