一个家庭里有两部手机、两台笔记本、一台智能电视、一台游戏主机和一台智能音箱,就是七台可能都需要 VPN 覆盖的设备。在每一台上安装并维护一个 VPN 客户端很烦人。其中一些设备,尤其是游戏主机和很多物联网设备,根本跑不了普通的 VPN 客户端。还有一些,比如智能电视,可能只在某些平台上支持 VPN 应用。
VPN 路由器通过把 VPN 跑在路由器本身上来解决这个问题,于是它后面的每台设备都无需安装任何东西就继承了隧道。这个词涵盖好几种不同的搭建方式:一台代表 LAN 连出去接入某个 VPN 服务商的路由器,一台充当 VPN 服务器、让你从别处隧道接入的路由器,或者一个你端到端完全掌控的、跑在 VPS 上的自托管网关。
简短版本
- VPN 路由器把 VPN 软件跑在路由器上,于是每一台连接的设备,包括那些自身跑不了 VPN 客户端的设备,都自动使用隧道。
- 它有两种模式,解决不同的问题:客户端模式把出站流量隧道送往某个 VPN 服务商或你自己的服务器;服务器模式让远程设备隧道接入你的 LAN。
- 在几乎所有场景下,WireGuard 都是路由器级 VPN 的正确协议。代码量小,每包开销低,而消费级路由器 CPU 处理它比处理 OpenVPN 要轻松。
- 你有四种方式搞到一台:用一台已经支持 VPN 的路由器,给你拥有的路由器刷上自定义固件,买一台预配置好的 VPN 路由器,或者干脆不要硬件,在 VPS 上跑 WireGuard。如果你想要服务器选择权、司法管辖权的掌控,或者本就在自托管,最后一种方式最有力。
VPN 路由器到底怎么工作
当一台设备以客户端模式连上一台 VPN 路由器时,这台设备并不知道自己在 VPN 上。它从路由器拿到一个常规的 DHCP 租约,向某个目的地打开一个 TCP 连接,然后发送数据包。加密由路由器完成。设备看到的是一个普通的 LAN。有两种模式值得理解,而大多数消费级“VPN 路由器”只把第一种做得好。
VPN 客户端模式(出站)
在客户端模式下,路由器持有 VPN 凭据,并代表它后面的设备把所有出站流量隧道送出去。数据流是:设备 → 路由器 → 加密隧道 → VPN 服务器 → 公网。
LAN 上的每台设备都自动使用同一条隧道。路由器拿到每个数据包,加密它,再转发到配置好的 VPN 端点。公网看到的是 VPN 服务器的出口 IP,而不是家里 ISP 分配的 IP。这就是人们说“VPN 路由器”时通常指的那套搭建。
加密发生在路由器的 CPU 上。这是重要的机械细节。较旧、较便宜的消费级路由器可能跑着低主频、加密加速能力有限的 ARM 或 MIPS 芯片,而较新的支持 VPN 的路由器要快得多。无论哪种,路由器都仍然要负责加密进出网络上每台设备的每一个字节,于是路由器硬件就成了性能天花板。
协议在这里之所以重要,也是出于同样的原因。WireGuard 的每包开销比 OpenVPN 低,这就是为什么消费级路由器上的 WireGuard 支持是值得寻找的功能。参见已有的 在 VPS 上搭建 WireGuard 指南.
VPN 服务器模式(入站)
在服务器模式下,路由器本身跑一个 VPN 服务器。开放互联网上的远程设备入站连接到路由器的公网 IP,落到 LAN 上,就好像它们正坐在客厅里一样。数据流是:远程设备 → 公网 IP → 路由器的 VPN 服务器 → LAN 资源。
这解决的是另一个问题。它是远程访问,不是出站隐私。咖啡馆里的一台笔记本能访问家里的文件服务器。身在国外的一部手机能访问家庭网络。路由器是 VPN 服务器;手机是 VPN 客户端。
服务器模式需要一个公网可路由的 IP 地址。如果你的 ISP 把你放在了 CGNAT 后面(很多住宅 ISP 都这么干),就没有公网 IP 可供入站连接,这种模式不靠额外的技巧就跑不起来。通常还需要端口转发,这就把它限制在那些拥有路由器、能配置其防火墙的人身上。
这两种模式并不互斥。一台有能力的路由器可以同时跑两者。但它们的使用场景完全不同。客户端模式是为了“我想让整个家都在一个 VPN 出口后面”。服务器模式是为了“我想从别处访问我的家”。
通往路由器级 VPN 的四条路
并不存在“搞一台 VPN 路由器”这一件单一的事。有四条路,它们沿两条轴排列:你想要多少硬件和固件的掌控权,以及你想要隧道另一端是一个商业服务商还是你自己的服务器。哪条路对,取决于这两条轴里哪一条对你更重要。
路径 1:用你现有的路由器(如果它支持 VPN)
好几家消费级路由器厂商现在都在出厂固件里内置了原生的 VPN 客户端支持,包括 WireGuard。ASUS 在较新固件上原生支持 WireGuard。GL.iNET 的 Flint 和 Beryl 系列开箱即支持 WireGuard, 其官方教程有记录.
