openvpn server на openwrt

openvpn server на openwrt

openvpn server на openwrt: как не превратить роутер в уязвимость

Подробный гайд: openvpn server на openwrt — настройка без дыр и ложной безопасности

openvpn server на openwrt — это мощный способ создать собственный шлюз шифрования прямо на домашнем маршрутизаторе. Но большинство руководств умалчивают о критических рисках: неправильная конфигурация может не только не защитить трафик, а сделать вас уязвимее, чем без VPN. В этой статье разберём всё: от выбора шифров до проверки утечек DNS и WebRTC, с учётом реалий российского интернета — блокировок РКН, DPI-анализа провайдеров вроде «Ростелекома» и требований законодательства.

Почему OpenWrt? Потому что это не просто прошивка — это полноценная Linux-система с пакетным менеджером opkg, iptables и возможностью глубокой настройки сетевого стека. А OpenVPN остаётся одним из самых проверенных протоколов для создания защищённого туннеля, особенно когда вам нужна совместимость со старыми клиентами или обход DPI через obfsproxy или TLS-crypt.

Когда ваш «безопасный» тоннель на самом деле — прямая дорога для перехвата

Многие считают: установил OpenVPN на роутер — и всё, трафик зашифрован. Это опасное заблуждение. Вот типичные сценарии, где защита проваливается:

• Утечка DNS через провайдера. Даже если весь трафик идёт через туннель, DNS-запросы могут уходить напрямую к серверам «МТС» или «Билайна». Результат — полный список посещённых сайтов у провайдера.
• Отсутствие kill switch. При обрыве связи с сервером OpenVPN трафик мгновенно «выпадает» в чистый интернет. Без правил в iptables вы продолжаете серфить, даже не подозревая, что шифрование отключено.
• Неправильные права на ключи. Файлы ca.crt, server.key должны быть доступны только пользователю root. Если права 644 — любой процесс в системе может их прочитать.
• Использование устаревших шифров. Например, cipher BF-CBC (Blowfish) или auth SHA1 — уязвимы к атакам. Современные стандарты требуют AES-256-GCM или ChaCha20-Poly1305 с perfect forward secrecy (PFS).

В российских реалиях добавляется ещё один риск: блокировка IP-адресов. Если ваш OpenVPN-сервер находится в Европе, его IP может оказаться в реестре запрещённых. Тогда даже успешное подключение не гарантирует доступ к контенту — потребуется дополнительный слой маскировки (например, stunnel или Shadowsocks поверх OpenVPN).

Чего вам НЕ говорят в других гайдах

Большинство инструкций в сети — поверхностны. Они показывают, как «запустить», но не объясняют, почему это может быть опасно.

Бесплатные OpenVPN-конфиги — ловушка

Вы скачали .ovpn-файл с сайта «бесплатных серверов»? Скорее всего, он содержит:
- Подменённый remote — вы подключаетесь не к официальному серверу, а к прокси злоумышленника.
- Отключённую проверку сертификатов (verify-x509-name отсутствует).
- Встроенный скрипт up/down, который отправляет ваши данные на третий сервер.

Пример: в 2023 году исследователи обнаружили, что 78% «бесплатных» OpenVPN-конфигов из топа Google содержали закладки для сбора cookies и заголовков User-Agent.

Логирование — даже если «no logs»

OpenWrt по умолчанию не ведёт логи трафика, но:
- Системный журнал (logread) может сохранять события подключения.
- Если вы используете syslog с внешним сервером — все записи уходят туда.
- Провайдер хостинга VPS (где стоит ваш сервер) может вести netflow-логи, даже если вы сами не логируете.

В юрисдикции «14 Eyes» (включая Германию, Францию, Великобританию) такие логи могут быть переданы спецслужбам по запросу, без судебного решения.

Fake kill switch

Многие «готовые» скрипты для OpenWrt имитируют kill switch через простое правило:

iptables -A OUTPUT ! -o tun0 -j DROP

Но это не работает на уровне роутера! Роутер — это шлюз, а не конечное устройство. Правило должно применяться к цепочке FORWARD, а не OUTPUT. Иначе клиенты в локальной сети продолжат выходить в интернет напрямую при обрыве туннеля.

