135053
26.12.2017
4443
14
0
Asus RT-AC87U Router mit VPN-Client - Verbindung kappen wenn VPN-Verbindung unterbrochen
Hallo zusammen und erstmal schöne Feiertage.
Mein Name ist Frank und ich bin für gewöhnlich IT-Enduser, der jedoch in seinem kleinen Heimnetzwerk auch Administrator spielen darf/muss :D
Meine IT-Kenntnisse liegen eher Software-seitig, von daher ersuche ich dieses beschränkte Wissen zu berücksichtigen.
Als neues Mitglied möchte ich gleichmal eine Frage stellen, bei der Ihr mir hoffentlich weiterhelfen könnt.
Es geht um die Konfiguration eines Asus RT-AC87U Routers. Dieser wird hinter einem Webgate 3 (welches als LTE-Modem genutzt wird) verwendet. Der Asus soll dabei als VPN-Client eine ständige VPN-Verbindung zu meinem VPN-Provider aufbauen und alle Geräte im Heimnetzwerk über diese Verbindung ins Internet lassen.
Soweit konfiguriert funktioniert auch alles, doch gestern habe ich erstmals erlebt, dass der Asus keine erfolgreiche VPN-Verbindung herstellen konnte und folglich alle Daten offen weitergeleitet hat.
Frage 1 lautet nun, wie kann ich verhindern, dass bei fehlerhafter VPN-Verbindung weiterhin die bestehende Internetverbindung genutzt werden kann?
Frage 2 lautet, kann der Asus so konfiguriert werden, dass bei fehlerhafter VPN-Verbindung solange ein Verbindungsaufbau versucht wird, bis dieser erfolgreich ist? (Und wenn JA, wie geht das?)
Ich hoffe ihr könnt mir weiterhelfen.
Bis dahin, noch eine entspannte Zeit,
Beste Grüße
Mein Name ist Frank und ich bin für gewöhnlich IT-Enduser, der jedoch in seinem kleinen Heimnetzwerk auch Administrator spielen darf/muss :D
Meine IT-Kenntnisse liegen eher Software-seitig, von daher ersuche ich dieses beschränkte Wissen zu berücksichtigen.
Als neues Mitglied möchte ich gleichmal eine Frage stellen, bei der Ihr mir hoffentlich weiterhelfen könnt.
Es geht um die Konfiguration eines Asus RT-AC87U Routers. Dieser wird hinter einem Webgate 3 (welches als LTE-Modem genutzt wird) verwendet. Der Asus soll dabei als VPN-Client eine ständige VPN-Verbindung zu meinem VPN-Provider aufbauen und alle Geräte im Heimnetzwerk über diese Verbindung ins Internet lassen.
Soweit konfiguriert funktioniert auch alles, doch gestern habe ich erstmals erlebt, dass der Asus keine erfolgreiche VPN-Verbindung herstellen konnte und folglich alle Daten offen weitergeleitet hat.
Frage 1 lautet nun, wie kann ich verhindern, dass bei fehlerhafter VPN-Verbindung weiterhin die bestehende Internetverbindung genutzt werden kann?
Frage 2 lautet, kann der Asus so konfiguriert werden, dass bei fehlerhafter VPN-Verbindung solange ein Verbindungsaufbau versucht wird, bis dieser erfolgreich ist? (Und wenn JA, wie geht das?)
Ich hoffe ihr könnt mir weiterhelfen.
Bis dahin, noch eine entspannte Zeit,
Beste Grüße
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 359241
Url: https://administrator.de/forum/asus-rt-ac87u-router-mit-vpn-client-verbindung-kappen-wenn-vpn-verbindung-unterbrochen-359241.html
Ausgedruckt am: 21.04.2025 um 16:04 Uhr
14 Kommentare
Neuester Kommentar
Hallo,
läuft dein Asus Router zufällig mit OpenWRT o.Ä.? Da würde mir dann eine entsprechende Lösung einfallen.
Zum Original Asus-OS habe ich leider keine Idee...
Beste Grüße!
läuft dein Asus Router zufällig mit OpenWRT o.Ä.? Da würde mir dann eine entsprechende Lösung einfallen.
Zum Original Asus-OS habe ich leider keine Idee...
Beste Grüße!
Hallo
Nein der hat das originale OS von ASUS drauf.
Was ich vielleicht noch nicht erwähnt habe, keine Ahnung ob hierbei von Relevanz, die VPN-Verbindung erfolgt über OpenVPN.
Bg
Nein der hat das originale OS von ASUS drauf.
Was ich vielleicht noch nicht erwähnt habe, keine Ahnung ob hierbei von Relevanz, die VPN-Verbindung erfolgt über OpenVPN.
Bg
Arbeitet das Webgate davor wirklich nur als reines Modem oder ist das ein Router der mit dem ASUS dann in einer Routerkaskade arbeitet.
Technisch ist das ein großer Unterschied.
Bei Kaskaden gilt immer das was diese Tutorials beschreiben:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
bzw.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Hast du das bedacht ?
Technisch ist das ein großer Unterschied.
Bei Kaskaden gilt immer das was diese Tutorials beschreiben:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
bzw.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Hast du das bedacht ?
Füge entsprechende "policy routing entries" ein, fertig.
https://github.com/RMerl/asuswrt-merlin/wiki/Policy-based-routing
Gruß squash
https://github.com/RMerl/asuswrt-merlin/wiki/Policy-based-routing
Gruß squash
Sodala, also wenn ich das ganze jetzt richtig verstanden habe, dann dürfte ich eine Art von Router-Kaskade haben. Doch was bedeutet das jetzt für mich?
Eigentlich sollte es kein Problem geben da ja schon alles funktioniert und ich ja keinen Bedarf daran habe, dass ich mich mit anderen VPN-CLienten in mein Heimnetz einklinken möchte. Einzig was mir fehlt, ist das der Asus keine Verbindungen bei nicht aktivem VPN durchlässt und stattdessen versucht die VPN-Verbindung neu aufzubauen. Oder übersehe ich etwas?
Ich habe in der nachfolgenden Skizze meinen Aufbau einmal schematisch dargestellt, vielleicht hilft das weiter:
Wie man sieht, sind es bei genauerer Betrachtung eingentlich 2 Router hintereinander, wobei der Webgate kein DHCP aktiv hat. Ich habe bereits bei der Erstkonfiguration damals versucht, den Webgate im Bridge-Modus zu betreiben, doch aufgrund der sehr schwachen und fehlerhaften Firmware hat das noch nie funktioniert. Deshalb bin ich wieder auf die "Router"-Konfiguration gewechselt.
Also wenn ich den Beitrag von @135051 jetzt richtig verstanden habe, soll ich einen "policy routing" Eintrag festlegen. Aber warum? Ich will ja keinen eigenständigen VPN-Server betreiben, sondern den ASUS als VPN-Client meines VPN-Providers nutzen, was soweit ja auch funktioniert. Oder liege ich damit falsch?
Aber wenn ich mir zum Beispiel meine aktuelle IP ansehe, dann ist das genau jene, welche sie bei Nutzung des VPN sein sollte. Von daher würde das ja passen.
Verzeiht mir wenn ich hier "dumm" rüberkomme, aber das ist nunmal absolut nicht mein Themengebiet und ich kämpfe sehr damit es zu verstehen.
Eigentlich sollte es kein Problem geben da ja schon alles funktioniert und ich ja keinen Bedarf daran habe, dass ich mich mit anderen VPN-CLienten in mein Heimnetz einklinken möchte. Einzig was mir fehlt, ist das der Asus keine Verbindungen bei nicht aktivem VPN durchlässt und stattdessen versucht die VPN-Verbindung neu aufzubauen. Oder übersehe ich etwas?
Ich habe in der nachfolgenden Skizze meinen Aufbau einmal schematisch dargestellt, vielleicht hilft das weiter:
Wie man sieht, sind es bei genauerer Betrachtung eingentlich 2 Router hintereinander, wobei der Webgate kein DHCP aktiv hat. Ich habe bereits bei der Erstkonfiguration damals versucht, den Webgate im Bridge-Modus zu betreiben, doch aufgrund der sehr schwachen und fehlerhaften Firmware hat das noch nie funktioniert. Deshalb bin ich wieder auf die "Router"-Konfiguration gewechselt.
Also wenn ich den Beitrag von @135051 jetzt richtig verstanden habe, soll ich einen "policy routing" Eintrag festlegen. Aber warum? Ich will ja keinen eigenständigen VPN-Server betreiben, sondern den ASUS als VPN-Client meines VPN-Providers nutzen, was soweit ja auch funktioniert. Oder liege ich damit falsch?
Aber wenn ich mir zum Beispiel meine aktuelle IP ansehe, dann ist das genau jene, welche sie bei Nutzung des VPN sein sollte. Von daher würde das ja passen.
Verzeiht mir wenn ich hier "dumm" rüberkomme, aber das ist nunmal absolut nicht mein Themengebiet und ich kämpfe sehr damit es zu verstehen.
Zitat von @135053:
Also wenn ich den Beitrag von @135051 jetzt richtig verstanden habe, soll ich einen "policy routing" Eintrag festlegen.
Richtig.Also wenn ich den Beitrag von @135051 jetzt richtig verstanden habe, soll ich einen "policy routing" Eintrag festlegen.
Aber warum?
Weil die Clients sonst ohne aufgebaute VPN-Verbindung das Default-GW des ASUS-Routers nehmen also statt über das VPN die normale Internetverbindung nehmen!Ich will ja keinen eigenständigen VPN-Server betreiben
Das hat damit nichts zu tun! Die Routing-Tabelle des ASUS bestimmt welche Route die Pakete nehmen!Oder liege ich damit falsch?
Ja du verstehst meine Anmerkung falsch.Die Policy-Regel bestimmt welchen Weg die Pakete nehmen. Wenn der OpenVPN-Server seinerseits bereits eine 0.0.0.0/0 Default-Route auf den ASUS pusht geht automatisch alles über den Tunnel, aber das Problem hier ist, dass diese Route nur angelegt wird wenn der Tunnel aufgebaut ist! Deswegen solltest du eine Policy-Rule anlegen die die Default-Route für die Clients auf den Tunnel legt auch wenn die VPN-Verbindung nicht aufgebaut ist, dann nämlich beiben die Pakete automatisch im Asus hängen und die User haben erst wieder Zugang sobald das VPN wieder steht.
das ist nunmal absolut nicht mein Themengebiet und ich kämpfe sehr damit es zu verstehen.
Dann ist es wie immer das Beste sich zu aller erst mal die Grundlagen anzueignen:http://openbook.rheinwerk-verlag.de/linux/linux_kap15_003.html
https://de.wikipedia.org/wiki/Routingtabelle
https://www.tecchannel.de/a/grundlagen-zu-routing-und-subnetzbildung,434 ...
https://www.tecchannel.de/a/grundlagen-zu-routing-und-subnetzbildung-tei ...
Ok, soweit kann ich das glaube ich jetzt nachvollziehen, danke für die Erklärung.
Wäre toll wenn Ihr mir jetzt noch beim letzten Schritt weiterhelfen könntet.
Ich werde also jetzt im LAN-Menü unter Route, Statische Routen aktivieren.
Dabei muss folgendes eingeben werden, wobei maximal 32 statische Routen konfiguriert werden können:
Wie gebe ich das jetzt ein, sodass mein gesamter LAN Bereich (10.0.0.x) abgedeckt ist?
Wäre toll wenn Ihr mir jetzt noch beim letzten Schritt weiterhelfen könntet.
Ich werde also jetzt im LAN-Menü unter Route, Statische Routen aktivieren.
Dabei muss folgendes eingeben werden, wobei maximal 32 statische Routen konfiguriert werden können:
- Netzwerk/Host-IP
- Netzmaske
- Gateway
- Metrisch
- Schnittstelle (LAN, MAN, WAN)
Wie gebe ich das jetzt ein, sodass mein gesamter LAN Bereich (10.0.0.x) abgedeckt ist?
Und auch zu Weihnachten muss man hier keine überflüssigen externen Bilderlinks benutzen wie oben 
Das Forum hat eine wunderbare Bilder Upload Funktion die sich auch einem Anfänger mit einem Klick auf das Kamerasymbol links des Eingabefeldes in Sekundenschneller erschliesst. Damit wird das ohne sinnfreie extra Klickerei mit Zwangswerbung übersichtlicher.
Weihnachtlicher Tip:
Forum FAQs lesen und... Man kann das auch noch nachträglich machen !
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Und sich immer in Ruhe zu überlegen wie sie IP Pakete mit ihren Quell und Zieladressen im Netzwerk bewegen. Der "Paket Walkthrough" im o.a. Tutorial beschreibt es auch für Laien verständlich.
Kollege squash hat oben die wichtigsten Punkte schon genannt.
Das Forum hat eine wunderbare Bilder Upload Funktion die sich auch einem Anfänger mit einem Klick auf das Kamerasymbol links des Eingabefeldes in Sekundenschneller erschliesst. Damit wird das ohne sinnfreie extra Klickerei mit Zwangswerbung übersichtlicher.
Weihnachtlicher Tip:
Forum FAQs lesen und... Man kann das auch noch nachträglich machen !
und ich kämpfe sehr damit es zu verstehen.
Da hilft es die hiesigen Routing Tutorials mal über die Feiertage wirklich zu lesen:Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Und sich immer in Ruhe zu überlegen wie sie IP Pakete mit ihren Quell und Zieladressen im Netzwerk bewegen. Der "Paket Walkthrough" im o.a. Tutorial beschreibt es auch für Laien verständlich.
Kollege squash hat oben die wichtigsten Punkte schon genannt.
Wurde geändert, sorry.
Mit einer statischen Route kommst du hier nicht weit. Das muss entweder eine Policy Route sein oder du musst den Traffic alternativ mit einer Firewall Regel blocken.
Beides scheint diese Consumer-Kunststoff-Büchse nicht vollkommen frei konfigurieren zu können, dann wirst du um eine alternative Firmware wie die Merlin Fiemware oder OpenWRT etc. installieren müssen.
Leut's überlegt euch doch mal vorher was ihr machen wollt, checkt dann die Specs und kauft dann die Hardware, nicht umgekehrt ...
Aber Thread ist ja gelöst, dann wünsch ich schon mal alles jute zu 2018.
Tschö
@135051
Beides scheint diese Consumer-Kunststoff-Büchse nicht vollkommen frei konfigurieren zu können, dann wirst du um eine alternative Firmware wie die Merlin Fiemware oder OpenWRT etc. installieren müssen.
Leut's überlegt euch doch mal vorher was ihr machen wollt, checkt dann die Specs und kauft dann die Hardware, nicht umgekehrt ...
Aber Thread ist ja gelöst, dann wünsch ich schon mal alles jute zu 2018.
Tschö
@135051
Ok, irgendwie denke ich mir das gibts doch jetzt ned. Da habe ich es gerade geschafft die Route (hoffentlich richtig) zu konfigurieren und dann lese ich das es erst wieder das falsche ist.
Nichts für ungut, aber ich merke hier sind lauter sehr versierte User bzw. ausgebildete IT-Techniker vor Ort, die in ihrer "eigenen Welt" mit eigenen "Fachbegriffen" am Werke sind. Jemand von außerhalb tut sich da wirklich schwer. Aber ich bin mir sicher, dass würde Euch in meinem Fachbereich auch so gehen, wo ihr für jeden Satz einmal googlen könnt was das bedeutet.
Aber scheinbar ist das hier ein ungeeigneter Ort für Personen wie mich, die keine IT-Ausbildung haben und einfach nur diese kleinen notwendigen Kasterl zuhause so einstellen wollen, dass alles so läuft wie es soll.
Da dachte ich gelesen zu haben ich muss eine Policy Route erstellen. OK, dann suchen wir mal im Gerät nach Routen zu konfigurieren, siehe da, da gibt es etwas. Und zwar kann man statische Routen einstellen, sehr schön dachte ich mir, das muss es sein. Doch siehe da, scheinbar ist das nicht das selbe wie eine Policy Route. Es mag ja schön und gut sein, dass das jeden von Euch sonnenklar ist, aber mir nicht. Ich bin im Glauben gewesen es sei das selbe.
Weiters habe ich weder ein neues Gerät gekauft noch zum Zeitpunkt des Kaufes irgendeine Idee gehabt, dass ein solches Problem wie das beschriebene überhaupt existiert. Also bitte wie soll man als Laie nach etwas vorab suchen, von den man nichtmal weiß das es überhaupt existiert.
So, Frust ist draußen.
Schönen Abend.
Nichts für ungut, aber ich merke hier sind lauter sehr versierte User bzw. ausgebildete IT-Techniker vor Ort, die in ihrer "eigenen Welt" mit eigenen "Fachbegriffen" am Werke sind. Jemand von außerhalb tut sich da wirklich schwer. Aber ich bin mir sicher, dass würde Euch in meinem Fachbereich auch so gehen, wo ihr für jeden Satz einmal googlen könnt was das bedeutet.
Aber scheinbar ist das hier ein ungeeigneter Ort für Personen wie mich, die keine IT-Ausbildung haben und einfach nur diese kleinen notwendigen Kasterl zuhause so einstellen wollen, dass alles so läuft wie es soll.
Da dachte ich gelesen zu haben ich muss eine Policy Route erstellen. OK, dann suchen wir mal im Gerät nach Routen zu konfigurieren, siehe da, da gibt es etwas. Und zwar kann man statische Routen einstellen, sehr schön dachte ich mir, das muss es sein. Doch siehe da, scheinbar ist das nicht das selbe wie eine Policy Route. Es mag ja schön und gut sein, dass das jeden von Euch sonnenklar ist, aber mir nicht. Ich bin im Glauben gewesen es sei das selbe.
Weiters habe ich weder ein neues Gerät gekauft noch zum Zeitpunkt des Kaufes irgendeine Idee gehabt, dass ein solches Problem wie das beschriebene überhaupt existiert. Also bitte wie soll man als Laie nach etwas vorab suchen, von den man nichtmal weiß das es überhaupt existiert.
So, Frust ist draußen.
Schönen Abend.
Zitat von @135053:
Ok, irgendwie denke ich mir das gibts doch jetzt ned. Da habe ich es gerade geschafft die Route (hoffentlich richtig) zu konfigurieren und dann lese ich das es erst wieder das falsche ist.
Wie im Leben kommt es auf die Details an ich hatte ja explizit von einer Policy-Route gesprochen und das ist nun mal nicht das selbe wie eine einfache statische Route!Ok, irgendwie denke ich mir das gibts doch jetzt ned. Da habe ich es gerade geschafft die Route (hoffentlich richtig) zu konfigurieren und dann lese ich das es erst wieder das falsche ist.
Nichts für ungut, aber ich merke hier sind lauter sehr versierte User bzw. ausgebildete IT-Techniker vor Ort, die in ihrer "eigenen Welt" mit eigenen "Fachbegriffen" am Werke sind.
Nein, wir benutzen nur die richtigen Termini für diese Dinge sonst würde hier jeder was anderes Denken und wir aneinander vorbei reden!Aber scheinbar ist das hier ein ungeeigneter Ort für Personen wie mich, die keine IT-Ausbildung haben und einfach nur diese kleinen notwendigen Kasterl zuhause so einstellen wollen, dass alles so läuft wie es soll.
Nein ganz und gar nicht, das Forum hat doch den primären Zweck zu helfen, es kann aber nur so lange eine zielbringende Konversation zustande kommen wenn das Gegenüber sich minimal mit den Grundlagen beschäftigt und nicht aus explizit genannten Termini daraus baut was er will. Wenn deine Hardware die entsprechenden Fähigkeiten nicht hat merken wir dir das hier an und das hat auch seinen Sinn und Zweck.Da dachte ich gelesen zu haben ich muss eine Policy Route erstellen. OK, dann suchen wir mal im Gerät nach Routen zu konfigurieren, siehe da, da gibt es etwas. Und zwar kann man statische Routen einstellen, sehr schön dachte ich mir, das muss es sein.
Leider nicht.Doch siehe da, scheinbar ist das nicht das selbe wie eine Policy Route.
Ebend.Es mag ja schön und gut sein, dass das jeden von Euch sonnenklar ist, aber mir nicht. Ich bin im Glauben gewesen es sei das selbe.
