Egy háztartás két telefonnal, két laptoppal, egy okostévével, egy konzollal és egy okoshangszóróval hét eszköz, amelyek mindegyikének VPN-fedettségre lehet szüksége. Külön-külön VPN-klienst telepíteni és karbantartani mindegyiken fárasztó. Némelyik, különösen a konzolok és sok IoT-eszköz, egyáltalán nem tud normál VPN-klienst futtatni. Mások, mint az okostévék, csak bizonyos platformokon támogathatnak VPN-alkalmazásokat.
A VPN-router ezt úgy oldja meg, hogy magán a routeren futtatja a VPN-t, így mögötte minden eszköz örökli az alagutat anélkül, hogy bármit telepítene. A kifejezés többféle elrendezést takar: egy router, amely a LAN nevében csatlakozik egy VPN-szolgáltatóhoz, egy router, amely VPN-szerverként működik, és lehetővé teszi, hogy máshonnan alagutazz be, vagy egy saját üzemeltetésű átjáró egy VPS-en, amelyet végponttól végpontig te irányítasz.
A rövid verzió
- A VPN-router a VPN-szoftvert a routeren futtatja, így minden csatlakoztatott eszköz, beleértve azokat is, amelyek maguk nem tudnak VPN-klienst futtatni, automatikusan az alagutat használja.
- Két módja van, amelyek különböző problémákat oldanak meg: a kliens mód a kimenő forgalmat egy VPN-szolgáltatóhoz vagy a saját szerveredhez alagutazza; a szerver mód lehetővé teszi, hogy a távoli eszközök bealagutazzanak a LAN-odba.
- A WireGuard a megfelelő protokoll a router-szintű VPN-hez szinte minden esetben. A kódbázis kicsi, a csomagonkénti költség alacsony, és a fogyasztói router-CPU-k jobban megbirkóznak vele, mint az OpenVPN-nel.
- Négyféleképpen szerezheted be: használj egy routert, amely már támogat VPN-t, ess egyedi firmware-t egy saját routerre, vegyél egy előre konfigurált VPN-routert, vagy hagyd ki teljesen a hardvert, és futtass WireGuardot egy VPS-en. Az utolsó opció a legerősebb, ha szerverválasztást, jogi illetőség feletti kontrollt szeretnél, vagy már saját üzemeltetésben dolgozol.
Hogyan működik valójában egy VPN-router
Amikor egy eszköz kliens módban csatlakozik egy VPN-routerhez, az eszköz nem tudja, hogy VPN-en van. Egy szokásos DHCP-bérletet kap a routertől, TCP-kapcsolatot nyit egy célállomáshoz, és csomagokat küld. A titkosítást a router végzi. Az eszköz egy normál LAN-t lát. Két mód érdemes a megértésre, és a legtöbb fogyasztói „VPN-router” csak az elsőt csinálja jól.
VPN kliens mód (kimenő)
Kliens módban a router tartja a VPN-hitelesítő adatokat, és a mögötte lévő eszközök nevében alagutazza az összes kimenő forgalmat. Az adatfolyam: eszköz → router → titkosított alagút → VPN-szerver → nyilvános internet.
A LAN minden eszköze automatikusan ugyanazt az alagutat használja. A router minden csomagot fog, titkosítja, és továbbítja a beállított VPN-végpontnak. A nyilvános internet a VPN-szerver kilépő IP-jét látja, nem az otthon ISP által kiosztott IP-jét. Ezt az elrendezést szokták érteni az emberek, amikor azt mondják, „VPN-router”.
A titkosítás a router CPU-ján történik. Ez a fontos technikai részlet. A régebbi és olcsóbb fogyasztói routerek alacsony órajelű ARM vagy MIPS chipeket futtathatnak korlátozott kriptográfiai gyorsítással, míg az újabb VPN-képes routerek sokkal gyorsabbak. Akárhogy is, a router továbbra is felelős a hálózat minden eszközétől és minden eszközéhez menő minden bájt titkosításáért, így a router-hardver válik a teljesítmény felső korlátjává.
A protokoll itt is ugyanezért számít. A WireGuard csomagonkénti költsége alacsonyabb az OpenVPN-énél, ezért a WireGuard-támogatás a fogyasztói routereken az a funkció, amelyet érdemes keresni. Lásd a meglévő WireGuard-beállítás VPS-en útmutatót.
