How to setup Proton VPN on MikroTik routers using IKEv2
A step-by-step guide to setting up Proton VPN on your MikroTik router using IKEv2
Proton VPN can be set up on your MikroTik router so that it will automatically connect to a Proton VPN server (available on your subscription) whenever an internet connection is established.
Below is a step-by-step guide to connecting a MikroTik router to a Proton VPN server using the IKEv2 VPN protocol. Please note that we recommend using WireGuard instead.
You can make these changes using the web configuration panel of your router.
1. To open the MikroTik configuration panel, open your terminal and enter:
ssh user@192.168.88.1
2. Get your service credentials from here, and use them for this setup.
3. Import Proton VPN CA to your router:
/tool fetch url="https://protonvpn.com/download/ProtonVPN_ike_root.der"
/certificate import file-name=ProtonVPN_ike_root.der name="Proton VPN CA" passphrase=""
4. Mark ALL traffic that you want to route through VPN server:
/ip firewall address-list add address=192.168.88.0/24 list=under_protonvpn /ip firewall mangle add action=mark-connection chain=prerouting src-address-list=under_protonvpn new-connection-mark=under_protonvpn passthrough=yes
5. IPsec/IKEv2 configuration
/ip ipsec mode-config add connection-mark=under_protonvpn name="Proton VPN mode config" responder=no /ip ipsec policy group add name=ProtonVPN /ip ipsec profile add dh-group=modp4096,modp2048,modp1024 dpd-interval=disable-dpd enc-algorithm=aes-256 hash-algorithm=sha256 name="Proton VPN profile" /ip ipsec peer add address= exchange-mode=ike2 name="Proton VPN server" profile="Proton VPN profile" /ip ipsec proposal add auth-algorithms=sha256 enc-algorithms=aes-256-cbc lifetime=0s name="Proton VPN proposal" pfs-group=none /ip ipsec identity add auth-method=eap certificate="Proton VPN CA" eap-methods=eap-mschapv2 generate-policy=port-strict mode-config="Proton VPN mode config" password= peer="Proton VPN server" policy-template-group=ProtonVPN username= /ip ipsec policy add dst-address=0.0.0.0/0 group=ProtonVPN proposal="Proton VPN proposal" src-address=0.0.0.0/0 template=yes
In “/ip ipsec policy” you should be able to see a new dynamic rule added next to your Proton VPN policy. It MUST exist, otherwise configuration is not working.
Note: To use our NetShield DNS filtering feature, you need to add suffixes to your OpenVPN/IKEv2 username. Add the suffix +f1 to block malware only or +f2 to block malware, ads, and trackers (for example: openvpn_ikev2_username+f2). NetShield is only available with our Plus, Unlimited, Family, or Visionary plans.
6. (OPTIONAL) Implement our kill switch
The instructions for implementing a kill switch are different for RouterOS6 and RouterOS7.
For RouterOS6, enter :
/interface bridge add name=protonvpn_blackhole protocol-mode=none /ip route add gateway=protonvpn_blackhole routing-mark=protonvpn_blackhole /ip firewall mangle add chain=prerouting src-address-list=under_protonvpn action=mark-routing new-routing-mark=protonvpn_blackhole passthrough=yes
For RouterOS7, enter :
/interface/bridge/add name=protonvpn_blackhole protocol-mode=none /routing/table/add name=protonvpn_blackhole fib /ip/firewall/mangle/add chain=prerouting src-address-list=under_protonvpn action=mark-routing new-routing-mark=protonvpn_blackhole passthrough=yes /ip/route/add routing-table=protonvpn_blackhole gateway=protonvpn_blackhole
7. (IMPORTANT) Exclude such VPN traffic from fasttrack
To list all firewall rules:
/ip firewall filter print
To remove the two fasttrack rules (the default rule and the dummy rule), add the appropriate numbers you found from the command above to the following command:
/ip firewall filter remove
/ip firewall mangle add action=change-mss chain=forward new-mss=1360 passthrough=yes protocol=tcp connection-mark=under_protonvpn tcp-flags=syn tcp-mss=!0-1375
9. Don’t forget to disable the fasttrack rule in FIREWALL RULES and reboot your router!
How to set up Proton VPN on a Flint (GL-AX1800) router
This guide explains how to set up Proton VPN on a GL.iNet Flint (GL-AX1800) router using the OpenVPN VPN protocol.
