Tipps & Tricks: [Tutorial] OpenVPN auf Routern mit Asuswrt-Merlin - Stand: 07.24

PapaBaer2

Active Member
ACHTUNG: Bitte kein blindes C&P (copy&paste) meiner Konfigs. Zuerst alles durchlesen & verstehen!
Da bei "LAN" & "WAN" gern mal bei falschen Eingaben das Webinterface nicht mehr Aufrufbar sein könnte, kann es zu Datenverlust (wenn kein Backup erstellt wurde) kommen, weil der Router zurückgesetzt werden muß.

  • Verwendete Hard- / Software für dieses Tutorial: Asus AX86U mit Asuswrt-Merlin 3004.388.8.1 und OVPN 2.6.*.
  • OVPN 2.6.* wird nur von aktuellen Asus-Routern unterstützt, siehe: Asuswrt-Merlin project website. Bei älteren Asus-Routern bitte im "Changelog-NG.txt" nach der Zeile "UPDATED: OpenVPN to 2.*" suchen und aktuelle Firmware findet Ihr unter Asuswrt-Merlin - OneDrive.
  • Ich nutze keine NAS / USB-Sticks, kein "AiProtection", "Adaptives QoS", "Game", "Open NAT", "USB-Anwendung", "AiCloud 2.0". Daher hierzu keine Hilfe!
  • Meine gesamte Konfig beruht auf "Automatische IP", grundsätzlich sollten aber folgende Einstellungen auch für andere Verbindungsregeln funktionieren.

Unter "LAN" & "WAN" sollte einiges geändert werden, was aber Nutzerspezifisch ist. Wichtig wäre unter
  • "LAN" -> "DHCP-Server" -> "DNS- und WINS-Servereinstellungen" -> leer zu lassen
  • "LAN" -> "DHCP-Server" -> "Manuelle Zuweisung" -> "Ja" auswählen und "Manuell zugewiesene IP zur DHCP-Liste" zu nutzen
  • "LAN" -> "Schalterregelungsseite" alles zu "Deaktivieren"
und "Anwenden" klicken. Nun unter
  • "WAN" -> "Internetverbindung" -> "WAN-DNS-Einstellungen" einen "DNS-Server" eurer Wahl vorzuschalten
  • "DNS-over-TLS (DOT)" zu nutzen
  • "WAN" -> "NAT Passthrough" alles zu "Deaktivieren"
und "Anwenden" klicken.

Wer Dual-Stack (IPv4 und IPv6) nutzt, aber durch den Bug von OpenVPN kein sicheres IPv6 bekommt, wählt unter
  • "IPv6" -> "Verbindungstyp" -> "Deaktivieren"
aus und klickt "Anwenden". Beachtet hierzu Bitte weiter unten den Punkt "Benutzerdefinierte Konfiguration".

Unter "Tools" -> "Other Settings" setzen wir bei
  • "Firewall: Drop IPv6 neighbour solicitation broadcasts (default: No)" -> "Ja"
  • "Wan: Use local caching DNS server as system resolver (default: No)" -> "Nein"
  • "Disable Asusnat tunnel" -> "Ja"
  • "dhcpd: send empty WPAD with a carriage return" -> "Ja"
und klicken "Anwenden".
Sobald der Router konfiguriert und mit dem Internet verbunden ist, werden jetzt erstmal unter OpenVPN-Profile für manuelle Einrichtung - Download die bevorzugten Konfigs geladen und ggfs. entpackt.
Software "OpenVPN"
Version "2.6"
Protokoll "UDP"
Verschlüsselung "CHACHA20-POLY1305" (Für mich Bestes Ergebnis für's Streaming)
TLS-Variante "TLS-crypt"
Schlüsselformat "Inline"
Gruppierung "Stadt" (Für mich Bestes Ergebnis für's Streaming)
Dateityp "zip"

--------------------------
Konfig-Teil VPN (Teil 1)
--------------------------
Im Router einloggen, nach "VPN" -> "VPN Client" wechseln, die gewünschte "*.ovpn" unter "Datei auswählen" laden und dann auf "Hochladen" klicken. Im nächsten Schritt wurde von Perfect Privacy einiges voreingestellt und wir korrigieren
Bild1.png
es demensprechend um, tragen die Zugangdsdaten ein und unter "VPN" -> "VPN Client" -> "Benutzerdefinierte Konfiguration"
Code:
pull-filter ignore ifconfig-ipv6
pull-filter ignore route-ipv6
Code:
client
remote-random
resolv-retry 60
ping 10
ping-restart 60
persist-tun
reneg-sec 3600
mute-replay-warnings
auth-nocache
pull-filter ignore auth-token
pull-filter ignore ifconfig-ipv6
pull-filter ignore route-ipv6
explicit-exit-notify 3
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
inactive 604800
redirect-gateway def1
remote-cert-tls server
tls-cipher TLS_CHACHA20_POLY1305_SHA256
tls-timeout 30
cipher CHACHA20-POLY1305
nobind
tls-version-min 1.3
tls-cipher TLS-ECDHE-RSA-WITH-CHACHA20-POLY1305-SHA256
eintragen und "Anwenden" klicken. Jetzt sollte sich das VPN mit der veränderten "Benutzerdefinierte Konfiguration" verbinden.
Wenn Ihr die "Benutzerdefinierte Konfiguration"(2) wählt, ändert Bitte bei
  • "tls-cipher TLS_CHACHA20_POLY1305_SHA256"
  • "cipher CHACHA20-POLY1305"
  • "tls-cipher TLS-ECDHE-RSA-WITH-CHACHA20-POLY1305-SHA256"
dementsprechend die "Verschlüsselung" um. Ansonsten verbindet sich der VPN nicht!

-------------------------------------
Konfig-Teil VPN Director (Teil 1.1)
-------------------------------------
Wir finden unter "VPN" -> "VPN Director" den "Killswitch" und weiter unten "Add new rule". Der "Killswitch" sollte von Perfect Privacy schon (vorkonfiguriert) eingerichtet sein und wir richten nun die Regeln ein. Wir klicken hinter "Add new Rule" auf das "+" und fügen
Code:
Iface = OVPN1 (OpenVPN 1)
Description = KillAll
Local IP = 192.168.1.0/24
..ein. Dies wiederholen wir für alle "Interfaces" von OVPN, bestätigen dies mit "OK" und klicken "Anwenden". Nun sollte es ähnlich wie
Bild2.png
aussehen und wir schalten unsere eigenen Geräte wie in der zweiten Zeile ebenso Frei.
Anmerkung: Bitte kein "KillAll" für das gewünschte "Iface" setzen, wo das "VPN" genutzt wird. Ansonsten routen sich auch nicht gesetzte Geräte am "VPN" vorbei.
Die Standard-IP lautet immer 192.168.50.1 bei zurückgesetzten bzw. neuen Asus-Routern. Sollte diese bei euch auch so lauten, dann setzt bei "Local IP = 192.168.50.0/24" ein.

------------------------------
Konfig-Teil Firewall (Teil 2)
------------------------------
Zuerst stellen wir unter "Firewall" alles wie
Bild6.png
ein (Sicherheit geht nun mal vor!) und klicken "Anwenden", nun sollten wir für den "Killswitch" die "Firewall" Scharf schalten. Dies verhindert, dass keine Geräte ausserhalb des VPNs Internet bekommen können, falls mal VPN oder "Killswitch" ausfallen. Hierzu gehen wir auf "Firewall" -> "Netzwerkdienstfilter", alles wie auf
Bild3.png
eintragen und "Anwenden" klicken. Testet eure Sicherheit unter VPN Tests & Checks von Perfect Privacy.

Danach & Optional:
Bild4.png
Möchtet Ihr kein "AiProtection" verwenden (Überträgt Daten an Trend Micro um euch zu "schützen", Indirekt ein Datenleak und verlangsamt sogar teilweise den Speed), deaktiviert zuerst einzeln unter "AiProtection"
  • "Blockieren schädlicher Webseiten"
  • "Two-Way IPS"
  • "Erkennen und Blockieren infizierter Geräte"
und dann
  • "Administration" -> "Datenschutz" -> "Genehmigung zurücknehmen".

Es lohnt sich auch immer ein Blick in das Forum von www.snbforums.com reinzuwerfen. Viele Probleme können auch dort schnell gelöst bzw. der Router mit Addons, Scripte & usw modifiziert werden. Nicht immer liegt es an Perfect Privacy wenn mal das VPN nicht so will oder eure Leitung immer langsamer wird.

Tutorial zuletzt aktualisiert am: 26.07.2024 | Grund: Auf den aktuellen Stand von Asuswrt-Merlin 3004.388.8.1 Firmware gebracht.
 
Last edited:
ACHTUNG: Bitte kein blindes C&P (copy&paste) meiner Konfigs. Zuerst alles durchlesen & verstehen!
Es kann zu Datenverlust (wenn kein Backup erstellt wurde) kommen, weil der Router bei falscher Konfiguration zurückgesetzt werden muß.

-----------------------------
Konfig-Teil Administration
-----------------------------
Unter "Administration" -> "System" können wir wie
Bild7.png
einstellen. Hierzu eine Erklärung:
  • "Router-Konto" -> "Anmelde-Captcha aktivieren" = Hilft bei Brute-Force-Angriffen.
  • "Persistent JFFS2 partition" -> "Enable JFFS custom scripts and configs" = Bei Aktivierung könnt Ihr Addons & Scripte auf dem Asus-Router installieren.
  • "Basiskonfiguration" -> "Secondary NTP Server" = Ein zweiter Zeitserver wie "0.de.pool.ntp.org" kann nie schaden.
  • "Basiskonfiguration" -> "Aktiviere WAN-Fehler Browser Hinweis", "Redirect webui access to www.asusrouter.com", "Neustartplaner aktivieren" = Machen wenig Sinn, daher Deaktivieren.
  • "Basiskonfiguration" -> "WPS Knopf verhalten" = Wer es nicht braucht, der stellt es nützlicherweise auf "WLAN An/Aus".
  • "Service" -> "Enable SSH" = Wird nur für die "ssh-Verbindung" benötigt. Nur "LAN only" aktivieren. Alles andere ist ein Sicherheitsrisiko!
  • "Service" -> "Allow SSH Port Forwarding" = Nur auf "Nein" einstellen. Alles andere ist ein Sicherheitsrisiko!
  • "Service" -> "SSH-Port" = Wird nur für die "ssh-Verbindung" benötigt. Wählt zwischen 51000 & 65535 um auf der sicheren Seite zu sein.
  • "Service" -> "Passwort-Anmeldung zulassen" = Ja, ausser Ihr wählt "Autorisierte Schlüssel" im nächsten Schritt aus!
  • "Service" -> "Autorisierte Schlüssel" = Wenn Ihr eure "ssh-Verbindung" absichern wollt. Anleitungen gib es zu Hauf im Internet.
  • "Konfiguration des lokalen Zugriffs" = Siehe: Wie kann ich über HTTPS auf die Web-GUI des ASUS-Routers zugreifen?
  • "Konfiguration des externen Zugriffs" -> "Web-Zugriff über WAN aktivieren" = Wer es nicht benötigt, stellt es auf "Nein". Alles andere ist ein Sicherheitsrisiko!
  • "Konfiguration des externen Zugriffs" -> "Nur angegebene IP-Adresse erlauben" = "Ja", erhöht die Sicherheit. Bitte nächste Zeile beachten!
  • "Angegebene IP-Adresse (Maximum : 4)" = Um den Zugriff auf die Web-Benutzeroberfläche vom Asus-Router zu beschränken, stelle hier deine feste IPs ein.
Unter "Administration" -> "Wiederherstellung" können wir die aktuellen Einstellungen des Asus-Routers in einer Datei speichern und später wieder aus dieser Datei laden. Wie
Bild8.png
zu sehen ist, können wir für ein
  • Backup "Einstellungen speichern" -> "Einstellungen speichern (ohne Haken reicht)" & "Backup JFFS partition" -> "Speichern"
und für eine
  • Wiederherstellung "Einstellungen wiederherstellen" -> "Hochladen" & "Restore JFFS partition" -> "Hochladen"
und für
  • "Werksteinstellungen" (Achtung: alle Daten werden unwiderruflich gelöscht - mit Haken) -> "Wiederherstellung"
nutzen.
 
Last edited:
Leider fehlen aber einige Punkte wenn man genau nach der Aneltung geht zb:
DNS-over-TLS Profil ? strict / Opportunistic ?
Voreingestellte Server ?

Und bekomme immer die meldung im log:

Sep 28 17:55:23 ovpn-client1[11048]: No valid translation found for TLS cipher 'TLS_CHACHA20_POLY1305_SHA256'
Sep 28 17:55:23 ovpn-client1[11048]: No valid translation found for TLS cipher 'TLS_AES_256_GCM_SHA384
WARNING: if you use --mssfix and --fragment, you should use the "mtu" flag for both or none of of them.
 
