установка sing box openwrt
установка sing-box openwrt
Установка Sing-Box на OpenWrt: полный гайд для роутера
Подробный гайд: установка sing-box openwrt — настройте современный прокси-стек прямо на роутере OpenWrt. Защита от DPI, обход блокировок, утечки и логи — всё под контролем.
установка sing-box openwrt — это не просто очередной способ «пробросить трафик». Это переход к полностью контролируемой инфраструктуре, где вы сами выбираете протоколы, шифрование, маршрутизацию и политику логирования. В отличие от коммерческих VPN-сервисов, Sing-Box даёт вам гибкость профессионального инструмента: Shadowsocks с AEAD, VLESS с XTLS, Trojan с obfs4, WireGuard с pre-shared key и даже экспериментальные протоколы вроде Hysteria 2. А когда всё это работает на вашем роутере под OpenWrt — весь дом получает защиту без установки клиентов на каждое устройство.
Почему именно роутер? И почему не обычный VPN?
Представьте: вы подключаетесь к Wi-Fi в аэропорту Домодедово. Ваш ноутбук, телефон и планшет — все три устройства автоматически шифруют трафик через единый канал. Никаких утечек WebRTC из браузера на старом Android, никаких забытых включённых приложений на iPad. Роутер как точка входа — это доверенное окружение (Trusted Computing Base), которое защищает все устройства разом.
Но стандартные OpenVPN-клиенты в прошивках Keenetic или ASUS часто устаревают. Они не поддерживают современные методы обхода DPI (Deep Packet Inspection), используемые Роскомнадзором с 2023 года. Например, простой TLS-over-TCP трафик легко детектируется по сигнатурам. А вот VLESS с REALITY или Trojan с domain fronting — уже сложнее.
Sing-Box — это универсальный прокси-движок нового поколения. Он не просто «ещё один клиент». Это конфигурируемый стек, который может одновременно работать как:
- клиент к вашему собственному серверу;
- локальный DNS-over-HTTPS резолвер с фильтрацией рекламы;
- transparent proxy с правилами маршрутизации по доменам и IP;
- relay для обхода блокировок Telegram или YouTube.
И всё это — на роутере с 128 МБ ОЗУ и процессором 880 МГц.
Подготовка: что нужно перед установкой
Не все роутеры под OpenWrt одинаково полезны. Проверьте три вещи:
- Архитектура процессора. Sing-Box официально собирается под
aarch64,armv7,mipsel_24kc,x86_64. Если у вас старый роутер наmips_24kc(без «el») — пакета не будет. - Место на флеш-памяти. Минимум 8 МБ свободного места. Лучше 16 МБ.
- Версия OpenWrt. Требуется 22.03 или новее. На 19.07 пакет не установится.
Как проверить? Зайдите в веб-интерфейс LuCI → Система → Обзор. Или через SSH:
uname -m
df -h /
cat /etc/os-release
Если всё в порядке — добавляем репозиторий. Sing-Box пока не входит в официальный feed OpenWrt, но поддерживается сообществом через openwrt-sing-box.
Добавьте в /etc/opkg/customfeeds.conf строку:
src/gz openwrt_singbox https://github.com/SagerNet/openwrt-sing-box/releases/download/v1.8.10/packages/aarch64_cortex-a53
(Замените aarch64_cortex-a53 на вашу архитектуру.)
Обновите список пакетов:
opkg update
opkg install sing-box
Если возникает ошибка «checksum mismatch» — скачайте .ipk вручную и установите через opkg install ./sing-box_*.ipk.
Конфигурация: от нуля до рабочего туннеля
Sing-Box управляется через JSON или YAML. Пример минимального конфига для VLESS + XTLS + REALITY:
log:
level: warn
dns:
servers:
- https://1.1.1.1/dns-query
- https://8.8.8.8/dns-query
inbounds:
- type: tun
tag: tun-in
interface_name: tun0
address:
- 172.19.0.1/30
mtu: 1400
auto_route: true
strict_route: true
stack: system
outbounds:
- type: vless
tag: proxy-out
server: your-vps.example.com
server_port: 443
uuid: "ваш-uuid-из-xray"
flow: xtls-rprx-vision
tls:
enabled: true
server_name: cloudflare.com
reality:
enabled: true
public_key: "публичный-ключ-от-realilty"
short_id: "0123456789abcdef"
route:
rules:
- domain_suffix:
- google.com
- youtube.com
outbound: proxy-out
- ip_is_private: true
outbound: direct
- outbound: proxy-out
Сохраните как /etc/sing-box/config.yaml.
