ครัวเรือนที่มีโทรศัพท์สองเครื่อง แล็ปท็อปสองเครื่อง สมาร์ททีวี เครื่องเล่นเกม และลำโพงอัจฉริยะ คือเจ็ดอุปกรณ์ที่อาจต้องการการครอบคลุมด้วย VPN ทั้งหมด การติดตั้งและดูแล VPN client บนแต่ละเครื่องเป็นงานที่น่าเบื่อ บางเครื่อง โดยเฉพาะเครื่องเล่นเกมและอุปกรณ์ IoT จำนวนมาก ไม่สามารถรัน VPN client ปกติได้เลย เครื่องอื่นๆ เช่น สมาร์ททีวี อาจรองรับแอป VPN เฉพาะบางแพลตฟอร์มเท่านั้น
VPN router แก้ปัญหานี้ด้วยการรัน VPN บนตัว router เอง เพื่อให้ทุกอุปกรณ์ที่อยู่หลังมันได้รับ tunnel โดยไม่ต้องติดตั้งอะไร คำนี้ครอบคลุมการตั้งค่าหลายแบบ: router ที่เชื่อมต่อออกไปยังผู้ให้บริการ VPN แทน LAN, router ที่ทำหน้าที่เป็น VPN server ให้คุณ tunnel เข้ามาจากที่อื่น หรือ gateway แบบโฮสต์เองบน VPS ที่คุณควบคุมแบบครบวงจร
เวอร์ชันสั้น
- VPN router รัน VPN software บนตัว router เพื่อให้ทุกอุปกรณ์ที่เชื่อมต่อ รวมถึงเครื่องที่ไม่สามารถรัน VPN client เองได้ ใช้ tunnel โดยอัตโนมัติ
- มันมีสองโหมดที่แก้ปัญหาต่างกัน: client mode tunnel ทราฟฟิกขาออกไปยังผู้ให้บริการ VPN หรือเซิร์ฟเวอร์ของคุณเอง ส่วน server mode ให้อุปกรณ์ระยะไกล tunnel เข้ามายัง LAN ของคุณ
- WireGuard เป็นโปรโตคอลที่เหมาะสำหรับ VPN ระดับ router ในแทบทุกกรณี โค้ดเบสมีขนาดเล็ก ต้นทุนต่อแพ็กเก็ตต่ำ และ CPU ของ router ระดับผู้บริโภคจัดการมันได้ดีกว่าที่จัดการ OpenVPN
- คุณมีสี่วิธีที่จะได้มันมา: ใช้ router ที่รองรับ VPN อยู่แล้ว แฟลช custom firmware ลงบน router ที่คุณมี ซื้อ VPN router ที่ตั้งค่ามาแล้ว หรือข้ามฮาร์ดแวร์ไปเลยและรัน WireGuard บน VPS ตัวเลือกสุดท้ายแข็งแกร่งที่สุดหากคุณต้องการเลือกเซิร์ฟเวอร์ ควบคุมเขตอำนาจศาล หรือโฮสต์เองอยู่แล้ว
VPN Router ทำงานจริงอย่างไร
เมื่ออุปกรณ์เชื่อมต่อกับ VPN router ในโหมด client อุปกรณ์ไม่รู้ว่ามันอยู่บน VPN มันได้รับ DHCP lease ปกติจาก router เปิด TCP connection ไปยังปลายทาง และส่งแพ็กเก็ต router เป็นคนเข้ารหัส อุปกรณ์เห็น LAN ปกติ มีสองโหมดที่ควรเข้าใจ และ "VPN router" ระดับผู้บริโภคส่วนใหญ่ทำได้ดีแค่โหมดแรก
VPN Client Mode (ขาออก)
ในโหมด client, router ถือ VPN credentials และ tunnel ทราฟฟิกขาออกทั้งหมดแทนอุปกรณ์ที่อยู่หลังมัน การไหลของข้อมูลคือ: อุปกรณ์ → router → tunnel ที่เข้ารหัส → VPN server → อินเทอร์เน็ตสาธารณะ
ทุกอุปกรณ์บน LAN ใช้ tunnel เดียวกันโดยอัตโนมัติ router รับแพ็กเก็ตแต่ละตัว เข้ารหัส และส่งต่อไปยัง VPN endpoint ที่ตั้งค่าไว้ อินเทอร์เน็ตสาธารณะเห็น exit IP ของ VPN server ไม่ใช่ IP ที่ ISP ของบ้านกำหนดให้ นี่คือการตั้งค่าที่คนมักหมายถึงเมื่อพูดว่า "VPN router"
