Anleitung: OpenVPN auf Routern mit AsusWRT Merlin

PP Stephan

Staff member
Dieser Thread bezieht sich auf die Anleitung OpenVPN auf Routern mit AsusWRT-Merlin. Bitte schreibt hier nur, wenn Ihr Fragen, Anmerkungen oder anderes Feedback zu dieser Dokumentation habt. Um diesen Thread übersichtlich und frei von veralteten Postings zu halten, wird er ab und zu vom Moderatoren-Team aufgeräumt.
 

maik79

Freshly Joined Member
Hallo,

Kann mir bitte jemand helfen?

Ich habe die Anleitung Schritt für Schritt umgesetzt, Zwei DNS Server von OpenNIC herausgesucht und den Verbindungstyp unter IPv6 auf Native gesetzt.

Jetzt wollte ich im VPN Menüe fortfahren. Leider erreiche ich den Router nicht mehr. Weder unter asus.router noch unter 192.168.1.1

Es kam nur noch der Hinweis:

"Die Einstellungen wurden geändert, die Webseite wird nun aktualisiert.IP-Adresse oder Portnummer wurden geändert. Sie werden nun von DSL-AC87VG getrennt.Zum Zugriff auf die DSL-AC87VG-Einstellungen verbinden Sie sich erneut mit dem WLAN-Netzwerk, verwenden Sie die aktualisierte IP-Adresse und Portnummer."

Unter welcher IP Adresse kann ich den Router jetzt finden damit ich weitermachen kann?


Danke
 

Gerd

Active Member
Es kam nur noch der Hinweis:

"Die Einstellungen wurden geändert, die Webseite wird nun aktualisiert.IP-Adresse oder Portnummer wurden geändert

Sehr eigenartig. Warum sollte dein Router die IP-Adresse oder Portnummer ändern? Es sei denn du hast noch etwas zusätzliches gemacht.

Unter welcher IP Adresse kann ich den Router jetzt finden damit ich weitermachen kann?

Normalerweise unter http://192.168.1.1 oder http://router.asus.com, wie du schon geschrieben hast. Eventuell könnte das auch am Browser liegen. Leere den Cache und versuch es noch einmal. Wenn das nicht klappt, setze den Router mit Reset auf Werkseinstellungen zurück.

Auch wenn du es später schaffst den DSL-AC87VG zurück zu setzen, wirst du mit der OpenVPN-Konfiguration wahrscheinlich Schwierigkeiten haben, denn das Fenster (Client Key) bei DSL-AC87VG lässt nur bestimmte Anzahl von Zeichen zu. Siehe hier.

Wenn das Gerät noch neu ist und du noch Widerrufsrecht hast, dann würde ich es so schnell wie möglich gegen ein anderes umtauschen. Zum Beispiel gegen ein Asus RT-AC86U, der auch eine Merlin Firmware unterstützt.

Was du noch machen könntest, wäre die neuste Firmware drauf zu flashen. Vielleicht kann man inzwischen den vollen Client Key eintragen.
 
Last edited:

rsa4096

New Member
Es ist richtig dass ASUSWRT-Merlin die DSL Variante nicht unterstützt.
Hast du diese Firmware wirklich geflasht bzw. welche Firmware hast du auf deinem Router?

Ich stimmte da Gerd zu dass irgendeine Einstellung geändert, wurde die dazu geführt hat, dass man sich neu anmelden muss.
Das ist z.B. der Fall wenn man die IP-Adresse des Routers und dadurch automatisch auch den DHCP-Bereich geändert hat.

Ich würde an deiner Stelle auch den Router auf Werkseinstellungen zurücksetzen und es dann neu versuchen.

Ein Umtausch für einen RT-AC86U z.B. macht nur dann Sinn wenn er auch ein DSL-Modem hat, dass er vor den Router setzen kann.

Übrigens bin ich nicht mit allen angegebenen Vorgaben in der Anleitung einverstanden.
 
Last edited:

maik79

Freshly Joined Member
Hallo, vielen Dank für eure Antworten.

Ich habe mir den 87VG extra wegen der VPN Funktion gekauft. Extra Modem habe ich nicht. Deswegen ja Modemrouter.

