ComputerBase Menü
Aktuelles

Asus Merlin und Wireguard mit Multihop

J

Johny231X

Cadet 2nd Year
Registriert
Nov. 2022
Beiträge
27
Hallo zusammen ich hätte einige Fragen zu Wireguard da ich bisher nur Openvpn kenne.Und zwar lässt sich ja auf dem Asus Router eine Wireguard Verbindung als Client aufbauen wie sieht das ganze aus wenn ein Multihop eigerichtet wird zb Eingang Schweden Ausgang Berlin hier handelt es sich ja um eine Multihop Verbindung greift hier auch der Killswitch im Router wenn zb der Eingang wegbricht oder der Ausgang ? Oder besteht die Verbindung dann weiter und läuft über denn Ausgang komplett oder Eingang? Oder IP leak ?

Bei Openvpn war es ja so Killswitch komplette Verbindung weg.
 
Bei WireGuard auf einem Asus-Router (oder generell) hängt das Verhalten in einer Multi-Hop-Konfiguration davon ab, wie die Verbindung und der Killswitch implementiert sind.

1. Funktioniert der Killswitch bei Multi-Hop (z. B. Eingang Schweden, Ausgang Berlin)?
Ja, der Killswitch greift normalerweise auch bei Multi-Hop, aber:
Wenn der Eingang (Schweden) wegfällt, wird der gesamte Datenverkehr unterbrochen, da der Tunnel nicht mehr vollständig aufgebaut ist. Wenn der Ausgang (Berlin) ausfällt, kommt es auf die Konfiguration an. Meist wird auch hier der gesamte Datenverkehr gestoppt, wenn der Killswitch korrekt eingerichtet ist.

2. Was passiert, wenn der Eingang oder Ausgang wegbricht?
Bei einem korrekt konfigurierten Killswitch wird der gesamte Datenverkehr gestoppt (ähnlich wie bei OpenVPN). Das verhindert IP-Leaks. Ohne Killswitch besteht die Gefahr, dass der Router auf die Standard-Internetverbindung ohne VPN zurückfällt, was zu einem IP-Leak führen kann.

3. Läuft die Verbindung weiter, wenn nur ein Teil (Eingang/Ausgang) wegfällt?
WireGuard selbst unterstützt keinen nativen Multi-Hop (im Gegensatz zu einigen VPN-Anbietern). Eine Multi-Hop-Verbindung wird durch eine manuelle Verkettung mehrerer WireGuard-Tunnel erreicht. Fällt ein Teil der Verkettung aus:
Ohne Killswitch könnte der Router versuchen, direkt auf den verbleibenden Tunnel (Eingang oder Ausgang) umzusteigen.
Mit Killswitch wird die gesamte Verbindung gekappt.

Gibt es bei WireGuard IP-Leaks?
Mit aktiviertem Killswitch: Nein, da der gesamte Traffic gestoppt wird.
Ohne Killswitch: Ja, wenn der Router auf die normale WAN-Verbindung zurückfällt.
 
Vielen Dank für die Antwort.

Momentan ist der Router wie folgt eingerichtet VPN Direcotor hier sind die Geräte mit der IP hinterlegt sowohl bei OpenVPN als auch bei Wireguard.

OpenVPN clients status

Hier steht zb Berlin Internet Routing: VPN Director + killswitch

Bei Wireguard Client 1 zb wird unten die Liste : VPN Director rules related to this client - click here to edit
Angezeigt und die Geräte mit IP die hinterlegt sind.

Killswitch - Block routed clients if tunnel goes down JA
Inbound Firewall Block
NAT aktivieren JA
MTU (Optional) hier steht nixs drin könnte aber was eingetragen werden
Preshared Key (Optional) hier steht auch nixs drin könnte aber was eingetragen werden

Also wenn kein Openvpn Client oder Wireguard Client gestartet ist kommt man nicht ins Internet das konnte ich Testen erst beim Starten gehts wieder.
 
Deine Konfiguration sieht schon sehr solide und sicher aus. Um noch mehr Stabilität und Sicherheit zu bekommen:

1. Überlege, ob du einen Preshared Key einrichtest – das erhöht die Sicherheit zusätzlich.

2. Lass die MTU-Einstellung erst mal leer, es sei denn, du hast Verbindungsprobleme. Falls nötig, könntest du Werte wie 1420 oder 1280 testen.

