впн на openwrt
впн на openwrt
ВПН на OpenWrt: как не утонуть в настройках и не попасть в ловушку
впн на openwrt — это не просто «подключил и забыл». Это продвинутый способ защитить весь домашний трафик через маршрутизатор под управлением Linux-дистрибутива, известного своей гибкостью и минимализмом. Но за этой мощью скрываются подводные камни, о которых молчат даже опытные пользователи.
Почему ваш роутер — лучшая точка для VPN (и когда это ошибка)
OpenWrt превращает обычный роутер в шлюз с полным контролем над сетевым стеком. Поднять на нём VPN — значит направить весь трафик всех устройств (телевизоров, холодильников, телефонов) через зашифрованный туннель. Это удобно: не нужно ставить клиент на каждое устройство. Особенно актуально для IoT-гаджетов без поддержки VPN.
Но есть нюанс: производительность. Дешёвые чипы (MediaTek MT7620, Qualcomm IPQ4019) не имеют аппаратного ускорения AES. При использовании OpenVPN с шифрованием AES-256-GCM вы получите максимум 30–40 Мбит/с. WireGuard на том же железе легко выдаст 150+ Мбит/с благодаря ChaCha20 и легковесному ядру.
Сценарий №1: вы скачиваете торренты на NAS, подключённый к LAN. Без VPN провайдер «Ростелеком» видит всё. С впн на openwrt — только зашифрованный поток к серверу в Нидерландах.
Сценарий №2: работаете из кафе на ноутбуке с Windows. Публичный Wi-Fi от «МТС» перехватывает куки. Если роутер дома уже настроен на VPN, достаточно подключиться к нему через WireGuard-туннель — и весь трафик пойдёт через защищённый канал.
Чего вам НЕ говорят в других гайдах
Большинство инструкций заканчиваются на строке uci set openvpn.myvpn.enabled=1. Но реальные риски начинаются после подключения.
Фейковый kill switch. Многие считают, что если VPN-клиент упал — интернет отключится. На OpenWrt это не так по умолчанию. Без правильных правил iptables весь трафик пойдёт напрямую через WAN, обнажая ваш IP. Настоящий kill switch требует:
- маркировки трафика (fwmark)
- блокировки немаркированных пакетов в OUTPUT и FORWARD
- исключения DNS-серверов самого провайдера (иначе разрешение имён сломается)
Бесплатные VPN = ваши данные в продаже. Сервер стоит от $5/мес. Бесплатный сервис зарабатывает на вас: либо продаёт логи рекламодателям, либо использует ваш канал как выходной узел (как Hola в 2015 году). В RU-сегменте особенно много «российских VPN» с неясной юрисдикцией — часто это просто прокси с логами.
Поддельные no-log политики. Даже если провайдер заявляет «мы не храним логи», он может быть обязан передать данные по запросу суда. Например, NordVPN (Панама) и Mullvad (Швеция) прошли независимые аудиты (Cure53, 2023). А вот Surfshark (Нидерланды) — страна 14 Eyes — теоретически обязана делиться данными с ФСБ при наличии международного запроса.
Утечки WebRTC и DNS. Роутерный VPN защищает от утечек DNS — если вы явно не указали option peerdns 0 в конфиге OpenVPN. Иначе клиент будет использовать DNS-серверы от провайдера. WebRTC утекает только в браузере, поэтому даже идеальный впн на openwrt не спасёт, если вы не отключили WebRTC в Firefox или не используете uBlock Origin с фильтром webrtc.
DPI и блокировка туннелей. Роскомнадзор активно применяет Deep Packet Inspection. Протоколы OpenVPN на TCP 443 могут работать, но UDP часто режут. WireGuard — ещё хуже: его пакеты легко детектируются по постоянному размеру handshake. Решение — обфускация через Shadowsocks или использование TLS-обёртки (например, obfs4).
Выбор протокола: не верьте маркетингу
| Критерий | WireGuard | OpenVPN | IPsec/IKEv2 |
|---|---|---|---|
| Скорость (на MT7621) | 180 Мбит/с | 45 Мбит/с | 70 Мбит/с |
| Шифрование | ChaCha20, Poly1305 | AES-256-GCM | AES-256-CBC + SHA2 |
| Perfect Forward Secrecy | Да (Noise Protocol) | Да (TLS 1.3) | Зависит от реализации |
| Обход DPI | Плохо | Хорошо (с obfs) | Средне |
| Поддержка NAT | Отличная | Требует keepalive | Проблемы с CGNAT |
| Аудит безопасности | Cure53 (2020) | Quarkslab (2022) | Нет независимых |
WireGuard быстр, но его handshake статичен — легко блокируется. OpenVPN медленнее, зато гибок: можно менять порты, использовать TLS-обфускацию, фрагментировать пакеты (fragment 1200). Для RU-реалий часто лучше OpenVPN поверх TCP 443 с опцией mssfix 1300.
Не забывайте про MTU. На DSL-линиях с PPPoE стандартный MTU = 1492. Если не указать tun-mtu 1400 и mssfix, начнутся дропы пакетов и «зависания» сайтов.
Пошаговая настройка без дыр
Шаг 1. Установка пакетов
opkg update
opkg install openvpn-openssl wireguard-tools luci-app-openvpn
Используйте openssl, а не polarssl — последний не поддерживает TLS 1.3.
