Домохозяйство с двумя телефонами, двумя ноутбуками, смарт-ТВ, консолью и умной колонкой — это семь устройств, которым всем может понадобиться VPN. Устанавливать и поддерживать VPN-клиент на каждом из них утомительно. Некоторые из них, особенно консоли и многие IoT-устройства, вообще не могут запустить обычный VPN-клиент. Другие, например смарт-ТВ, могут поддерживать VPN-приложения только на отдельных платформах.
VPN-роутер решает это, запуская VPN на самом роутере, так что каждое устройство за ним наследует туннель, ничего не устанавливая. Этот термин охватывает несколько разных конфигураций: роутер, который подключается к VPN-провайдеру от имени LAN, роутер, который выступает VPN-сервером и позволяет вам туннелировать в сеть извне, или самостоятельно размещённый шлюз на VPS, который вы полностью контролируете.
Кратко
- VPN-роутер запускает VPN-софт на роутере, так что каждое подключённое устройство, включая те, что сами не могут запустить VPN-клиент, использует туннель автоматически.
- У него два режима, решающих разные задачи: в клиентском режиме исходящий трафик туннелируется к VPN-провайдеру или вашему собственному серверу; в серверном режиме удалённые устройства туннелируют входящие подключения в вашу LAN.
- WireGuard — правильный протокол для VPN на уровне роутера почти во всех случаях. Кодовая база небольшая, затраты на пакет низкие, и процессоры потребительских роутеров справляются с ним лучше, чем с OpenVPN.
- Есть четыре способа получить такой роутер: использовать роутер, который уже поддерживает VPN, прошить кастомную прошивку на роутер, который у вас есть, купить преднастроенный VPN-роутер или вовсе отказаться от железа и запустить WireGuard на VPS. Последний вариант — самый сильный, если вам нужен выбор сервера, контроль над юрисдикцией или вы уже что-то размещаете у себя.
Как на самом деле работает VPN-роутер
Когда устройство подключается к VPN-роутеру в клиентском режиме, оно не знает, что находится в VPN. Оно получает обычную аренду DHCP от роутера, открывает TCP-соединение к месту назначения и отправляет пакеты. Шифрование делает роутер. Устройство видит обычную LAN. Стоит понимать два режима, и большинство потребительских «VPN-роутеров» хорошо справляются только с первым.
Клиентский режим VPN (исходящий)
В клиентском режиме роутер хранит учётные данные VPN и туннелирует весь исходящий трафик от имени устройств за ним. Поток данных такой: устройство → роутер → зашифрованный туннель → VPN-сервер → публичный интернет.
Каждое устройство в LAN автоматически использует один и тот же туннель. Роутер берёт каждый пакет, шифрует его и пересылает на настроенную VPN-точку. Публичный интернет видит выходной IP VPN-сервера, а не IP, который домашней сети выдал провайдер. Именно эту конфигурацию обычно имеют в виду, когда говорят «VPN-роутер».
Шифрование происходит на процессоре роутера. Это важная техническая деталь. Более старые и дешёвые потребительские роутеры могут работать на низкочастотных чипах ARM или MIPS с ограниченным крипто-ускорением, тогда как новые роутеры с поддержкой VPN заметно быстрее. В любом случае роутер по-прежнему отвечает за шифрование каждого байта, идущего к каждому устройству сети и от него, поэтому именно железо роутера становится потолком производительности.
Протокол здесь важен по той же причине. Затраты WireGuard на пакет ниже, чем у OpenVPN, поэтому поддержка WireGuard на потребительских роутерах — это та функция, которую стоит искать. Смотрите существующее руководство по настройке WireGuard на VPS.
Серверный режим VPN (входящий)
В серверном режиме сам роутер запускает VPN-сервер. Удалённые устройства в открытом интернете подключаются входящими соединениями к публичному IP роутера и попадают в LAN, как если бы сидели в гостиной. Поток данных такой: удалённое устройство → публичный IP → VPN-сервер роутера → ресурсы LAN.
Это решает другую задачу. Это удалённый доступ, а не исходящая приватность. Ноутбук в кофейне может достучаться до файлового сервера дома. Телефон за границей может попасть в домашнюю сеть. Роутер здесь — VPN-сервер; телефон — VPN-клиент.
