Gospodarstwo domowe z dwoma telefonami, dwoma laptopami, smart TV, konsolą i głośnikiem inteligentnym to siedem urządzeń, które wszystkie mogą potrzebować ochrony VPN. Instalowanie i utrzymywanie klienta VPN na każdym z nich jest żmudne. Niektóre z nich, zwłaszcza konsole i wiele urządzeń IoT, w ogóle nie potrafią uruchomić zwykłego klienta VPN. Inne, jak smart TV, mogą obsługiwać aplikacje VPN tylko na niektórych platformach.
Router VPN rozwiązuje to, uruchamiając VPN na samym routerze, więc każde urządzenie za nim dziedziczy tunel bez instalowania czegokolwiek. Termin obejmuje kilka różnych konfiguracji: router, który łączy się z dostawcą VPN w imieniu LAN, router działający jako serwer VPN pozwalający Ci wtunelować się z innego miejsca, lub samodzielnie hostowaną bramę na VPS, którą kontrolujesz od początku do końca.
Krótka wersja
- Router VPN uruchamia oprogramowanie VPN na routerze, więc każde podłączone urządzenie, w tym te, które same nie potrafią uruchomić klienta VPN, automatycznie korzysta z tunelu.
- Ma dwa tryby, które rozwiązują różne problemy: tryb klienta tuneluje ruch wychodzący do dostawcy VPN lub Twojego własnego serwera; tryb serwera pozwala zdalnym urządzeniom wtunelować się do Twojego LAN.
- WireGuard to właściwy protokół do VPN na poziomie routera w niemal wszystkich przypadkach. Baza kodu jest mała, koszt na pakiet niski, a procesory routerów konsumenckich radzą sobie z nim lepiej niż z OpenVPN.
- Masz cztery sposoby, by go zdobyć: użyj routera, który już obsługuje VPN, wgraj niestandardowe oprogramowanie układowe na router, który posiadasz, kup wstępnie skonfigurowany router VPN lub całkowicie pomiń sprzęt i uruchom WireGuard na VPS. Ostatnia opcja jest najmocniejsza, jeśli chcesz wyboru serwera, kontroli jurysdykcyjnej lub już hostujesz samodzielnie.
Jak naprawdę działa router VPN
Gdy urządzenie łączy się z routerem VPN w trybie klienta, urządzenie nie wie, że jest na VPN. Otrzymuje zwykłą dzierżawę DHCP od routera, otwiera połączenie TCP do celu i wysyła pakiety. Router wykonuje szyfrowanie. Urządzenie widzi normalny LAN. Są dwa tryby warte zrozumienia, a większość konsumenckich „routerów VPN” dobrze obsługuje tylko pierwszy.
Tryb klienta VPN (wychodzący)
W trybie klienta router przechowuje dane uwierzytelniające VPN i tuneluje cały ruch wychodzący w imieniu urządzeń za nim. Przepływ danych to: urządzenie → router → zaszyfrowany tunel → serwer VPN → publiczny internet.
Każde urządzenie w LAN automatycznie korzysta z tego samego tunelu. Router bierze każdy pakiet, szyfruje go i przekazuje do skonfigurowanego punktu końcowego VPN. Publiczny internet widzi wyjściowy adres IP serwera VPN, a nie domowy adres IP przydzielony przez dostawcę internetu. To konfiguracja, którą ludzie zwykle mają na myśli, mówiąc „router VPN”.
Szyfrowanie odbywa się na procesorze routera. To ważny szczegół mechaniczny. Starsze i tańsze routery konsumenckie mogą działać na nisko taktowanych układach ARM lub MIPS z ograniczonym przyspieszeniem kryptografii, podczas gdy nowsze routery z obsługą VPN są znacznie szybsze. Tak czy inaczej, router wciąż odpowiada za szyfrowanie każdego bajtu przychodzącego do i z każdego urządzenia w sieci, więc sprzęt routera staje się sufitem wydajności.
Protokół ma tu znaczenie z tego samego powodu. Koszt WireGuard na pakiet jest niższy niż OpenVPN, dlatego obsługa WireGuard na routerach konsumenckich to funkcja, której warto szukać. Zobacz istniejący przewodnik po konfiguracji WireGuard na VPS.
