Anleitung: OpenVPN auf Routern mit AsusWRT Merlin

Die Option "Block routed clients if tunnel goes down" ist nur beim letzten Client, den man sich einträgt auf "Yes" zu setzen. Alle vorherigen Clients müssen hier auf "No" gesetzt sein. Dann klappt es mit den verschiedenen Clients/Locations per EIN/AUS.
 
Ich nutze einen Asus RT-AC86U mit Merlin 386.2_6 und hab alles nach Anleitung gemacht. Wenn ich jetzt mit dem Iphone über den Router (ExpressVPN) meine MediaMarkt App oder Ebay-Kleinanzeigen App öffne, bekomme ich eine Fehlermeldung und kann die App nicht nutzen.
Benutze ich aber die App von ExpressVPN auf dem Iphone, um eine Verbindung aufzubauen, Funktionieren die ganzen Apps. Ist das eine Einstellungssache im Router oder ein generelles Problem? Alles andere Funktioniert so weit, nur verschiedene Apps lassen sich nicht öffnen.

Gruß
 
Bekommst du denn eine mit deinem Browser eine Verbindung zu Google oder einer anderen Seite? Funktionieren andere Apps?
 
Ja Verbindungen zu Google und anderen Seiten, das geht alles. Auch andere Apps auf dem Handy lassen sich öffnen, nur bei Ebay Kleinanzeigen, Media Markt, Saturn und Google Family Link App da geht es nicht.
Ab und zu bekomme ich bei Google die Captcha zu sehen, ist aber nicht immer.
 
Vielleicht wurden die Ips von den Server bei den Apps gebannt. Probiere mal andere Server aus. Hast du Tracking Stop aktiv?
 
Hab einen anderen Deutschen Server probiert, da bekomme ich im Moment keine Verbindung. Warum auch immer? Muss ich später nochmal genau nachsehen.
Auf dem Iphone hab ich unter Datenschutz Apps erlauben Tracking anzufordern auf aus.

Hab jetzt einen anderen Server Testen können, mit dem ging es jetzt. Werde es weiter beobachten. Bin mir noch nicht sicher ob ich bei der Router Version bleibe. Brauche was wo Familien sicher ist. :)

DANKE
 
Last edited:
Die Regeln zum Routing bei ASUSWRT by Merlin sind vielfälltig und es gibt keine Prüfung ob diese sich gegenseitig ausschließen.
Also Du kannst zb an einer Stelle sagen alle Geräte sollen den VPN Tunnel 1 verwenden und an anderer Stelle dann, dieses Gerät A soll den VPN Tunnel 2 verwenden. Das schließt sich logischerweise dann aus und führt zu solchen Problemen.

Also Ihr müsst Euch wenn Ihr diese Regeln anwendet erstens überlegen was Ihr machen wollt (Meine Empfehlung sop einfach halten wie möglich) und dann zweitens überlegen welche Arten der regeln es gibt die Ihr anwenden könnt.

Eine Regel ist immer ein Eintrag in die Routing Tabelle des Routers also wird so in etwa aussehen:

IP Gerät A geht auf Port VPN 1
Alle Geräte gehen auf Port WAN

usw..

Hier zb ein Beispiel:
2021-07-09_13-40-43.png

Mir ist klar, dass Ihr mit den Einstellungen nun nicht diese Ansicht habt, aber wie gesagt jede der Einstelllungen produziert so einen Eintrag.
Nun ist es dann noch so, dass diese von oben nach unten vom Router angewendet werden.
Also wenn in Zeile 1 etwas steht, dass in Zeile 3 dann aber anders gemacht werden soll, dann ist es ein Konflikt und der Router wird die Zeile 3 nicht mehr beachten.

Einige Beispiele für die Konfigurationen habe ich hier gefunden: ASUSWRT Merlin Installationshilfe


Also wer Merlin einsetzen will, muss die Logiken verstehen und dann entsprechend sich ein Konzept machen und das anwenden. Da es immer individuell ist was jemand haben will, bleibt das niemanden erspart. Oder Ihr verwendet die angeführten Standard Regeln.

Bei Fragen einfach auch hier in VPN Gruppe da gibt es einige die Merlin verwenden oder Ihr schreibt mir halt direkt. Aber ohne ein Konzept, was genau erfolgen soll unter Berücksichtigung aller Geräte, ist es immer schwer zu helfen. Beachtet das bitte.
 
Ich verstehe das ganze immer mehr, aber leider immer noch nicht ganz ;)
Ich habe jetzt z.B. 2 VPN gleichzeitig laufen. VPN1 auf Austria und VPN2 auf Deutschland.
Unter VPN1 Austria habe ich mein Apple TV und VPN2 mein Iphone. Ich kann unter LAN nur Route (Schnittstelle) WAN, LAN, MAN, VPN auswählen. Wo habe ich jetzt die Möglichkeit VPN1 und VPN2 dem Gerät zuzuordnen?

