Domácnost se dvěma telefony, dvěma notebooky, chytrou TV, konzolí a chytrým reproduktorem je sedm zařízení, která možná všechna potřebují VPN pokrytí. Instalace a údržba VPN klienta na každém z nich je úmorná. Některá z nich, zvláště konzole a mnoho IoT zařízení, nedokážou běžného VPN klienta spustit vůbec. Jiná, jako chytré televize, mohou podporovat VPN aplikace jen na určitých platformách.
VPN router to řeší tím, že VPN běží přímo na routeru, takže každé zařízení za ním zdědí tunel, aniž by cokoliv instalovalo. Tento pojem zahrnuje několik různých nastavení: router, který se připojuje ven k VPN poskytovateli jménem LAN, router, který funguje jako VPN server a umožní vám tunelovat dovnitř odjinud, nebo vlastní bránu na VPS, kterou ovládáte od začátku do konce.
Zkrácená verze
- VPN router provozuje VPN software na routeru, takže každé připojené zařízení, včetně těch, která sama VPN klienta spustit nedokážou, tunel používá automaticky.
- Má dva režimy, které řeší různé problémy: klientský režim tuneluje odchozí provoz k VPN poskytovateli nebo vašemu vlastnímu serveru; serverový režim umožní vzdáleným zařízením tunelovat dovnitř do vaší LAN.
- WireGuard je v téměř všech případech ten správný protokol pro VPN na úrovni routeru. Kódová základna je malá, náklady na paket nízké a CPU spotřebních routerů ho zvládá lépe než OpenVPN.
- Máte čtyři způsoby, jak ho získat: použít router, který už VPN podporuje, nahrát na svůj router vlastní firmware, koupit předkonfigurovaný VPN router nebo se hardwaru zcela vyhnout a provozovat WireGuard na VPS. Poslední možnost je nejsilnější, pokud chcete výběr serveru, kontrolu nad jurisdikcí nebo už hostujete vlastní služby.
Jak VPN router doopravdy funguje
Když se zařízení připojí k VPN routeru v klientském režimu, zařízení neví, že je na VPN. Dostane běžný DHCP lease od routeru, otevře TCP připojení k cíli a posílá pakety. Šifrování dělá router. Zařízení vidí běžnou LAN. Stojí za to pochopit dva režimy a většina spotřebních „VPN routerů“ dobře zvládá jen ten první.
Klientský režim VPN (odchozí)
V klientském režimu router drží VPN přihlašovací údaje a tuneluje veškerý odchozí provoz jménem zařízení za ním. Tok dat je: zařízení → router → šifrovaný tunel → VPN server → veřejný internet.
Každé zařízení v LAN používá stejný tunel automaticky. Router vezme každý paket, zašifruje ho a přepošle na nastavený VPN endpoint. Veřejný internet vidí výstupní IP VPN serveru, nikoliv IP přidělenou poskytovatelem připojení domácnosti. Tohle je nastavení, které lidé obvykle myslí, když řeknou „VPN router“.
Šifrování probíhá na CPU routeru. To je ten důležitý mechanický detail. Starší a levnější spotřební routery mohou mít nízkofrekvenční čipy ARM nebo MIPS s omezenou kryptografickou akcelerací, zatímco novější routery s podporou VPN jsou mnohem rychlejší. Tak či onak je router stále zodpovědný za šifrování každého bytu putujícího ke každému zařízení v síti a od něj, takže hardware routeru se stává stropem výkonu.
Protokol zde hraje roli ze stejného důvodu. Náklady WireGuard na paket jsou nižší než u OpenVPN, a proto je podpora WireGuard na spotřebních routerech tou vlastností, kterou stojí za to hledat. Viz stávající návod na nastavení WireGuard na VPS.
Serverový režim VPN (příchozí)
V serverovém režimu router sám provozuje VPN server. Vzdálená zařízení na otevřeném internetu se připojují dovnitř na veřejnou IP routeru a ocitnou se v LAN, jako by seděla v obývacím pokoji. Tok dat je: vzdálené zařízení → veřejná IP → VPN server routeru → zdroje v LAN.
Tohle řeší jiný problém. Je to vzdálený přístup, ne odchozí soukromí. Notebook v kavárně se dostane k souborovému serveru doma. Telefon v zahraničí se dostane do domácí sítě. Router je VPN server; telefon je VPN klient.