VPN szerver mód (bejövő)
Szerver módban maga a router futtat egy VPN-szervert. A nyílt interneten lévő távoli eszközök bejövőként csatlakoznak a router nyilvános IP-jéhez, és úgy érkeznek a LAN-ra, mintha a nappaliban ülnének. Az adatfolyam: távoli eszköz → nyilvános IP → router VPN-szervere → LAN-erőforrások.
Ez egy másik problémát old meg. Ez távoli hozzáférés, nem kimenő adatvédelem. Egy laptop egy kávézóban elérhet egy otthoni fájlszervert. Egy külföldön lévő telefon elérheti az otthoni hálózatot. A router a VPN-szerver; a telefon a VPN-kliens.
A szerver mód nyilvánosan útválasztható IP-címet igényel. Ha az ISP-d CGNAT mögé tett, és sok lakossági ISP így tett, nincs nyilvános IP, amelyhez bejövőként csatlakozni lehetne, és ez a mód további trükkök nélkül nem működik. Általában portátirányítás is szükséges, ami azokra korlátozza ezt, akik a router tulajdonosai és be tudják állítani a tűzfalát.
A két mód nem zárja ki egymást. Egy alkalmas router egyszerre futtathatja mindkettőt. De a felhasználási esetek teljesen különbözőek. A kliens mód arra való: „Az egész házamat egy VPN-kilépés mögé akarom tenni.” A szerver mód arra: „Máshonnan akarom elérni a házamat.”
A négy út a router-szintű VPN-hez
Nincs egyetlen dolog, amit úgy hívnak, hogy „VPN-router szerzése”. Négy út van, és két tengely mentén rendeződnek: mennyi hardver- és firmware-kontrollt szeretnél, és kereskedelmi szolgáltatót vagy saját szervert akarsz az alagút másik végén. A helyes út attól függ, melyik tengely számít jobban.
1. út: Használd a meglévő routered (ha támogat VPN-t)
Több fogyasztói router-gyártó ma natív VPN-kliens támogatást szállít, beleértve a WireGuardot, a gyári firmware-ükben. Az ASUS natívan támogatja a WireGuardot a friss firmware-eken. A GL.iNET Flint és Beryl szériája alapból támogatja a WireGuardot, ahogy a hivatalos oktatóanyagukban dokumentálva van.
Ez a legolcsóbb, legkisebb kockázatú út. Ha a routered már ezen a listán van, nem essz semmit, és nem teszel semmit téglává. Beírsz egy WireGuard-konfigurációt az adminfelületen, és az alagút felépül. A korlátozás a nyilvánvaló: a routernek támogatnia kell a kívánt protokollt, és a protokoll-opciók attól függnek, mit szállít a gyártó. A régebbi modellek nem kapnak utólag WireGuardot.
2. út: Ess egyedi firmware-t (OpenWrt, DD-WRT, FreshTomato)
Ha a routered nincs a támogatott listán, kicserélheted a firmware-ét az egyik nyílt forráskódú alternatívára. Az OpenWrt a három közül a legaktívabban karbantartott, és a legszélesebb hardvertámogatással rendelkezik. A DD-WRT szintén aktív, eltérő tervezési filozófiával és a támogatott eszközök nagyobb körével. A FreshTomato az eredeti Tomato projektet folytatja, de Broadcom chipkészletekre korlátozódik, és egy sokkal kisebb közösséget szolgál ki.
Az egyedi firmware protokollválasztást ad: OpenVPN, WireGuard, IPsec, mind konfigurálható. Megadja mindazt is, amit ezek a projektek kínálnak: jobb QoS, finomhangolt tűzfalszabályok, csomagkezelés. A költség kockázat és idő.
Profi tanács
Az egyedi firmware feltöltése véglegesen téglává teheti a routert, ha rossz image-et választasz, áramszünet ér a feltöltés közben, vagy egy hibás buildet futtatsz az adott hardver-revíziódra. Válassz egy modellt, amelyet a firmware-projekt kifejezetten támogat, olvasd el az eszközspecifikus oldalt, és fogadd el, hogy érvénytelenítetted a garanciát. Ha a router, amelyet téglává teszel, az egyetlen routered, számolj azzal, hogy offline leszel annyi ideig, amennyi egy csere beszerzéséhez kell.