Tryb serwera VPN (przychodzący)
W trybie serwera sam router uruchamia serwer VPN. Zdalne urządzenia w otwartym internecie łączą się przychodząco z publicznym adresem IP routera i lądują w LAN, jakby siedziały w salonie. Przepływ danych to: zdalne urządzenie → publiczny IP → serwer VPN routera → zasoby LAN.
To rozwiązuje inny problem. To zdalny dostęp, a nie prywatność wychodząca. Laptop w kawiarni może dotrzeć do serwera plików w domu. Telefon za granicą może dotrzeć do sieci domowej. Router jest serwerem VPN; telefon jest klientem VPN.
Tryb serwera wymaga publicznie routowalnego adresu IP. Jeśli Twój dostawca internetu umieścił Cię za CGNAT, a wielu dostawców domowych to robi, nie ma publicznego adresu IP, do którego można połączyć się przychodząco, i ten tryb nie działa bez dodatkowych sztuczek. Zwykle wymagane jest też przekierowanie portów, co ogranicza to do osób, które posiadają router i potrafią skonfigurować jego firewall.
Te dwa tryby nie wykluczają się wzajemnie. Zdolny router może uruchomić oba naraz. Ale przypadki użycia są zupełnie różne. Tryb klienta jest do „chcę cały dom za wyjściem VPN”. Tryb serwera jest do „chcę dotrzeć do swojego domu z innego miejsca”.
Cztery ścieżki do VPN na poziomie routera
Nie ma jednej rzeczy zwanej „zdobyciem routera VPN”. Są cztery ścieżki, które sortują się wzdłuż dwóch osi: ile kontroli nad sprzętem i oprogramowaniem układowym chcesz oraz czy chcesz komercyjnego dostawcy, czy własnego serwera na drugim końcu tunelu. Właściwa ścieżka zależy od tego, która z tych osi liczy się bardziej.
Ścieżka 1: Użyj swojego istniejącego routera (jeśli obsługuje VPN)
Kilku producentów routerów konsumenckich dostarcza teraz natywną obsługę klienta VPN, w tym WireGuard, w fabrycznym oprogramowaniu układowym. ASUS obsługuje WireGuard natywnie w nowszym oprogramowaniu układowym. Serie Flint i Beryl od GL.iNET obsługują WireGuard od razu po wyjęciu z pudełka, udokumentowane w ich oficjalnym samouczku.
To najtańsza, najmniej ryzykowna ścieżka. Jeśli Twój router jest już na tej liście, niczego nie wgrywasz i niczego nie uszkadzasz. Wpisujesz konfigurację WireGuard w panelu administracyjnym i tunel się uruchamia. Ograniczenie jest oczywiste: router musi obsługiwać protokół, którego chcesz, a opcje protokołów zależą od tego, co dostarcza producent. Starsze modele nie dostaną WireGuard dodanego wstecznie.
Ścieżka 2: Wgraj niestandardowe oprogramowanie układowe (OpenWrt, DD-WRT, FreshTomato)
Jeśli Twojego routera nie ma na liście obsługiwanych, możesz zastąpić jego oprogramowanie układowe jedną z otwartoźródłowych alternatyw. OpenWrt jest najaktywniej rozwijany z tej trójki i ma najszersze wsparcie sprzętowe. DD-WRT również jest aktywny, z inną filozofią projektowania i większą pulą obsługiwanych urządzeń. FreshTomato kontynuuje oryginalny projekt Tomato, ale jest ograniczony do chipsetów Broadcom i służy znacznie mniejszej społeczności.
Niestandardowe oprogramowanie układowe daje Ci wybór protokołu: OpenVPN, WireGuard, IPsec, wszystkie konfigurowalne. Daje też wszystko inne, co oferują te projekty: lepszy QoS, szczegółowe reguły firewalla, zarządzanie pakietami. Kosztem jest ryzyko i czas.
Wskazówka dla profesjonalistów
Wgranie niestandardowego oprogramowania układowego może trwale uszkodzić router, jeśli wybierzesz zły obraz, stracisz zasilanie w trakcie wgrywania lub uruchomisz kompilację z błędem dla Twojej konkretnej rewizji sprzętu. Wybierz model, który projekt oprogramowania układowego jednoznacznie obsługuje, przeczytaj stronę specyficzną dla urządzenia i pogódź się z tym, że unieważniłeś gwarancję. Jeśli router, który uszkodzisz, jest Twoim jedynym routerem, przygotuj się na bycie offline przez czas potrzebny na zdobycie zamiennika.