Serverový režim vyžaduje veřejně směrovatelnou IP adresu. Pokud vás poskytovatel připojení umístil za CGNAT, a mnoho domácích poskytovatelů to udělalo, neexistuje veřejná IP, ke které by se dalo příchozí připojit, a tento režim bez dalších triků nefunguje. Obvykle je také potřeba přesměrování portů, což to omezuje na lidi, kteří router vlastní a umějí nastavit jeho firewall.
Tyto dva režimy se vzájemně nevylučují. Schopný router může běžet v obou najednou. Ale použití jsou zcela odlišná. Klientský režim je pro „chci celý dům za VPN výstupem“. Serverový režim je pro „chci se dostat do svého domu odjinud“.
Čtyři cesty k VPN na úrovni routeru
Neexistuje jedna jediná věc zvaná „pořídit si VPN router“. Existují čtyři cesty a třídí se podle dvou os: kolik kontroly nad hardwarem a firmwarem chcete a zda chcete na druhém konci tunelu komerčního poskytovatele, nebo vlastní server. Správná cesta závisí na tom, která z těchto os je pro vás důležitější.
Cesta 1: Použijte svůj stávající router (pokud podporuje VPN)
Několik výrobců spotřebních routerů nyní dodává nativní podporu VPN klienta, včetně WireGuard, ve výchozím firmwaru. ASUS podporuje WireGuard nativně v novějším firmwaru. Série Flint a Beryl od GL.iNET podporují WireGuard rovnou po vybalení, zdokumentováno v jejich oficiálním návodu.
Tohle je nejlevnější cesta s nejnižším rizikem. Pokud je váš router už na tomto seznamu, nic nenahráváte a nic nezničíte. Zadáte WireGuard konfiguraci v administrátorském panelu a tunel naběhne. Omezení je to očividné: router musí podporovat protokol, který chcete, a možnosti protokolů závisejí na tom, co výrobce dodal. Starší modely WireGuard zpětně nedostanou.
Cesta 2: Nahrání vlastního firmwaru (OpenWrt, DD-WRT, FreshTomato)
Pokud váš router není na seznamu podporovaných, můžete jeho firmware nahradit jednou z open-source alternativ. OpenWrt je z těch tří nejaktivněji udržovaný a má nejširší hardwarovou podporu. DD-WRT je také aktivní, s jinou filozofií návrhu a větším okruhem podporovaných zařízení. FreshTomato pokračuje v původním projektu Tomato, ale je omezen na čipsety Broadcom a slouží mnohem menší komunitě.
Vlastní firmware vám dává výběr protokolu: OpenVPN, WireGuard, IPsec, vše nastavitelné. Dává vám také vše ostatní, co tyto projekty nabízejí: lepší QoS, podrobná pravidla firewallu, správu balíčků. Cenou je riziko a čas.
Profesionální tip
Nahrání vlastního firmwaru může router trvale zničit, pokud zvolíte špatný obraz, ztratíte napájení uprostřed nahrávání nebo spustíte build s chybou pro vaši konkrétní hardwarovou revizi. Zvolte model, který firmwarový projekt výslovně podporuje, přečtěte si stránku specifickou pro dané zařízení a smiřte se s tím, že jste přišli o záruku. Pokud je router, který zničíte, vaším jediným routerem, počítejte s tím, že budete offline po dobu, kterou zabere pořízení náhrady.
Cesta 3: Koupě předkonfigurovaného VPN routeru
Nejjednodušší cesta. Výrobci jako GL.iNET prodávají routery s WireGuard zabudovaným rovnou po vybalení. Někteří komerční VPN poskytovatelé také prodávají značkové routery předkonfigurované pro jejich službu, což znamená, že ho zapojíte, zadáte přihlašovací údaje ke svému účtu a je hotovo.
Kompromisem je cena a uzamčení. Předkonfigurované routery stojí za kus víc než stavba ve vlastní režii. Pokud je jednotka značková a vázaná na konkrétního VPN poskytovatele, jste uzamčeni k protokolům, výstupním zemím a politice logování tohoto poskytovatele. Pokud poskytovatel změní podmínky nebo skončí, router se na novou službu nepřesune snadno.
Čtvrtá cesta je trochu odlišná, protože nevyžaduje koupi ani nahrávání routerového hardwaru. Stále vám dává VPN pokrytí na úrovni routeru, pokud váš router směřuje výš k VPS, ale samotný VPN endpoint sídlí na serveru místo uvnitř routeru.
