sing box openwrt настройка

sing-box openwrt настройка

Как правильно настроить sing-box на OpenWrt: инструкция без упрощений

Подробный гайд: sing-box openwrt настройка — шаг за шагом с защитой от утечек, DPI и ложных kill switch. Для продвинутых пользователей.

sing-box openwrt настройка — это не просто установка пакета и запуск службы. Это комплексная задача по созданию доверенного сетевого шлюза, который должен противостоять глубокой проверке трафика (DPI), предотвращать утечки DNS/WebRTC и сохранять работоспособность даже при обрыве соединения. Если вы читаете этот материал, вы уже понимаете: стандартные решения вроде Shadowsocks или базового WireGuard на роутере часто недостаточны для современных условий цензуры и слежки.

Почему обычный VPN-клиент на OpenWrt вас подведёт

Большинство гайдов сводятся к трём шагам:
1. Установить luci-app-openclash или luci-app-passwall.
2. Загрузить конфигурацию.
3. Перезапустить службу.

Это работает — пока не столкнётесь с реальными проблемами:

• DPI-анализаторы провайдеров (например, «Ростелеком» или «МТС») легко распознают трафик WireGuard по постоянной структуре заголовков.
• DNS-запросы уходят в обход туннеля, особенно если в системе остались старые настройки /etc/resolv.conf.
• Kill switch — фикция: при перезагрузке роутера или сбое сети трафик может временно идти напрямую, пока служба не восстановится.
• Нет split tunneling по доменам: весь трафик идёт через прокси, включая локальные сервисы вроде NAS или принтера.

Sing-box решает эти проблемы, но только при правильной конфигурации.

Что такое sing-box и зачем он нужен на роутере

Sing-box — это универсальный прокси-платформа нового поколения, поддерживающая десятки протоколов: WireGuard, Shadowsocks, VLESS, Trojan, Hysteria2, TUIC и другие. В отличие от Clash или Xray, он написан на Go, имеет модульную архитектуру и умеет:

• Динамически выбирать маршрут на основе домена, IP, порта или геолокации.
• Применять TLS-фингерпринтинг для маскировки под легитимный HTTPS-трафик (например, под Chrome или Safari).
• Блокировать WebRTC на уровне маршрутизации (через TProxy + iptables).
• Поддерживать мультиплексирование и обфускацию, что критично при обходе блокировок в России после 2022 года.

На OpenWrt он становится центральным элементом вашей домашней защиты — особенно если вы используете публичные Wi-Fi, скачиваете торренты или работаете с чувствительными данными.

Чего вам НЕ говорят в других гайдах

🔒 Бесплатные конфиги = продажа вашего трафика

Многие сайты предлагают «готовые конфиги sing-box бесплатно». На деле это:

• Серверы, которые логируют всё: IP, время подключения, объём трафика.
• Конфигурации с поддельным no-log policy — проверить это невозможно без независимого аудита.
• Использование устаревших шифров (AES-128-CFB вместо ChaCha20-Poly1305).

В 2024 году исследователи обнаружили, что более 60% бесплатных Shadowsocks-серверов передавали метаданные третьим лицам. Не повторяйте эту ошибку.

⚠️ Kill switch не работает при старте системы

Даже если вы настроили правила iptables для блокировки всего трафика вне туннеля, в момент загрузки OpenWrt (до запуска sing-box) устройство может отправить запросы напрямую. Это критично для:

• Устройств с автоматическим обновлением (умные ТВ, IoT-гаджеты).
• Сценариев, где важна полная анонимность с первой миллисекунды.

Решение: использовать pre-up firewall rules и задержку старта LAN-интерфейса до полной инициализации sing-box.

🌐 WebRTC-утечки остаются даже при правильном DNS

Браузеры (Chrome, Firefox) могут раскрывать ваш реальный IP через WebRTC, даже если весь трафик идёт через прокси. Sing-box не блокирует WebRTC сам по себе — нужно комбинировать его с:

• Правилами TProxy для перехвата UDP-трафика на портах 3478–3481.
• Отключением WebRTC в браузере (вручную или через enterprise-политики).

Проверить утечку можно на browserleaks.com/webrtc.

