Asus rt-ac56U hinter Fritzbox als VPN Router client

[Bobo2830]

Hallo zusammen habe folgendes problem haben mir einen Asus rt-ac56U zulegt . Der Router hängt hinter einer Fritzbox Lan1 Fritzbox richtung Wan asus Router auf dem Asus Router habe ich die Asus Merlin Firmware aufgespielt ich würde gerne denn Asus Router mit OpenVpn betreiben ich habe auch alles soweit eingetragen nur leider sind mir ein paar einstellung unbekannt oder ich weiss nicht ob alles so richtig eingestellt ist .

Vieleicht kann sich jemand mal die einstellung ansehen unter wan DNS Server 1 und 2 habe ich eine OpenDNS eingetragen automatisch beziehen ist aus.

Nur leider Weiss ich nicht ob die Anderen einstellungen passen ich hoffe ihr könnt mir da weiterhelfen.

 

[blackshuck]

Der Router hängt hinter einer Fritzbox Lan1 Fritzbox richtung Wan asus Router auf dem Asus Router habe ich die Asus Merlin Firmware aufgespielt ich würde gerne denn Asus Router mit OpenVpn betreiben ich habe auch alles soweit eingetragen nur leider sind mir ein paar einstellung unbekannt oder ich weiss nicht ob alles so richtig eingestellt ist

das ganze dann bitte einmal mit zeichensetzung...

 

[DeusoftheWired]

Neben der schon angemerkten Zeichensetzung:

Weshalb nicht die interne VPN-Funktion der FRITZ!Box nutzen?

Was ist der Zweck des RT-AC56U?

Klassisches DSL oder DOCSIS („Internet aus der Kabelfernsehdose“)?

 

[till69]

Weshalb nicht die interne VPN-Funktion der FRITZ!Box nutzen?

Vielleicht kann die Gegenstelle nicht das IPSec VPN der Fritzbox ... dass auch gerne mal zusammenbricht, weil eine Seite meint, noch immer verbunden zu sein.

 

[Wilson_Fisk]

Weshalb nicht die interne VPN-Funktion der FRITZ!Box nutzen?

Kann die Fritzbox das? Man kann VPN einrichten um dann von ausserhalb über die Fritzbox zu surfen, aber direkt ein VPN (zB PerfectPrivacy), um nur noch über VPN online zu gehen, kann man nicht konfigurieren, oder?

 

[Raijin]

@TE: Woher sollen wir wissen ob die Einstellungen korrekt sind? Dinge wie Port, Protokoll, Verschlüsselung, o.ä. werden vom VPN-Server vorgegeben. Klar, ich kann jetzt blind behaupten UDP 443 ist falsch, stell mal TCP 1337 ein. Ob's dann funktioniert? Keine Ahnung, ich weiß ja nicht auf welchem Port der VPN-Server läuft...

ich habe auch alles soweit eingetragen nur leider sind mir ein paar einstellung unbekannt

Ach so!! Ganz klar, die Einstellungen, die dir bekannt sind, sind korrekt so. Die anderen sind alle falsch, musst du ändern.

Du musst uns schon konkret sagen wo du dir sicher bist und wo du zweifelst. Darüberhinaus sind die Client-Einstellungen wie gesagt vom VPN-Server abhängig. Infos darüber sind also auch sinnvoll. Wenn es sich um einen externen VPN-Anbieter handelt (zB Cyberghost), dann wirst du dort auch Konfigurationsdateien für den Client herunterladen können. Darin findet man auch diese Einstellungen. Sofern der Asus es unterstützt, kann man sie sogar importieren. Falls nicht, dann muss man das im Browser manuell eintragen.

Im Idealfall wendest du dich an den Support des VPN-Anbieters. Ist das VPN privat, dann eben an den Typen, der den Server eingerichtet hat. Dort bekommst du dann die Infos was du wie einstellen musst.


@Wilson_Fisk:
Ich kann dir zwar nicht sagen ob die Fritzbox das kann, aber ich würde davon so oder so abraten. Es gibt nicht nur böse Dinge, die man über den eigenen Internetanschluss preisgibt. Wenn man zB über ein spanisches VPN online ist, kann es sein, dass google automatisch zu google.es umleitet. Ziemlich nervig. Bestellst du etwas in einem Online-Shop, wird die Bestellung zT nicht akzeptiert bzw. muss separat verifiziert werden, weil du über ein VPN bestellt hast. Netflix plant soweit ich weiß demnächst beispielsweise den Zugang über VPN-Anbieter komplett zu sperren.

Nicht zuletzt lässt man damit auch wirklich den kompletten Traffic über den VPN-Anbieter laufen. Der VPN-Tunnel ist nur von dir zum VPN-Server verschlüsselt. Danach ist er so offen (zB nacktes FTP mit Klartext-Passwort) oder so verschlüsselt (zB https) wie sonst auch. Ein wirklicher Sicherheitsgewinn ist das also nicht, zumal der VPN-Anbieter unter Umständen in Russland oder sonstwo sitzt..