3. út: Vegyél egy előre konfigurált VPN-routert
A legegyszerűbb út. Az olyan gyártók, mint a GL.iNET, alapból WireGuarddal felszerelt routereket árulnak. Néhány kereskedelmi VPN-szolgáltató is árul a szolgáltatásukhoz előre konfigurált, márkás routereket, ami azt jelenti, hogy bedugod, beírod a fiók-hitelesítő adataidat, és kész vagy.
A kompromisszum az ár és a bezártság. Az előre konfigurált routerek darabonként többe kerülnek, mint ha magad építed fel. Ha az egység egy adott VPN-szolgáltató márkajelzésével érkezik, az adott szolgáltató protokolljaihoz, kilépő országaihoz és naplózási házirendjéhez vagy kötve. Ha a szolgáltató megváltoztatja a feltételeit vagy megszűnik, a router nem költözik át könnyen egy új szolgáltatáshoz.
A negyedik út kissé eltérő, mert nem igényel router-hardver vásárlását vagy firmware feltöltését. Még mindig router-szintű VPN-fedettséget ad, ha a routered a VPS felé mutat felfelé, de maga a VPN-végpont egy szerveren él, nem a routeren belül.
4. út: Használj egy VPS-t VPN-átjáróként
Futtass WireGuardot vagy OpenVPN-t egy Linux VPS-en, majd irányítsd a routeredet vagy az egyes eszközöket ahhoz a szerverhez. Ez nem hardver-router vásárlás. Ez egy másik végpont-stratégia, így a kompromisszumok megérdemlik a saját szakaszukat lentebb.
| Út | Beállítási bonyolultság | Teljesítmény felső korlát | Szerverváltás | Hardverkockázat | Folyamatos költség | Illeszkedés |
|---|---|---|---|---|---|---|
| Meglévő router | Alacsony | A router CPU-ja korlátozza | Adminfelületen keresztül | Nincs | Nincs az ISP-n túl | Már van egy támogatott routered |
| Egyedi firmware feltöltése | Magas | A router CPU-ja korlátozza | Adminfelületen keresztül | Téglává tételi kockázat | Nincs az ISP-n túl | Protokoll-rugalmasságot szeretnél, és elfogadod a kockázatot |
| Előre konfigurált router | Legalacsonyabb | A router CPU-ja korlátozza | Gyártófüggő | Nincs | Hardverköltség; szolgáltatói előfizetés, ha csomagban van | Plug-and-playt szeretnél, és elfogadod a felárat |
| VPS mint átjáró | Közepes-magas | A VPS CPU-ja korlátozza (magasabb) | Indíts egy új VPS-t egy másik régióban | Nincs | Havi VPS-bérlet | Jogi illetőség választást, jobb teljesítményt szeretnél, vagy már saját üzemeltetésben dolgozol |
Mikor van értelme egy VPN-routernek és mikor nincs
A kérdés nem az, hogy egy router-VPN absztrakt értelemben jobb-e egy eszköz-VPN-nél. Az a kérdés, hogy a te konkrét helyzeted valóban igényel-e egész hálózatra kiterjedő fedettséget, mert abban a pillanatban, amikor VPN-t teszel a routerre, minden mögötte lévő eszköz ugyanazt a titkosítási adót fizeti.
Felhasználási esetek, ahol egy router-VPN megéri a beállítási költségét
A többeszközös háztartások a legvilágosabb eset. Amint négy-öt eszköznél többet kezelsz, mindegyiken VPN-klienst telepíteni és frissíteni teher. A router-szintű beállítást egyszer konfigurálod.
A korlátozott vagy nehézkes VPN-támogatású eszközök a második eset. A játékkonzoloknak, a legtöbb IoT-eszköznek és a régebbi okosotthon-huboknak általában nincs normál VPN-alkalmazásuk. Néhány okostévé tud VPN-alkalmazásokat futtatni, különösen az Android TV / Google TV és az újabb Apple TV modellek, de a router-szintű VPN akkor is segít, amikor a tévé-platform nem támogatja a szolgáltatódat, vagy amikor egy egységes hálózati házirendet szeretnél.