Before starting, you’ll need:
- A GL-AX1800 router with firmware version 3.208 (this guide may work with later firmware versions, but these have not been tested)
- A Proton VPN OpenVPN configuration file
- A working internet connection through your GL-AX1800 router
How to set up Proton VPN on a GL-AX1800 router
1. Log in to your router’s web Admin Panel using the password you entered when you set up the router. If you need help logging into your router, please refer to the manufacturer’s guide.
2. Go to VPN and select OpenVPN Client from the dropdown menu.
3. Click on the + Add a New OpenVPN Configuration button
4. Drag and drop the OpenVPN config file you previously downloaded to the Add a New OpenVPN Configuration window (or Select it manually using your system’s file manager).
5. Once the file is uploaded (which should only take a few seconds), enter the following details:
- A description of the configuration you just uploaded. This can be anything that makes sense to you.
- Your OpenVPN username
- Your OpenVPN password
Note that your OpenVPN username and password are not the same as your regular Proton VPN username and password. See How to log in to Proton VPN for more details.
Click Submit when you’re done.
How to connect to Proton VPN
Back on the VPN → OpenVPN Client screen, click Connect and you will connect to the Proton VPN server you just configured.
All devices that connect to the internet via this router are now protected by Proton VPN privacy.
See DNS leaks when using a VPN for instructions on how to check that you do not have a DNS leak.
Secure
your internet
- Strict no logs policy
- All apps are open source and audited
- High-speed connections (up to 10 Gbit)
- Based in Switzerland
- 30-day money-back guarantee
Proton — Privacy by default
Proton AG Route de la Galaise 32
1228 Plan-les-Ouates
Geneva, Switzerland
Built with support from
- System status
- Report abuse
- Report a problem
- Report a security issue
- Request a feature
- Sitemap
- Privacy policy
- Terms & conditions
- Transparency report
- © 2023 Proton AG. All rights reserved.
Как настроить VPN на роутере: интернет без ограничений
Интернет, наполненный духом свободы, становится все более и более контролируемым — провайдеры блокируют все подряд на свое усмотрение, поисковые системы следят за каждым вашим шагом, да и злоумышленники не дремлют. Неудивительно, что многие задумываются о том, чтобы обойти ограничения, вернувшись во времена «свободного Интернета». И VPN — один из таких способов.
Что такое VPN и зачем он нужен
VPN (Virtual Private Network, виртуальная частная сеть) — технология, позволяющая организовать локальную сеть поверх другой сети (чаще всего интернета). Чтобы пояснить, приведем такой пример. Допустим, вы военнослужащий срочной службы и хотите написать письмо девушке. Вы не собираетесь выдавать каких-либо секретов, но вам наверняка будет неприятно, что вашу переписку будут читать военные цензоры. Поэтому вы идете к прапорщику Семенову и договариваетесь с ним, что он будет отправлять ваши письма с городского почтового ящика. Семенов предлагает также, чтобы девушка писала ответы на адрес его городской квартиры, а он будет носить эти письма вам. Таким образом, прапорщик организовал виртуальную частную почту поверх обычной почты.
VPN-сервисы делают то же самое, подменяя ваш IP-адрес адресом своего сервера, зачастую расположенного в другой стране. Трафик между вами и VPN-сервером зашифрован, поэтому никто, даже ваш провайдер, не сможет определить, на какие сайты вы ходили и что там делали. Минус такой схемы в том, что бесплатные VPN-сервисы не отличаются высокой скоростью, да и уровень предоставляемой ими конфиденциальности зачастую сомнителен. А надежные и высокоскоростные VPN-сервисы требуют хоть и небольшой, но регулярной оплаты — в среднем, 2-5 долларов в месяц. Ну, так ведь и прапорщик Семенов вряд ли будет носить чужие письма «за спасибо».
Зачем подключать роутер к VPN
Подключить компьютер к VPN несложно. Вам не нужно разбираться, «как все устроено», достаточно скачать с сайта провайдера VPN-сервиса специальную утилиту, запустить ее, ввести полученные при регистрации логин/пароль — и все. Но при этом «свободный Интернет» будет только на этом компьютере. Все остальные устройства — пусть даже и подключенные к тому же роутеру — будут по-прежнему «под колпаком». Можно, конечно, установить ту же утилиту на все остальные компьютеры, а на смартфоны — аналогичные мобильные приложения (которые тоже можно скачать с сайта провайдера сервиса). Но это слишком хлопотно, намного удобнее подключить через VPN сам роутер. Правда, тут уже потребуется немного разобраться.