Hinzu kommt, dass je nach VPN auch die Bandbreite und/oder der Ping leidet. Schon doof, wenn das neue PS4/Xbox Spiel zwei Tage lädt, weil der VPN-Tunnel so lahm ist.

 

[DeusoftheWired]

Vielleicht kann die Gegenstelle nicht das IPSec VPN der Fritzbox ... dass auch gerne mal zusammenbricht, weil eine Seite meint, noch immer verbunden zu sein.

Nach dem Geschreibsel des TE glaub ich eher nicht daran, daß irgendeine obskure aber vernünftig konfigurierte VPN-Lösung an der Gegenstelle wartet.

Kann die Fritzbox das? Man kann VPN einrichten um dann von ausserhalb über die Fritzbox zu surfen, aber direkt ein VPN (zB PerfectPrivacy), um nur noch über VPN online zu gehen, kann man nicht konfigurieren, oder?

Jo, können die FRITZ!Boxen seit einigen Jahren. Die Dokumentation bei AVM dazu ist gut, es gibt Clients für Android und iOS und es ist auch für lesewillige Laien einfach einzurichten.

https://avm.de/service/vpn/uebersicht/

 

[Creati]

@DeusoftheWired
Ich glaube, Wilson_Fisk bezog seine Frage auf die Möglichkeit, ob man eine FritzBox von Haus aus als VPN-Client für VPNs im Internet verwenden kann. Sprich, meine FritzBox verbindet sich zu Perfect Privacy und ich surfe über deren IP. Und genau das kann man meine ich nicht, da die FritzBox immer als VPN-Server dient oder eine Site2Site-VPN aufbauen kann, aber nicht den Internettraffic über die Ggeenseite leiten kann.
Die FritzBoxoberfläche erlaubt soweit bei den VPN-Einstellungen auch nicht, dass der Traffic der FritzBox über einen VPN-Tunnel umgeleitet wird.

 

[Bobo2830]

Für diesen Router von asus habe ich mich entschieden da man denn vpn und normalen verkehr getrennt schalten zudem hat das gerät einen dual core prozessor und ich brauch so an der fritzbox nixs ändern.

Hallo erstmal vielen Dank für die Antwort ich würde denn VPN Router gerne als client nutzen für youtube um alles sehen zu können oder willma tv .


Ich bin mir bei folgenden punkten leider nicht sicher und zwar bei :


Zusätzliche HMAC Berechtigung hier steht bei mir outgoing 1
(tls-auth)

es kann aber auch auf disabled oder incoming 0 , bi directional gestellt werden ?????

------------------------------------------------------------------------------------------------------------------------
Global Log verbosity
(0-11, default=3) hier steht bei mir 3

-------------------------------------------------------------------------------------------------------------------------------

Poll-Intervall
( Deaktiviert : 0 ) hier steht bei mir 0
--------------------------------------------------------------------------------------------------------------------------------------------

Accept DNS Configuration hier hatte ich vorher disabled da wurde bei leak test die dns von opendns angezeigt jetzt wird sie nicht mehr angezeigt wenn es auf Strict steht.

--------------------------------------------------------------------------------------------------------------------------------------------------

Auth digest steht auf sha512

-------------------------------------------------------------------------------------------------------------------------------------------------

Redirect Internet traffic hier steht bei mir all trafic no , policy rules gibts noch .
---------------------------------------------------------------------------------------------------------------------------------------------------

Leider bin ich mir bei diesen einstellungen nicht sicher habe bereits einige seiten durch aber zu diesen punkt wie sie am besten eingestellt werden nixs gefunden.




Bei dem Anbieter handelt es sich um SecureVPN.to diese habe ich gefunden die ovpn datein können die angewählt werden und in denn asus geladen werden.


eine ovpn datein ist so aufgebaut :




remote XXXXXXXXXXXX 80 udp
remoteXXXXXXXXXXXXXX 443 udp
remote-random

client
dev tun
nobind
persist-key
persist-tun
persist-remote-ip
mute-replay-warnings
remote-cert-tls server
cipher AES-256-CBC
comp-lzo no
verb 3

auth SHA512
explicit-exit-notify 3
inactive 604800
key-direction 1
redirect-gateway def1
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA

tun-mtu 1500
fragment 1300
mssfix

 

[Raijin]

Und was genau ist jetzt dein Problem? Du kannst die ovpn-Datei in den Asus hochladen. Dann stellt er eigentlich auch alles gemäß dieser Konfiguration ein. Funktioniert es nicht? Gibt es Fehlermeldungen?

Wenn es dir nur um das reine Verständnis geht, dann lies das Handbuch des Routers und von OpenVPN. Begriffe, die du nicht kennst, googelst du.

