Como construir um roteador VPN
VPNAs VPNs são ótimas tanto para privacidade quanto para evitar bloqueios geográficos, mas elas têm limitações. Para começar, nem todo dispositivo tem um cliente VPN - seu console de jogos, smart TV e media player provavelmente não têm um aplicativo cliente VPN disponível. Além disso, seu provedor de serviços de VPN pode aceitar apenas uma conexão de cada vez.
A solução para esses dois problemas é a configuração de um roteador VPN dedicado. Com um roteador VPN, qualquer dispositivo conectado a ele será roteado automaticamente pela VPN. Isso inclui consoles e smart TVs e qualquer outra coisa que você conecte a ele. Ele só conta uma única conexão do ponto de vista do provedor de VPN, não importa quantos dispositivos você tenha conectado a ele.
Observe que isso é realmente diferente de instalar um serviço VPN pronto para uso em um roteador. Temos outro guia para isso, apropriadamente chamado "Como instalar uma VPN no seu roteador".
Também existem provedores como o ExpressVPN que oferecem seu próprio firmware de roteador personalizado, que é mais amigável do que configurar o OpenVPN no DD-WRT..
- Confira os melhores serviços VPN de 2018, nosso melhor guia de VPN gratuito e as melhores ofertas de VPN
O plano
A melhor solução para a maioria das pessoas é colocar um roteador secundário em sua casa. Você pode deixar seu roteador de internet existente (nós o chamaremos de roteador primário daqui por diante) e conectar um segundo roteador ao roteador principal dedicado a fornecer serviços de VPN. Vamos chamar isso de roteador VPN.
Quando isso é feito, qualquer dispositivo que você conecta ao roteador principal - seja fisicamente através de uma conexão com fio ou através de WiFi - terá serviço de Internet regular. Qualquer dispositivo conectado ao roteador VPN (novamente, sem fio ou com fios) será roteado pela VPN. Você pode, é claro, devolver os dispositivos entre eles conforme necessário, apenas conectando-se a redes WiFi diferentes.
O que você precisa
Para que isso aconteça, você precisará de um segundo roteador de banda larga, um com uma porta Ethernet WAN (não um roteador ADSL ou de modem a cabo). Nós vamos instalar um firmware especial neste roteador que permite configurá-lo como um cliente VPN. O roteador precisa ser suportado pelo DD-WRT, que é o nome do firmware que usaremos.
Para verificar se um determinado roteador é suportado pelo DD-WRT, acesse o site e clique no banco de dados do roteador. Realize uma busca por um nome de modelo de roteador aqui, e uma lista surgirá revelando se o roteador é suportado ou não. Se for, você é bom para ir.
Antes que você comece
Antes de começarmos a configuração, há algumas coisas que você deve fazer:
1. Anote o endereço IP da LAN do seu roteador principal (é o que você usa em um navegador para acessar o console de administração do roteador). Os exemplos neste tutorial vão assumir que ele é 192.168.1.1, mas dependendo do modelo do roteador, ele pode ser 192.168.0.1, 10.1.1.1 ou, na verdade, qualquer variação de 192.168.x.x ou 10.1.x.x.
2. Procure no banco de dados do roteador o modelo do roteador que você pretende transformar no roteador VPN. Isso é muito importante - cada modelo de roteador tem instruções de configuração exclusivas e uma compilação DD-WRT recomendada para download. Clique duas vezes no modelo do roteador para ver sua página.
3. Na página do roteador, você verá um link para a página Wiki do DD-WRT para esse roteador. Clique nisso. Isso levará você a uma página de instruções para configurar o roteador. Precisamos manter essa página aberta e seguir seus passos com cuidado. Dê uma lida agora.
4. A página do Wiki também deve ter um link para uma compilação DD-WRT recomendada. Este será um arquivo .bin que você precisa baixar para o seu PC. É isso que vamos usar para fazer o flash do roteador. Dependendo do seu roteador, você também pode precisar baixar ferramentas adicionais, como um aplicativo TFTP.
Agora para conectar seu roteador VPN. Pegue um cabo Ethernet e conecte a porta WAN (Internet) no roteador VPN a qualquer porta LAN no roteador principal. Em seguida, conecte seu PC usando um cabo Ethernet a uma porta LAN no roteador VPN. E vamos começar a piscar.