这是最便宜、风险最低的一条路。如果你的路由器已经在这份名单上,你什么都不用刷,也不会刷砖。你在管理后台里填入一份 WireGuard 配置,隧道就建立起来了。它的限制也很明显:路由器必须支持你想要的协议,而协议选项取决于厂商出厂带了什么。老型号不会被追加 WireGuard。
路径 2:刷自定义固件(OpenWrt、DD-WRT、FreshTomato)
如果你的路由器不在受支持的名单上,你可以用其中一款开源替代固件替换它的固件。OpenWrt 是三者中维护最活跃的,硬件支持面也最广。DD-WRT 同样活跃,设计理念不同,受支持设备的池子更大。FreshTomato 延续了最初的 Tomato 项目,但只限于 Broadcom 芯片组,服务的社区也小得多。
自定义固件给你协议选择权:OpenVPN、WireGuard、IPsec,全都可配。它还给你那些项目提供的其余一切:更好的 QoS、更细粒度的防火墙规则、软件包管理。代价是风险和时间。
专业提示
刷自定义固件可能把路由器永久刷砖,如果你选错了镜像、刷到一半断电,或者跑了一个对你具体硬件版本有 bug 的构建。挑一个固件项目明确支持的型号,读它针对该设备的页面,并接受你已经让保修失效这一事实。如果你刷砖的那台是你唯一的路由器,那就做好断网的准备,时间长短取决于你弄到一台替代品要多久。
路径 3:买一台预配置的 VPN 路由器
最简单的一条路。像 GL.iNET 这样的厂商出售开箱内置 WireGuard 的路由器。一些商业 VPN 服务商也出售针对其服务预配置好的品牌路由器,也就是说你插上电、输入你的账号凭据,就搞定了。
权衡在于价格和锁定。预配置路由器的单台成本比你自己搭建更高。如果这台机器带着某个特定 VPN 服务商的品牌,你就被锁定在那个服务商的协议、出口国家和日志策略上。如果服务商改了条款或倒闭了,这台路由器没那么容易迁移到一个新服务上。
第四条路稍有不同,因为它不需要购买或刷写路由器硬件。只要你的路由器把上游指向那台 VPS,它仍然能给你路由器级的 VPN 覆盖,但 VPN 端点本身住在一台服务器上,而不是路由器内部。
路径 4:把 VPS 当作 VPN 网关
在一台 Linux VPS 上跑 WireGuard 或 OpenVPN,然后把你的路由器或单台设备指向那台服务器。这不是买一台硬件路由器。它是一种不同的端点策略,所以它的权衡值得放在下面单独一节里讲。
| 路径 | 设置复杂度 | 性能天花板 | 切换服务器 | 硬件风险 | 持续成本 | 适合谁 |
|---|---|---|---|---|---|---|
| 现有路由器 | 低 | 受路由器 CPU 限制 | 通过管理后台 | 无 | 除 ISP 外无 | 你已经拥有一台受支持的路由器 |
| 刷自定义固件 | 高 | 受路由器 CPU 限制 | 通过管理后台 | 刷砖风险 | 除 ISP 外无 | 你想要协议的灵活性并接受风险 |
| 预配置路由器 | 最低 | 受路由器 CPU 限制 | 取决于厂商 | 无 | 硬件成本;若捆绑则有服务商订阅费 | 你想要即插即用并接受这点溢价 |
| VPS 当网关 | 中高 | 受 VPS CPU 限制(更高) | 在另一个区域启动一台新 VPS | 无 | 每月 VPS 租金 | 你想要司法管辖权的选择、更好的性能,或本就在自托管 |
什么时候 VPN 路由器有意义,什么时候没有
问题不在于抽象地比较路由器 VPN 是否比设备 VPN 更好。而在于你的具体情况是否真的需要全网覆盖,因为你一旦把 VPN 放上路由器,它后面的每台设备都要交同样的那笔加密税。
路由器 VPN 对得起其搭建成本的使用场景
多设备家庭是最清楚的一种。一旦你要管理超过四五台设备,在每一台上安装和更新 VPN 客户端就是个苦差事。路由器级的搭建配一次就够了。
VPN 支持有限或别扭的设备是第二种。游戏主机、大多数物联网设备和较旧的智能家居中枢,通常没有普通的 VPN 应用可用。一些智能电视能跑 VPN 应用,尤其是 Android TV / Google TV 和较新的 Apple TV 型号,但当电视平台不支持你的服务商,或当你想要一套一致的网络策略时,路由器级 VPN 仍然有帮助。