Теперь запустите:
sing-box run -c /etc/sing-box/config.yaml
Если всё работает — создайте systemd-совместимый init-скрипт (/etc/init.d/sing-box) или используйте procd для автозапуска.
Важно: auto_route: true перехватывает весь трафик, но strict_route: true предотвращает утечки при отключении. Без этого параметра возможен fallback на прямое соединение.
Чего вам НЕ говорят в других гайдах
Большинство руководств молчат о трёх критических моментах:
- Бесплатные «аналоги» Sing-Box — это сборщики данных
Многие пользователи ищут «бесплатный Sing-Box для OpenWrt». Но сам Sing-Box — это только клиент. Серверная часть (Xray, XTLS, Reality) требует аренды VPS. Бесплатные сервисы вроде некоторых Telegram-ботов предоставляют конфиги к своим серверам. Что они делают с вашим трафиком?
- Логируют IP-адреса и домены (даже если заявляют «no logs»).
- Встраивают JavaScript-трекеры в HTTP-трафик.
- Продают данные маркетологам или третьим лицам.
Пример: в 2024 году исследователи обнаружили, что один популярный «бесплатный VLESS-бот» отправлял метаданные на китайские серверы каждые 30 секунд.
- Kill switch на роутере — не всегда работает
Даже при strict_route: true возможен временный провал при перезагрузке роутера или обрыве связи. В этот момент трафик может пойти напрямую. Чтобы этого избежать:
- Настройте
iptablesна блокировку всего исходящего трафика, кроме порта 53 (DNS) и порта сервера. - Используйте
nftablesс правилом drop по умолчанию. -
Добавьте скрипт, который проверяет состояние TUN-интерфейса каждые 5 секунд и блокирует WAN при его отсутствии.
-
Юрисдикция вашего VPS — важнее, чем вы думаете
Вы купили VPS в Германии за 300 ₽/мес. Кажется, безопасно? Но если хостинг-провайдер сотрудничает с правоохранительными органами (а в ЕС это почти все), он обязан сохранять логи подключения по требованию. В рамках соглашений типа 14 Eyes такие данные могут быть переданы ФСБ без вашего ведома.
Решение: используйте провайдеров с политикой «zero retention» (например, Hetzner не хранит IP-логи после отключения сервера). Или арендуйте VPS в юрисдикциях с сильной защитой приватности: Швейцария, Исландия, Панама.
Таблица: коммерческий VPN vs самодельный Sing-Box
| Сервис | Юрисдикция | Логи | Поддерживаемые протоколы | Реальная потеря скорости | Цена в месяц (₽) |
|---|---|---|---|---|---|
| Mullvad | SE | No logs | WireGuard, OpenVPN | 3–7% | 890 |
| Proton VPN | CH | No logs (confirmed) | WireGuard, OpenVPN, Stealth | 5–10% | 650 |
| IVPN | Gibraltar | No logs (audited) | WireGuard, OpenVPN | 4–8% | 920 |
| Hide.me | MY | Partial (connection logs) | WireGuard, OpenVPN, IKEv2 | 10–15% | 480 |
| Local self-hosted (Sing-Box) | RU* | Только ваши | Shadowsocks, VLESS, Trojan, WireGuard, Hysteria | 1–5% (при хорошем сервере) | От 300 (VPS) |
* Юрисдикция зависит от расположения вашего VPS, а не роутера.
Диагностика: как проверить, что всё работает
После запуска Sing-Box не верьте на слово. Проверьте:
- IP-адрес: зайдите на ipleak.net. Должен отображаться IP вашего VPS.
- DNS-утечки: тот же сайт покажет, какие DNS-серверы используются. Должны быть только ваши (1.1.1.1, 8.8.8.8 и т.д.).
- WebRTC-утечки: откройте browserleaks.com/webrtc. В идеале — «No local IPs detected».
