Como configurar o OpenWrt com a NordVPN

A NordVPN é compatível com o OpenWrt?

Há informações de que os roteadores com firmware OpenWrt são compatíveis com VPNs como a NordVPN. Porém, lembre-se de que a configuração a seguir não foi testada pela equipe da NordVPN. Ela foi compartilhada e testada por nossos maravilhosos clientes. Em particular, a NordVPN gostaria de agradecer ao ulmwind, um membro ativo da comunidade do OpenWrt, pela assistência contínua ao nos fornecer instruções atualizadas do OpenWrt.

Este artigo fornece dois guias de configuração do OpenWrt:

• Instruções da interface GUI (versão simplificada)
• Instruções do CLI (mais avançado)

Se houver qualquer problema, fique à vontade para entrar em contato com nossa equipe de suporte! Este é um tutorial avançado, mas também fornece algumas instruções simplificadas.

Instruções do GUI

Neste guia, vamos mostrar a você como configurar uma conexão da NordVPN em roteadores usando o firmware OpenWrt pela interface Web LuCI. 

1. Para acessar a interface LuCI do roteador OpenWrt, insira o endereço de IP local no navegador de Internet e inicie a sessão. O endereço de IP padrão é 192.168.1.1 e o nome de usuário é root.
   
   
   
   Por padrão, não há configuração de senha, então você pode deixar esse espaço vazio. Entretanto, ao iniciar a sessão você receberá uma mensagem para definir a senha.
   
   
   Para fazer isso, clique em Sistema (System) > Administração (Administration) para definir uma senha.
2. Ao iniciar a sessão, selecione a aba Sistema (System) e escolha Software.
   
   
   
   
3. Clique no botão Atualizar listas (Update lists), aguarde até o processo ser concluído e clique em Ignorar (Dismiss).
4. Instale os pacotes a seguir digitando os nomes deles no campo Filtro (Filter) e clicando em Instalar (Install).
   1. openvpn-openssl
   2. ip-full
   3. luci-app-openvpn
      
      
      
      \
5. Clique em Salvar e aplicar (Save & Apply) e atualize a página do roteador. Você deverá ver uma nova aba chamada VPN. Clique nela e escolha OpenVPN no menu suspenso.
6. Agora será necessário baixar os arquivos de configuração do cliente OpenVPN. Você pode se conectar a um servidor recomendado pela sua Nord-Account.

Siga os passos abaixo para encontrar os arquivos de configuração da conexão manual:

1. Entre em (Log in to) sua Nord-Account e clique em NordVPN.
   
   
   
   
2. Role para baixo até Configurações avançadas (Advanced settings) e clique em Configurar NordVPN manualmente (Set up NordVPN manually).
   
   
   
   
3. Selecione a aba Arquivos de configuração do OpenVPN (OpenVPN configuration files).
   
   
   
   
4. Encontre o servidor ao qual deseja se conectar usando a barra de Pesquisa (Search) ou rolando para baixo. Depois, faça o download clicando em Baixar UDP (Download UDP) ou Baixar TCP (Download TCP).
   
   
   
   
5. Ao se conectar ao OpenVPN e IKEv2 manualmente, será necessário usar o Nome de usuário (Username) e a Senha (Password) na aba Credenciais do serviço (Service credentials).
   
   
   
   

Para os fins deste guia, usaremos o servidor us5104.nordvpn.com.

7. Na seção Carregar arquivo de configuração OVPN (OVPN configuration file upload), nomeie a conexão de VPN no campo Nome de instância (Instance name) (nós a nomeamos nordvpn_us). Depois, clique no botão Escolher arquivo (Choose File), localize o arquivo do servidor baixado e clique em Carregar (Upload).
   
   
   
   
8. Na seção Instâncias OpenVPN (OpenVPN instances), clique no botão Editar (Edit) ao lado da nova instância criada.
   
   
   
   
9. No campo inferior, insira suas credenciais do serviço da NordVPN, nome de usuário e senha, em linhas separadas. nome de usuário
   senha
   
   
   Você pode encontrar suas credenciais do serviço da NordVPN (nome de usuário e senha) no painel da Nord-Account.