Dieser Text ""Die Einstellungen wurden geändert, die Webseite wird nun aktualisiert.IP-Adresse oder Portnummer wurden geändert. Sie werden nun von DSL-AC87VG getrennt.Zum Zugriff auf die DSL-AC87VG-Einstellungen verbinden Sie sich erneut mit dem WLAN-Netzwerk, verwenden Sie die aktualisierte IP-Adresse und Portnummer."

erscheint jetzt wenn ich auf 192.168.1.1 gehe.

Klar kann ich den Router resetten. Dann wird das aber wieder auftauchen wenn ich Verbindungstyp auf Native stelle. Naja ich versuchs gleich mal.

Kennt jemand evtl eine Firma die ich damit beauftragen kann (Berliner Umland)?
 

rsa4096

New Member
Klar kann ich den Router resetten. Dann wird das aber wieder auftauchen wenn ich Verbindungstyp auf Native stelle. Naja ich versuchs gleich mal.

Den Verbindungstyp unter IPv6 musst du nur dann auf Native stellen wenn Du auch wirklich IPv6 verwendest.
Falls nicht, wie ich, dann kannst du die Einstellung auf "Deaktivieren" stellen.
 

privacy

Active Member
Also unter merlin ist es egal ob man IPv6 native oder deaktiviert die Router ip ist immer 192.168.1.1 außer man stellt das selber ein zb auf 192.168.2.1 oder 192.168.3.1.......
 

rsa4096

New Member
Ich habe heute versucht auf meinem RT-AC86U tls-crypt anstatt wie bisher tls-auth zu verwenden.
Leider kommt dabei überhaupt keine Verbindung zustande. Der Status ist ständig im "Connecting...."
FW: 384.10_2

Das sind die entsprechenden Logeinträge:

Code:
Jul 16 16:32:57 rc_service: httpds 761:notify_rc start_vpnclient5
Jul 16 16:32:57 ovpn-client5[28441]: Note: option tun-ipv6 is ignored because modern operating systems do not need special IPv6 tun handling anymore.
Jul 16 16:32:57 ovpn-client5[28441]: OpenVPN 2.4.7 arm-buildroot-linux-gnueabi [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] built on Apr  3 2019
Jul 16 16:32:57 ovpn-client5[28441]: library versions: OpenSSL 1.1.1b  26 Feb 2019, LZO 2.08
Jul 16 16:32:57 ovpn-client5[28442]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Jul 16 16:32:57 ovpn-client5[28442]: Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Jul 16 16:32:57 ovpn-client5[28442]: Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Jul 16 16:32:57 ovpn-client5[28442]: TCP/UDP: Preserving recently used remote address: [AF_INET]37.58.58.239:4433
Jul 16 16:32:57 ovpn-client5[28442]: Socket Buffers: R=[524288->524288] S=[524288->524288]
Jul 16 16:32:57 ovpn-client5[28442]: UDP link local: (not bound)
Jul 16 16:32:57 ovpn-client5[28442]: UDP link remote: [AF_INET]37.58.58.239:4433

Weiter kommt dann nichts mehr.
Eigentlich müsste als nächster Schritt die TLS Initialisierung kommen.
Deshalb denke ich dass es am tls-crypt liegt.
 

ThePlug

Freshly Joined Member
Moin, ich habe mir nun auch eine AC86U Router zugelegt, den ich mit meinem PerfectPrivacy Abo nutzen möchte!
Ich habe soweit alles nach Anleitung konfiguriert, die VPN Verbindung ist aktiv und läuft. Mein Problem: Trotz der aktiven VPN Verbindung wird mir die IP Adresse meines ISP angezeigt, wenn ich ich meine IP Adresse prüfe?! Wie kann das sein? Woran liegt das?

Vielen Dank im Voraus :)
 

PP_USER_2

New Member
Dieser Thread bezieht sich auf die Anleitung OpenVPN auf Routern mit AsusWRT-Merlin. Bitte schreibt hier nur, wenn Ihr Fragen, Anmerkungen oder anderes Feedback zu dieser Dokumentation habt. Um diesen Thread übersichtlich und frei von veralteten Postings zu halten, wird er ab und zu vom Moderatoren-Team aufgeräumt.