Правильный подход:

Блокировать весь FORWARD-трафик, кроме tun0 и локальных сетей
iptables -I FORWARD -o eth1 -j REJECT --reject-with icmp-host-prohibited
iptables -I FORWARD -o tun+ -j ACCEPT
iptables -I FORWARD -i br-lan -o br-lan -j ACCEPT

Обход DPI — не всегда работает

Провайдеры в РФ активно используют Deep Packet Inspection. Простой OpenVPN на TCP 443 может быть распознан по сигнатурам handshake. Чтобы обойти это, нужны:
- tls-crypt (скрывает содержимое TLS-рукопожатия)
- obfs4 или v2ray-plugin (маскирует трафик под HTTPS)
- Случайный --sndbuf и --rcvbuf (ломает анализ MTU)

Без этого ваш трафик могут замедлить или полностью заблокировать, даже если IP не в чёрном списке.

Как правильно настроить openvpn server на openwrt: пошагово без воды

Шаг 1. Установка пакетов

Подключитесь к роутеру по SSH и выполните:

opkg update
opkg install openvpn-openssl luci-app-openvpn

Важно: используйте openvpn-openssl, а не openvpn-mbedtls, если планируете tls-crypt — mbedtls не поддерживает эту опцию в старых версиях OpenWrt.

Шаг 2. Генерация ключей (на отдельной машине!)

Никогда не генерируйте ключи на самом роутере — мало памяти, высок риск компрометации. Используйте EasyRSA на ПК:

git clone https://github.com/OpenVPN/easy-rsa.git
cd easy-rsa/easyrsa3
./easyrsa init-pki
./easyrsa build-ca
./easyrsa build-server-full vpn-server nopass
./easyrsa build-client-full client1 nopass
./easyrsa gen-dh
openvpn --genkey --secret pki/ta.key

Скопируйте файлы на роутер в /etc/openvpn/.

Шаг 3. Конфигурация сервера (/etc/openvpn/server.conf)

port 1194
proto udp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/vpn-server.crt
key /etc/openvpn/vpn-server.key
dh /etc/openvpn/dh.pem
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 1.1.1.1"
keepalive 10 60
tls-crypt /etc/openvpn/ta.key
cipher AES-256-GCM
auth SHA256
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1

Обратите внимание:
- AES-256-GCM вместо устаревшего AES-128-CBC
- tls-crypt для защиты от DPI
- redirect-gateway def1 — перенаправляет весь трафик через VPN

Шаг 4. Настройка firewall

В /etc/config/firewall добавьте зону для tun0:

config zone
        option name 'vpn'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        option masq '1'
        option network 'vpn'

config forwarding
        option src 'lan'
        option dest 'vpn'

config forwarding
        option src 'vpn'
        option dest 'wan'

Затем примените:

/etc/init.d/firewall restart

Шаг 5. Kill switch на уровне роутера

Создайте скрипт /etc/hotplug.d/iface/20-killswitch:

#!/bin/sh
[ "$INTERFACE" = "tun0" ] || exit 0
if [ "$ACTION" = "ifup" ]; then
    iptables -D FORWARD -o eth1 -j REJECT 2>/dev/null
elif [ "$ACTION" = "ifdown" ]; then
    iptables -I FORWARD -o eth1 -j REJECT --reject-with icmp-host-prohibited
fi

Сделайте исполняемым:

chmod +x /etc/hotplug.d/iface/20-killswitch

Теперь при падении туннеля весь исходящий трафик в WAN будет блокироваться.

WireGuard vs OpenVPN на OpenWrt: кто быстрее и безопаснее?

Вывод: если ваш роутер — TP-Link Archer C7 (MIPS, 775 МГц), WireGuard даст почти двукратный прирост скорости. Но если вам нужна максимальная совместимость (iOS, старые Android) — OpenVPN остаётся выбором №1.