- DPI-обход: попробуйте открыть ранее заблокированный сайт (например, определённые зеркала YouTube). Если грузится — значит, REALITY или Trojan успешно маскируют трафик под легитимный HTTPS.
- Скорость: используйте
iperf3до вашего VPS. При хорошем канале потеря не должна превышать 5%.
Если что-то не так — проверьте MTU (mtu: 1400 в конфиге), включите log.level: info и смотрите вывод sing-box run.
Сценарии использования в реальных условиях
Журналист в командировке
Подключается к роутеру с Sing-Box в гостинице. Весь трафик идёт через VLESS+REALITY, замаскированный под Cloudflare. Даже если сеть отслеживается — DPI не распознаёт трафик как прокси.
IT-специалист в кафе
Работает с корпоративным GitLab через SSH. Без VPN — риск MITM-атаки через поддельный сертификат. С Sing-Box — весь трафик шифруется дважды: сначала SSH, потом VLESS. Атакующий видит только зашифрованный поток к cloudflare.com.
Пользователь торрентов
Включает split tunneling: торрент-клиент идёт напрямую (для раздачи), а браузер — через прокси. В конфиге Sing-Box это делается через правила по IP или портам.
Обход блокировки мессенджера
Telegram в России иногда блокируется по IP. Sing-Box с Trojan и domain fronting направляет трафик через легитимный домен (например, static.cloudflare.com), и РКН не может его отличить от обычного CDN-трафика.
Защита от утечек в IoT
Умный холодильник или камера безопасности часто отправляют данные на китайские серверы. Через Sing-Box можно заблокировать их трафик или направить в чёрную дыру (outbound: block).
Вывод
установка sing-box openwrt — это не просто техническая задача. Это переход от пассивного потребления «облачных» VPN к активному контролю над своей сетевой инфраструктурой. Вы сами решаете, какие протоколы использовать, куда направлять трафик и что логировать. При этом вы избегаете рисков бесплатных сервисов, юрисдикций 14 Eyes и поддельных kill switch. Да, потребуется время на настройку и аренда VPS от 300 ₽/мес. Но результат — максимальная приватность, скорость и гибкость, недоступные в коммерческих решениях. И всё это — прямо на вашем роутере, без установки софта на каждый гаджет.
VPN замедляет интернет на сколько реально?
Зависит от протокола и расстояния до сервера. WireGuard — 3–7%, OpenVPN — 10–20%, VLESS+XTLS — 1–5%. Но если сервер рядом (Москва → Хельсинки), потеря может быть менее 2%. Проверяйте через iperf3, а не Speedtest.
Меня найдёт спецслужба при использовании VPN?
Если вы используете коммерческий VPN с логами — да, по запросу суда. Если самодельный Sing-Box на VPS без логов — только если вы сами раскроете себя (через cookies, аккаунты, поведенческую аналитику). VPN скрывает IP, но не делает вас невидимым.
WireGuard или OpenVPN — что безопаснее?
WireGuard современнее: меньше кода (меньше уязвимостей), perfect forward secrecy по умолчанию, быстрее. OpenVPN проверен временем, но использует устаревшие шифры (CBC), если не настроен правильно. Для большинства случаев WireGuard предпочтительнее.
Можно ли использовать Sing-Box без VPS?
Нет. Sing-Box — это клиент. Ему нужен сервер (Xray, XTLS, Shadowsocks и т.д.). Бесплатные серверы существуют, но крайне ненадёжны и опасны. Минимальный VPS стоит от $3/мес (~300 ₽).
Что такое REALITY и зачем он нужен?
REALITY — метод маскировки трафика под легитимное TLS-соединение с известным сайтом (например, cloudflare.com). DPI не может отличить ваш трафик от обычного HTTPS, потому что handshake действительно проходит с настоящим сертификатом Cloudflare. Это один из самых эффективных способов обхода блокировок в 2026 году.
Будет ли работать Sing-Box на старом роутере TP-Link Archer C7?
Archer C7 v2/v4 использует архитектуру ar71xx (mips_24kc), для которой нет официального пакета Sing-Box. На v5 (ipq40xx) — возможно, но потребуется сборка вручную. Лучше выбрать роутер на aarch64 или x86_64.
Straightforward structure and clear wording around wagering requirements. Nice focus on practical details and risk control. Clear and practical.