Cesta 4: Použijte VPS jako VPN bránu
Provozujte WireGuard nebo OpenVPN na Linux VPS a pak na ten server nasměrujte svůj router nebo jednotlivá zařízení. Tohle není nákup hardwarového routeru. Je to jiná strategie endpointu, takže si kompromisy zaslouží vlastní sekci níže.
| Cesta | Složitost Nastavení | Strop výkonu | Přepínání serverů | Hardwarové riziko | Průběžné náklady | Vhodnost |
|---|---|---|---|---|---|---|
| Stávající router | Nízký | Omezeno CPU routeru | Přes administrátorský panel | Žádné | Žádné nad rámec poskytovatele připojení | Už vlastníte podporovaný router |
| Nahrání vlastního firmwaru | Vysoká | Omezeno CPU routeru | Přes administrátorský panel | Riziko zničení | Žádné nad rámec poskytovatele připojení | Chcete flexibilitu protokolů a riziko přijímáte |
| Předkonfigurovaný router | Nejnižší | Omezeno CPU routeru | Závisí na výrobci | Žádné | Cena hardwaru; předplatné poskytovatele, pokud je v balíčku | Chcete plug-and-play a přijímáte přirážku |
| VPS jako brána | Středně vysoký | Omezeno CPU VPS (vyšší) | Spustíte nový VPS v jiném regionu | Žádné | Měsíční pronájem VPS | Chcete výběr jurisdikce, lepší výkon nebo už hostujete vlastní služby |
Kdy VPN router dává smysl a kdy ne
Otázka nezní, zda je routerová VPN lepší než VPN na zařízení v obecné rovině. Zní, zda vaše konkrétní situace skutečně vyžaduje pokrytí celé sítě, protože v okamžiku, kdy dáte VPN na router, platí každé zařízení za ním stejnou daň za šifrování.
Případy použití, kdy se routerová VPN za své nastavení vyplatí
Domácnosti s mnoha zařízeními jsou nejjasnějším případem. Jakmile spravujete víc než čtyři nebo pět zařízení, instalace a aktualizace VPN klientů na každém z nich je otrava. Nastavení na úrovni routeru se konfiguruje jednou.
Zařízení s omezenou nebo nešikovnou podporou VPN jsou druhým případem. Herní konzole, většina IoT zařízení a starší huby chytré domácnosti obvykle nemají dostupnou žádnou běžnou VPN aplikaci. Některé chytré televize umějí spustit VPN aplikace, zvláště Android TV / Google TV a novější modely Apple TV, ale VPN na úrovni routeru přesto pomáhá, když TV platforma vašeho poskytovatele nepodporuje nebo když chcete jednu konzistentní síťovou politiku.
Cestování je třetím případem. Kompaktní cestovní router s podporou WireGuard znamená, že jeden tunel pokryje každé zařízení v hotelovém pokoji (telefon, notebook, tablet) přes Wi-Fi routeru, bez ohledu na to, co dělá hotelová síť. Stejná logika platí pro VPS bránu zpřístupněnou přes cestovní router.
Malé kanceláře a sdílené obytné prostory jsou čtvrtým případem. Jedna konzistentní síťová politika aplikovaná na bráně se chápe snáz než flotila konfigurací na úrovni zařízení, které se časem rozcházejí.
Případy, kdy je routerová VPN špatná volba
Pokud často přepínáte výstupní země VPN kvůli regionálně omezenému obsahu, testování jurisdikce nebo z jakéhokoliv jiného důvodu, je VPN na úrovni routeru špatný nástroj. Přepnutí výstupu na telefonu je jedno ťuknutí. Udělat to na routeru vyžaduje přihlášení do administrátorského panelu.
Pokud potřebujete dělené tunelování na úrovni aplikace, některé aplikace přes VPN a jiné přímo, VPN aplikace na úrovni zařízení to zvládá čistě. Router nedokáže snadno rozpoznat, která aplikace který paket vygenerovala.
Pokud některá zařízení ve vaší síti VPN potřebují a jiná aktivně nesmí, routerová VPN postaví všechny za stejnou výstupní IP. Bankovní aplikace označují VPN provoz. Regionálně omezené streamovací služby se rozbijí. Plošná politika na routeru znamená plošný obchvat pro každou výjimku.
Pokud máte jedno nebo dvě zařízení, vrstva na úrovni routeru řeší problém, který nemáte.
How-To Geek uvedl argument o latenci v roce 2023: celosíťová VPN vnucuje latenci VPN každému připojenému zařízení, včetně těch, která dělají práci citlivou na latenci jako hraní, videohovory a schůzky v reálném čase, jež z ochrany VPN během těchto činností nic nezískají. Ten argument je správný a stojí za zvážení. Řešením není routerovou VPN opustit. Je to uvědomit si, že některá zařízení možná budete chtít mimo tunel.