Instalando o DD-WRT
A página do roteador do Wiki do DD-WRT tem as instruções exatas sobre como atualizar seu roteador. Se você tiver sorte, vai essencialmente:
1. Execute uma reinicialização a frio 30/30/30 no roteador. Isso significa que, enquanto o roteador estiver ligado, pressione e segure o botão de reset por 30 segundos. Então, ainda segurando o botão, desligue a energia e aguarde mais 30. Então (novamente, ainda segurando o botão) ligue a energia e espere mais 30.
2. Faça o login na página de administração do roteador e vá até a seção de atualização do firmware (geralmente encontrada sob administração). Use a opção de arquivo e selecione o arquivo .bin que você baixou do Wiki do DD-WRT. Clique em iniciar.
3. Aguarde alguns minutos enquanto atualiza. Em seguida, execute outra reinicialização a frio.
Se você não tem tanta sorte, você pode ter que executar algum tipo de enigma arcano para colocar o roteador no modo de depuração. Novamente, siga as instruções do Wiki do DD-WRT com muito cuidado, ou você corre o risco de arruinar o roteador!
Configuração
Espero que o roteador tenha piscado com sucesso. Agora é hora de algumas tarefas básicas de configuração. O endereço IP padrão do DD-WRT é 192.168.1.1. Abra seu navegador e insira esse endereço IP na barra de endereço. O nome de usuário padrão é root, senha admin. Você deve ver a interface do DD-WRT.
Clique na guia sem fio. Você precisará configurar o ponto de acesso sem fio com seus próprios SSIDs exclusivos - assim como faria com um roteador comum. A configuração da conexão sem fio permite que você alterne rapidamente entre o roteador principal e o roteador VPN apenas mudando as redes WiFi.
Não queremos que o endereço da LAN do roteador da VPN entre em conflito com o do roteador principal, portanto, talvez seja necessário alterá-lo. Em Configuração-> Configuração básica, localize a seção Configuração de rede / IP do roteador. Alterar o endereço IP do roteador VPN para que não entre em conflito com o roteador principal.
Uma boa maneira de fazer isso é configurá-lo de modo que o terceiro dos quatro números no endereço IP seja diferente (pode ser qualquer coisa entre 0 e 255). Por exemplo, se o endereço IP do seu roteador principal for 192.168.1.1, você poderá definir o roteador VPN como 192.168.2.1. Se o roteador principal for 10.1.1.5, você pode definir o roteador VPN como 10.1.2.5 e assim por diante. Em seguida, clique em Salvar.
Configurando o roteador como um cliente
Seu roteador VPN está conectado a uma porta no seu roteador principal - que acha que é apenas outro dispositivo na sua rede. Na página principal Setup / Basic Setup, você pode definir o tipo de conexão WAN. O padrão é DHCP, o que na verdade é bom. Mas, se quiser, você também pode mudar para o endereço IP estático, que é como configurar um endereço IP estático em qualquer outro dispositivo na sua rede:
- o endereço IP da WAN é o endereço local do roteador VPN (os três primeiros números devem ser os mesmos do roteador principal, mas o quarto deve ser diferente; por exemplo, se o seu principal for 192.168.1.1, você pode definir o roteador VPN para a 192.168.1.20).
- a máscara de sub-rede é 255.255.255.0.
- o Gateway é o endereço IP do seu roteador principal (por exemplo, 192.168.1.1).
- O DNS estático é o endereço do servidor DNS para o seu ISP.
Você verá o valor de um endereço IP estático na seção final deste artigo, quando falarmos sobre a conexão das redes.
Esteja você estático ou DHCP, anote o endereço IP da WAN do seu roteador VPN. Está lá no canto superior direito da interface do DD-WRT. Você pode precisar mais tarde.
Apenas para verificar se tudo está funcionando, tente acessar a internet enquanto estiver conectado ao roteador VPN. Deve funcionar agora.
Configurando a VPN
Certo, agora é hora de finalmente configurar a VPN no roteador VPN.