Momentane Anleitung gibt "Check Config, Error" aus (getestet mit Asus_RT-AX88U + Merlin 384.19)

Anleitung bei der ich den Fehler nicht habe:
 

enterprise973

New Member
Ich habe ein Problem bei der Anleitung https://www.perfect-privacy.com/de/manuals/router_asuswrtmerlin_openvpn

Nur Geräte, die in den VPN-Einstellungen auf VPN gesetzt sind, haben Internetzugriff. Nun habe ich statt 192.168.1.0/24 einfach einzelne Geräte zu VPN hinzugefügt, damit die restlichen Geräte ohne VPN ins Internet kommen. Leider funktionieren die Geräte ohne VPN nicht. Was kann ich machen? In den WAN-Einstellungen habe ich doch 2 DNS-Server eingetragen.
Außerdem ist es mega umständlich, dass Asuswrt nur einen DHCP-Pool hat.
 

privacy

Active Member
Ich habe ein Problem bei der Anleitung https://www.perfect-privacy.com/de/manuals/router_asuswrtmerlin_openvpn

Nur Geräte, die in den VPN-Einstellungen auf VPN gesetzt sind, haben Internetzugriff. Nun habe ich statt 192.168.1.0/24 einfach einzelne Geräte zu VPN hinzugefügt, damit die restlichen Geräte ohne VPN ins Internet kommen. Leider funktionieren die Geräte ohne VPN nicht. Was kann ich machen? In den WAN-Einstellungen habe ich doch 2 DNS-Server eingetragen.
Außerdem ist es mega umständlich, dass Asuswrt nur einen DHCP-Pool hat.
Dann benutze öffentliche dns in den wan Einstellungen (cloudflare,Google,adguard..) für die Geräte

und stell in den Vpn Einstellungen accept dns configuration auf exclusive damit benutzen die Geräte die über Vpn laufen Perfect-privacy dns server
 

enterprise973

New Member
Dann benutze öffentliche dns in den wan Einstellungen (cloudflare,Google,adguard..) für die Geräte
Habe ich auch, nämlich von opennic. VPN Einstellungen sind auch auf Exclusive. Kann es sein, dass ich in den Firewall-Einstellungen LAN-zu-WAN-Filter deaktivieren sollte?
Laut https://board.perfect-privacy.com/threads/dns-konfigurieren-auf-asuswrt.4362/#post-30410 ist das angeblich ein kill switch. Geräte, die nicht zum VPN zugeordnet wurden, haben nämlich kein Internet.
 

privacy

Active Member
@enterprise973
Eigentlich brauchst du das nicht bei rmerlin dort gibt es schon ein killswitch

Block routed clients if tunnel goes down einfach aktivieren in rmerlin

und automatic start at boot time nicht vergessen auch aktivieren
 

efgheni

Freshly Joined Member
Hi leute,

auf dem ax88u kommt trotz deaktiviertem ipv6:
Linux ifconfig inet6 failed: external program exited with error status: 1
Jan 2 08:19:51 ovpn-client1[11724]: Exiting due to fatal error

mit aktiviertem ip6 gehts. da ich das aber nich möchte, würd ich das gerne ausgeschaltet lassen. weis da jemand mehr?
 

Xulux

New Member
Dein Syslog müsste im Rahmen des Aufbaus der OpenVPN Verbindung etwas mehr Output anzeigen als deine 2 Zeilen :)
Die könntest du hier noch einstellen.

Wenn du IPv6 ausschaltest, was bei den ASUS sinnig ist weil keine IPv6-Unterstützung auf den OpenVPN Stack, dann muss die OpenVPN Konfig modifiziert werden.
Nutzt du ASUS-Merlin, kann man das direkt in der Weboberfläche hinzufügen (bei "Benutzerdefinierte Konfiguration" in der OpenVPN Konfiguration). Nutzt du das Originale ASUS-WRT, dann muss folgendes noch in die OpenVPN-Datei bevor du diese hochlädst:

pull-filter ignore "ifconfig-ipv6"
pull-filter ignore "route-ipv6"