Ścieżka 3: Kup wstępnie skonfigurowany router VPN
Najprostsza ścieżka. Producenci tacy jak GL.iNET sprzedają routery z wbudowanym WireGuard od razu po wyjęciu z pudełka. Niektórzy komercyjni dostawcy VPN sprzedają też markowe routery wstępnie skonfigurowane do swojej usługi, co oznacza, że podłączasz go, wpisujesz dane uwierzytelniające swojego konta i gotowe.
Kompromisem są cena i uzależnienie od dostawcy. Wstępnie skonfigurowane routery kosztują więcej za sztukę niż budowanie ich samemu. Jeśli urządzenie jest markowane konkretnym dostawcą VPN, jesteś przywiązany do protokołów, krajów wyjściowych i polityki logowania tego dostawcy. Jeśli dostawca zmieni warunki lub zakończy działalność, router nie przeniesie się łatwo do nowej usługi.
Czwarta ścieżka jest nieco inna, bo nie wymaga kupowania ani wgrywania sprzętu routera. Wciąż daje Ci ochronę VPN na poziomie routera, jeśli Twój router kieruje w górę do VPS, ale sam punkt końcowy VPN żyje na serwerze zamiast wewnątrz routera.
Ścieżka 4: Użyj VPS jako bramy VPN
Uruchom WireGuard lub OpenVPN na VPS z Linuksem, a następnie skieruj swój router lub poszczególne urządzenia na ten serwer. To nie zakup sprzętowego routera. To inna strategia punktu końcowego, więc jej kompromisy zasługują na osobną sekcję poniżej.
| Ścieżka | Złożoność konfiguracji | Sufit wydajności | Przełączanie serwerów | Ryzyko sprzętowe | Koszt bieżący | Dopasowanie |
|---|---|---|---|---|---|---|
| Istniejący router | Niski | Ograniczony przez procesor routera | Przez panel administracyjny | Żaden | Brak poza dostawcą internetu | Masz już obsługiwany router |
| Wgraj niestandardowe oprogramowanie układowe | Wysoki | Ograniczony przez procesor routera | Przez panel administracyjny | Ryzyko uszkodzenia | Brak poza dostawcą internetu | Chcesz elastyczności protokołów i akceptujesz ryzyko |
| Wstępnie skonfigurowany router | Najniższy | Ograniczony przez procesor routera | Zależne od producenta | Żaden | Koszt sprzętu; subskrypcja dostawcy, jeśli w pakiecie | Chcesz rozwiązania plug-and-play i akceptujesz narzut |
| VPS jako brama | Średnio-wysoki | Ograniczony przez procesor VPS (wyższy) | Uruchom nowy VPS w innym regionie | Żaden | Miesięczny najem VPS | Chcesz wyboru jurysdykcji, lepszej wydajności lub już hostujesz samodzielnie |
Kiedy router VPN ma sens, a kiedy nie
Pytanie nie brzmi, czy router VPN jest lepszy od VPN na urządzeniu w teorii. Brzmi ono, czy Twoja konkretna sytuacja rzeczywiście wymaga ochrony całej sieci, bo w momencie, gdy umieścisz VPN na routerze, każde urządzenie za nim płaci ten sam podatek szyfrowania.
Przypadki użycia, gdzie router VPN zarabia na swój koszt konfiguracji
Gospodarstwa domowe z wieloma urządzeniami to najjaśniejszy przypadek. Gdy zarządzasz więcej niż czterema lub pięcioma urządzeniami, instalowanie i aktualizowanie klientów VPN na każdym z nich to mozół. Konfigurację na poziomie routera robi się raz.
Urządzenia z ograniczoną lub niewygodną obsługą VPN to drugi przypadek. Konsole do gier, większość urządzeń IoT i starsze huby smart-home zwykle nie mają dostępnej normalnej aplikacji VPN. Niektóre smart TV potrafią uruchamiać aplikacje VPN, zwłaszcza Android TV / Google TV i nowsze modele Apple TV, ale VPN na poziomie routera wciąż pomaga, gdy platforma telewizora nie obsługuje Twojego dostawcy lub gdy chcesz jednej spójnej polityki sieciowej.