Você precisará ir para a página inicial do seu provedor de VPN. Ele terá detalhes e guias que você precisará configurar a VPN no roteador. A maioria terá um guia para a configuração do DD-WRT.
Normalmente você pode configurá-lo usando PPTP ou OpenVPN, que são tecnologias VPN semelhantes. O OpenVPN é um pouco mais seguro, mas também é mais difícil de configurar.
A configuração do PPTP requer principalmente um endereço de servidor fornecido pelo seu provedor de VPN, que pode incluir uma lista de servidores por país, e você escolhe o que deseja ser o seu. Você também precisará do seu nome de usuário e senha da VPN - observe que, para alguns provedores, como o PIA, o nome de usuário / senha do PPTP é diferente do nome de usuário / senha geral.
Agora vá para Serviços-> VPN no DD-WRT e ative o cliente PPTP. Insira os detalhes fornecidos pelo provedor de VPN na caixa.
Para o OpenVPN, você geralmente terá que copiar e colar alguns scripts e certificados fornecidos pelo provedor de VPN. Vá até a página de suporte do provedor e procure o guia de instalação do DD-WRT / OpenVPN. Você precisará seguir de perto.
Depois de ter feito isso, reinicie o roteador. Quando ele iniciar novamente, se o cliente VPN estiver conectado corretamente, o endereço IP da WAN deverá ter mudado. Agora é o seu endereço IP da VPN. Parabéns! Você conectou seu roteador à VPN.
Agora que você tem a VPN configurada no seu roteador VPN, pode chamá-la um dia, se quiser. Qualquer dispositivo conectado ao roteador VPN - com ou sem fio - será automaticamente conectado à VPN. Geo-bloqueadores, cuidado.
Se você está preparado para mergulhar um pouco nas ervas daninhas, no entanto, há mais coisas que você pode fazer. Esta próxima parte é opcional, mas pode resolver um problema sério em algumas redes domésticas.
Obtendo as redes conversando entre si
Com essa configuração, um problema que você enfrentará é que você tem o que são efetivamente duas LANs distintas. Dispositivos conectados ao roteador principal podem não conseguir falar com dispositivos conectados ao roteador VPN. Para a maioria dos dispositivos que não são realmente um problema (eles ainda têm acesso à Internet), mas se você tiver servidores domésticos como dispositivos de armazenamento anexados à rede, poderá encontrar problemas.
Antes de fazer qualquer coisa, primeiro tente se conectar aos dispositivos conectados ao outro roteador. Teoricamente, conexões "upstream" - conectando-se de dispositivos conectados ao roteador VPN a dispositivos conectados ao roteador principal - devem funcionar, portanto, servidores como os dispositivos NAS geralmente devem estar conectados ao roteador principal. (Muitos NASs também têm várias portas Ethernet. Aqui é onde você pode fazer um bom uso delas, conectando uma porta a cada roteador, dando assim aos dispositivos conectados ao acesso ao NAS.)
É principalmente ao conectar de outra forma, do primário ao roteador VPN, que você terá problemas.
Encaminhamento: roteador VPN
Uma solução mais completa é configurar o encaminhamento nos roteadores principal e VPN, de modo que os dados passem entre eles corretamente. Isso pode ser um pouco perturbador, então você precisa prestar muita atenção.
Vamos começar com o roteador VPN. Precisamos de conexões de um endereço IP de roteador principal para passar pelo firewall. Conecte-se ao roteador VPN e insira a interface administrativa.
Clique em Administração e, em seguida, na guia Comandos. Na caixa Shell de Comando, insira esta linha:
iptables -I FORWARD -s 192.168.1.0/24 -j ACCEPT
Em seguida, clique no botão Salvar Firewall. (Para aqueles que estão interessados, o iptables é um comando do Linux que controla as regras de filtragem de pacotes do firewall).