Es gibt keine besten Einstellungen, weil jede Einstellung ihren Zweck hat. redirect-gateway def1 (=redirect internet traffic) bedeutet beispielsweise ob der gesamte Traffic via VPN getunnelt werden soll oder ob nur bestimmte IP-Bereiche durch das VPN gehen sollen, während der Rest über die unverschlüsselte Internetverbindung zum Provider geht. Beste Einstellung? Gibt es nicht, das eine ist nicht besser als das andere, weil es grundsätzlich anders ist. Es ist gewissermaßen dein Bier ob du das so willst oder nicht. In Beitrag #6 habe ich im letzten Teil beschrieben was passieren kann, wenn man grundsätzlich immer alles tunnelt. Ob das für dich relevant ist, kann außer dir niemand beurteilen.

Grundsätzlich gilt: Wenn in der ovpn-Datei etwas steht wie "auth SHA512" und im Asus "Auth digest sha512", dann liegt der Verdacht nahe, dass dies dieselbe Einstellung ist. Möchtest du wissen was das genau ist, dann recherchiere bei google oder der Suchmaschine deiner Wahl. In einem Forum wird dir niemand haarklein alle Optionen erklären, da ist Eigeninitiative gefragt.

 

[Bobo2830]

Sorry aber das redirect traffic war mir irgendwie schon klar . Und ich hätte bestimmt nicht gefragt wenn ich es bei google in der suchmaschine gefunden hätte . Und zum Handbuch wo wird da Asus Merlin erklärt ???

Und es ging um die Spezielen punkte wie zb

Zusätzliche HMAC Berechtigung
(tls-auth)

oder

Accept DNS Configuration

oder Kompriemieren


Diese Punkte sind nicht zu finden oder erklärt bei manchen ist es an oder aus geschaltet.

 

[Raijin]

Zu Asus Merlin: Wenn du eine alternative Firmware flashst, musst du dir im Vorwege darüber im Klaren sein, dass die Dokumentation unter Umständen nicht allumfassend ist.

Ich wiederhole mich nur ungern, aber was genau ist jetzt dein Problem? Funktioniert das VPN nicht oder schlägt der Upload der ovpn-Datei fehl? Was steht im Log?

Die meisten Optionen einer VPN-Verbindung müssen bei Server und Client identisch sein bzw. zusammenpassen. Verschlüsselung, key direction, Kompression, etc.. Nur einige wenige Optionen sind rein client-spezifisch wie zB das Default Gateway. Lade die ovpn-Datei hoch und starte den VPN-Tunnel. Funktioniert es, ist alles gut. Gibt es Fehler, kannst du sie gerne hier posten.


Der Vollständigkeit halber.


HMAC = tls-auth bzw. key-direction
0 => incoming (beim Server)
1 => outgoing (beim Client)
bidirectional => birectional (bei beiden)

Komprimieren = comp-lzo
no => keine Kompression

Accept DNS Configuration = ich vermute mal das definiert ob der VPN-Server einen DNS vorgeben darf
ja => der VPN-Server kann zB den besagten OpenDNS "pushen", wenn im Server entsprechend konfiguriert
nein => keine Änderung des DNS durch den Server => voreingesteller DNS wird weiterverwendet (in der Regel Provider-DNS)
Mit "strict" und "explicit" kann ich aber nichts anfangen, ausprobieren.

 

[Bobo2830]

Erst mal vielen Dank für die Antwort das hat mir um einiges weitergeholfen .

Leider änder der Router bei reinen laden der ovpn datei nicht alles . Acceprt war am anfang auf aus und es wurde openvpn dns angezeigt jetzt ist es auf strict openvpn wird nicht mehr angezeigt oder höchstens nur eine dns von open jetzt zeigt er NTT America Business Germany.

wofür ist denn dieses kompriemieren ???

 

[Raijin]

Das ist doch wohl selbsterklärend.. Noch nie was von ZIP und co gehört?

Was geht wohl schneller: Eine 10-Mbyte-Datei übertragen oder dieselbe Datei, aber als 500-kbyte-zip? Nichts anders macht diese Funktion. Allerdings wird das erneut vom Server vorgegeben. Wenn der Server nicht komprimiert, kann man das als Client auch nicht erzwingen.


Nach wie vor schreibst du aber auch nach mehrfacher Aufforderung kein Wort darüber ob das VPN nu geht oder nicht. Mir vergeht allmählich die Lust, dir zu helfen, sorry...

 

[Bobo2830]

OK vielen Dank das ist leider das problem ich weiss selber nicht ob es geht vom vpn anbieter her . Also das VPN Verbindet und sieht so aus verbinden tut er :

 

[blackshuck]

und willst du eine ungarische IP?

 

[Bobo2830]

Nein hatte eine ovpn testweise hochladen im asus und nicht groß geschaut welches Land .