Hab ich extra offen gelassen, weil es unedlich Möglichkeiten gibt, denn jeder hat da ein anderes Sicherheitsempfinden. Schlussendlich braucht man da auch nichts eintragen, wenn man den Asus-Router als reinen VPN-Router nutzen möchte - da Perfect Privacy die DNS-Server durch das VPN schon mitbringt.

Und bekomme immer die meldung im log:

Sep 28 17:55:23 ovpn-client1[11048]: No valid translation found for TLS cipher 'TLS_CHACHA20_POLY1305_SHA256'
Sep 28 17:55:23 ovpn-client1[11048]: No valid translation found for TLS cipher 'TLS_AES_256_GCM_SHA384
Darum schrieb ich ja, dass man die Verschlüsselung in der Benutzerdefinierte Konfiguration ändern muß, wenn zB anstatt CHACHA20-POLY1305 (wie in meiner Anleitung) lieber AES-128-GCM usw nutzen möchte.

WARNING: if you use --mssfix and --fragment, you should use the "mtu" flag for both or none of of them.
Eine Warnung ist kein Fehler und hat auch kein Einfluss auf die Sicherheit bzw. Schnelligkeit. Entweder ignorieren oder nimm mal mssfix raus.
Dann hast Du deine Benutzerdefinierte Konfiguration angepasst. Darf ich fragen welchen Asus-Router mit welcher Firmware Du nutzt?
 
Last edited:
Ich nutze einen RT AC 86U mit der neusten Firmware. Keine Beta . So musste alles nochmal neu machen damit ich wieder auf die oberfläche komme ging nixs mehr.

Soweit läuft es auch wieder bekomme aber im log jetzt folgende meldung :
ovpn-client1[14351]: No valid translation found for TLS cipher 'TLS_AES_256_GCM_SHA384

denn rest habe ich wie in der anleitung geändert.

IPV6 muss ich auf Native stehen lassen sonst komm ich nicht mehr ins internet hab ich die einträge gemacht unter benutzer sobald ich es deaktviere geht nixs mehr. hab dual stack .
 
Ich nutze einen RT AC 86U mit der neusten Firmware. Keine Beta . So musste alles nochmal neu machen damit ich wieder auf die oberfläche komme ging nixs mehr.

Soweit läuft es auch wieder bekomme aber im log jetzt folgende meldung :
ovpn-client1[14351]: No valid translation found for TLS cipher 'TLS_AES_256_GCM_SHA384

denn rest habe ich wie in der anleitung geändert.
Wenn Du AES-256-GCM als Verschlüsselung verwendest, ändere es Bitte in der Benutzerdefinierte Konfiguration so
Code:
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256
cipher AES-256-GCM
tls-ciphersuites TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
ab, bzw. teste es erstmal mit der Standard-Benutzerdefinierte Konfiguration. Wäre es Dir vielleicht möglich deine jetzige zu posten. Manchmal sehen "vier Augen" mehr^^

IPV6 muss ich auf Native stehen lassen sonst komm ich nicht mehr ins internet hab ich die einträge gemacht unter benutzer sobald ich es deaktviere geht nixs mehr. hab dual stack .
Ich nutze auch Dual Stack und bei mir ist IPv6 auf dem Asus-Router deaktiviert und alles funktioniert wie es soll..
 
Last edited:
hand-window 120
inactive 604800
mute-replay-warnings
persist-remote-ip
ping 5
ping-restart 120
redirect-gateway def1
remote-random
resolv-retry 60
route-delay 2
route-method exe
script-security 2
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS_AES_256_GCM_SHA384:TLS-RSA-WITH-AES-256-CBC-SHA
tls-timeout 5
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
data-ciphers AES-256-GCM
remote-cert-tls server

Das sind die Standard einstellung habe nur oben tls cipher geändert.
 
Wenn Du magst, kann man auch die Standard nutzen, die Perfect Privacy vorgibt. Dann brauchst Du nichts ändern und solltest Dich Problemlos connecten können. Wenn Du die Originiale nicht in einer TXT gespeichert hast, setze dein VPN einmal zurück (einfach Standartwert wählen) und mach es ohne Änderungen neu. Sollte es sich verbinden, dann nutze es so.
 
Back
Top