openvpn сервер на openwrt
openvpn сервер на openwrt
Как собрать свой OpenVPN-сервер на OpenWrt — и не попасть в ловушку «безопасности»
openvpn сервер на openwrt — это не просто техническая задача, а решение для реальных угроз: слежка провайдера, перехват трафика в кафе, обход блокировок РКН или защита торрент-активности. Но большинство гайдов умалчивают о том, что даже правильно настроенный сервер может стать источником утечек, если вы проигнорируете DNS, WebRTC или особенности маршрутизации. В этой статье — полный цикл: от выбора шифрования до тестирования утечек, с учётом российской реальности.
Почему OpenWrt? И почему именно OpenVPN?
OpenWrt — это Linux-дистрибутив для роутеров. Он даёт контроль над сетевым стеком, который недоступен в прошивках от TP-Link или D-Link. Вы можете:
- Запустить полноценный OpenVPN-сервер прямо на роутере.
- Настроить split tunneling: часть трафика через VPN, часть — напрямую.
- Блокировать рекламу и трекеры на уровне DNS (например, через AdGuard Home).
- Изолировать IoT-устройства в отдельной подсети с принудительным туннелированием.
OpenVPN остаётся золотым стандартом для self-hosted решений. WireGuard быстрее, но требует постоянного IP-адреса на клиенте или сервере. IPsec сложен в настройке на потребительском оборудовании. OpenVPN же работает через UDP/TCP, поддерживает TLS-auth, легко маскируется под HTTPS (порт 443), и его конфигурации читаются даже новичками.
Важно: если ваш домашний интернет от Ростелекома или МТС — у вас почти наверняка динамический IPv4 или вообще только CGNAT. Это значит: без внешнего VPS с белым IP ваш OpenVPN-сервер будет доступен только из локальной сети. Об этом — дальше.
Чего вам НЕ говорят в других гайдах
Большинство инструкций заканчиваются на «всё работает!». Но реальная безопасность начинается после этого.
- Бесплатные сертификаты ≠ безопасность
Многие используют easy-rsa для генерации сертификатов. Это нормально. Но если вы не настроите CRL (Certificate Revocation List), скомпрометированный клиентский сертификат останется валидным навсегда. Атакующий, получивший .ovpn-файл, сможет подключаться даже после того, как вы «заблокировали» устройство.
- DNS-утечки на роутере — частая ошибка
OpenVPN по умолчанию не перенаправляет DNS. Если в конфиге нет строк:
dhcp-option DNS 8.8.8.8
dhcp-option DNS 1.1.1.1
…то клиенты будут использовать DNS провайдера. В России это часто означает фильтрацию через «Систему технических средств оперативно-розыскных мероприятий» (СОРМ). Проверить утечку можно на ipleak.net.
- WebRTC всё равно раскроет ваш IP
Даже при идеальном OpenVPN-туннеле браузер через WebRTC может отправить ваш реальный локальный IP. Это особенно актуально для пользователей Chrome и Edge. Решение — либо отключать WebRTC в настройках, либо использовать Firefox с media.peerconnection.enabled = false.
- Kill switch на роутере — иллюзия без правил iptables
«Отвал» интернета при разрыве VPN — не встроенная функция OpenVPN. Это достигается через правила iptables. Без них, при падении туннеля, весь трафик пойдёт напрямую. Пример правила:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -o eth0 -j DROP
Последняя строка — и есть kill switch: запрет прямого выхода в интернет без туннеля.
- Юрисдикция и логи — даже у «своего» сервера
Вы думаете: «Это мой сервер — никто не видит». Но если он арендован у хостинг-провайдера (например, Hetzner в Германии), то по запросу суда данные могут быть переданы. Германия — участник соглашения 14 Eyes. Даже при политике no-log, метаданные (время подключения, объём трафика) часто сохраняются автоматически системой мониторинга.
Пошаговая настройка: от нуля до рабочего сервера
Шаг 1. Подготовка оборудования
Подойдут роутеры с 128+ МБ ОЗУ и флеш-памятью от 16 МБ:
- Xiaomi Mi Router 4A Gigabit
- GL.iNet Flint (GL-AXT1800)
- Turris Omnia
- PC Engines APU (для продвинутых)
Установите последнюю стабильную версию OpenWrt (на июнь 2026 года — 23.05).