Проверка утечек: как убедиться, что всё работает

1. Подключитесь к вашему OpenVPN-серверу.
2. Зайдите на ipleak.net — должен отображаться IP вашего сервера.
3. Проверьте DNS: все запросы должны идти через 8.8.8.8 или 1.1.1.1.
4. Откройте browserleaks.com/webrtc — локальный IP не должен светиться.
5. Отключите интернет на сервере на 10 секунд. Устройства в LAN не должны получить доступ в интернет.

Если хоть один пункт провален — пересмотрите правила iptables и настройки DHCP.

Реальные сценарии использования в РФ

Журналист в командировке
Подключается к домашнему OpenVPN-серверу, чтобы избежать слежки в отеле. Все материалы уходят через зашифрованный тоннель, а kill switch предотвращает случайную отправку данных в открытом виде при переподключении к Wi-Fi.

IT-специалист в кафе
Работает с корпоративными Git-репозиториями через публичный Wi-Fi. OpenVPN защищает от MITM-атак и сниффинга паролей.

Пользователь торрентов
Перенаправляет весь трафик через сервер в юрисдикции без anti-piracy laws. Но помните: в РФ распространение контента без лицензии — уголовно наказуемо. Техническая возможность ≠ законность.

Обход блокировки Telegram
До 2024 года РКН блокировал IP Telegram через DPI. OpenVPN с tls-crypt позволял обходить это. Сейчас Telegram использует собственные методы обхода, но принцип остаётся актуальным для других сервисов.

Вывод

openvpn server на openwrt — это не «волшебная кнопка безопасности», а мощный инструмент, требующий глубокого понимания сетевой архитектуры. Если настроить его правильно — с современными шифрами, tls-crypt, жёстким kill switch и проверкой утечек — вы получите надёжный шлюз, защищающий от слежки провайдера, MITM и DPI. Но одна ошибка в конфигурации может свести все усилия к нулю. Не доверяйте готовым скриптам из интернета. Проверяйте каждую строку. И помните: технические возможности не отменяют ответственности за использование в рамках действующего законодательства РФ.

VPN замедляет интернет на сколько реально?

На роутерах с процессором MIPS (например, Archer C7) OpenVPN снижает скорость на 30–40%. На устройствах с аппаратным AES (Qualcomm IPQ4019 и новее) — всего на 8–12%. WireGuard почти не влияет: потеря ≤5%.

Меня найдёт спецслужба при использовании VPN?

Если вы используете свой сервер — да, потому что вы контролируете логи и IP. Если арендуете VPS — зависит от юрисдикции. В странах «14 Eyes» данные могут быть переданы по запросу. Анонимность обеспечивает только комбинация: Tor → VPN → Tor, но это сильно снижает скорость.

🛠️Инструмент для работы

WireGuard или OpenVPN — что безопаснее?

С точки зрения криптографии — WireGuard (проще код, меньше уязвимостей). Но OpenVPN имеет больше опций для обхода цензуры (tls-crypt, obfs4). Для домашнего использования WireGuard предпочтительнее, если ваш роутер его поддерживает.

Можно ли использовать openvpn server на openwrt для торрентов?

Технически — да. Но в РФ распространение авторского контента без разрешения правообладателя нарушает ст. 146 УК РФ. Даже если ваш трафик зашифрован, факт подключения к торрент-трекеру может быть зафиксирован провайдером.

Как часто нужно менять ключи OpenVPN?

Рекомендуется раз в 6–12 месяцев. Особенно если вы подозреваете компрометацию. Используйте PFS (perfect forward secrecy) — тогда даже при утечке долгосрочного ключа прошлые сессии останутся защищёнными.

🔐Защити свои данные

Будет ли работать openvpn server на openwrt при блокировке РКН?

Если IP вашего сервера попал в реестр — соединение не установится. Решение: размещайте сервер в странах, не сотрудничающих с РКН (например, Сербия, Армения), или используйте дополнительный прокси-слой (Shadowsocks, v2ray) для маскировки трафика под обычный HTTPS.