Серверный режим требует публично маршрутизируемого IP-адреса. Если провайдер посадил вас за CGNAT — а так делают многие домашние провайдеры, — публичного IP, к которому можно подключиться входящим соединением, нет, и этот режим без дополнительных ухищрений не работает. Обычно также требуется проброс портов, что ограничивает этот вариант теми, кто владеет роутером и может настроить его файрвол.
Эти два режима не взаимоисключающие. Способный роутер может запускать оба сразу. Но сценарии использования совершенно разные. Клиентский режим — это «я хочу, чтобы весь дом был за VPN-выходом». Серверный режим — это «я хочу попасть в свой дом извне».
Четыре пути к VPN на уровне роутера
Нет одной-единственной вещи под названием «завести VPN-роутер». Есть четыре пути, и они раскладываются по двум осям: насколько большой контроль над железом и прошивкой вам нужен и хотите ли вы коммерческого провайдера или собственный сервер на другом конце туннеля. Правильный путь зависит от того, какая из этих осей для вас важнее.
Путь 1: используйте имеющийся роутер (если он поддерживает VPN)
Несколько производителей потребительских роутеров теперь поставляют нативную поддержку VPN-клиента, включая WireGuard, в стоковой прошивке. ASUS поддерживает WireGuard нативно на свежих прошивках. Серии Flint и Beryl от GL.iNET поддерживают WireGuard из коробки, что описано в их официальном руководстве.
Это самый дешёвый путь с наименьшим риском. Если ваш роутер уже в этом списке, вы ничего не прошиваете и ничего не превращаете в кирпич. Вы вводите конфигурацию WireGuard в админ-панели, и туннель поднимается. Ограничение очевидно: роутер должен поддерживать нужный вам протокол, а набор протоколов зависит от того, что заложил производитель. Старым моделям WireGuard задним числом не добавят.
Путь 2: прошейте кастомную прошивку (OpenWrt, DD-WRT, FreshTomato)
Если вашего роутера нет в списке поддерживаемых, вы можете заменить его прошивку одной из альтернатив с открытым исходным кодом. OpenWrt — наиболее активно поддерживаемая из трёх и охватывает самый широкий спектр железа. DD-WRT тоже активен, у него другая философия дизайна и больший пул поддерживаемых устройств. FreshTomato продолжает оригинальный проект Tomato, но ограничен чипсетами Broadcom и обслуживает гораздо меньшее сообщество.
Кастомная прошивка даёт выбор протокола: OpenVPN, WireGuard, IPsec — всё настраивается. Она же даёт всё остальное, что предлагают эти проекты: лучший QoS, гранулярные правила файрвола, управление пакетами. Цена — это риск и время.
Совет
Прошивка кастомной прошивки может навсегда превратить роутер в кирпич, если вы выберете неправильный образ, потеряете питание в процессе или запустите сборку с багом под вашу конкретную ревизию железа. Выбирайте модель, которую проект прошивки явно поддерживает, читайте страницу под конкретное устройство и примите, что вы аннулировали гарантию. Если роутер, который вы превратите в кирпич, у вас единственный, рассчитывайте остаться без сети на время, нужное, чтобы достать замену.
Путь 3: купите преднастроенный VPN-роутер
Самый простой путь. Производители вроде GL.iNET продают роутеры с уже встроенным WireGuard из коробки. Некоторые коммерческие VPN-провайдеры также продают брендированные роутеры, преднастроенные под их сервис, так что вы просто включаете его в розетку, вводите данные аккаунта — и готово.
Компромиссы — это цена и привязка. Преднастроенные роутеры стоят за штуку дороже, чем собрать самому. Если устройство брендировано под конкретного VPN-провайдера, вы привязаны к протоколам, странам выхода и политике логирования этого провайдера. Если провайдер изменит условия или закроется, роутер не переедет на новый сервис без проблем.
Четвёртый путь немного отличается, потому что не требует покупать или прошивать роутер-железо. Он всё равно даёт VPN-покрытие на уровне роутера, если ваш роутер направлен вверх по потоку на VPS, но сама VPN-точка живёт на сервере, а не внутри роутера.
Путь 4: используйте VPS как VPN-шлюз
Запустите WireGuard или OpenVPN на Linux-VPS, затем направьте на этот сервер свой роутер или отдельные устройства. Это не покупка роутера-железа. Это другая стратегия размещения точки, поэтому компромиссы заслуживают отдельного раздела ниже.
| Путь | Сложность настройки | Потолок производительности | Смена сервера | Риск для железа | Текущие расходы | Кому подходит |
|---|---|---|---|---|---|---|
| Имеющийся роутер | Низкий | Ограничен процессором роутера | Через админ-панель | Нет | Нет, кроме провайдера | У вас уже есть поддерживаемый роутер |
| Прошивка кастомной прошивки | Высокая | Ограничен процессором роутера | Через админ-панель | Риск превратить в кирпич | Нет, кроме провайдера | Вам нужна гибкость протоколов и вы принимаете риск |
| Преднастроенный роутер | Самый низкий | Ограничен процессором роутера | Зависит от вендора | Нет | Стоимость железа; подписка провайдера, если в комплекте | Вам нужен plug-and-play и вы принимаете наценку |
| VPS как шлюз | Средний-высокий | Ограничен процессором VPS (выше) | Запустите новый VPS в другом регионе | Нет | Месячная аренда VPS | Вам нужен выбор юрисдикции, лучшая производительность или вы уже размещаете у себя |
Когда VPN-роутер имеет смысл, а когда нет
Вопрос не в том, лучше ли VPN на роутере, чем VPN на устройстве, в принципе. Вопрос в том, требует ли ваша конкретная ситуация покрытия всей сети, потому что в момент, когда вы ставите VPN на роутер, каждое устройство за ним платит один и тот же налог на шифрование.
Сценарии, где VPN-роутер оправдывает затраты на настройку
Многоустройственные домохозяйства — самый ясный случай. Когда вы управляете более чем четырьмя-пятью устройствами, установка и обновление VPN-клиентов на каждом — рутина. Настройка на уровне роутера делается один раз.
Устройства с ограниченной или неудобной поддержкой VPN — второй случай. У игровых консолей, большинства IoT-устройств и старых хабов умного дома обычно нет нормального VPN-приложения. Некоторые смарт-ТВ могут запускать VPN-приложения, особенно Android TV / Google TV и новые модели Apple TV, но VPN на уровне роутера всё равно выручает, когда платформа ТВ не поддерживает вашего провайдера или когда вам нужна единая сетевая политика.
Поездки — третий случай. Компактный дорожный роутер с поддержкой WireGuard означает, что один туннель покрывает каждое устройство в гостиничном номере (телефон, ноутбук, планшет) через Wi-Fi роутера, что бы ни делала сеть отеля. Та же логика применима к VPS-шлюзу, доступ к которому идёт через дорожный роутер.
Небольшие офисы и общие жилые пространства — четвёртый случай. Одну единую сетевую политику, применённую на шлюзе, проще осмыслить, чем парк конфигураций на уровне устройств, которые со временем расходятся.
Случаи, где VPN-роутер — неправильный выбор
Если вы часто меняете страну выхода VPN ради контента с региональной блокировкой, тестирования юрисдикций или по любой другой причине, VPN на уровне роутера — неподходящий инструмент. Переключение выхода на телефоне — одно касание. На роутере для этого надо заходить в админ-панель.
Если вам нужно раздельное туннелирование на уровне приложений — одни приложения через VPN, другие напрямую, — VPN-приложение на уровне устройства справляется с этим чисто. Роутеру трудно понять, какое приложение сгенерировало какой пакет.
Если одним устройствам в сети нужен VPN, а другим он, наоборот, противопоказан, VPN-роутер ставит всех за один и тот же выходной IP. Банковские приложения помечают VPN-трафик. Стриминговые сервисы с региональной блокировкой ломаются. Сплошная политика на роутере означает сплошной обходной путь для каждого исключения.
Если у вас одно-два устройства, слой на уровне роутера решает проблему, которой у вас нет.
How-To Geek привёл аргумент про задержку в 2023 году: VPN на всю сеть навязывает задержку VPN каждому подключённому устройству, включая те, что заняты чувствительной к задержке работой вроде игр, видеозвонков и реальных совещаний, которым во время этих занятий защита VPN не нужна. Этот аргумент верен и его стоит взвесить. Решение — не отказываться от VPN-роутера. Решение — осознать, что некоторые устройства вы, возможно, захотите вывести из туннеля.
Многие коммерческие VPN-провайдеры всё ещё ограничивают число одновременных подключений на аккаунт, тогда как другие теперь предлагают больше устройств или вовсе без лимита. VPN-роутер всё равно может быть полезен, потому что провайдер обычно видит роутер как одно VPN-подключение, даже если за ним сидит несколько устройств.
Выбор протокола: WireGuard, OpenVPN и остальные
Выбор протокола на роутере важнее, чем на ноутбуке, потому что шифрование делает процессор роутера, а он медленный. Современный ноутбук с AES-NI одинаково хорошо тянет OpenVPN или WireGuard на гигабите. Потребительский роутер — нет.
WireGuard — правильный ответ почти для любого сценария. Кодовая база радикально меньше, чем у OpenVPN, что делает её проще для аудита и ревью. Криптография современная: ChaCha20 для шифрования, Poly1305 для аутентификации, Curve25519 для обмена ключами. Рукопожатие завершается за один круговой обмен; TLS-рукопожатие OpenVPN занимает несколько. Затраты на обработку пакета достаточно низкие, чтобы процессоры потребительских роутеров справлялись там, где они спотыкались бы на OpenVPN. WireGuard теперь нативно поддерживается ASUS, GL.iNET и большинством проектов кастомных прошивок.
У OpenVPN всё ещё есть своё место. Он зрелый, широко поддерживается и имеет более широкую интеграцию с корпоративными системами аутентификации. Если у вас уже есть развёртывание OpenVPN с выпущенными сертификатами или особое требование совместимости, которому WireGuard пока не отвечает, OpenVPN остаётся разумным выбором. На способных роутерах он работает нормально.
L2TP/IPsec всё ещё встречается на многих страницах админок роутеров, в основном ради совместимости с устаревшими решениями. Он может работать, но это не тот протокол, который стоит выбирать для нового VPN на уровне роутера, когда доступен WireGuard. PPTP стоит считать мёртвым. У него известные проблемы с безопасностью, и Microsoft уже взяла курс на отказ от PPTP и L2TP в будущих версиях Windows Server.
Совет
Если процессор вашего роутера старше пяти лет и не имеет аппаратного ускорения WireGuard, всё равно запускайте WireGuard. Даже без ускорения он обычно обгоняет ускоренный OpenVPN на том же железе. Исключения редки и связаны с конкретными чипами Broadcom со встроенной разгрузкой OpenVPN. Если вы не можете убедиться, что ваш роутер попадает в один из этих крайних случаев, по умолчанию выбирайте WireGuard.
Замечание о заявлениях о производительности, гуляющих в сети. Собственная страница производительности WireGuard описывает опубликованные бенчмарки как «старые, заскорузлые и проведённые не очень тщательно». Это слова самих авторов проекта. Конкретные соотношения пропускной способности, которые вы найдёте в сторонних блогах, обычно не имеют авторитетного источника. Качественное утверждение, что WireGuard обычно обгоняет OpenVPN, особенно на маломощном железе, хорошо подкреплено. А вот конкретные множители — нет.
Собрать VPN-роутер или использовать VPS-шлюз?
Для технического читателя более чистое сравнение — это размещение точки: терминируется ли VPN на железе у вас дома или на софте, работающем на сервере, который вы арендуете?
У аппаратного VPN-роутера есть несколько конкретных сильных сторон. Граница шифрования физически изолирована на устройстве, которым вы владеете. Нет текущих расходов на аренду, кроме вашего провайдера. Ментальная модель проста: одна коробка, один конфиг, один кабель в стену. Для поездок аппаратный роутер в карманном форм-факторе (например, устройства класса Beryl от GL.iNET) — действительно полезная вещь.
У VPS как шлюза другие сильные стороны. Приличный VPS обычно даёт более предсказуемые вычисления и больший запас, чем дешёвый потребительский роутер, особенно когда вам нужны несколько выходов, более высокий аплинк или больше одновременных туннелей. Вы выбираете юрисдикцию. VPN-выход — там, где живёт VPS, и его можно перенести. Вы контролируете VPN-демон и его логирование на уровне приложения, хотя хостинг-провайдер всё ещё контролирует базовую инфраструктуру. Если вам нужен второй выход в другом регионе, вы запускаете ещё один VPS за 10 минут, а не покупаете ещё один роутер.
Разумная отправная точка для подбора размера личного VPN-шлюза — 1 vCPU и 1 GB RAM, чего хватает на 5–10 одновременных подключений устройств с WireGuard при домашней пропускной способности. Более тяжёлое одновременное шифрование или более высокий аплинк оправдывают тариф, оптимизированный по CPU. Работа шифрования упирается в процессор, а не в память. Смотрите лучший VPS для VPN для подбора тарифа.
Выбирайте железо, если хотите нулевые ежемесячные расходы поверх провайдера, у вас уже есть способный роутер или вам конкретно нужен форм-фактор дорожного роутера. Выбирайте VPS, если хотите лучшую производительность шифрования, чем способен дать потребительский роутер, выбор юрисдикции на выходе или вы уже размещаете у себя другие сервисы и добавить ещё один демон не составит труда. Для ограничительных сетевых сред путь через VPS может быть и проще в адаптации, чем стоковая настройка роутера, потому что вы контролируете серверный софт и не ограничены теми протоколами, которые производитель роутера выставляет в админ-панели.
Если вы выбираете путь через VPS, критерии покупки просты: выберите ближайший регион, достаточно CPU для шифрования, выделенный IP и провайдера, который даёт вам root-доступ, не пряча детали сети. Linux VPS от Cloudzy — один из вариантов для этого, а в маркетплейсе есть готовые развёртывания WireGuard и OpenVPN Access Server в один клик, если хотите пропустить ручную настройку сервера.
Часто задаваемые вопросы
Нужен ли мне особый роутер, чтобы пользоваться VPN?
Нет. Особый роутер не нужен, если ваш текущий роутер уже поддерживает клиентский режим VPN. Многие свежие модели ASUS и GL.iNET поддерживают WireGuard или OpenVPN в стоковой прошивке, но поддержка зависит от конкретной модели и версии прошивки. Если ваш роутер не поддерживает VPN нативно, вы можете либо установить кастомную прошивку вроде OpenWrt, либо запустить VPN на отдельном устройстве — например, VPS, Raspberry Pi или небольшом Linux-сервере, через который роутер маршрутизирует трафик.
Замедлит ли VPN-роутер мой интернет?
Да, отчасти. Шифрование выполняет процессор роутера, а процессоры потребительских роутеров медленнее процессоров вашего телефона или ноутбука. Величина замедления зависит от чипа роутера, протокола (WireGuard легче OpenVPN) и от того, есть ли у роутера аппаратное ускорение. Современный роутер с WireGuard обычно теряет небольшую долю пропускной способности WAN. Старый роутер с OpenVPN может потерять гораздо больше.
В чём разница между VPN-роутером и VPN-приложением на моём устройстве?
VPN-роутер размещает туннель на уровне сети, так что каждое подключённое устройство (телефон, ноутбук, смарт-ТВ, консоль, IoT) использует VPN автоматически, ничего не устанавливая. VPN-приложение размещает туннель на одном устройстве и защищает только его, но даёт более тонкий контроль: маршрутизацию по приложениям, лёгкую смену сервера и исключение отдельных приложений. Компромисс — покрытие всей сети против гибкости на каждом устройстве.
Какой VPN-протокол выбрать для роутера: WireGuard или OpenVPN?
WireGuard, почти в любом случае. Кодовая база меньше, криптография современная, а затраты на обработку пакета достаточно низкие, чтобы процессоры потребительских роутеров справлялись хорошо. OpenVPN остаётся разумным выбором, если у вас уже есть развёртывание OpenVPN с выпущенными сертификатами или особое требование совместимости, которому WireGuard пока не отвечает.
Можно ли использовать VPS вместо аппаратного VPN-роутера?
Да. Установите WireGuard или OpenVPN на Linux-VPS, затем либо направьте на него роутер с OpenWrt или DD-WRT как на вышестоящий туннель, либо подключите отдельные устройства к VPS напрямую. Этот подход даёт вам выбор юрисдикции на выходе, контроль над VPN-демоном и его логами на уровне приложения, а также больший запас вычислений, чем у большинства настроек на потребительских роутерах. Компромисс в том, что вы эксплуатируете сервер, включая его обновление и мониторинг.