3. Stell sicher, dass wirklich alle relevanten Geräte im VPN Director hinterlegt sind, damit nichts am VPN-Tunnel vorbeigeht.

4. Teste noch weiter, wie sich die Verbindung verhält, wenn der VPN-Client getrennt wird oder der Tunnel ausfällt – das hilft, eventuelle Schwachstellen zu entdecken.
 
Vielen Dank für die Antwort. Also die Geschwindigkeit ohne MTU passt laut Speedtest es gibt kaum unterschied ob mit VPN oder ohne.Beim trennen der Verbindung VPN Client geht nixs mehr keine Seiten laden mehr das betrifft alle Geräte die im VPN Director hinterlegt sind fremde Geräte die nicht in Director hinterlegt sind kommen nicht ins Internet egal ob mit VPN oder ohne.

Wie funktioniert das mit dem Preshared Key hier bin ich leider noch nicht weiter gekommen bei der Config die man im Router lädt wird dieser nicht Automatisch eingefügt hoffe kannst mir da helfen ansonsten denke ich ich sollte alles passen.
 
Der Router muss direkte PSK-Unterstützung bieten.

Ein Preshared Key ist eine zusätzliche Authentifizierungsebene, die zwischen dem VPN-Client und dem VPN-Server verwendet wird. Er wird vorab auf beiden Seiten manuell hinterlegt. So richtest du ihn ein:

1. Preshared Key am Router konfigurieren
Logge dich in die Benutzeroberfläche deines Routers ein.
Navigiere zu den VPN-Einstellungen (je nach Router-Modell z. B. unter „VPN-Server“, „IPsec-Einstellungen“ oder „Benutzerauthentifizierung“).
Suche nach der Option Preshared Key (PSK) oder „Shared Secret“.
Erstelle einen starken PSK, beispielsweise J7$FpB3q&Lz9K@dX
Verwende möglichst lange und komplexe Zeichenfolgen.
Speichere die Konfiguration. In einigen Fällen musst du den VPN-Server neu starten.

2. Preshared Key im VPN-Client hinterlegen
Öffne die Konfiguration deines VPN-Clients (z. B. in Windows, macOS, oder einer App wie OpenVPN).
Suche in den VPN-Einstellungen nach der Option Preshared Key oder „Shared Secret“.
Gib den gleichen Key ein, den du am Router verwendet hast.
Speichere die Konfiguration und stelle die Verbindung her.
3. Automatische PSK-Einrichtung
Manche Router bieten keine direkte Möglichkeit, den PSK in der herunterladbaren Konfigurationsdatei (z. B. .ovpn) zu integrieren. In diesem Fall musst du die Datei manuell bearbeiten.

Öffne die .ovpn-Datei in einem Texteditor (z. B. Notepad++) und suche nach der Zeile: auth-user-pass

Füge die PSK-Informationen hinzu, abhängig vom verwendeten VPN-Protokoll. Ein Beispiel für OpenVPN:
auth-user-pass
key-direction 1
tls-auth /path/to/ta.key

Falls du unsicher bist, welches Format erforderlich ist, kannst du in der Dokumentation deines Routers oder VPN-Anbieters nachsehen.

4. PSK testen
Stelle sicher, dass die Verbindung funktioniert, indem du dich vom VPN-Client aus verbindest.
Prüfe, ob der Traffic korrekt durch den Tunnel läuft (z. B. mit einem IP-Test).
 
  • Gefällt mir
Reaktionen: Johny231X
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

V
Wireguard Server auf Asus Router hinter Fritzbox einrichten
Antworten
9
Aufrufe
725
vocaris
V
B
IP-Konflikt bei Verbindung durch Wireguard - wie beheben?
Antworten
9
Aufrufe
385
till69
T
lexnared
VPN Wireguard kein zugriff auf Netzwerkgeräte
Antworten
7
Aufrufe
1.810
lexnared
lexnared
Brunaydin
2 Fritzboxen über Wireguard verbinden
Antworten
6
Aufrufe
637
alexx_pcfreak
alexx_pcfreak
K
FritzBox 6591: Wenn Wireguard in der FB aktiviert ist, funktioniert das Internet nicht mehr
Antworten
8
Aufrufe
722
Kesandal
K
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz