如何在 Tomato 上設定 VPN

Tomato 韌體的作用是什麼?

Tomato 是路由器的自訂韌體, 支援 OpenVPN 用戶端,並適用多種路由器。 在此處 可查看您的路由器是否支援 Tomato 韌體。 在此處 可找到如何在路由器上安裝 Tomato 韌體的相關文章。

請務必先在路由器的網頁設定面板中進行這些變更, 而設定面板可透過網頁瀏覽器造訪路由器的本地 IP 來存取。 絕大多數的路由器最常見的兩大預設本地 IP 為 192.168.1.1 和 192.168.0.1,透過在瀏覽器打開 http://192.168.1.1http://192.168.0.1,即可存取其設定面板。 在路由器使用者手冊中,您可以找到預設 IP、使用者名稱和密碼。

以下是在 Tomato 韌體上設定 VPN 的辦法

  1. 在瀏覽器上輸入路由器本地位址(預設值為 192.168.1.1),開啟路由器設定頁面。
  2. 在左側選單上點選「VPN 通道」 -> 「OpenVPN 用戶端」

    Tomato firmware OpenVPN Client Configuration Basic 標籤,NordVPN 伺服器位址、TUN 介面、UDP 通訊協定、TLS 授權與憑證已設定

      3. 設定下列選項:

從 WAN 開始:請勾選此方塊。
介面類型」:選擇「TUN」
通訊協定:選擇
UDPTCP
,並記住您的選擇,因為稍後這將會是重點。
伺服器位址/連接埠

第一個欄位中,輸入欲連線的伺服器主機名稱。 

請按照以下步驟找出最適合連線的伺服器:

  1. 登入Nord 帳戶,然後點選「NordVPN」

    Nord Account Services 頁面,左側邊欄已選取 NordVPN

      2. 向下捲動至「進階設定」,並點選「手動設定 NordVPN」


Nord Account 進階設定區段,'Set up NordVPN manually' 連結已醒目顯示

  3. 選擇「推薦伺服器」分頁。 程式會根據您的位置來推薦最適合的伺服器。


Nord Account 設定頁面,Server recommendation 標籤已醒目顯示

  4. 按下「進階篩選條件」,就可以進一步選擇「伺服器類型」「安全協定」來自訂推薦的伺服器。


Nord Account Server recommendation 標籤,Advanced filters 連結已醒目顯示


Nord Account Server recommendation,顯示伺服器類型與安全通訊協定篩選下拉選單

 如欲選擇特定的伺服器,請按照以下步驟操作:

  1. 「手動設定 NordVPN」的下方,選擇「OpenVPN 設定檔」

    Nord Account 設定頁面,OpenVPN configuration files 標籤已醒目顯示

      2. 使用「搜尋列」進行搜尋,或向下捲動,點選「下載 UDP」「下載 TCP」進行下載,找到想連線的伺服器。


Nord Account OpenVPN configuration files 頁面,Download UDP 與 Download TCP 按鈕已醒目顯示

  3. 手動連線至OpenVPNIKEv2時,在「服務憑證」分頁上,您將需要使用使用者名稱密碼


Nord Account 設定頁面,Service credentials 標籤已醒目顯示,顯示 Username 與 Password 欄位

您只要前往Nord 帳戶儀表板,就能找到自己的 NordVPN 服務憑證(服務使用者名稱和服務密碼)