Во-первых, не всякий роутер в принципе может работать VPN-клиентом. Если настроить подключение не удается, то вполне возможно, что прошивка вашего роутера просто не позволяет подключаться к VPN-серверу поверх обычного интернета. В этом случае можно воспользоваться альтернативной прошивкой для роутеров DD-wrt или Tomato, но это потребует определенных знаний и навыков.
Во-вторых, многие, способные подключаться к VPN, роутеры предлагают небольшой выбор протоколов для подключения (OpenVPN, PPTP, L2TP и т.д.), а иногда выбора нет вообще и доступный протокол только один. Если вы подсоединяетесь к определенному VPN-серверу, убедитесь, что у него найдется хотя бы один общий протокол с вашим роутером.
Как подключить роутер к VPN
Зайдите в веб-интерфейс роутера, как это описано в руководстве по эксплуатации (обычно он находится по адресу 192.168.0.1 или 192.168.1.1). Если в меню найдется раздел «VPN-клиент», воспользоваться следует именно им — ваш роутер подготовлен для работы с VPN, и никаких проблем не предвидится.
Если такого раздела нет, попробуйте создать новое WAN-подключение. Для этого надо найти пункт меню «WAN» или «Internet». Иногда этот пункт расположен в корневом меню, иногда — в разделах «Connections», «Network» или «Settings». На открывшейся странице следует создать новое подключение и выбрать необходимый протокол.
Если вариантов выбора больше одного (и VPN-сервер, и роутер имеют несколько общих протоколов), то имейте в виду, что OpenVPN считается более безопасным, но он довольно сильно нагружает процессор роутера и может снижать скорость соединения.
При выборе PPTP и L2TP вам потребуется ввести данные, полученные от VPN-сервиса при регистрации: адрес сервера, пароль и логин. Иногда также требуется ввести IP-адреса DNS-серверов. Также следует задать получение IP-адреса от сервера (Dynamic IP).
Поищите на сайте VPN-сервиса описание настроек роутеров — даже если вашей модели там нет, посмотрите какие именно параметры требуется ввести.
При выборе OpenVPN вам может потребоваться загрузить конфигурационный файл с расширением .ovpn — он содержит настройки, относящиеся к конкретному серверу. Этот файл также можно загрузить с сайта VPN-сервиса.
Сохраните настройки и дождитесь подключения к WAN (возможно, потребуется перезагрузка роутера). Если подключения не происходит, попробуйте отключить в настройках роутера IPv6, найти опцию VPN Passthrough и убедиться, что она включена или отключить NAT для клиентов.
How to set up your AsusWRT router for Proton VPN using OpenVPN
In this article, we show you how to set up an AsusWRT router to connect to Proton VPN using the OpenVPN VPN protocol. On Asus RT-AXxxx routers, it’s also possible to configure Proton VPN using the WireGuard® protocol.
- Learn how to set up your AsusWRT router for Proton VPN using WireGuard
- Learn about OpenVPN vs. WireGuard
If you encounter any problems, please see the troubleshooting section at the end of the article or contact our Support team.
Please note that Proton VPN only guarantees support for streaming services if you have a Proton VPN Plus, Proton Unlimited, or Visionary (legacy) plan.
Setup instructions differ somewhat, depending on whether you have an Asus RT-ACxxx or an Assus RT-AXxxx router.
- How to set up OpenVPN on AsusWRT RT-ACxxx routers
- How to set up OpenVPN on AsusWRT RT-AXxxx routers
How to set up OpenVPN on AsusWRT RT-ACxxx routers
1. Open your Asus router’s admin panel by typing its local IP address into your browser’s URL bar. By default, the address is 192.168.50.1, but you may have changed it when you set up your router.
If you don’t know your router’s IP address, you can log in using the URL: router.asus.com (as long as you’re not connected to a VPN on the device you’re configuring AsusWRT from). Sign in using your Asus router account.