Az utazás a harmadik eset. Egy kompakt, WireGuard-támogatású utazórouter azt jelenti, hogy egyetlen alagút lefedi a szállodai szoba minden eszközét (telefon, laptop, tablet) a router Wi-Fijén keresztül, függetlenül attól, mit csinál a szálloda hálózata. Ugyanez a logika érvényes az utazórouteren keresztül elért VPS-átjáróra.
A kis irodák és közös lakóterek a negyedik eset. Egyetlen egységes, az átjárón alkalmazott hálózati házirenddel könnyebb gondolkodni, mint egy eszközszintű konfigurációkból álló flottával, amely idővel szétdriftel.
Esetek, ahol a router-VPN a rossz választás
Ha gyakran váltasz VPN-kilépő országokat régiózárt tartalomhoz, illetőség-teszteléshez vagy bármilyen más okból, a router-szintű VPN a rossz eszköz. A kilépések kapcsolgatása egy telefonon egyetlen koppintás. Egy routeren ehhez be kell jelentkezned az adminfelületre.
Ha alkalmazás-szintű split-tunnelingre van szükséged, néhány alkalmazás a VPN-en át, mások közvetlenül, egy eszközszintű VPN-alkalmazás tisztán kezeli ezt. A router nem tudja könnyen megmondani, melyik alkalmazás generálta melyik csomagot.
Ha a hálózatodon néhány eszköznek kell a VPN, másoknak pedig kifejezetten nem szabad, a router-VPN mindenkit ugyanazon kilépő IP mögé tesz. A banki alkalmazások megjelölik a VPN-forgalmat. A régiózárt streaming-szolgáltatások elromlanak. Egy átfogó házirend a routeren átfogó megkerülő megoldást jelent minden kivételre.
Ha egy vagy két eszközöd van, egy router-szintű réteg olyan problémát old meg, amelyed nincs.
A How-To Geek megtette a késleltetési érvet 2023-ban: egy hálózatra kiterjedő VPN a VPN késleltetését minden csatlakoztatott eszközre rákényszeríti, beleértve azokat is, amelyek késleltetésérzékeny munkát végeznek, mint a játék, a videohívások és a valós idejű megbeszélések, amelyek nem profitálnak a VPN-védelemből ezen tevékenységek alatt. Az érv helyes, és érdemes mérlegelni. A megoldás nem a router-VPN elvetése. Az, hogy felismerd, hogy néhány eszközt esetleg le akarsz venni az alagútról.
Sok kereskedelmi VPN-szolgáltató még mindig korlátozza az egyidejű kapcsolatokat fiókonként, míg mások már magasabb vagy korlátlan eszközszámot kínálnak. Egy router-VPN attól még hasznos lehet, mert a szolgáltató általában egy VPN-kapcsolatként látja a routert, még ha több eszköz is van mögötte.
Protokollválasztás: WireGuard, OpenVPN és a többiek
A protokollválasztás egy routeren többet számít, mint egy laptopon, mert a router-CPU végzi a titkosítást, és a router-CPU lassú. Egy modern, AES-NI-vel rendelkező laptop egyformán jól kezeli az OpenVPN-t vagy a WireGuardot gigabiten. Egy fogyasztói router nem.
A WireGuard a megfelelő válasz szinte minden forgatókönyvre. A kódbázis drámaian kisebb az OpenVPN-énél, ami megkönnyíti az auditálását és átnézését. A kriptográfia modern: ChaCha20 a titkosításhoz, Poly1305 a hitelesítéshez, Curve25519 a kulcscseréhez. A kézfogás egy körfordulóban befejeződik; az OpenVPN TLS-kézfogása többet vesz igénybe. A csomagonkénti feldolgozási költség elég alacsony ahhoz, hogy a fogyasztói router-CPU-k megbirkózzanak vele ott, ahol az OpenVPN-nel küzdenének. A WireGuardot ma natívan támogatja az ASUS, a GL.iNET és a legtöbb egyedi firmware-projekt.