Hat sich erledigt, Danke.
 
Last edited:
Nutze die aktuelle 386.3 und hab ein Problem. OpenVPN Client Config "Accept DNS Configuration 'Exclusive'" und trotzdem leakt er meine WAN IP DNS Server. In dem Fall Cloudflare aus Hamburg^^ Ist zwar nur Kosmetik, aber hätte mit der Einstellung Exclusive gerne das er strikt die vom OpenVPN Server gepushten nutzt.

Einstellungen sollten so passen?

VPN Director Policy Rules stehen auf alles was im LAN raus will after Tunnel goes down wird genullrouted?

Screenshot from 2021-07-26 20-44-07.png
 

Attachments

  • Screenshot from 2021-07-26 20-44-29.png
    Screenshot from 2021-07-26 20-44-29.png
    73.1 KB · Views: 33
  • Screenshot from 2021-07-26 20-48-50.png
    Screenshot from 2021-07-26 20-48-50.png
    139 KB · Views: 26
Last edited:
Killswitch -> VPN Director (nicht auf YES setzen).
Dann unter VPN Director TAB (neben VPN Status) noch die einzelnen über VPN1/2/3.. einstellen.
Hatte sonst mit All Traffic über VPN (YES) auch DND Leaks.
Nachteil WAN steht über der VPN und somit geht TRaffic an der VPN vorbei unverschlüsselt.
Hatte bei der Beta schon im SNB Forum deshalb gefragt.
 
WAN Traffic Leak kommt nicht in Frage. Rein von den Einstellungen sollte es für Client1 wie von mir konfiguriert absolut richtig sein. Allerdings nutzt er halt trotz "exclusive" einstellung nicht die gepushten dns server vom openvpn server
 
Ich habe jetzt ne halbwegs moderate Lösung über den DNS Filter. Nicht schön, aber selten. Funktioniert ganz gut.
Screenshot from 2021-07-28 19-29-08.png
 
Hab zur normalen VPN zurück gewechselt von Merlin, die haben nen Auto-Update jetzt sogar für den Router und
ich muss nicht Tausend Einstellungen beachten :D
 
Hab zur normalen VPN zurück gewechselt von Merlin, die haben nen Auto-Update jetzt sogar für den Router und
ich muss nicht Tausend Einstellungen beachten :D
zur normalen vpn gewechselt?

du hast die firmware gedowngraded oder wie?

die einstellungen sind so schwierig nicht zu verstehen . . . man muss sich halt bissel mit routing und prio beschäftigen
 
Die normale Firmware von Asus eben mit der Standard VPN.

Hat auch den "4) Fixed DoS vulnerability from spoofed sae authentication frame",
welcher Merlin mit v386.3.0 noch nicht eingebaut hat bspw. :)
 
Habe jetzt auf meinem RT-AC86U die aktuelle Merlin 386.3_2 installiert und soweit auch mit dem VPN eingestellt. Läuft überraschend gut, nur mußte ich bei der Config anstatt Merlin-VPN die von der AsusWRT-VPN nutzen. Hab jetzt in den Logs bei erfolgreicher Verbindung keine Fehler mehr.
 
Last edited:
Gab jetzt eine neues Firmware update für denn RT ac 86u laut log fixed Ipv6 heist das jetzt das Ipv6 auch unterstützt wird ?
 
Moin Moin,

hoffe ihr könnt ihr mir helfen. Lief jetzt Jahre alles wunderbar, nun auf einmal verbindet er nicht mehr. Wobei ich nichts verändert habe? Habe nun nach vielen probieren, eine Werkseinstellung gemacht und die Anleitung befolgt. Jedoch verbindet er nicht. Ich stelle auf ON er lädt die Sekunden runter und ist wieder OFF. Egal ob Erfurt, Hamburg, Berlin....

Im Protokoll steht:

Feb 4 16:56:13 rc_service: httpd 962:notify_rc start_vpnclient1
Feb 4 16:56:14 ovpn-client1[2665]: Options error: Unrecognized option or missing or extra parameter(s) in config.ovpn:51: data-ciphers (2.4.9)
Feb 4 16:56:14 ovpn-client1[2665]: Use --help for more information.
Feb 4 16:56:14 syslog: VPN_LOG_ERROR: 472: Starting OpenVPN failed...
Feb 4 16:56:15 dnsmasq[938]: read /etc/hosts - 10 addresses
Feb 4 16:56:15 dnsmasq[938]: using nameserver 8.8.4.4#53
Feb 4 16:56:15 dnsmasq[938]: using nameserver 8.8.8.8#53

Wo ist denn hier mein Fehler? Blick nicht ganz durch :/
 
Eventuell sind die in der Konfiguration verwendeten Zertifikate abgelaufen? Schon mal geschaut ob die anders aussehen wenn man die entsprechende Konfigurationsdatei für den OpenVPN Client über den Link in der Anleitung neu herunterlädt?
 
Back
Top