Mnoho komerčních VPN poskytovatelů stále omezuje počet souběžných připojení na účet, zatímco jiní nyní nabízejí vyšší nebo neomezený počet zařízení. Routerová VPN může být přesto užitečná, protože poskytovatel obvykle vidí router jako jedno VPN připojení, i když za ním sedí několik zařízení.
Výběr protokolu: WireGuard, OpenVPN a ti ostatní
Výběr protokolu hraje na routeru větší roli než na notebooku, protože šifrování dělá CPU routeru a CPU routeru je pomalé. Moderní notebook s AES-NI zvládá OpenVPN i WireGuard stejně dobře při gigabitu. Spotřební router ne.
WireGuard je ta správná odpověď téměř pro každý scénář. Kódová základna je dramaticky menší než u OpenVPN, což usnadňuje audit a kontrolu. Kryptografie je moderní: ChaCha20 pro šifrování, Poly1305 pro autentizaci, Curve25519 pro výměnu klíčů. Handshake se dokončí v jednom kole; TLS handshake u OpenVPN jich potřebuje několik. Náklady na zpracování paketu jsou dost nízké na to, aby je CPU spotřebních routerů zvládla tam, kde by s OpenVPN bojovala. WireGuard je nyní nativně podporován u ASUS, GL.iNET a většiny projektů vlastního firmwaru.
OpenVPN má stále své místo. Je vyzrálý, široce podporovaný a má širší integraci s podnikovými autentizačními systémy. Pokud máte stávající nasazení OpenVPN s již vydanými certifikáty nebo máte konkrétní požadavek na kompatibilitu, který WireGuard zatím nesplňuje, OpenVPN zůstává rozumnou volbou. Na schopných routerech běží v pohodě.
L2TP/IPsec se stále objevuje na mnoha administrátorských stránkách routerů, většinou kvůli zpětné kompatibilitě. Může fungovat, ale není to protokol, který byste volili pro novou VPN na úrovni routeru, když je k dispozici WireGuard. PPTP by se měl považovat za mrtvý. Má známé bezpečnostní problémy a Microsoft už PPTP a L2TP z budoucích verzí Windows Server zastarává.
Profesionální tip
Pokud je CPU vašeho routeru starší než pět let a postrádá hardwarovou akceleraci WireGuard, spusťte WireGuard stejně. I bez akcelerace obvykle překoná akcelerované OpenVPN na stejném hardwaru. Výjimky jsou vzácné a týkají se konkrétních čipů Broadcom s vyhrazeným OpenVPN offloadem. Pokud nedokážete ověřit, že váš router spadá do jednoho z těchto okrajových případů, zvolte WireGuard.
Poznámka k tvrzením o výkonu, která kolují online. Vlastní stránka o výkonu WireGuard popisuje své publikované benchmarky jako „staré, zaprášené a ne moc dobře provedené“. To jsou autoři samotného projektu. Konkrétní poměry propustnosti, které najdete citované na blozích třetích stran, obvykle nepocházejí z důvěryhodného zdroje. Kvalitativní tvrzení, že WireGuard obvykle překonává OpenVPN, zvláště na méně výkonném hardwaru, je dobře podložené. Konkrétní násobky nikoliv.
Měli byste si postavit VPN router, nebo použít VPS bránu?
Pro technického čtenáře je čistším srovnáním umístění endpointu: ukončuje se VPN na hardwaru ve vašem domě, nebo na softwaru běžícím na serveru, který si pronajímáte?
Hardwarový VPN router má pár konkrétních silných stránek. Hranice šifrování je fyzicky izolována do zařízení, které vlastníte. Kromě poskytovatele připojení nejsou žádné průběžné náklady na pronájem. Mentální model je jednoduchý: jedna krabička, jedna konfigurace, jeden kabel do zdi. Pro cestovní scénář je hardwarový router v kapesní formě (například jednotky GL.iNET třídy Beryl) opravdu užitečná věc.
VPS jako brána má jiné silné stránky. Slušný VPS vám obvykle dá předvídatelnější výkon a víc rezervy než levný spotřební router, zvláště když potřebujete více výstupů, vyšší uplink nebo víc souběžných tunelů. Vyberete si jurisdikci. VPN výstup je tam, kde VPS sídlí, a můžete ho přesunout. Ovládáte VPN démona a jeho logování na úrovni aplikace, i když základní infrastrukturu stále ovládá poskytovatel hostingu. Pokud chcete druhý výstup v jiném regionu, spustíte další VPS za 10 minut místo koupě dalšího routeru.