2. Go to Advanced settings → VPN .
3. Select the VPN Client tab and Add profile .
4. Download the OpenVPN configuration file(s) you desire, selecting Router for the platform.
5. Back on your Asus router’s admin page, select OpenVPN and enter the following:
- Description – This can be anything you wish (for example, Proton VPN)
- Username: Your OpenVPN / IKEv2 username
- Password: Your OpenVPN / IKEv2 password
Your OpenVPN / IKEv2 username and password are not your regular Proton VPN username and password. To find your OpenVPN / IKEv2 username and password, log in to account.protonvpn.com and go to Account → OpenVPN / IKEv2 username.
Note: To use our NetShield DNS filtering feature, append the suffix +f1 to your username to block malware or +f2 to block malware, ads, and trackers (for example, 123456789+f2). NetShield is a premium feature available with a Proton VPN Plus, Proton Unlimited, or Visionary (legacy) plan.
After you’ve filled everything in, click the Choose File button and use your system’s file manager to locate the OpenVPN configuration file you downloaded in step 4.
Click Upload to import the OpenVPN profile to your AsusWRT router. You’ll see a Complete notification once this is done. Click OK to complete the setup.
How to connect to Proton VPN
You are now ready to connect to a Proton VPN server and begin browsing securely. Return to the VPN Client page (Advanced settings → VPN) and click the Activate button next to the connection you just set up to establish a VPN connection.
If the connection is established successfully, you will see a blue checkmark under Connection Status.
To confirm that the AsusWRT router VPN setup is complete and the connection is working correctly, visit ip.me in a browser.
To disconnect the AsusWRT VPN connection, visit the VPN Client page and click the Deactivate button.
How to set up OpenVPN on AsusWRT RT-AXxxx routers
1. Open your Asus router’s admin panel by typing its local IP address into your browser’s URL bar. By default, the address is 192.168.50.1, but you may have changed it when you set up your router.
If you don’t know your router’s IP address, you can log in using the URL: router.asus.com (as long as you are not connected to a VPN on the device you’re configuring AsusWRT from). Sign in using your Asus router account.
2. Go to Advanced Settings → VPN → VPN Fusion tab → Add profile.
4. Download the OpenVPN configuration file(s) you desire, selecting Router for the platform.
5. Back on your Asus router’s admin page, fill in the following details:
- Connection Name: This can be anything you wish (for example, ProtonVPN).
- VPN type: OpenVPN
- Username: Your OpenVPN / IKEv2 username
- Password: Your OpenVPN / IKEv2 password
Your OpenVPN / IKEv2 username and password are not your regular Proton VPN username and password. To find your OpenVPN / IKEv2 username and password, log in to account.protonvpn.com and go to Account → OpenVPN / IKEv2 username.
Note: To use our NetShield DNS filtering feature, append the suffix +f1 to your username to block malware or +f2 to block malware, ads, and trackers (for example, 123456789+f2). NetShield is a premium feature available with a Proton VPN Plus, Proton Unlimited, or Visionary (legacy) plan.
After you’ve filled everything in, click the Import .ovpn file button and use your system’s file manager to locate the OpenVPN configuration file you downloaded in step 4.
You’ll see a Complete notification once this is done. Click Apply and Enable to complete the setup.
How to connect to Proton VPN
A VPN connection will be established when you first set the connection up and click Apply and Enable.
To connect at a later point, go to Advanced settings → VPN → VPN Fusion tab and toggle the switch next to your new connection on.
To confirm that the AsusWRT router VPN setup is complete and the connection is working correctly, visit ip.me in a browser.
To disconnect the AsusWRT VPN connection, visit the VPN Fusion page and toggle the switch off.
Troubleshooting
Proton VPN does not support OpenVPN versions earlier than OpenVPN 2.4 because they are no longer considered secure.
However, some AsusWRT routers have firmware that supports OpenVPN versions lower than 2.4. In this case, we recommend upgrading your firmware to the latest official version . To check the OpenVPN version supported by your router’s firmware:
1. Start or restart a VPN connection, as described above ( Deactivate your VPN connection if it is running and then Activate it).
2. Go to Advanced Settings → System log . Scroll to the top of the log and look for the OpenVPN version.
If your OpenVPN version is 2.4+ (or you have updated your firmware and are still encountering problems), you have two options:
- Report the issue to ASUS using its official Security Advisory tool (as using earlier versions of OpenVPN is a security issue).
- Flash your router with alternative secure firmware such as FreshTomato (Proton VPN setup guide here ) or OpenWRT (Proton VPN setup guide here ).