Шаг 2. Импорт конфига
Положите .ovpn в /etc/openvpn/client.conf. Убедитесь, что:
- нет строк dhcp-option DNS (иначе утечка DNS)
- есть remote-cert-tls server
- указан cipher AES-256-GCM
Шаг 3. Kill switch через iptables
Добавьте в /etc/firewall.user:
Маркируем трафик из туннеля
iptables -t mangle -A OUTPUT -o tun0 -j MARK --set-mark 1
iptables -t mangle -A FORWARD -o tun0 -j MARK --set-mark 1
Блокируем немаркированный трафик к WAN
iptables -A OUTPUT ! -o lo -m mark ! --mark 1 -j REJECT
iptables -A FORWARD ! -o lo -m mark ! --mark 1 -j REJECT
Шаг 4. Split tunneling (если нужно)
Хотите, чтобы торренты шли через VPN, а YouTube — напрямую? Создайте таблицу маршрутизации:
ip rule add from $(uci get network.lan.ipaddr)/24 table 100
ip route add default dev eth0.2 table 100 # eth0.2 — ваш WAN
А в OpenVPN добавьте route-nopull, чтобы не перехватывать весь трафик.
Шаг 5. Проверка утечек
После перезагрузки зайдите на:
- ipleak.net — проверка IP и DNS
- browserleaks.com/webrtc — WebRTC
- dnsleaktest.com — расширенный тест DNS
Если видите IP провайдера — kill switch не сработал. Если DNS — ваш город, значит, peerdns не отключён.
Бесплатный VPN: цифры против иллюзий
Стоимость аренды одного сервера в Европе — от $5/мес (Hetzner). Пропускная способность — до 1 Гбит/с. Чтобы обслуживать 10 000 пользователей, нужно минимум 20 серверов ($100/мес). Бесплатный сервис должен покрывать расходы. Как?
- Продажа данных: Hola Luminati продавала доступ к пользователям как к прокси-ботнету.
- Реклама: бесплатные Android-VPN показывают баннеры и внедряют трекеры.
- Криптомайнинг: некоторые APK-файлы содержат скрытые майнеры.
В RU-сегменте особенно опасны «VPN от Mail.ru» или «Яндекс.Браузер с VPN» — это не полноценные туннели, а прокси с логированием. Они не защищают от DPI и не шифруют трафик端到端.
Платный VPN от проверенного провайдера стоит от 300 ₽/мес. Это меньше, чем кофе в день. За эти деньги вы получаете:
- реальную no-log политику
- аудиты безопасности
- поддержку WireGuard/OpenVPN
- серверы в нейтральных юрисдикциях
FAQ
VPN замедляет интернет на сколько реально?
Зависит от протокола и железа. На роутере с MT7621:
— WireGuard: потеря 3–5% скорости (до 180 Мбит/с)
— OpenVPN/AES-256: потеря 60–70% (до 45 Мбит/с)
На мощном x86-роутере (Intel Celeron) OpenVPN даёт 300+ Мбит/с.
Меня найдёт спецслужба при использовании VPN?
Если вы не совершаете уголовно наказуемые деяния — нет. Но если провайдер ведёт логи и находится в юрисдикции 14 Eyes (например, США, Великобритания), по решению суда он обязан передать данные. Выбирайте провайдеров в Панаме, Швейцарии или Швеции с подтверждённой no-log политикой.
WireGuard или OpenVPN — что безопаснее?
Оба безопасны при правильной настройке. WireGuard проще и быстрее, но менее гибок. OpenVPN поддерживает больше методов обхода блокировок (obfs, TLS-wrap). Для RU-реалий с активным DPI часто надёжнее OpenVPN на TCP 443.
Можно ли использовать впн на openwrt для обхода блокировок Telegram?
Да, но учтите: если сервер VPN заблокирован Роскомнадзором, туннель не поднимется. Лучше выбирать провайдера с функцией «обход блокировок» (stealth mode) или настраивать Shadowsocks поверх WireGuard.
Как проверить, работает ли kill switch после перезагрузки?
Отключите кабель WAN, подождите 30 сек, включите обратно. Затем зайдите на ipleak.net. Если IP совпадает с провайдерским — kill switch не сработал. Проверьте правила iptables и наличие `--set-mark`.
Нужно ли отключать IPv6 при использовании VPN на роутере?
Да. Многие VPN-провайдеры не поддерживают IPv6. Если оставить его включённым, трафик пойдёт напрямую через провайдера, обходя туннель. В OpenWrt выполните: uci set network.globals.ula_prefix='' и перезапустите сеть.
Вывод
впн на openwrt — мощный инструмент, но не панацея. Он защищает от слежки провайдера, перехвата в публичных сетях и базовых geo-блокировок. Однако не спасает от утечек WebRTC, фишинга или вредоносного ПО. Ключ к успеху — в деталях: правильный выбор протокола, настройка kill switch, отключение IPv6 и регулярная проверка утечек. Не гонитесь за бесплатными решениями: они превращают ваш трафик в товар. Инвестируйте в проверенного провайдера, настройте OpenWrt по инструкции выше — и ваш домашний шлюз станет настоящей крепостью.
Комментарии
Комментариев пока нет.
Оставить комментарий