Siga os passos abaixo para encontrar as credenciais do serviço para a configuração da conexão manual:

1. Entre (Log into) em sua Nord-Account, clique em NordVPN e, em Configuração manual (Manual setup), clique em Credenciais do serviço (Service credentials). Aqui você encontra o Nome de usuário (Username) e Senha (Password) necessários para se conectar manualmente.
   
   
   
   
2. Agora, copie o caminho para o arquivo de credenciais indicado exatamente acima do campo com as credenciais e cole-o ao lado da linha “auth-user-pass” na seção Arquivo de configuração (Config file) acima.

Deve ficar assim: auth-user-pass /etc/openvpn/nordvpn\_us.auth  

11. Clique no botão Salvar (Save) na parte inferior.
12. Clique na aba Rede (Network) no topo da página e escolha Interfaces.
13. Clique no botão Adicionar nova interface (Add new interface) e nomeie-o “nordvpntun”.
14. Clique no menu suspenso em Protocolo (Protocol) e escolha Não controlado (Unmanaged).
15. No menu suspenso em Interface, insira o nome “tun0” no campo inferior -- custom -- e pressione a tecla Enter.
    
    
    
    

16. Clique nos botões Criar interface (Create interface) e Salvar (Save).
17. Escolha a aba Rede (Network) no topo novamente e acesse a seção Firewall.
18. Clique no botão Adicionar (Add) e ajuste de acordo com as informações a seguir:
    1. Nomeie como vpnfirewall.
    2. Defina a opção Entrada (Input) como Rejeitar (Reject).
    3. Deixe Saída (Output) como Aceitar (Accept) e Encaminhar (Forward) como Rejeitar (Reject).
    4. Marque a opção Disfarçar (Masquerading).
    5. Marque a opção MSS clamping.
    6. No menu suspenso em Redes cobertas (Covered Networks), escolha nordvpntun.
    7. No menu suspenso em Permitir encaminhar de zonas de origem (Allow forward from source zones), escolha lan.
    8. Clique no botão Salvar (Save).
       
       
       
       

19. Na seção Zonas (Zones), encontre a zona chamada lan e clique no botão Editar (Edit).
    
    
    
    

20. No menu suspenso em Permitir encaminhar para zonas de destino (Allow forward to destination zones), marque a opção nordvpntun.
    
    
    
    

21. Novamente, clique em Rede (Network) no topo da página e escolha DHCP e DNS na lista suspensa.
22. Na aba Configurações gerais (General Settings), encontre a opção Encaminhamentos de DNS (DNS forwardings) e insira os endereços de DNS da NordVPN. Os endereços são: 103.86.96.100 e 103.86.99.100.
    
    
    
    

23. Acesse a aba Arquivos hosts e resolve (Resolve and Hosts Files), marque a opção Ignorar arquivo resolve (Ignore resolve file) e clique no botão Salvar e aplicar (Save & Apply).
    
    
    
    

24. Por último, volte à aba VPN > OpenVPN.
25. Na seção Instâncias do OpenVPN (OpenVPN instances), marque a opção Ativar (Enable) ao lado da opção da NordVPN na lista e clique no botão Salvar e aplicar (Save & Apply).
    
    
    
    

26. Clique no botão Iniciar (Start) ao lado da instância da NordVPN criada para se conectar ao servidor de VPN.

Após seguir essas instruções, você deverá se conectar usando a conexão configurada. Para verificar se deu certo, acesse a página inicial da NordVPN. O status no topo da página deve indicar Protegido (Protected).

Se quiser desconectar a conexão de VPN, clique no botão Parar (Stop) ao lado da opção da NordVPN na seção VPN > OpenVPN > Instâncias do OpenVPN (OpenVPN instances).