การเข้ารหัสเกิดขึ้นบน CPU ของ router นี่คือรายละเอียดเชิงกลไกที่สำคัญ router ระดับผู้บริโภคที่เก่ากว่าและถูกกว่าอาจรันชิป ARM หรือ MIPS ที่สัญญาณนาฬิกาต่ำพร้อมการเร่งความเร็วการเข้ารหัสที่จำกัด ขณะที่ router ที่รองรับ VPN รุ่นใหม่เร็วกว่ามาก ไม่ว่าทางใด router ยังคงรับผิดชอบการเข้ารหัสทุกไบต์ที่ส่งไปและกลับจากทุกอุปกรณ์บนเครือข่าย ดังนั้นฮาร์ดแวร์ของ router จึงกลายเป็นเพดานของประสิทธิภาพ
โปรโตคอลสำคัญตรงนี้ด้วยเหตุผลเดียวกัน ต้นทุนต่อแพ็กเก็ตของ WireGuard ต่ำกว่าของ OpenVPN ซึ่งเป็นเหตุผลที่การรองรับ WireGuard บน router ระดับผู้บริโภคเป็นฟีเจอร์ที่ควรมองหา ดู คู่มือการตั้งค่า WireGuard บน VPS.
ที่มีอยู่
VPN Server Mode (ขาเข้า)
ในโหมด server, router เองรัน VPN server อุปกรณ์ระยะไกลบนอินเทอร์เน็ตเปิดเชื่อมต่อขาเข้าไปยัง public IP ของ router และมาถึง LAN ราวกับว่าพวกมันนั่งอยู่ในห้องนั่งเล่น การไหลของข้อมูลคือ: อุปกรณ์ระยะไกล → public IP → VPN server ของ router → ทรัพยากร LAN
นี่แก้ปัญหาที่ต่างออกไป มันคือการเข้าถึงระยะไกล ไม่ใช่ความเป็นส่วนตัวขาออก แล็ปท็อปที่ร้านกาแฟสามารถเข้าถึงไฟล์เซิร์ฟเวอร์ที่บ้าน โทรศัพท์ในต่างประเทศสามารถเข้าถึงเครือข่ายบ้านได้ router คือ VPN server โทรศัพท์คือ VPN client
โหมด server ต้องการ public-routable IP address หาก ISP ของคุณวางคุณไว้หลัง CGNAT ซึ่ง ISP ที่อยู่อาศัยหลายเจ้าทำ ก็ไม่มี public IP ให้เชื่อมต่อเข้ามา และโหมดนี้จะใช้ไม่ได้หากไม่มีเทคนิคเพิ่มเติม Port forwarding มักจำเป็นด้วย ซึ่งจำกัดเรื่องนี้ไว้เฉพาะคนที่เป็นเจ้าของ router และตั้งค่าไฟร์วอลล์ของมันได้
สองโหมดนี้ไม่ได้ขัดแย้งกัน router ที่มีความสามารถสามารถรันทั้งสองพร้อมกันได้ แต่กรณีการใช้งานต่างกันโดยสิ้นเชิง Client mode คือ "ฉันต้องการให้ทั้งบ้านอยู่หลัง VPN exit" Server mode คือ "ฉันต้องการเข้าถึงบ้านของฉันจากที่อื่น"
สี่เส้นทางสู่ VPN ระดับ router: ใช้ router ที่รองรับ VPN อยู่แล้ว แฟลช custom firmware ซื้อ router ที่ตั้งค่ามาแล้ว หรือรัน WireGuard บน VPS gateway
ไม่มีสิ่งเดียวที่เรียกว่า "การได้ VPN router" มีสี่เส้นทาง และพวกมันแบ่งตามสองแกน: คุณต้องการควบคุมฮาร์ดแวร์และเฟิร์มแวร์มากแค่ไหน และคุณต้องการผู้ให้บริการเชิงพาณิชย์หรือเซิร์ฟเวอร์ของคุณเองที่ปลายอีกด้านของ tunnel เส้นทางที่ถูกต้องขึ้นอยู่กับว่าแกนใดสำคัญกว่า
เส้นทางที่ 1: ใช้ Router ที่คุณมีอยู่ (หากมันรองรับ VPN) ผู้ผลิต router ระดับผู้บริโภคหลายเจ้าตอนนี้มาพร้อมการรองรับ VPN client ในตัว รวมถึง WireGuard ในเฟิร์มแวร์มาตรฐานของพวกเขา ASUS รองรับ WireGuard ในตัวบนเฟิร์มแวร์รุ่นใหม่ ซีรีส์ Flint และ Beryl ของ GL.iNET รองรับ WireGuard ทันทีที่แกะกล่อง.