Google sagt dir dann aber doch etwas anderes...Weiters habe ich weder ein neues Gerät gekauft noch zum Zeitpunkt des Kaufes irgendeine Idee gehabt, dass ein solches Problem wie das beschriebene überhaupt existiert. Also bitte wie soll man als Laie nach etwas vorab suchen, von den man nichtmal weiß das es überhaupt existiert.
Indem man sich einfach vorher einliest und informiert.So, Frust ist draußen.
Ein Forum ist kein Medium um Frust los zu werden, dafür sind Facebook, Boxsack & Co. da aber kein IT-Forum!Du willst doch Hilfe und die haben wir dir gegeben. Mit dem Input solltest du jetzt arbeiten können. Wenn nicht lass es jemanden für dich tun welcher sein Handwerk versteht.
Schönen Abend.
Ebenfalls, und viel Erfolg!
Also des Rätsels Lösung für den 0815 Heimanwender wie mich sieht wie folgt aus:
1) Die Asus Router wie der genannte RT-AC87U können ganz einfach geupdated werden auf eine erweiterte Ansicht (nennt sich Merlin). Dabei bleiben alle Einstellungen erhalten.
2) DANN und wirklich erst DANN kann man eine sogenannte Policy Route erstellen (ja auch wenn ich mich bis zum geht nichtmehr geärgert habe, ich hab einiges gelernt. Wesentlich einfacher wäre es natürlich gegangen wenn jemand erwähnt hätte, dass das in der "normalen" Firmware die von Haus aus am Router ist, garnicht einstellbar ist). Dazu ganz einfach nur folgende Einstellung im Punkt "Redirect Internet Traffic" von "No" auf "Policy Rules Strict" stellen. Jetzt im neu erschienen Fenster bei Routing Rules den IP-Bereich (in meinem Beispiel 10.0.0.0/24) bei Source-IP eingeben, Destination IP leer lassen und bei Iface "VPN" wählen. Jetzt auf das Plus drücken.
3) Den ebenfalls neu angezeigten Eintrag "Block routed clients if tunnel goes down" auf "JA" stellen.
4) Auf Anwenden klicken und kurz warten bis alles aktualisiert ist.
5) Jetzt am Reiter VPN-Status klicken und schauen ob Verbunden. Wenn Ja, dann fertig.
6) Abschließend noch die IP-Adresse z.B. auf https://whatismyipaddress.com/ überprüfen.
1) Die Asus Router wie der genannte RT-AC87U können ganz einfach geupdated werden auf eine erweiterte Ansicht (nennt sich Merlin). Dabei bleiben alle Einstellungen erhalten.
2) DANN und wirklich erst DANN kann man eine sogenannte Policy Route erstellen (ja auch wenn ich mich bis zum geht nichtmehr geärgert habe, ich hab einiges gelernt. Wesentlich einfacher wäre es natürlich gegangen wenn jemand erwähnt hätte, dass das in der "normalen" Firmware die von Haus aus am Router ist, garnicht einstellbar ist). Dazu ganz einfach nur folgende Einstellung im Punkt "Redirect Internet Traffic" von "No" auf "Policy Rules Strict" stellen. Jetzt im neu erschienen Fenster bei Routing Rules den IP-Bereich (in meinem Beispiel 10.0.0.0/24) bei Source-IP eingeben, Destination IP leer lassen und bei Iface "VPN" wählen. Jetzt auf das Plus drücken.
3) Den ebenfalls neu angezeigten Eintrag "Block routed clients if tunnel goes down" auf "JA" stellen.
4) Auf Anwenden klicken und kurz warten bis alles aktualisiert ist.
5) Jetzt am Reiter VPN-Status klicken und schauen ob Verbunden. Wenn Ja, dann fertig.
6) Abschließend noch die IP-Adresse z.B. auf https://whatismyipaddress.com/ überprüfen.
Wesentlich einfacher wäre es natürlich gegangen wenn jemand erwähnt hätte, dass das in der "normalen" Firmware die von Haus aus am Router ist, garnicht einstellbar ist
Hatte ich ja oben bereits mehrfach erwähnt.