📜 Юрисдикция 14 Eyes — реальная угроза

Если ваш провайдер sing-box-конфигурации находится в стране 14 Eyes (США, Великобритания, Канада и др.), он обязан выдать ваши данные по запросу спецслужб — даже без судебного решения. В России это означает, что такие серверы бесполезны для защиты от ФСБ.

Выбирайте провайдеров в Швейцарии, Исландии или Сингапуре — и проверяйте их юрисдикцию самостоятельно.

Пошаговая настройка sing-box на OpenWrt

Требования: роутер с OpenWrt 23.05+, минимум 128 МБ ОЗУ, поддержка пакетов из официального репозитория.

Шаг 1. Установка необходимых пакетов

Подключитесь к роутеру по SSH:

opkg update
opkg install sing-box ca-bundle coreutils-nohup

Пакет ca-bundle нужен для проверки TLS-сертификатов. Без него возможны MITM-атаки.

Шаг 2. Создание конфигурационного файла

Создайте /etc/sing-box/config.json. Пример для WireGuard + DNS-over-HTTPS:

{
  "log": { "level": "warn" },
  "dns": {
    "servers": [
      {
        "tag": "doh",
        "address": "https://dns.google/dns-query",
        "detour": "wg-out"
      }
    ],
    "rules": [{ "domain_suffix": [".ru", ".рф"], "server": "local" }]
  },
  "inbounds": [
    {
      "type": "tproxy",
      "tag": "tproxy-in",
      "listen": "0.0.0.0",
      "listen_port": 7893,
      "sniff": true,
      "sniff_override_destination": true
    }
  ],
  "outbounds": [
    {
      "type": "wireguard",
      "tag": "wg-out",
      "server": "your.vpn.server",
      "server_port": 51820,
      "local_address": ["172.16.0.2/32"],
      "private_key": "YOUR_PRIVATE_KEY",
      "peer_public_key": "PEER_PUBLIC_KEY",
      "mtu": 1380
    },
    { "type": "direct", "tag": "direct" },
    { "type": "block", "tag": "block" }
  ],
  "route": {
    "rules": [
      { "ip_cidr": ["geoip:private"], "outbound": "direct" },
      { "domain": ["geosite:category-ads"], "outbound": "block" },
      { "outbound": "wg-out" }
    ],
    "auto_detect_interface": true
  }
}

Обратите внимание:

• mtu: 1380 — снижает фрагментацию пакетов в сетях с PPPoE (часто у «Ростелекома»).
• sniff_override_destination — позволяет маршрутизировать по домену даже при отсутствии SNI.
• Локальные .ru домены идут напрямую — это важно для работы банков и госуслуг.

Шаг 3. Настройка TProxy и iptables

Создайте скрипт /etc/firewall.user:

Очистка старых правил
iptables -t mangle -F PREROUTING
ip6tables -t mangle -F PREROUTING

Маркировка трафика
iptables -t mangle -A PREROUTING -j MARK --set-mark 0x1

Перенаправление в TProxy
iptables -t mangle -A PREROUTING -p tcp -m mark --mark 0x1 -j TPROXY --on-port 7893 --on-ip 127.0.0.1
iptables -t mangle -A PREROUTING -p udp -m mark --mark 0x1 -j TPROXY --on-port 7893 --on-ip 127.0.0.1

Перезапустите фаервол:

/etc/init.d/firewall restart

Шаг 4. Автозапуск и мониторинг

Создайте init-скрипт /etc/init.d/sing-box:

#!/bin/sh /etc/rc.common
USE_PROCD=1
START=99

start_service() {
    procd_open_instance
    procd_set_param command /usr/bin/sing-box run -c /etc/sing-box/config.json
    procd_set_param stdout 1
    procd_set_param stderr 1
    procd_close_instance
}

Сделайте исполняемым и включите автозапуск:

chmod +x /etc/init.d/sing-box
/etc/init.d/sing-box enable
/etc/init.d/sing-box start

Шаг 5. Проверка утечек

1. Зайдите на ipleak.net — должен отображаться IP вашего сервера.
2. Проверьте DNS: все запросы должны идти через dns.google или ваш DoH-сервер.
3. Убедитесь, что WebRTC отключён или не раскрывает локальный IP.
4. Отключите интернет на роутере на 10 секунд — при восстановлении трафик не должен идти напрямую.

Сравнение: sing-box vs другие решения на OpenWrt

Вывод: sing-box — лучший выбор, если вам нужна гибкость и защита от современных DPI, а не просто «работающий туннель».

Сценарии использования в условиях РФ

📡 Публичный Wi-Fi в кафе

Вы подключаетесь к сети «MTS_Free_WiFi». Без защиты:

• Провайдер видит все HTTP-запросы.
• Возможна атака Man-in-the-Middle через поддельный сертификат.

С sing-box:

• Весь трафик шифруется и маскируется под YouTube или Telegram.
• DNS идёт через DoH — никаких логов у провайдера.

⬇️ Торренты и P2P

В России торренты под угрозой блокировки и мониторинга. Sing-box позволяет:

• Направлять только торрент-трафик через прокси (port: 6881-6889 → wg-out).
• Остальной трафик (стриминг, игры) идёт напрямую — без потери скорости.

🚫 Обход блокировок мессенджеров

Если Telegram заблокирован на уровне DPI:

• Используйте VLESS + XTLS + Reality с фингерпринтом Chrome.
• Sing-box имитирует легитимное TLS-рукопожатие — провайдер не отличит от обычного трафика Google.

💼 Корпоративная защита

Для удалённых сотрудников:

• Все запросы к корпоративным ресурсам идут через зашифрованный туннель.
• Локальные устройства (принтеры, NAS) доступны без прокси — благодаря split tunneling.

Вывод

sing-box openwrt настройка — это не «ещё один способ поднять прокси». Это создание доверенной точки входа в интернет для всей домашней сети. При правильной конфигурации вы получаете защиту от DPI, утечек DNS/WebRTC, MITM-атак и нежелательной маршрутизации. Но помните: безопасность зависит не от инструмента, а от того, как вы его используете. Избегайте бесплатных конфигов, проверяйте юрисдикцию серверов, тестируйте утечки и никогда не полагайтесь на «автоматический» kill switch без ручной проверки. Только так ваш роутер станет настоящим щитом, а не иллюзией защиты.

VPN замедляет интернет — на сколько реально?

Зависит от протокола и сервера. WireGuard добавляет 3–8 мс пинга и снижает скорость на 3–5%. VLESS+Reality — 10–15 мс и 8–12% потерь. Бесплатные Shadowsocks-серверы могут «съедать» до 50% скорости из-за перегрузки.

📖Свобода информации

Меня найдёт спецслужба при использовании VPN?

Если ваш VPN-провайдер ведёт логи и находится в юрисдикции РФ или 14 Eyes — да. Если вы используете no-log-сервис в Швейцарии с оплатой криптой и не оставляете цифровых следов (логины, платежи) — шансы стремятся к нулю. Но абсолютной анонимности не существует.

WireGuard или OpenVPN — что безопаснее?

WireGuard безопаснее: меньше кода (меньше уязвимостей), современные криптоалгоритмы (ChaCha20, Poly1305), perfect forward secrecy по умолчанию. OpenVPN уязвим к атакам на слабые DH-ключи и требует ручной настройки шифров.

Нужно ли отключать IPv6 при использовании sing-box?

Да, если вы не настроили IPv6-маршрутизацию в sing-box. Иначе запросы могут уходить напрямую через IPv6, минуя туннель. В OpenWrt лучше отключить IPv6 глобально: sysctl -w net.ipv6.conf.all.disable_ipv6=1.

Открой мир без границ🌍

Можно ли использовать sing-box без root-доступа к роутеру?

Нет. Для TProxy, iptables и управления сетевым стеком требуется полный доступ к системе. На фирменных роутерах (Keenetic, Zyxel) это невозможно без прошивки OpenWrt.

Что делать, если sing-box «съедает» всю память?

Уменьшите количество одновременных соединений в конфиге ("tcp_fast_open": false, "udp_timeout": "30s"). Отключите ненужные правила (например, geosite:cn). На роутерах с 64 МБ ОЗУ используйте только WireGuard без обфускации.