Podróże to trzeci przypadek. Kompaktowy router podróżny z obsługą WireGuard oznacza, że jeden tunel obejmuje każde urządzenie w pokoju hotelowym (telefon, laptop, tablet) przez Wi-Fi routera, niezależnie od tego, co robi sieć hotelu. Ta sama logika dotyczy bramy VPS dostępnej przez router podróżny.
Małe biura i wspólne przestrzenie mieszkalne to czwarty przypadek. Jedna spójna polityka sieciowa zastosowana na bramie jest łatwiejsza do ogarnięcia niż flota konfiguracji na poziomie urządzeń, które z czasem się rozjeżdżają.
Przypadki, gdzie router VPN to zły wybór
Jeśli często przełączasz kraje wyjściowe VPN dla treści ograniczonych regionalnie, testowania jurysdykcji lub z jakiegokolwiek innego powodu, VPN na poziomie routera to złe narzędzie. Przełączanie wyjść na telefonie to jedno dotknięcie. Zrobienie tego na routerze wymaga zalogowania się do panelu administracyjnego.
Jeśli potrzebujesz dzielenia tunelu na poziomie aplikacji, niektóre aplikacje przez VPN, a inne bezpośrednio, aplikacja VPN na poziomie urządzenia obsłuży to czysto. Router nie potrafi łatwo stwierdzić, która aplikacja wygenerowała który pakiet.
Jeśli niektóre urządzenia w Twojej sieci potrzebują VPN, a inne aktywnie nie mogą, router VPN umieszcza wszystkich za tym samym wyjściowym adresem IP. Aplikacje bankowe oznaczają ruch VPN. Usługi streamingowe ograniczone regionalnie przestają działać. Polityka obejmująca wszystko na routerze oznacza obejście obejmujące wszystko dla każdego wyjątku.
Jeśli masz jedno lub dwa urządzenia, warstwa na poziomie routera rozwiązuje problem, którego nie masz.
How-To Geek przedstawił argument dotyczący opóźnień w 2023 roku: VPN obejmujący całą sieć nakłada opóźnienie VPN na każde podłączone urządzenie, w tym te wykonujące pracę wrażliwą na opóźnienia, jak gry, rozmowy wideo i spotkania w czasie rzeczywistym, które nie korzystają z ochrony VPN podczas tych czynności. Ten argument jest poprawny i wart rozważenia. Rozwiązaniem nie jest porzucenie routera VPN. Jest nim uznanie, że możesz chcieć mieć niektóre urządzenia poza tunelem.
Wielu komercyjnych dostawców VPN wciąż ogranicza liczbę jednoczesnych połączeń na konto, podczas gdy inni oferują teraz wyższe lub nieograniczone liczby urządzeń. Router VPN wciąż może być użyteczny, bo dostawca zwykle widzi router jako jedno połączenie VPN, nawet jeśli za nim siedzi kilka urządzeń.
Wybór protokołu: WireGuard, OpenVPN i reszta
Wybór protokołu ma większe znaczenie na routerze niż na laptopie, bo to procesor routera wykonuje szyfrowanie, a procesor routera jest wolny. Nowoczesny laptop z AES-NI radzi sobie z OpenVPN czy WireGuard równie dobrze przy gigabicie. Router konsumencki nie.
WireGuard to właściwa odpowiedź w niemal każdym scenariuszu. Baza kodu jest dramatycznie mniejsza niż OpenVPN, co ułatwia jej audyt i przegląd. Kryptografia jest nowoczesna: ChaCha20 do szyfrowania, Poly1305 do uwierzytelniania, Curve25519 do wymiany kluczy. Uzgadnianie kończy się w jednej rundzie; uzgadnianie TLS w OpenVPN zajmuje ich kilka. Koszt przetwarzania na pakiet jest na tyle niski, że procesory routerów konsumenckich radzą sobie z nim tam, gdzie miałyby trudności z OpenVPN. WireGuard jest teraz obsługiwany natywnie przez ASUS, GL.iNET i większość projektów niestandardowego oprogramowania układowego.