旅行是第三种。一台支持 WireGuard 的小巧旅行路由器,意味着一条隧道就能通过路由器的 Wi-Fi 覆盖酒店房间里的每一台设备(手机、笔记本、平板),不管酒店网络怎么搞。同样的逻辑也适用于通过旅行路由器访问的 VPS 网关。
小办公室和合住空间是第四种。在网关处应用的一套一致网络策略,比一堆随时间各自漂移的设备级配置更容易理清。
路由器 VPN 是错误选择的场景
如果你为了区域锁定的内容、司法管辖权测试,或任何其他原因而频繁切换 VPN 出口国家,那路由器级 VPN 就是错的工具。在手机上切换出口只要点一下。在路由器上做这件事,得登进管理后台。
如果你需要应用级的分流,让一些应用走 VPN、另一些直连,那么设备级的 VPN 应用能干净利落地处理它。路由器没法轻易分辨哪个应用产生了哪个数据包。
如果你网络上有些设备需要 VPN、而另一些坚决不能用,路由器 VPN 会把所有人都放在同一个出口 IP 后面。银行应用会标记 VPN 流量。区域锁定的流媒体服务会失效。在路由器上的一刀切策略,意味着对每一个例外都要来一次一刀切的变通。
如果你只有一两台设备,那路由器级这一层就是在解决一个你并不存在的问题。
How-To Geek 在 2023 年提出过延迟方面的论点 :一个全网范围的 VPN 会把 VPN 的延迟强加到每一台连接的设备上,包括那些在做延迟敏感工作的设备,比如游戏、视频通话和实时会议,而这些活动在进行时并不会从 VPN 保护中受益。这个论点是对的,值得掂量。修复办法不是放弃路由器 VPN。而是认识到你可能想让某些设备脱离隧道。
许多商业 VPN 服务商仍然限制每个账号的同时连接数,而另一些如今提供更高或不限的设备数。路由器 VPN 仍然有用,因为服务商通常把路由器看成一个 VPN 连接,哪怕有好几台设备坐在它后面。
协议选择:WireGuard、OpenVPN 及其余
协议选择在路由器上比在笔记本上更重要,因为加密是由路由器 CPU 来做的,而路由器 CPU 很慢。一台带 AES-NI 的现代笔记本在千兆下处理 OpenVPN 或 WireGuard 都同样轻松。消费级路由器做不到。
在几乎每一种场景下,WireGuard 都是正确答案。它的代码量比 OpenVPN 小得多,这让它更容易审计和评审。它的密码学是现代的:用 ChaCha20 加密,Poly1305 认证,Curve25519 做密钥交换。握手一个往返就完成;OpenVPN 的 TLS 握手要好几个。每包的处理开销低到消费级路由器 CPU 能扛得住,而换成 OpenVPN 它们就会吃力。WireGuard 如今已被 ASUS、GL.iNET 以及大多数自定义固件项目原生支持。
OpenVPN 仍有它的一席之地。它成熟、受广泛支持,并且与企业认证系统有更广的集成。如果你已有一套证书已签发的 OpenVPN 部署,或者你有一个 WireGuard 尚不能满足的特定兼容性需求,那 OpenVPN 仍是一个合理的选择。它在有能力的路由器上跑得很好。
L2TP/IPsec 仍出现在许多路由器管理页面上,主要是为了向后兼容。它能用,但当 WireGuard 可用时,它不是为一套新的路由器级 VPN 该选的协议。PPTP 应当被当作已死。它有已知的安全问题,而且 Microsoft 已经着手在未来的 Windows Server 版本中弃用 PPTP 和 L2TP。
专业提示
如果你的路由器 CPU 超过五年、又缺少 WireGuard 硬件加速,那也照样跑 WireGuard。即便没有加速,它通常也比同一硬件上有加速的 OpenVPN 更快。例外很罕见,涉及带专用 OpenVPN 卸载的特定 Broadcom 芯片。如果你没法确认你的路由器属于那些边缘情况之一,那就默认选 WireGuard。
关于网上流传的性能说法,提一句。WireGuard 自己的 性能页面 把它发布的基准测试描述为“陈旧、粗糙、做得不太靠谱”。这可是项目自家的作者说的。你在第三方博客里看到引用的具体吞吐量比值,通常没有权威来源。定性的说法,即 WireGuard 通常胜过 OpenVPN、尤其是在低功率硬件上, 是有充分依据的。但具体的倍数没有。
你该自己搭一台 VPN 路由器,还是用一台 VPS 网关?
对一位技术读者来说,更清晰的对比是端点的放置:VPN 是终结在你家里的硬件上,还是终结在你租来的服务器上运行的软件上?