...aber alles noch Glaskugel aufgrund der fehlenden Logs
 

efgheni

Freshly Joined Member
built on Aug 14 2020
Jan 2 15:41:17 ovpn-client1[18779]: library versions: OpenSSL 1.1.1g 21 Apr 2020, LZO 2.08
Jan 2 15:41:17 ovpn-client1[18780]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Jan 2 15:41:17 ovpn-client1[18780]: Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Jan 2 15:41:17 ovpn-client1[18780]: Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Jan 2 15:41:17 ovpn-client1[18780]: LZO compression initializing
Jan 2 15:41:17 ovpn-client1[18780]: Control Channel MTU parms [ L:1626 D:1140 EF:110 EB:0 ET:0 EL:3 ]
Jan 2 15:41:17 ovpn-client1[18780]: Data Channel MTU parms [ L:1626 D:1300 EF:126 EB:407 ET:0 EL:3 ]
Jan 2 15:41:17 ovpn-client1[18780]: Fragmentation MTU parms [ L:1626 D:1300 EF:125 EB:407 ET:1 EL:3 ]
Jan 2 15:41:17 ovpn-client1[18780]: Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1606,tun-mtu 1500,proto UDPv4,comp-lzo,mtu-dynamic,keydir 1,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-client'
Jan 2 15:41:17 ovpn-client1[18780]: Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1606,tun-mtu 1500,proto UDPv4,comp-lzo,mtu-dynamic,keydir 0,cipher AES-256-CBC,auth SHA512,keysize 256,tls-auth,key-method 2,tls-server'
Jan 2 15:41:17 ovpn-client1[18780]: TCP/UDP: Preserving recently used remote address: [AF_INET]85.17.64.131:1151
Jan 2 15:41:17 ovpn-client1[18780]: Socket Buffers: R=[524288->524288] S=[524288->524288]
Jan 2 15:41:17 ovpn-client1[18780]: UDP link local: (not bound)
Jan 2 15:41:17 ovpn-client1[18780]: UDP link remote: [AF_INET]85.17.64.131:1151
Jan 2 15:41:17 ovpn-client1[18780]: TLS: Initial packet from [AF_INET]85.17.64.131:1151, sid=3b18f41b 90dd3d58
Jan 2 15:41:17 ovpn-client1[18780]: WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Jan 2 15:41:18 ovpn-client1[18780]: VERIFY OK: depth=1, C=CH, ST=Zug, L=Zug, O=Perfect Privacy, CN=Perfect Privacy, emailAddress=admin@perfect-privacy.com
Jan 2 15:41:18 ovpn-client1[18780]: VERIFY KU OK
Jan 2 15:41:18 ovpn-client1[18780]: Validating certificate extended key usage
Jan 2 15:41:18 ovpn-client1[18780]: ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Jan 2 15:41:18 ovpn-client1[18780]: VERIFY EKU OK
Jan 2 15:41:18 ovpn-client1[18780]: VERIFY OK: depth=0, C=CH, ST=Zug, O=Perfect Privacy, CN=Server_amsterdam.perfect-privacy.com, emailAddress=admin@perfect-privacy.com
Jan 2 15:41:18 ovpn-client1[18780]: Control Channel: TLSv1.2, cipher TLSv1.2 DHE-RSA-AES256-GCM-SHA384, 4096 bit RSA
Jan 2 15:41:18 ovpn-client1[18780]: [Server_amsterdam.perfect-privacy.com] Peer Connection Initiated with [AF_INET]85.17.64.131:1151
Jan 2 15:41:19 ovpn-client1[18780]: SENT CONTROL [Server_amsterdam.perfect-privacy.com]: 'PUSH_REQUEST' (status=1)
Jan 2 15:41:19 ovpn-client1[18780]: PUSH: Received control message: 'PUSH_REPLY,topology subnet,redirect-gateway def1 ipv6,sndbuf 131072,rcvbuf 131072,route-ipv6 2000::/3,comp-lzo adaptive,route-gateway 10.4.85.1,ping 10,ping-restart 60,dhcp-option DNS 5.79.98.56,dhcp-option DNS 185.17.184.3,ifconfig-ipv6 fdbf:1d37:bbe0:0:69:5:0:1a/112 fdbf:1d37:bbe0:0:69:5:0:1,ifconfig 10.4.85.26 255.255.255.0,peer-id 19,cipher AES-256-GCM'