Rozumný výchozí bod pro dimenzování osobní VPN brány je 1 vCPU a 1 GB RAM, což zvládne 5 až 10 souběžných připojení zařízení běžících na WireGuard při domácích rychlostech. Náročnější souběžné šifrování nebo vyšší uplink ospravedlní plán optimalizovaný na CPU. Šifrovací práce je vázána na CPU, ne na paměť. Viz nejlepších VPS pro VPN pro dimenzování plánu.
Zvolte hardware, pokud chcete nulové měsíční náklady navíc k poskytovateli připojení, už vlastníte schopný router nebo konkrétně potřebujete formu cestovního routeru. Zvolte VPS, pokud chcete lepší výkon šifrování, než dokáže spotřební router nabídnout, výběr jurisdikce na výstupu, nebo už hostujete jiné služby a přidání jednoho dalšího démona není žádná zátěž navíc. V omezujících síťových prostředích může být cesta přes VPS také snazší na přizpůsobení než nastavení se sériovým routerem, protože ovládáte software serveru a nejste omezeni na protokoly, které výrobce routeru vystavuje ve svém administrátorském panelu.
Pokud zvolíte cestu přes VPS, jsou kritéria nákupu jednoduchá: zvolte blízký region, dostatek CPU na šifrování, dedikovanou IP a poskytovatele, který vám dá root přístup, aniž by skrýval síťové detaily. Linux VPS od Cloudzy je pro tohle jednou z možností a marketplace má one-click WireGuard a OpenVPN nasazení Access Serveru, pokud chcete přeskočit ruční nastavení serveru.
Časté dotazy
Potřebuji speciální router, abych mohl používat VPN?
Ne. Speciální router nepotřebujete, pokud váš stávající router už podporuje klientský režim VPN. Mnoho novějších modelů ASUS a GL.iNET podporuje WireGuard nebo OpenVPN ve výchozím firmwaru, ale podpora závisí na přesném modelu a verzi firmwaru. Pokud váš router VPN nativně nepodporuje, můžete buď nainstalovat vlastní firmware jako OpenWrt, nebo provozovat VPN na samostatném zařízení, jako je VPS, Raspberry Pi nebo malý Linux server, přes který router směruje.
Zpomalí mi VPN router internet?
Ano, do jisté míry. Šifrování dělá CPU routeru a CPU spotřebních routerů jsou pomalejší než CPU ve vašem telefonu nebo notebooku. Velikost zpomalení závisí na čipu routeru, protokolu (WireGuard je lehčí než OpenVPN) a na tom, zda má router hardwarovou akceleraci. Moderní router běžící na WireGuard obvykle ztrácí malý zlomek propustnosti WAN. Starší router běžící na OpenVPN může ztratit mnohem víc.
Jaký je rozdíl mezi VPN routerem a VPN aplikací na mém zařízení?
VPN router umístí tunel na síťovou úroveň, takže každé připojené zařízení (telefon, notebook, chytrá TV, konzole, IoT) používá VPN automaticky, aniž by cokoliv instalovalo. VPN aplikace umístí tunel na jediné zařízení a chrání jen to, ale umožňuje jemnější kontrolu: směrování podle aplikace, snadné přepínání serverů a vyloučení konkrétních aplikací. Kompromisem je pokrytí celé sítě versus flexibilita podle zařízení.
Který VPN protokol mám použít na svém routeru, WireGuard, nebo OpenVPN?
WireGuard, téměř v každém případě. Kódová základna je menší, kryptografie moderní a náklady na zpracování paketu jsou dost nízké na to, aby je CPU spotřebních routerů dobře zvládla. OpenVPN zůstává rozumnou volbou, pokud už máte nasazení OpenVPN s vydanými certifikáty nebo pokud máte konkrétní požadavek na kompatibilitu, který WireGuard zatím nesplňuje.
Můžu místo hardwarového VPN routeru použít VPS?
Ano. Nainstalujte WireGuard nebo OpenVPN na Linux VPS a pak na něj buď nasměrujte router s OpenWrt nebo DD-WRT jako výchozí tunel, nebo připojte jednotlivá zařízení přímo k VPS. Tento přístup vám dává výběr jurisdikce na výstupu, kontrolu nad VPN démonem a jeho logy na úrovni aplikace a víc výpočetní rezervy než většina nastavení se spotřebními routery. Kompromisem je, že provozujete server, včetně jeho záplatování a monitorování.