Az OpenVPN-nek még mindig megvan a helye. Érett, széles körben támogatott, és szélesebb integrációval rendelkezik a vállalati hitelesítési rendszerekkel. Ha van egy meglévő OpenVPN-telepítésed már kiállított tanúsítványokkal, vagy van egy konkrét kompatibilitási követelményed, amelyet a WireGuard még nem teljesít, az OpenVPN ésszerű választás marad. Alkalmas routereken jól fut.
Az L2TP/IPsec még mindig megjelenik sok router adminoldalán, többnyire a régi rendszerekkel való kompatibilitás miatt. Működhet, de nem ez a protokoll, amelyet egy új router-szintű VPN-hez érdemes választani, amikor a WireGuard elérhető. A PPTP-t halottnak kell tekinteni. Ismert biztonsági problémái vannak, és a Microsoft már elindult a PPTP és az L2TP kivezetése felé a jövőbeli Windows Server verziókból.
Profi tanács
Ha a router-CPU-d öt évnél régebbi, és nincs WireGuard hardveres gyorsítása, akkor is futtass WireGuardot. Még gyorsítás nélkül is általában felülmúlja a gyorsított OpenVPN-t ugyanazon a hardveren. A kivételek ritkák, és specifikus Broadcom chipeket érintenek dedikált OpenVPN-tehermentesítéssel. Ha nem tudod ellenőrizni, hogy a routered ezen szélső esetek egyikébe esik-e, alapértelmezetten válaszd a WireGuardot.
Megjegyzés az interneten keringő teljesítményállításokról. A WireGuard saját teljesítményoldala „réginek, kérgesnek és nem túl jól kivitelezettnek” írja le a publikált benchmarkjait. Ezek a projekt saját szerzői. A harmadik féltől származó blogokban idézett konkrét átviteliarány-számok általában nem hivatkozott forrásból származnak. Az a minőségi állítás, hogy a WireGuard jellemzően felülmúlja az OpenVPN-t, különösen gyengébb teljesítményű hardveren, jól megalapozott. A konkrét szorzók nem.
Építsél VPN-routert, vagy használj VPS-átjárót?
Egy technikai olvasó számára a tisztább összehasonlítás a végpont elhelyezése: a VPN a házadban lévő hardveren végződik, vagy egy bérelt szerveren futó szoftveren?
Egy hardveres VPN-routernek van néhány konkrét erőssége. A titkosítási határ fizikailag egy általad birtokolt eszközre van elszigetelve. Az ISP-den túl nincs folyamatos bérleti költség. A mentális modell egyszerű: egy doboz, egy konfiguráció, egy kábel a falba. Egy utazási forgatókönyvhöz egy zsebbe férő formátumú hardveres router (például a Beryl-osztályú GL.iNET egységek) valóban hasznos tárgy.
Egy VPS-nek mint átjárónak más erősségei vannak. Egy rendes VPS általában kiszámíthatóbb számítási teljesítményt és több tartalékot ad, mint egy olcsó fogyasztói router, különösen, amikor több kilépésre, magasabb feltöltési sávszélességre vagy több egyidejű alagútra van szükséged. Te választod meg a jogi illetőséget. A VPN-kilépés ott van, ahol a VPS él, és át tudod helyezni. Te irányítod a VPN-démont és annak alkalmazás-szintű naplózását, bár a tárhelyszolgáltató még mindig az alapul szolgáló infrastruktúrát irányítja. Ha egy második kilépést szeretnél egy másik régióban, 10 perc alatt indítasz egy másik VPS-t ahelyett, hogy egy másik routert vennél.
Egy ésszerű kiindulópont egy személyes VPN-átjáró méretezéséhez 1 vCPU és 1 GB RAM, ami 5-10 egyidejű eszközkapcsolatot kezel WireGuardon lakossági sávszélességeken. A nehezebb egyidejű titkosítás vagy a magasabb feltöltési sávszélesség CPU-optimalizált csomagot indokol. A titkosítási munka CPU-kötött, nem memóriakötött. Lásd legjobb VPS az VPN-hez a csomagméretezéshez.