Jan 2 15:41:19 ovpn-client1[18780]: OPTIONS IMPORT: timers and/or timeouts modified
Jan 2 15:41:19 ovpn-client1[18780]: OPTIONS IMPORT: compression parms modified
Jan 2 15:41:19 ovpn-client1[18780]: LZO compression initializing
Jan 2 15:41:19 ovpn-client1[18780]: OPTIONS IMPORT: --sndbuf/--rcvbuf options modified
Jan 2 15:41:19 ovpn-client1[18780]: Socket Buffers: R=[524288->262144] S=[524288->262144]
Jan 2 15:41:19 ovpn-client1[18780]: OPTIONS IMPORT: --ifconfig/up options modified
Jan 2 15:41:19 ovpn-client1[18780]: OPTIONS IMPORT: route options modified
Jan 2 15:41:19 ovpn-client1[18780]: OPTIONS IMPORT: route-related options modified
Jan 2 15:41:19 ovpn-client1[18780]: OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Jan 2 15:41:19 ovpn-client1[18780]: OPTIONS IMPORT: peer-id set
Jan 2 15:41:19 ovpn-client1[18780]: OPTIONS IMPORT: adjusting link_mtu to 1629
Jan 2 15:41:19 ovpn-client1[18780]: OPTIONS IMPORT: data channel crypto options modified
Jan 2 15:41:19 ovpn-client1[18780]: Data Channel: using negotiated cipher 'AES-256-GCM'
Jan 2 15:41:19 ovpn-client1[18780]: Data Channel MTU parms [ L:1557 D:1300 EF:57 EB:407 ET:0 EL:3 ]
Jan 2 15:41:19 ovpn-client1[18780]: Fragmentation MTU parms [ L:1626 D:1300 EF:53 EB:407 ET:1 EL:3 ]
Jan 2 15:41:19 ovpn-client1[18780]: Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Jan 2 15:41:19 ovpn-client1[18780]: Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Jan 2 15:41:19 ovpn-client1[18780]: GDG6: remote_host_ipv6=n/a
Jan 2 15:41:19 ovpn-client1[18780]: TUN/TAP device tun11 opened
Jan 2 15:41:19 ovpn-client1[18780]: TUN/TAP TX queue length set to 1000
Jan 2 15:41:19 ovpn-client1[18780]: do_ifconfig, tt->did_ifconfig_ipv6_setup=1
Jan 2 15:41:19 ovpn-client1[18780]: /sbin/ifconfig tun11 10.4.85.26 netmask 255.255.255.0 mtu 1500 broadcast 10.4.85.255
Jan 2 15:41:19 lldpd[1352]: removal request for address of 10.4.87.18%34, but no knowledge of it
Jan 2 15:41:19 lldpd[1352]: removal request for address of 10.4.85.26%34, but no knowledge of it
Jan 2 15:41:19 lldpd[1352]: removal request for address of 10.4.85.26%34, but no knowledge of it
Jan 2 15:41:19 ovpn-client1[18780]: /sbin/ifconfig tun11 add fdbf:1d37:bbe0:0:69:5:0:1a/112
Jan 2 15:41:19 ovpn-client1[18780]: Linux ifconfig inet6 failed: external program exited with error status: 1
Jan 2 15:41:19 ovpn-client1[18780]: Exiting due to fatal error



auth-user-pass
client
dev tun
hand-window 120
inactive 604800
mute-replay-warnings
nobind
persist-key
persist-remote-ip
persist-tun
ping 5
ping-restart 120
redirect-gateway def1
remote-random
reneg-sec 3600
resolv-retry 60
route-delay 2
route-method exe
script-security 2
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-RSA-WITH-AES-256-CBC-SHA
tls-timeout 5
verb 4
pull-filter ignore "route-ipv6"
pull-filter ignore "ifconfig-ipv6"
tun-ipv6

tun-mtu 1500

proto udp
fragment 1300
mssfix

comp-lzo
key-direction 1


ich nutze merlin. aber die box unten meckert, dass es zuviele zeichen wären. kann ich auch die .ovpn editieren und nochmals hochladen? wo genau kommen deine befehle rein oder macht die zeile keinen unterschied? oder passt das so?
 
Last edited:
Top