Instruções do CLI

Caso esteja buscando um tutorial mais avançado, siga este guia. Para aproveitar as vantagens da VPN no OpenWrt, você precisa de um roteador com firmware OpenWrt e um cliente OpenVPN ativado. A página principal do firmware é https://openwrt.org/.

1. Para começar, é necessário acessar seu roteador via SSH usando o endereço de IP da LAN. Por padrão, o endereço de IP é definido como 192.168.1.1 e o nome de usuário é root. Porém, o endereço de IP pode ser diferente se os valores padrão forem alterados.
2. O pacote do OpenVPN não está incluído na imagem do firmware por padrão. Para instalá-lo, execute os comandos a seguir: opkg update
   opkg install openvpn-openssl
   opkg install ip-full Além disso, você pode instalar o componente LuCI da configuração do OpenVPN, mas isso é opcional. Faça isso executando este comando: opkg install luci-app-openvpn
3. Após instalar o pacote do OpenVPN, você pode fazê-lo abrir automaticamente sempre que o roteador iniciar, executando este comando: /etc/init.d/openvpn enable
4. Agora será necessário baixar os arquivos de configuração do servidor.

Siga os passos abaixo para encontrar os arquivos de configuração da conexão manual:

1. Entre em (Log in to) sua Nord-Account e clique em NordVPN.
   
   
   
   
2. Role para baixo até Configurações avançadas (Advanced settings) e clique em Configurar NordVPN manualmente (Set up NordVPN manually).
   
   
   
   
3. Selecione a aba Arquivos de configuração do OpenVPN (OpenVPN configuration files).
   
   
   
   
4. Encontre o servidor ao qual deseja se conectar usando a barra de Pesquisa (Search) ou rolando para baixo. Depois, faça o download clicando em Baixar UDP (Download UDP) ou Baixar TCP (Download TCP).
   
   
   
   
5. Ao se conectar ao OpenVPN e IKEv2 manualmente, será necessário usar o Nome de usuário (Username) e a Senha (Password) na aba Credenciais do serviço (Service credentials).
   
   
   
   
6. Para este guia, usamos o servidor uk2054.nordvpn.com, mas você deve usar o servidor sugerido pelo site. Para baixar um arquivo de servidor, escolha o país ao qual deseja se conectar, clique em Mostrar protocolos disponíveis, clique com o botão direito em Baixar configuração para OpenVPN TCP ou OpenVPN UDP e escolha Copiar endereço do link. Depois, retorne à sessão SSH e execute o comando a seguir: wget -P /etc/openvpn https://downloads.nordcdn.com/configs/files/ovpn_udp/servers/uk2054.nordvpn.com.udp.ovpn No entanto, verifique se usou o link copiado para o arquivo de servidor específico. Esse comando baixará o arquivo de configuração no diretório /etc/openvpn para acesso fácil. A outra opção é baixar o arquivo de configuração do servidor em uma máquina diferente e transferi-lo para o roteador OpenWrt usando métodos alternativos, como os protocolos SCP ou SFTP. Para compilações OpenWrt mais antigas:
   Basta baixar um arquivo aqui  https://downloads.nordcdn.com/configs/archives/certificates/servers.zip. No arquivo baixado, você encontrará os arquivos correspondentes com as extensões .crt e .key. Os arquivos são específicos de cada servidor de VPN.
7. A configuração do OpenVPN para a NordVPN exige que você insira suas credenciais do serviço da NordVPN, nome de usuário e senha toda vez que o OpenVPN iniciar. Porém, faremos alguns ajustes para que as credenciais sejam fornecidas automaticamente. Primeiro, para facilitar o processo, instalaremos o editor de texto nano executando o comando a seguir: opkg install nano Ou você pode usar o editor de texto vi integrado. Para mais informações sobre editores de texto, consulte este artigo: https://openwrt.org/docs/guide-user/base-system/user.beginner.cli. Agora, abra o arquivo de configuração do servidor baixado usando o editor de texto nano. Em nosso caso, o comando seria: nano /etc/openvpn/uk2054.nordvpn.com.udp.ovpn Depois, acrescente a palavra “secret” (sem as aspas) à sequência “auth-user-pass”. A linha resultante deve ser: auth-user-pass secret Agora, precisamos criar um novo arquivo chamado secret, onde serão armazenadas as credenciais do serviço da NordVPN. Para fazer isso, digite o comando a seguir: nano /etc/openvpn/secret Isso criará o novo arquivo e o abrirá usando o editor de texto nano. Na primeira linha do arquivo, insira seu nome de usuário do serviço da NordVPN, e na segunda, a senha do serviço da NordVPN. Você pode encontrar suas credenciais do serviço da NordVPN (nome de usuário e senha) no painel da Nord-Account.