Isso é supondo que você tenha um endereço 192.168.1.x para o seu roteador principal. Se tiver um endereço diferente, você precisará alterar o IP nessa linha para que os primeiros três números sejam iguais aos do seu roteador principal - mas o último número será sempre 0. Por exemplo, se o endereço IP da LAN do roteador principal for 192.168.5.50, a linha seria:
iptables -I FORWARD -s 192.168.5.0/24 -j ACCEPT
Uma outra coisa que você deve fazer enquanto estiver conectado ao roteador VPN: vá para Administração-> Gerenciamento e ative o botão de opções para Gerenciamento de GUI na Web. Isso permitirá que você acesse a interface de administração do DD-WRT quando estiver conectado ao roteador principal (normalmente não será permitido por motivos de segurança).
Encaminhamento: roteador principal
Agora para o outro lado. A ideia aqui é fazer com que todas as conexões para os endereços IP de um roteador VPN sejam enviadas para o roteador VPN. Por exemplo, digamos que o endereço IP do seu roteador VPN seja 192.168.2.1. Qualquer dispositivo conectado a ele terá um IP 192.168.2.x, portanto, queremos que todas as tentativas de conexão ao 192.168.2.x sejam encaminhadas ao roteador VPN (que agora tem um firewall aberto para essas conexões). Fazemos isso usando uma ferramenta de roteador chamada rotas estáticas.
Conecte-se ao roteador principal e conecte-se à interface de administração. Você terá que encontrar a seção Rotas Estáticas - geralmente está em Roteamento Avançado. Você tem que criar uma nova regra que fará com que quaisquer dados destinados a endereços de LAN na rede do seu roteador VPN sejam encaminhados para o roteador VPN. Siga esses passos:
1. Dê um nome a ele. Este é simplesmente um rótulo de identificação para a regra. Pode ser qualquer coisa.
2. Defina o endereço IP de destino como 192.168.2.0 (isso pressupõe que o seu roteador VPN tem um endereço IP de 192.168.2.x - como acima, se ele tiver um endereço diferente, então os três primeiros números são os mesmos que os do seu roteador VPN). endereço IP da LAN do console administrativo - mas o último número sempre será 0, que é um caractere curinga aqui. Por exemplo, se o endereço do seu roteador VPN for 192.168.10.50, o número digitado seria 192.168.10.0).
3. Defina a máscara de sub-rede como 255.255.255.0.
4. Defina o endereço IP do gateway para o endereço IP da WAN do roteador VPN. Agora, isso é complicado: lembre-se de como solicitamos que você anotasse o endereço IP da WAN do roteador VPN antes de estar conectado à VPN? Nós precisamos desse número. Se você não fez uma anotação, conecte-se novamente ao roteador VPN e desabilite o serviço VPN. O número IP da WAN deve mudar para ser o número que precisamos. Lembre-se de que o endereço IP da WAN do roteador da VPN é, na verdade, um endereço IP da LAN do roteador principal, já que o roteador da VPN está realmente conectado a uma porta da LAN no roteador principal. Confuso? Nós dissemos a você que isso seria encrenca! Como nota extra, se você configurar o roteador VPN com DHCP, seu endereço poderá mudar algumas vezes, então você precisará modificar essa regra se isso acontecer.
5. Salve a rota.
Agora está configurado, você pode testá-lo. Enquanto estiver conectado ao roteador principal, tente acessar o console de gerenciamento do roteador VPN (isso não funcionará a menos que você tenha habilitado o Web GUI no DD-WRT). Em seguida, alterne: conecte-se ao roteador VPN e tente acessar o console de gerenciamento do roteador principal. Espero que deva funcionar nos dois sentidos.
Mesmo com a configuração de roteamento estático, você provavelmente experimentará alguma dificuldade ao tentar acessar dispositivos em redes. Por exemplo, as verificações de descoberta de rede provavelmente não funcionarão nos roteadores, portanto, você não poderá detectar automaticamente os servidores de mídia ao usar DLNA ou servidores de arquivos usando o navegador de Rede no Windows Explorer. Para se conectar a eles, você teria que mapear manualmente o Network Drive usando o endereço IP do servidor de arquivos. Infelizmente, a menos que você queira se tornar realmente sofisticado e usar a tecnologia cliente / servidor VPN para conectar os roteadores ou conectar as LANs com um cabo Ethernet e configurar um conjunto complexo de IPs e rotas estáticos (ambos possíveis, mas além da maioria dos usuários) isso é algo que você terá que viver.