Router: OpenVPN fur TomatoUSB konfigurieren

Bitte stelle sicher, dass die folgenden Bedingungen erfüllt sind und beachte die Sicherheitshinweise: 

• Router mit TomatoUSB (bspw. von Anbietern wie Asus, Cisco Linksys, D-Link und Netgear (hier ein Anbieter mit fertiger Firmware: Flashrouters). Unter Shibby findest du ferner eine Liste Tomato-kompatibler Hardware
• Fertig aufgespielte Alternativ-Firmware
  Info: Offizielle Website Tomato
  Info: Firmware-Installation für ‚EasyTomato‘ auf Englisch und für 'Tomato' auf Deutsch
• Ein CyberGhost-Konto
  Info: So erstellst du ein CyberGhost-Konto
  Info: So verwaltest du dein CyberGhost-Konto
• Ein CyberGhost-Abonnement
  Info: So erwirbst du ein reguläres Abonnement ohne Client
  Info (nur Prepaid-Abonnenten): Aktivierungsschlüssel eingeben

Haftungsausschluss: Bitte habe Verständnis dafür, dass CyberGhost trotz allergrößter Sorgfalt beim Erstellen dieser Dokumentation keine Garantie oder Haftung für deren Richtigkeit geben kann. Es bestehen möglicherweise übersehene Fehler oder Änderungen, die noch nicht eingeflossen bzw. korrigiert sind. Außerdem benötigst zu zum Befolgen zumindest rudimentäre technische Kenntnisse.

Allgemeine Hinweise zur Verwendung eines Routers:

• Beachte, dass Router in der Regel mit wenig leistungsfähiger Hardware ausgestattet sind, so dass es zu Geschwindigkeitseinbußen bei VPN-Verbindungen kommen kann (basierend auf der eher geringen CPU-Leistungsfähigkeit, die die Verschlüsselung verarbeiten muss). Direkte Verbindungen (also vom PC, Laptop, Tablet, usw. aus) eignen sich im Vergleich viel besser, wenn hohe Verbindungsgeschwindigkeiten erreicht werden sollen.
• Geflashte Router besitzen keine DSL-Funktionalität, das heißt, dein Internetzugang muss weiterhin durch ein DSL-Modem bereitgestellt werden. Die Endgeräte wie Tablet, PC usw. hängen dann am Router (per Kabel oder Funk) und der Router selbst am DSL-Modem, beispielsweise einer Fritz!Box, die für die Internet-Verbindung zu deinem Provider verantwortlich ist. Achte deshalb darauf, dass du deine WLAN-Geräte hinsichtlich des neuen Routers konfigurierst, damit sie sich nicht unbemerkt im WLAN des DSL-Routers (falls vorhanden) einloggen. Alternativ kannst du auch das WLAN der verwendeten DSL-Box komplett deaktivieren, falls du es nicht für unverschlüsselten Traffic benötigst.
• Falls du deinen bestehenden Router mit einer alternativen Firmware ausrüstest, verlierst du unter Umständen eine eventuell noch bestehende Garantie; bitte konsultiere die Bestimmungen des Verkäufers/Herstellers. Auch besteht beim Flashen immer das Risiko, dass der Prozess nicht korrekt abläuft und das jeweilige Gerät funktionslos zurückbleibt, beispielsweise nach einem Stromausfall während des Flashens. CyberGhost übernimmt deshalb keinerlei Haftung oder Gewährleistung für fehlgeschlagene Flashvorgänge.
• Nicht jeder Router, der über integrierte VPN-Client-Software verfügt, muss sich auch automatisch mit dem CyberGhost-Netzwerk verbinden können. Auch ist möglich, dass das Gerät diese Fähigkeit bei zukünftigen Updates einbüßt. 

Schritt 1

Öffne die CyberGhost-Online-Kontoverwaltung und logge dich mit deinem CyberGhost-Nutzernamen und Passwort ein.

Klicke in der Kontoverwaltung auf den Menüeintrag mit der Bezeichnung 'Meine Geräte' und anschließend auf die Schaltfläche 'Andere'. 

Im Menüeintrag für 'Andere' klicke anschließend auf 'Neues Gerät konfigurieren'.