Válassz hardvert, ha nulla havi költséget szeretnél az ISP-den felül, már van egy alkalmas routered, vagy kifejezetten utazórouter-formátumra van szükséged. Válassz VPS-t, ha jobb titkosítási teljesítményt szeretnél, mint amit egy fogyasztói router nyújtani tud, jogi illetőség választást a kilépésen, vagy ha már saját üzemeltetésben futtatsz más szolgáltatásokat, és egy újabb démon hozzáadása nem jelent extra terhet. Korlátozó hálózati környezetekhez a VPS-út szintén könnyebben alkalmazható lehet, mint egy gyári router-beállítás, mert te irányítod a szerverszoftvert, és nem korlátoz, hogy milyen protokollokat tesz közzé a router gyártója az adminfelületén.
Ha a VPS-utat választod, a vásárlási kritériumok egyszerűek: válassz egy közeli régiót, elég CPU-t a titkosításhoz, egy dedikált IP-t, és egy szolgáltatót, amely root-hozzáférést ad anélkül, hogy elrejtené a hálózati részleteket. A Cloudzy Linux VPS-e az egyik opció erre, és a marketplace-en van egykattintásos WireGuard és OpenVPN Access Server telepítés, ha ki akarod hagyni a kézi szerverbeállítást.
Gyakran ismételt kérdések
Szükségem van speciális routerre, hogy VPN-t használjak?
Nem. Nincs szükséged speciális routerre, ha a jelenlegi routered már támogatja a VPN kliens módot. Sok friss ASUS és GL.iNET modell támogatja a WireGuardot vagy az OpenVPN-t a gyári firmware-ben, de a támogatás a pontos modelltől és firmware-verziótól függ. Ha a routered natívan nem támogat VPN-t, vagy telepíthetsz egyedi firmware-t, mint az OpenWrt, vagy futtathatod a VPN-t egy külön eszközön, például egy VPS-en, Raspberry Pi-n vagy kis Linux-szerveren, amelyen a router átirányít.
Lelassítja egy VPN-router az internetemet?
Igen, valamennyire. A router CPU-ja végzi a titkosítási munkát, és a fogyasztói router-CPU-k lassabbak, mint a telefonod vagy laptopod CPU-i. A lassulás mértéke a router chipjétől, a protokolltól (a WireGuard könnyebb az OpenVPN-nél) és attól függ, hogy a router rendelkezik-e hardveres gyorsítással. Egy modern, WireGuardot futtató router általában a WAN-átviteli sebesség kis töredékét veszíti el. Egy régebbi, OpenVPN-t futtató router sokkal többet veszíthet.
Mi a különbség egy VPN-router és egy VPN-alkalmazás között az eszközömön?
A VPN-router az alagutat a hálózati szintre teszi, így minden csatlakoztatott eszköz (telefon, laptop, okostévé, konzol, IoT) automatikusan használja a VPN-t anélkül, hogy bármit telepítene. A VPN-alkalmazás az alagutat egyetlen eszközre teszi, és csak azt az eszközt védi, de finomabb kontrollt enged: alkalmazásonkénti útválasztás, könnyű szerverváltás és konkrét alkalmazások kizárása. A kompromisszum az egész hálózatra kiterjedő fedettség kontra az eszközönkénti rugalmasság.
Melyik VPN-protokollt használjam a routeremen, WireGuardot vagy OpenVPN-t?
WireGuardot, szinte minden esetben. A kódbázis kisebb, a kriptográfia modern, és a csomagonkénti feldolgozási költség elég alacsony ahhoz, hogy a fogyasztói router-CPU-k jól kezeljék. Az OpenVPN ésszerű választás marad, ha már van egy OpenVPN-telepítésed kiállított tanúsítványokkal, vagy ha van egy konkrét kompatibilitási követelményed, amelyet a WireGuard még nem teljesít.
Használhatok VPS-t egy hardveres VPN-router helyett?
Igen. Telepíts WireGuardot vagy OpenVPN-t egy Linux VPS-re, majd vagy irányíts egy OpenWrt vagy DD-WRT routert hozzá felfelé menő alagútként, vagy csatlakoztasd az egyes eszközöket közvetlenül a VPS-hez. Ez a megközelítés jogi illetőség választást ad a kilépésen, kontrollt a VPN-démon és annak alkalmazás-szintű naplói felett, és több számítási tartalékot, mint a legtöbb fogyasztói router-beállítás. A kompromisszum az, hogy egy szervert üzemeltetsz, beleértve a foltozását és a megfigyelését.