Шаг 2. Установка OpenVPN
Через SSH:
opkg update
opkg install openvpn-openssl luci-app-openvpn
Перезагрузите веб-интерфейс LuCI.
Шаг 3. Генерация сертификатов (PKI)
Используйте easy-rsa:
cd /etc/easy-rsa
cp -r /usr/share/easy-rsa/* ./
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa build-server-full server nopass
./easyrsa build-client-full client1 nopass
./easyrsa gen-dh
openvpn --genkey --secret pki/ta.key
Скопируйте файлы в /etc/openvpn:
cp pki/ca.crt pki/private/server.key pki/issued/server.crt pki/dh.pem pki/ta.key /etc/openvpn/
Шаг 4. Конфигурация сервера (/etc/openvpn/server.conf)
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
tls-auth ta.key 0
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 1.1.1.1"
keepalive 10 120
cipher AES-256-GCM
auth SHA256
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1
Обратите внимание:
- AES-256-GCM — современный режим шифрования с аутентификацией.
- redirect-gateway def1 — перенаправляет весь трафик через VPN.
- explicit-exit-notify — ускоряет обнаружение разрыва соединения.
Шаг 5. Настройка файрвола в LuCI
- Перейдите в Network → Firewall.
- Создайте новую зону
vpnс входящим/исходящим трафикомAccept. - Привяжите интерфейс
tun0к этой зоне. - Разрешите перенаправление между
lanиvpn.
Шаг 6. Тестирование
- Подключите клиент через
.ovpn-файл. - Зайдите на ipleak.net — должен отображаться IP вашего сервера.
- Проверьте WebRTC-утечку на browserleaks.com/webrtc.
- Отключите кабель от WAN-порта — интернет на клиентах должен пропасть (работает kill switch).
Сравнение self-hosted OpenVPN против коммерческих провайдеров
| Критерий | OpenVPN на OpenWrt | ProtonVPN | NordVPN | Mullvad | Hola Free |
|---|---|---|---|---|---|
| Юрисдикция | Ваш VPS (выбор за вами) | Швейцария | Панама | Швеция | Израиль + США |
| Политика логов | Только то, что вы включите | No logs (аудит 2023) | No logs (спорный) | No logs (аудит 2024) | Продают трафик |
| Поддержка WireGuard | Нет (только OpenVPN/IPsec) | Да | Да | Да | Нет |
| Цена (месяц) | От 200 ₽ (VPS + трафик) | $12.99 | $11.99 | €5 | Бесплатно |
| Реальная скорость (на 100 Мбит/с) | 70–85 Мбит/с | 60–90 Мбит/с | 50–80 Мбит/с | 75–95 Мбит/с | <10 Мбит/с |
| Защита от DPI (Роскомнадзор) | Только с obfsproxy или stunnel | Встроена (Stealth) | Obfuscated servers | Нет | Нет |
Примечание: Hola использует P2P-модель — ваш трафик может использоваться для проксирования чужих запросов. В 2015 году это привело к DDoS-атаке с IP обычных пользователей.
Когда стоит использовать свой OpenVPN-сервер
Сценарий 1. Доступ к домашней сети из отпуска
Вы в Турции, а дома остались IP-камеры, NAS и умный холодильник. Подключаетесь к своему OpenVPN-серверу — и попадаете в локальную сеть, как будто дома. Никаких сторонних сервисов, никаких логов.
Сценарий 2. Обход блокировок РКН
Telegram, YouTube, некоторые новостные сайты — всё это можно разблокировать, направив трафик через VPS за границей. Но учтите: согласно законодательству РФ, обход блокировок запрещён. Мы описываем техническую возможность, а не призываем к нарушению закона.
Сценарий 3. Защита в публичных Wi-Fi
В кофейне «Кофемания» на Ленинском проспекте вы подключаетесь к Wi-Fi. Без VPN любой желающий в той же сети может перехватить ваши пароли (особенно если сайт без HTTPS). OpenVPN шифрует весь трафик — даже HTTP.
Сценарий 4. Торренты с минимальным риском
Если вы скачиваете торренты, ваш IP видят все участники раздачи. Через OpenVPN на VPS — они видят только IP сервера. Но: многие хостинги (включая DigitalOcean и Vultr) запрещают торрент-трафик. Ищите провайдеров с «torrent-friendly» политикой (например, OVH, Hetzner — с оговорками).
OpenVPN vs WireGuard vs IPsec: кто кого?
| Параметр | OpenVPN | WireGuard | IPsec (IKEv2) |
|---|---|---|---|
| Шифрование | AES-256-CBC/GCM, ChaCha20 | ChaCha20-Poly1305 | AES, 3DES, IKE |
| Perfect Forward Secrecy | Да (при правильной настройке) | Да | Да |
| Скорость | Средняя | Высокая (+15–30% к OpenVPN) | Высокая |
| Обход DPI | Требует obfs4/stunnel | Труднее, но возможен | Часто блокируется |
| Поддержка NAT | Отличная | Требует keepalive | Хорошая |
| Аудиты безопасности | Множество (Cure53, 2020) | Quarkslab (2022) | Ограниченные |
WireGuard быстрее, но менее гибок в обходе цензуры. OpenVPN — старый, но проверенный танк. Для OpenWrt с динамическим IP WireGuard требует дополнительных скриптов для обновления endpoint’а.
Диагностика и устранение утечек
Проверка DNS
nslookup google.com
Если в ответе указан DNS вашего провайдера (например, 82.200.224.10 от Ростелекома) — утечка есть.
Проверка маршрутизации
На клиенте:
ip route show table all | grep tun
Должен быть маршрут по умолчанию через tun0.
Автоматический мониторинг
Создайте скрипт /root/vpn-check.sh:
#!/bin/sh
if ! pgrep openvpn > /dev/null; then
logger "OpenVPN down! Blocking WAN."
iptables -A FORWARD -o eth0 -j DROP
fi
Добавьте в cron каждые 5 минут.
VPN замедляет интернет на сколько реально?
На роутере с процессором MT7621 (MIPS 880 МГц) OpenVPN с AES-256-GCM даёт 70–85 Мбит/с на канале 100 Мбит/с. Потери — 15–30%. На современных ARM-роутерах (Qualcomm IPQ0509) — до 95% скорости.
Меня найдёт спецслужба при использовании VPN?
Если вы используете коммерческий VPN с логами — да, по запросу суда. Если это ваш сервер на VPS — зависит от юрисдикции хостера. В России за администрирование сервера, используемого для нарушения закона, предусмотрена ответственность по ст. 13.41 КоАП.
WireGuard или OpenVPN — что безопаснее?
Оба протокола криптографически стойкие. WireGuard проще и быстрее, но менее проверен в условиях глубокой инспекции трафика (DPI). OpenVPN легче маскировать под HTTPS, что критично в странах с активной цензурой.
Можно ли запустить OpenVPN-сервер без белого IP?
Только для локального использования. Для доступа из интернета нужен публичный IPv4 или IPv6. При CGNAT (часто у МТС и Билайна) поможет только VPS с белым IP, куда вы пробрасываете порт через reverse tunnel.
Что такое split tunneling и зачем он?
Это когда часть трафика идёт через VPN, а часть — напрямую. Например, торренты и Telegram — через VPN, а стриминг Яндекс.Музыки — напрямую (чтобы не терять качество и не нагружать сервер). В OpenWrt настраивается через политики маршрутизации по IP или доменам.
Бесплатные VPN — это мошенничество?
Не всегда, но почти всегда. Бесплатный сервис должен зарабатывать. Hola продавала пользовательскую пропускную способность. Betternet вставлял рекламу и собирал историю браузера. Реальный VPN-сервер стоит от $5/мес. Если вам предлагают «бесплатно» — вы и есть товар.
Вывод
openvpn сервер на openwrt — это мощный инструмент для тех, кто хочет контролировать свою сетевую безопасность, а не зависеть от коммерческих провайдеров с сомнительными no-log policy. Но он требует понимания не только настройки OpenVPN, но и работы DNS, маршрутизации, файрвола и угроз вроде WebRTC/DPI. Если вы готовы потратить 2–3 часа на первоначальную настройку и регулярно проверять утечки — это лучший вариант для доступа к домашней сети, защиты в публичных сетях и минимизации зависимости от третьих лиц. Главное — помнить: даже самый защищённый туннель бесполезен, если вы сами раскрываете данные через браузер или мобильное приложение.
Nice overview. It would be helpful to add a note about regional differences.