Das mit Netflix bzw. den Streamingprovidern ist eigentlich recht simpel erklärt:
Anhand der IP-Adressräume sowie dem Nutzungsverhalten dieser IPs (viele VPN-User teilen sich am VPN-Server gleiche IP-Adressen) kann man mit weiteren, manigfaltigen Möglichkeiten einen VPN-Anbieter identifizieren (oder ggf. auch andere unerwünschte Quellen)
Anschl. blockt der Streaminganbieter schlicht diese IP-Adressräume.
Bekommt der VPN-Anbieter nun bspw. durch das Bereitstellen von neuen VPN-Servern oder auf anderem Wege an "frische IP-Adressen", dann sind diese den Streaminganbietern noch nicht bekannt.
Das kann dann eine Weile gut gehen, kann längere Zeit gut gehen...kann aber auch genau so schnell wieder vorbei sein.
Zu x3m Routing:
Seit der vorletzten Version (die genannte 3xy.15) ist "amtm" in ASUS-Merlin fest integriert. Bedeutet, du kannst dich per ssh auf den ASUS-Router einloggen, gibst "amtm" ein und kannst anschließend in einem Auswahlmenü alle Scripts direkt installieren (x3m, Diversion Adblocker,...die ganze Palette).
Zunächst ist der OpenVPN-Client im ASUS wie vorher auch, wichtig ist nur grundsätzlich, dort den DNS auf "Exclusive"(Exclusiv) zu setzen, damit er ausnahmslos nur die DNS Server aus dem Tunnel (ergo vom VPN-Anbieter) nimmt. Manche möchten aber gerne lokal ihren eigenen DNS nutzen, da diese ggf. Adblocker (ASUS Diversion oder Pi-Hole,etc.) nutzen möchten...aber das ist jetzt hier andere Baustelle.
Beim selektiven Routing (was ASUS-Merlin ja von Haus aus kann) kann man auswählen, welche "Source IP" (Client) über VPN oder WAN (kein VPN) laufen soll. Hat bspw. dein PC die 192.168.1.10 und dein Amazon-TVStick die 192.168.1.20, dann kannst du hier direkt die IP-Adressen eintragen und aussuchen ob das Endgerät über den VPN oder nicht-VPN (WAN) gehen soll.
Zusätzlich kann man aber nicht nur einzelne IP-Adressen angeben, sondern ganze Adressbereiche.
Nehmen wir als Beispiel die 192.168.1.0/24.
Das /24 steht für die Subnetzmaske 255.255.255.0 und definiert den Adressbereich 192.168.1.
0 bis 192.168.1.
255.
Hiervon ist aber die erste und die letze (.0 und .255) nicht in dem Sinne nutzbar, die .0 ist die Netzadresse, die .255 der sogenannte Broadcast.
Dir stehen also "nutzbare" IP-Adressen von 192.168.1.
1 bis 192.168.1.
254 zur Verfügung.
Würdest du nun als Source-IP im ASUS-Router 192.168.1.0/24 angeben, dann möchtest du das gesamte Netz durch bspw. den VPN tunneln.
Das entspricht auch deinem Bildchen was du gepostet hat.
Nur zusätzlich möchte er in deinem Bild, dass die 192.168.1.222 (die ja in dem genannten Netzbereich inkludiert wäre) NICHT über VPN geht...und setzt diese explizit auf WAN (kein VPN).
Dabei ist es völlig egal, ob dein Netz nun 192.168.1.0/24 wäre oder (wie meine ich bei den Fritzboxen) 192.168.178.0/24....alle Heimnetzte sind "ab Werk" immer /24 und beziehen sich auf den genannten Adressbereich.
Kennt man sich nun in Netzwerken etwas besser aus kann man mit der Subnetzmaske (hier die genannte /24 oder 255.255.255.0) auch sogenanntes Subnetting betreiben. Laienhaft ausgedrückt "splittest" du dein Netz in kleinere Teilnetze auf.
Würde ich nun beim ASUS Router als "Source-IP" nicht 192.168.1.0/24 sondern 192.168.1.0/
25 eingeben (255.255.255.128), dann hatte ich damit das vormals /24er Netz in 2 Teile "gesplittet"...ich bleibe bei Laienhafter ausdrucksweise.
Du hättest dann zwei Netze:
192.168.1.0 - 192.168.1.127 (192.168.1.0/25)
192.168.1.128 - 192.168.1.255 (192.168.1.128/25)
Bedeutet, wenn du bei "Source-IP" nun 192.168.1.0/25 und "VPN" eingeben würdest...würde ein Client aus deinem Heimnetz mit der 192.168.1.200 NICHT über den Tunnel gehen...der ist ja nun in diesem Adressbereich nicht mehr drin.