OpenVPN wciąż ma swoje miejsce. Jest dojrzały, szeroko obsługiwany i ma szerszą integrację z firmowymi systemami uwierzytelniania. Jeśli masz istniejące wdrożenie OpenVPN z już wystawionymi certyfikatami lub masz konkretny wymóg kompatybilności, którego WireGuard jeszcze nie spełnia, OpenVPN pozostaje rozsądnym wyborem. Działa dobrze na zdolnych routerach.
L2TP/IPsec wciąż pojawia się na wielu stronach administracyjnych routerów, głównie dla kompatybilności ze starszymi rozwiązaniami. Może działać, ale nie jest to protokół, który należy wybrać dla nowego VPN na poziomie routera, gdy dostępny jest WireGuard. PPTP należy traktować jako martwy. Ma znane problemy z bezpieczeństwem, a Microsoft już rozpoczął wycofywanie PPTP i L2TP z przyszłych wersji Windows Server.
Wskazówka dla profesjonalistów
Jeśli procesor Twojego routera ma więcej niż pięć lat i nie ma sprzętowego przyspieszenia WireGuard, uruchom WireGuard mimo to. Nawet bez przyspieszenia zwykle bije przyspieszony OpenVPN na tym samym sprzęcie. Wyjątki są rzadkie i dotyczą konkretnych układów Broadcom z dedykowanym odciążaniem OpenVPN. Jeśli nie możesz zweryfikować, że Twój router należy do jednego z tych skrajnych przypadków, domyślnie wybierz WireGuard.
Uwaga o twierdzeniach o wydajności krążących w internecie. Własna strona wydajności WireGuard opisuje swoje opublikowane testy jako „stare, zapleśniałe i nie najlepiej przeprowadzone”. To słowa samych autorów projektu. Konkretne stosunki przepustowości, które znajdziesz cytowane na blogach osób trzecich, zwykle nie pochodzą z autorytatywnych źródeł. Jakościowe twierdzenie, że WireGuard zazwyczaj przewyższa OpenVPN, zwłaszcza na sprzęcie o niższej mocy, jest dobrze poparte. Konkretne mnożniki nie są.
Zbudować router VPN czy użyć bramy VPS?
Dla technicznego czytelnika czystszym porównaniem jest umiejscowienie punktu końcowego: czy VPN kończy się na sprzęcie w Twoim domu, czy na oprogramowaniu działającym na serwerze, który wynajmujesz?
Sprzętowy router VPN ma kilka konkretnych mocnych stron. Granica szyfrowania jest fizycznie odizolowana do urządzenia, które posiadasz. Nie ma bieżącego kosztu najmu poza Twoim dostawcą internetu. Model myślowy jest prosty: jedno urządzenie, jedna konfiguracja, jeden kabel do ściany. W scenariuszu podróżnym sprzętowy router w kieszonkowym formacie (na przykład jednostki GL.iNET klasy Beryl) to naprawdę użyteczny przedmiot.
VPS jako brama ma inne mocne strony. Przyzwoity VPS zwykle daje Ci bardziej przewidywalną moc obliczeniową i więcej zapasu niż tani router konsumencki, zwłaszcza gdy potrzebujesz wielu wyjść, wyższego uplinku lub więcej jednoczesnych tuneli. Ty wybierasz jurysdykcję. Wyjście VPN jest tam, gdzie żyje VPS, i możesz je przenieść. Kontrolujesz demona VPN i jego logowanie na poziomie aplikacji, choć dostawca hostingu wciąż kontroluje leżącą u podstaw infrastrukturę. Jeśli chcesz drugiego wyjścia w innym regionie, uruchamiasz kolejny VPS w 10 minut zamiast kupować kolejny router.
Rozsądnym punktem startowym do doboru rozmiaru osobistej bramy VPN jest 1 vCPU i 1 GB RAM, co obsługuje 5 do 10 jednoczesnych połączeń urządzeń działających na WireGuard przy domowych przepustowościach. Cięższe jednoczesne szyfrowanie lub wyższy uplink uzasadniają plan zoptymalizowany pod procesor. Praca szyfrowania jest ograniczona procesorem, a nie pamięcią. Zobacz najlepszy VPS do VPN po dobór rozmiaru planu.