硬件 VPN 路由器有几项具体的强项。加密边界被物理隔离在一台你自己拥有的设备上。除了你的 ISP,没有持续的租金成本。心智模型很简单:一个盒子、一份配置、一根接到墙上的网线。对于旅行场景,一台可装进口袋的小巧硬件路由器(比如 Beryl 级的 GL.iNET 机型),是一件真正有用的东西。
把 VPS 当网关则有不同的强项。一台像样的 VPS 通常能给你比廉价消费级路由器更可预测的算力和更多余量,尤其是当你需要多个出口、更高上行,或更多并发隧道时。司法管辖区由你选。VPN 出口在 VPS 所在的任何地方,而且你能移动它。你掌控 VPN 守护进程及其应用级日志,尽管底层基础设施仍由托管服务商掌控。如果你想在另一个区域要第二个出口,你只需 10 分钟启动另一台 VPS,而不是再买一台路由器。
给个人 VPN 网关定规格,一个合理的起点是 1 vCPU 加 1 GB RAM,它能扛住 5 到 10 个并发设备连接、以住宅带宽跑 WireGuard。更重的并发加密或更高的上行,就值得上一个 CPU 优化的套餐。加密这活儿是 CPU 受限,不是内存受限。参见 最佳 VPS for VPN 以了解套餐规格选择。
如果你想在 ISP 之上零月度成本、你已经拥有一台有能力的路由器,或者你确实需要一种旅行路由器的形态,那就选硬件。如果你想要比消费级路由器能给的更好的加密性能、想要出口的司法管辖权选择,或者你本就在自托管其他服务、再加一个守护进程也没什么额外负担,那就选 VPS。对于受限的网络环境,VPS 这条路往往也比一套现成路由器的搭建更容易适配,因为你掌控着服务器软件,不会被限制在路由器厂商在其管理后台里暴露的那些协议上。
如果你走 VPS 这条路,购买标准很简单:选一个就近的区域、足够做加密的 CPU、一个专属 IP,以及一个给你 root 访问、不藏着网络细节的服务商。 Cloudzy 的 Linux VPS 是这件事的一个选择,而且市场里还有一键的 WireGuard 以及 OpenVPN Access Server 部署,如果你想跳过手动的服务器搭建。
常见问题
我需要一台特殊的路由器才能用 VPN 吗?
不需要。如果你当前的路由器已经支持 VPN 客户端模式,你就不需要特殊的路由器。许多较新的 ASUS 和 GL.iNET 型号在出厂固件里支持 WireGuard 或 OpenVPN,但支持与否取决于确切的型号和固件版本。如果你的路由器不原生支持 VPN,你可以装上像 OpenWrt 这样的自定义固件,或者把 VPN 跑在一台单独的设备上,比如一台 VPS、Raspberry Pi 或小型 Linux 服务器,让路由器经它路由出去。
VPN 路由器会拖慢我的网速吗?
会,多少有点。加密这活儿由路由器的 CPU 来做,而消费级路由器 CPU 比你手机或笔记本里的 CPU 慢。拖慢的幅度取决于路由器的芯片、协议(WireGuard 比 OpenVPN 轻),以及路由器是否有硬件加速。一台跑 WireGuard 的现代路由器通常只损失一小部分 WAN 吞吐量。一台跑 OpenVPN 的较旧路由器则可能损失得多得多。
VPN 路由器和我设备上的 VPN 应用有什么区别?
VPN 路由器把隧道放在网络层,于是每一台连接的设备(手机、笔记本、智能电视、游戏主机、物联网设备)都无需安装任何东西就自动使用 VPN。VPN 应用把隧道放在单台设备上,只保护那一台,但允许更精细的控制:按应用路由、轻松切换服务器,以及排除特定应用。其权衡是全网覆盖对比每设备的灵活性。
我该在路由器上用哪个 VPN 协议,WireGuard 还是 OpenVPN?
几乎每一种情况下都选 WireGuard。它代码量更小,密码学是现代的,每包的处理开销低到消费级路由器 CPU 能处理得很好。如果你已经有一套证书已签发的 OpenVPN 部署,或者你有一个 WireGuard 尚不能满足的特定兼容性需求,那 OpenVPN 仍是一个合理的选择。
我能用 VPS 代替一台硬件 VPN 路由器吗?
能。在一台 Linux VPS 上安装 WireGuard 或 OpenVPN,然后要么把一台 OpenWrt 或 DD-WRT 路由器指向它作为上游隧道,要么把单台设备直接连到这台 VPS。这种做法给你出口的司法管辖权选择、对 VPN 守护进程及其应用级日志的掌控,以及比大多数消费级路由器搭建更多的算力余量。其权衡在于你要运维一台服务器,包括给它打补丁和监控它。