Siga os passos abaixo para encontrar as credenciais do serviço para a configuração da conexão manual:

1. Entre (Log into) em sua Nord-Account, clique em NordVPN e, em Configuração manual (Manual setup), clique em Credenciais do serviço (Service credentials). Aqui você encontra o Nome de usuário (Username) e Senha (Password) necessários para se conectar manualmente.
   
   
   
   
2. Configure o OpenVPN usando o arquivo de configuração baixado em uma destas duas formas:
   1. Altere a extensão do arquivo de .ovpn para .conf, o que permitirá que o OpenVPN o encontre automaticamente pela extensão. Para fazer isso, use o comando mv: mv /etc/openvpn/uk2054.nordvpn.com.udp.ovpn /etc/openvpn/uk2054.nordvpn.com.udp.conf
   2. Especifique o nome do arquivo em “/etc/config/openvpn” usando os comandos “uci”: uci set openvpn.nordvpn=openvpn
      uci set openvpn.nordvpn.enabled='1'
      uci set openvpn.nordvpn.config='/etc/openvpn/uk2054.nordvpn.com.udp.ovpn'
      uci commit openvpn Em seguida, o arquivo “/etc/config/openvpn” deve conter as seguintes sequências acrescentadas: config openvpn 'nordvpn'
      option enabled '1'
      option config '/etc/openvpn/uk2054.nordvpn.com.udp.ovpn' É possível verificar executando este comando: tail /etc/config/openvpn Você também pode alterar a extensão do arquivo de .ovpn para .conf e especificá-lo no arquivo “/etc/config/openvpn”. Nesse caso, porém, o OpenVPN iniciará esse arquivo de configuração apenas uma vez.\
3. Crie uma nova interface de rede executando os comandos a seguir: uci set network.nordvpntun=interface
   uci set network.nordvpntun.proto='none'
   uci set network.nordvpntun.ifname='tun0'
   uci commit network Se tudo tiver sido feito corretamente, o arquivo “/etc/config/network” vai conter as sequências acrescentadas a seguir: config interface 'nordvpntun'
   option proto 'none'
   option ifname 'tun0' Isso pode ser verificado usando o comando tail /etc/config/network.
4. Crie uma nova zona de firewall e adicione uma regra de encaminhamento de LAN para VPN executando os comandos a seguir: uci add firewall zone
   uci set firewall.@zone[-1].name='vpnfirewall'
   uci set firewall.@zone[-1].input='REJECT'
   uci set firewall.@zone[-1].output='ACCEPT'
   uci set firewall.@zone[-1].forward='REJECT'
   uci set firewall.@zone[-1].masq='1'
   uci set firewall.@zone[-1].mtu_fix='1'
   uci add_list firewall.@zone[-1].network='nordvpntun'
   uci add firewall forwarding
   uci set firewall.@forwarding[-1].src='lan'
   uci set firewall.@forwarding[-1].dest='vpnfirewall'
   uci commit firewall Se feito corretamente, o arquivo “/etc/config/firewall” deve conter as sequências acrescentadas a seguir: config zone
   option name 'vpnfirewall'
   option input 'REJECT'
   option output 'ACCEPT'
   option forward 'REJECT'
   option masq '1'
   option mtu_fix '1'
   list network 'nordvpntun' config forwarding
   option src 'lan'
   option dest 'vpnfirewall' Verifique isso executando o comando tail -13 /etc/config/firewall. Isso exibirá as últimas 13 linhas, que devem conter as sequências mencionadas acima.
5. Agora é necessário configurar os servidores de DNS. A abordagem mais simples é usar o DNS da NordVPN para a interface WAN do roteador. Para adicionar o DNS da NordVPN, execute os comandos a seguir:

uci set network.wan.peerdns='0'  

uci del network.wan.dns  
uci add\_list network.wan.dns='103.86.96.100'  
uci add\_list network.wan.dns='103.86.99.100'  
uci commit  
  