Wybierz sprzęt, jeśli chcesz zero miesięcznych kosztów ponad swojego dostawcę internetu, masz już zdolny router lub konkretnie potrzebujesz formatu routera podróżnego. Wybierz VPS, jeśli chcesz lepszej wydajności szyfrowania niż może dać router konsumencki, wyboru jurysdykcji na wyjściu lub już hostujesz samodzielnie inne usługi i dodanie jeszcze jednego demona to żaden dodatkowy ciężar. W restrykcyjnych środowiskach sieciowych ścieżka VPS może też być łatwiejsza do dostosowania niż fabryczna konfiguracja routera, bo kontrolujesz oprogramowanie serwera i nie ograniczają Cię protokoły, które producent routera wystawia w swoim panelu administracyjnym.
Jeśli wybierzesz ścieżkę VPS, kryteria zakupu są proste: wybierz pobliski region, wystarczająco mocny procesor do szyfrowania, dedykowany adres IP i dostawcę, który daje Ci dostęp roota bez ukrywania szczegółów sieci. VPS z Linuksem od Cloudzy to jedna z opcji do tego, a marketplace ma wdrożenia WireGuard oraz OpenVPN Access Server za jednym kliknięciem, jeśli chcesz pominąć ręczną konfigurację serwera.
Często zadawane pytania
Czy potrzebuję specjalnego routera, żeby używać VPN?
Nie. Nie potrzebujesz specjalnego routera, jeśli Twój obecny router już obsługuje tryb klienta VPN. Wiele nowszych modeli ASUS i GL.iNET obsługuje WireGuard lub OpenVPN w fabrycznym oprogramowaniu układowym, ale wsparcie zależy od dokładnego modelu i wersji oprogramowania układowego. Jeśli Twój router nie obsługuje VPN natywnie, możesz albo zainstalować niestandardowe oprogramowanie układowe, jak OpenWrt, albo uruchomić VPN na osobnym urządzeniu, takim jak VPS, Raspberry Pi lub mały serwer z Linuksem, przez które router kieruje ruch.
Czy router VPN spowolni mój internet?
Tak, nieco. Procesor routera wykonuje pracę szyfrowania, a procesory routerów konsumenckich są wolniejsze niż procesory w Twoim telefonie czy laptopie. Skala spowolnienia zależy od układu routera, protokołu (WireGuard jest lżejszy niż OpenVPN) i tego, czy router ma przyspieszenie sprzętowe. Nowoczesny router z WireGuard zwykle traci niewielki ułamek przepustowości WAN. Starszy router z OpenVPN może stracić znacznie więcej.
Jaka jest różnica między routerem VPN a aplikacją VPN na moim urządzeniu?
Router VPN umieszcza tunel na poziomie sieci, więc każde podłączone urządzenie (telefon, laptop, smart TV, konsola, IoT) automatycznie korzysta z VPN bez instalowania czegokolwiek. Aplikacja VPN umieszcza tunel na pojedynczym urządzeniu i chroni tylko to urządzenie, ale pozwala na precyzyjniejszą kontrolę: routing per aplikacja, łatwe przełączanie serwerów i wykluczanie konkretnych aplikacji. Kompromisem jest ochrona całej sieci kontra elastyczność per urządzenie.
Którego protokołu VPN powinienem użyć na routerze, WireGuard czy OpenVPN?
WireGuard, w niemal każdym przypadku. Baza kodu jest mniejsza, kryptografia jest nowoczesna, a koszt przetwarzania na pakiet jest na tyle niski, że procesory routerów konsumenckich radzą sobie z nim dobrze. OpenVPN pozostaje rozsądnym wyborem, jeśli masz już wdrożenie OpenVPN z wystawionymi certyfikatami lub masz konkretny wymóg kompatybilności, którego WireGuard jeszcze nie spełnia.
Czy mogę użyć VPS zamiast sprzętowego routera VPN?
Tak. Zainstaluj WireGuard lub OpenVPN na VPS z Linuksem, a następnie albo skieruj router OpenWrt lub DD-WRT na niego jako tunel nadrzędny, albo połącz poszczególne urządzenia bezpośrednio z VPS. To podejście daje Ci wybór jurysdykcji na wyjściu, kontrolę nad demonem VPN i jego logami na poziomie aplikacji oraz więcej zapasu mocy obliczeniowej niż większość konfiguracji na routerach konsumenckich. Kompromisem jest to, że obsługujesz serwer, w tym jego łatanie i monitorowanie.