  Erstelle nun die Anmeldedaten für das OpenVPN-Protokoll:

• Protokoll: Wähle das OpenVPN-Protokoll aus.
• Land: Manuell erstellte Verbindungen für native Protokolle lassen sich immer nur einem Server zuweisen. Wähle deshalb nach der Auswahl des Protokolls das Land, von dem aus du surfen möchtest (der dann im ausgesuchten Land zu nutzende Server wird von CyberGhost automatisch aktiviert).
• Servergruppe: Abhängig vom ausgewählten Land, deinem aktuellen Tarif und der Verfügbarkeit verschiedener Servertypen für einen bestimmten Standort steht dir die Auswahl einer 'Servergruppe' zur Verfügung.     
  UDP: UDP erlaubt höhere Geschwindigkeiten als die TCP-Version, kann aber zu abgebrochenen Downloads führen. Dies ist die Standard-Einstellung.  
  TCP: TCP erlaubt stabilere, aber langsamere Geschwindigkeiten als UDP. Wähle diese Option, wenn du bei UDP-Verbindungen häufige Verbindungsabbrüche beklagen musst.
  Standard- und Premium-Server: Gruppe aller regulären Server des ausgewählten Landes. 
  Streaming Server: Speziell für Streaming optimierte Server des ausgewählten Landes.
  NoSpy: Enthält die Gruppe aller aller NoSpy-Server des ausgewählten Landes. Die Server stehen exklusiv Abonnenten zur Verfügung, die explizit die Zusatzserver als zusätzliches Feature gebucht haben.

• Gerätenamen: Gebe hier einen deinen Gerätenamen ein, damit du es später in der Geräteliste leichter finden kannst. 
• Vorkonfigurierte Sicherheit: Wir empfehlen Dir die hier angezeigten Einstellungsmöglichkeiten immer deaktiviert zu lassen, da diese die Verbindung massiv stören können.

Klicke im Anschluss auf "Konfiguration speichern und heruterladen" um die Konfigurationsdatei herunterzuladen. Speichere dir diese auf deinen Gerät ab, so dass du sie später wieder findest.

Notiz: Falls der Download nicht automatisch startet und du aber schon zur Geräteübersicht zurückgeleitet worden bist, dann klicke bei dem gerate erstellten Gerät auf "Bearbeiten" und klicke im Anschluss auf "Konfiguration herunterladen".

Die Konfigurationsdatei ist eine ZIP-Archivdatei mit folgenden Einzeldateien:

• ca.crt: Dies ist das Zertifikat der Zertifizierungsstelle
• client.crt: Dies ist die Nutzer-Zertifikatsdatei
• client.key: Dies ist die Schlüsseldatei (dein privater Schlüssel)
• openvpn.ovpn: Dies ist die eigentliche OpenVPN-Konfigurationsdatei

Entpacke die Datei nach dem Download und speichere die Einzeldateien auf deinem Rechner.

Schritt 2

Öffne die Konfigurationsoberfläche deines Routers mit TomatoUSB-Firmware und klicke im linken Seitenbereich auf ‚VPN Tunneling‘ und anschließend auf ‚OpenVPN Client‘

Basic

Aktiviere das Hauptregister ‚Client 1‘ und dort das Unterregister ‚Basic‘. Überprüfe anschließend die folgenden Optionen und ändere sie gegebenenfalls:

• Start with WAN: Bitte deaktivieren
• Interface Type: TUN
• Protocol: UDP oder TCP (je nachdem, welchen Protokolltyp du unter Schritt 1 ausgewählt hast) 
• Server Address/Port: Trage hier bitte die Adresse des Servers aus Schritt 2 ein: '4-ro.cg-dialup.net'. Der Port lautet '443'. Für ein anderes Land und/oder eine andere Servergruppe werden die ersten beiden Elemente der Serveradresse ausgetauscht, also beispielsweise die Adresse ‚4-de.cg-dialup.net‘ (für Deutschland mit Standardserver) statt ‚4-ro.cg-dialup.net‘ (für Rumänien mit Standard-Server). Das Präfix wird während der Länder- und Servergruppenauswahl automatisch erzeugt. Hinweis: Die Serveradresse (beispielsweise '4-ro.cg-dialup.net') enthält zwar die Angaben zu deinem Tarif, der Servergruppe und den allgemeinen Domainnamen, die eigentliche Serverauswahl im jeweiligen Land erfolgt allerdings automatisch, um sicherzustellen, dass du immer den jeweils leistungsfähigsten Server erhältst. Möchtest du einen Server hingegen selbst bestimmen (bspw. einen bestimmten Server in Wien), musst du die Serveradresse in der OpenVPN-Konfigurationsdatei von Hand anpassen (beispielsweise von '1-au.cg-dialup.net' zu 'Vienna-S01-I01.cg-dialup.net'). 
• Firewall: Automatic
• Authorization Mode: TLS
• Username/Password Authentication: Bitte aktivieren
• Username: Dein für dich in Schritt 1 erzeugte Nutzername
• Password: Das für dich in Schritt 1 erzeugte Passwort
• Username Authentification only: Bitte deaktivieren
• Extra HMAC authorization: Disabled
• Create NAT on tunnel: Bitte aktivieren

Unter 'Basic > Network' lassen sich auch die zu verwendenden DNS-Server konfigurieren. Wenn du möchtest, kannst du die erste DNS-IP-Adresse durch einen zensurfreien CyberGhost-Nameserver austauschen:

• Primary: 185.93.180.131 (Server-Standort Deutschland)
• Secondary: 194.187.251.67 (Server-Standort UK)

Achte ferner darauf, dass unter 'Basic > Time' die korrekte Zeitzone und der Server konfiguriert sind.

Advanced

Im Register ‚Advanced‘ nimmst du folgende Einstellungen vor, bzw. überprüfst die bestehenden:

• Poll Interval: 0 (also deaktiviert)
• Redirect Internet traffic: Bitte aktivieren
• Accept DNS configuration: Relaxed
• Encryption cypher: AES-256-CBC
• Compression: Enabled
• TLS Renegotiation Time: -1
• Connection retry: 30
• Verify server certificate: Bitte deaktivieren
• Custom Configuration: Markiere den kompletten Bereich, lösche ihn und kopiere einen Teil der heruntergeladenen 'openvpn.ovpn'-Datei hinein: Öffne die OpenVPN-Konfigurationsdatei mit einem einfachen Texteditor wie 'Windows Notepad', markiere die Textpassage von 'resolv-retry infinite' bis zu 'comp-lzo' (einschließlich), kopiere den Text mit 'STRG-C' und füge ihn mit 'STRG-V' ein:

resolv-retry infinite
redirect-gateway def1
persist-key
persist-tun
nobind
cipher AES-256-CBC
auth SHA256
ping 5
ping-exit 60
ping-timer-rem
explicit-exit-notify 2 [Hinweis: Einige Router verstehen diesen Befehl nicht. Im Zweifel oder falls eine Konfiguration nicht arbeitet, bitte entfernen.]
script-security 2
remote-cert-tls server
route-delay 5
tun-mtu 1500
fragment 1300
mssfix
verb 4
comp-lzo

Kopiere nicht einfach das obige Beispiel einer OpenVPN-Datei für deine Zwecke. Servereeinstellungen ändern sich gelegentlich und können daher veraltet sein. Verwende immer eine aktuell heruntergeladene OpenVPN-Konfigurationsdatei aus deiner Kontoverwaltung.

Keys

Im Register ‚Keys‘ siehst du vier Bereiche, von denen drei mit den korrespondierenden Inhalten der anderen drei Dateien aus deinem Download gefüllt werden müssen. Auch hierzu öffnest du die jeweilige Datei mit einem einfachen Texteditor wie 'Windows Notepad' und kopierst anschließend die jeweiligen Passagen in die entsprechenden Textfelder:

• Certificate Authority: Kopiere hier den kompletten Inhalt der Datei 'ca.crt' hinein.
• Client Certificate: Kopiere hier den kompletten Inhalt der Datei 'client.crt' hinein.
• Client Key: Kopiere hier den kompletten Inhalt der Datei 'client.key' hinein.

Klicke abschließend auf ‚Start Now‘, um das VPN zu starten.