_Se receber a mensagem de erro “__uci: Entry not found__” após executar o comando_ _uci del network.wan.dns_ _você pode ignorá-lo._  
  
O arquivo “/etc/config/network” deve conter a seção ‘wan’ com três sequências acrescentadas na parte inferior:  
  
config interface 'wan'  
<...>  
option peerdns '0'  
list dns '103.86.96.100'  
list dns '103.86.99.100'  
  
É possível verificar executando o comando cat /etc/config/network e encontrando a interface ‘wan’ na saída.  
  
Você também pode adicionar endereços de DNS diferentes, como o do Google, executando estes comandos:  
  
uci set network.wan.peerdns='0'  
uci del network.wan.dns  
uci add\_list network.wan.dns='8.8.8.8'  
uci add\_list network.wan.dns='8.8.4.4'  
uci commit  
  
As sequências acrescentadas devem ser parecidas com as anteriores.  
 

(Opcional) Para evitar vazamento de tráfego em caso de desconexão do túnel da VPN, você pode abrir o arquivo “/etc/firewall.user” usando um editor de texto e adicionar o seguinte conteúdo a ele:

# This file is interpreted as a shell script.

# Put your custom iptables rules here, and they will be executed with each firewall (re-)start

# Internal uci firewall chains are flushed and recreated on reload, so

# put custom rules into the root chains, e.g. INPUT or FORWARD, or into the

# special user chains, e.g. input_wan_rule or postrouting_lan_rule.

if (! ip a s tun0 up) && (! iptables -C forwarding_rule -j REJECT); then

iptables -I forwarding_rule -j REJECT

fi

Além disso, você deve criar um arquivo chamado “99-prevent-leak” na pasta “/etc/hotplug.d/iface” executando nano /etc/hotplug.d/iface/99-prevent-leak e adicionando ao arquivo o conteúdo a seguir:

#!/bin/sh

if [ "$ACTION" = ifup ] && (ip a s tun0 up) && (iptables -C forwarding_rule -j REJECT); then

iptables -D forwarding_rule -j REJECT

fi

if [ "$ACTION" = ifdown ] && (! ip a s tun0 up) && (! iptables -C forwarding_rule -j REJECT); then

iptables -I forwarding_rule -j REJECT

fi

Em alguns casos, a conexão do OpenVPN pode cair com uma saída de registro semelhante a "não foi possível resolver o host…". Nesse caso, o túnel de VPN permanece, mas a conexão é perdida. Para reconexão automática, primeiro abra o arquivo “/etc/rc.local” usando um editor de texto e adicione a linha a seguir:

/etc/openvpn/reconnect.sh &

Além disso, é necessário criar o arquivo “reconnect.sh” no diretório “/etc/openvpn”. Para fazer isso, execute o comando nano /etc/openvpn/reconnect.sh.

No arquivo, insira o conteúdo do script a seguir:

#!/bin/sh

n=10

while sleep 50; do

t=$(ping -c $n 8.8.8.8 | grep -o -E '[0-9]+ packets r' | grep -o -E '[0-9]+')

if [ "$t" -eq 0 ]; then

/etc/init.d/openvpn restart

fi

done

Após seguir essas instruções, você deverá se conectar usando a conexão configurada. Para verificar se deu certo, acesse a página inicial da NordVPN. O status no topo da página deve indicar Protegido (Protected).

Caso queira desconectar a conexão de VPN, execute o comando a seguir:

service openvpn stop