請按照以下步驟找到手動連線設定的服務憑證

  1. 登入Nord 帳戶,按一下「NordVPN」,然後在 「手動設定」中點選「服務憑證」。在這裡可以找到手動連線必須用到的使用者名稱密碼**。

    Nord Account 設定頁面,Service credentials 標籤已醒目顯示,顯示 Username 與 Password 欄位

第二個欄位中,根據先前選擇的協定,如選擇UDP,則輸入1194,若是TCP,則輸入 443。 

防火牆:自動
授權模式:TLS
使用者/密碼驗證:已選取。 在下方欄位輸入 NordVPN 服務憑證。

使用者名稱驗證。 僅:未選取(預設)。
附加 HMAC 授權 (tls-auth):從下拉式清單中選擇Outgoing(1)
在通道上建立 NAT:已選取

某些 Tomato 路由器可能沒有任何欄位可輸入 OpenVPN 憑證。 在這種情況下,請前往「系統管理」->「指令碼」,並將以下指令輸入至初始欄位。 請確保變更您 NordVPN 服務憑證的使用者名稱和密碼:

echo username > /tmp/password.txt
echo password >> /tmp/password.txt
chmod 600 /tmp/password.txt

  1. 按一下「進階」分頁並設定下列選項:

輪詢間隔:0
重新導向網路流量:已選取
接受 DNS 設定:嚴格
加密密碼:AES-256-CBC
壓縮:已停用
TLS 重新協商時間:-1
連線重試:-1
驗證伺服器憑證:未選取

自訂設定

remote-cert-tls server
remote-random
nobind
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
persist-key
persist-tun
ping-timer-rem
reneg-sec 0
auth sha512
#log /tmp/vpn.log
如果路由器沒有憑證欄位 ,則刪除下方行中的`#`
#auth-user-pass /tmp/password.txt


Tomato firmware OpenVPN Client Advanced 標籤,Accept DNS 設為 Strict,Cipher 為 AES-256-CBC,Custom Configuration 欄位含 OpenVPN 指令

  2. 開啟「金鑰」分頁。開啟步驟 3 下載好的設定檔。

靜態金鑰:將文字從貼至區塊。
憑證授權:將文字從
貼至
區塊。應如下所示:


Tomato firmware OpenVPN Client Keys 標籤,Static Key 與 Certificate Authority 欄位已填入 NordVPN 憑證資料

  3. 點選設定頁面底部的「儲存」,儲存所有設定。 若要建立連線,請點選「立即開始」。 為了檢查是否已成功連線,請瀏覽「狀態」頁面。 4. 使用 NordVPN DNS 伺服器設定路由器來防止 DNS 外洩:

DNS 伺服器:手冊
DNS 1:103.86.96.100
DNS 2:103.86.99.100


Tomato firmware WAN Settings,DNS Server 設為 Manual,NordVPN DNS 位址 103.86.96.100 與 103.86.99.100 已醒目顯示

選用 Kill Switch 設定(適用進階使用者)

前往「系統管理」 > 「指令碼」,並在防火牆中貼上下列其中一組指令碼。

  • 如果 VPN 斷線,區域網路的每個用戶端都將失去網路連線:

WAN_IF=`nvram get wan_iface`
iptables -I FORWARD -i br0 -o $WAN_IF -j REJECT --reject-with icmp-host-prohibited
iptables -I FORWARD -i br0 -p tcp -o $WAN_IF -j REJECT --reject-with tcp-reset
iptables -I FORWARD -i br0 -p udp -o $WAN_IF -j REJECT --reject-with udp-reset

  • 如果 VPN 斷線,僅指定的 IP 位址將失去網路連線:

WAN_IF=`nvram get wan_iface`
iptables -I FORWARD -i br0 -s `ip address` -o $WAN_IF -j REJECT --reject-with icmp-host-prohibited
iptables -I FORWARD -i br0 -s `ip address` -p tcp -o $WAN_IF -j REJECT --reject-with tcp-reset
iptables -I FORWARD -i br0 -s `ip address` -p udp -o $WAN_IF -j REJECT --reject-with udp-reset

本文是否有幫助?

仍遇到問題嗎?

  • 即時聊天

  • 電子郵件表格

點擊「與客服人員洽談」即表示您同意我們的服務條款,並確認已閱讀我們的隱私權政策。 聊天功能仰賴 Cookie。 開始聊天,即表示您同意使用 Cookie。 如欲進一步了解,請參閱我們的 Cookie 政策.