Sehr einfach erklärt, ohne technische Tiefe...aber da sollte man sich idealerweise schon etwas auskennen wenn man mit Subnetzen arbeiten möchte.
Alleine mit dieser "einfachen" Erläuterung kann das je nach Hintergrundwissen schon "!?" erzeugen
IPSets bei x3m:
Damit definiertst du die IP-Adressbereiche der bspw. Streaminganbieter die (egal von welchem Client in deinem Heimnetz) nicht über den VPN gehen sollen.
Hier hat jemand als IPSet Amazon, Netflix und Hulu hinterlegt.
D.h. jeglicher Traffic der auf diese Adressbereiche abzielt (bspw. du öffnest Netflix an deinem PC) wird nicht durch den VPN-Tunnel transportiert ,sondern geht regulär ohne VPN nach draußen.
Das ist aber ein "lebendes Ding", weil die Streaminganbieter ihren Content global verteilen und nicht "zentral" in einem einzigen Rechenzentrum vorhalten.
Das bedeutet, wenn Amazon bspw. seine Kapazitäten erweitert,umstrukturiert,etc....dann deckst du sehr schnell mit diesem IPSet nicht mehr alle Adressbereiche von Amazon ab.
Wenn Netflix nächste Woche in Frankfurt seine Infrastruktur erweitert und das andere oder weitere Adressbereiche zu Folge hat...stehen die nicht in der Liste (=Einschränkung).
Und auch hier: ASUS und VPN ausnahmlos und nur IPv4...keine IPv6-Fähigkeit,
das wird komplett ignoriert (sofern am ASUS funktional IPv6 anliegt).
Warum ist das so:
Wir in Europa sind sehr stark mit IPv6 und Dual-Stack und DS-Lite vertreten:
Dual-Stack:
Du hast am Anschluss eine öffentliche IPv4 und IPv6 gleichzeitig
DS-Lite:
Du hast nur einen reinen IPv6-Anschluss, jeglicher IPv4-Traffic wird "in IPv6 gepackt", dann zum Internetanbieter transportiert und dort über ein sogenanntes CGNAT (Carrier-Grade-NAT) wieder ausgepackt und ins Internet geschickt. Die öffentliche IPv4, die du beim Dual-Stack direkt am Router hast, ist hier sprichwörtlich zu deinem Internetanbieter "verschoben".
Das liegt daran, dass Anbieter die erst sehr spät in den Internetmarkt kamen (bspw. KabelDeutschland,Vodafone,etc.) einfach nicht genug IPv4 Adressen haben um jedem einzeln eine zur Verfügung zu stellen. Daher teilen sich viele Kunden wenige IPv4 Adressen beim genannten CGNAT.
Die Telekom hingegen ist steinalt, die hat aus anno dazumal noch soviele IPv4-Adressen, das jeder Kunde noch eine haben kann (Dual-Stack).
Aber in den USA (auch wenn dort IPv6 im Prinzip schon gut implementiert ist)...ist das nicht der Fall. Dort gibt es noch unzählige IPv4-Only-Anschlüsse. Auch RMerlin, der Entwickler von ASUS-Merlin...hat kein IPv6 und kann das weder testen noch implementieren.
Auch im entsprechenden Forum für ASUS(Merlin)
LINK ....die ganzen Entwickler von x3m und Co...die haben kein IPv6.
Ich nutze Zuhause auch ASUS-Komponenten und habe einen Dual-Stack Anschluss. Ich fordere aber, dass mein Anschluss nach aktuellem Stand der Technik läuft und ich persönlich auch den Stand der Technik nutzen möchte...und das ist mit IPv6.
Und VPN über den ASUS Router ist aufgrund der (noch) nicht vorhandenen IPv6-VPN-Fähigkeit einfach Schweizer Käse, wenn man neben IPv4 auch mit IPv6 arbeiten möchte.
Aber das ist eben der Sachstand bei ASUS...was mich persönlich echt ärgert. Der Router kann zwar IPv6-Funktionalität, aber die ganzen "Features" können überwiegend nicht mit IPv6 nicht umgehen.
Auch das beweihräucherte ASUS-Feature "Adaptive QoS" kann nicht wirklich mit IPv6 umgehen...ist natürlich doof, wenn an meinem Anschluss 50% meines Traffics über IPv6 rausgeht...weil eben das "große weite Web" bereits überwiegend IPv6 spricht.
Die Router sind ja auch nicht gerade billig (je nachdem in welches Regal man greift).
Rechtschreibfehler dürfen behalten werden, Gruß.