มีบันทึกไว้ในบทช่วยสอนอย่างเป็นทางการของพวกเขา
นี่คือเส้นทางที่ถูกที่สุดและความเสี่ยงต่ำที่สุด หาก router ของคุณอยู่ในรายการนี้แล้ว คุณไม่ต้องแฟลชอะไรและไม่ทำให้พังอะไร คุณป้อนการตั้งค่า WireGuard ในหน้าแอดมินแล้ว tunnel ก็ขึ้นมา ข้อจำกัดชัดเจน: router ต้องรองรับโปรโตคอลที่คุณต้องการ และตัวเลือกโปรโตคอลขึ้นอยู่กับสิ่งที่ผู้ผลิตให้มา รุ่นเก่าจะไม่ได้รับ WireGuard เพิ่มย้อนหลัง
เส้นทางที่ 2: แฟลช Custom Firmware (OpenWrt, DD-WRT, FreshTomato)
หาก router ของคุณไม่อยู่ในรายการที่รองรับ คุณสามารถแทนที่เฟิร์มแวร์ด้วยทางเลือกโอเพนซอร์สตัวใดตัวหนึ่ง OpenWrt ได้รับการดูแลอย่างต่อเนื่องมากที่สุดในสามตัว และรองรับฮาร์ดแวร์กว้างที่สุด DD-WRT ก็ยังคงพัฒนาอยู่ ด้วยปรัชญาการออกแบบที่ต่างกันและกลุ่มอุปกรณ์ที่รองรับใหญ่กว่า FreshTomato สานต่อโปรเจกต์ Tomato ดั้งเดิม แต่จำกัดเฉพาะชิปเซ็ต Broadcom และให้บริการคอมมิวนิตี้ที่เล็กกว่ามาก
คำแนะนำมืออาชีพ
Custom firmware ให้คุณเลือกโปรโตคอล: OpenVPN, WireGuard, IPsec ตั้งค่าได้ทั้งหมด มันยังให้ทุกอย่างที่โปรเจกต์เหล่านั้นมี: QoS ที่ดีกว่า กฎไฟร์วอลล์ละเอียด การจัดการแพ็กเกจ ต้นทุนคือความเสี่ยงและเวลา
การแฟลช custom firmware สามารถทำให้ router พังถาวรได้ หากคุณเลือก image ผิด ไฟดับกลางการแฟลช หรือรัน build ที่มีบั๊กสำหรับฮาร์ดแวร์เวอร์ชันเฉพาะของคุณ เลือกรุ่นที่โปรเจกต์เฟิร์มแวร์รองรับอย่างชัดเจน อ่านหน้าเฉพาะอุปกรณ์ และยอมรับว่าคุณได้ทำให้การรับประกันเป็นโมฆะ หาก router ที่คุณทำพังเป็น router ตัวเดียวของคุณ เตรียมตัวให้ออฟไลน์ตามเวลาที่ใช้หา router ตัวใหม่
เส้นทางที่ 3: ซื้อ VPN Router ที่ตั้งค่ามาแล้ว
เส้นทางที่ง่ายที่สุด ผู้ผลิตอย่าง GL.iNET ขาย router ที่มี WireGuard มาในตัวพร้อมใช้ทันทีที่แกะกล่อง ผู้ให้บริการ VPN เชิงพาณิชย์บางเจ้าก็ขาย router ติดแบรนด์ที่ตั้งค่ามาให้กับบริการของพวกเขา ซึ่งหมายความว่าคุณแค่เสียบปลั๊ก ป้อน credentials บัญชีของคุณ แล้วก็เสร็จ
ข้อแลกเปลี่ยนคือราคาและการล็อกอิน router ที่ตั้งค่ามาแล้วมีราคาต่อเครื่องสูงกว่าการสร้างเอง หากเครื่องมาพร้อมแบรนด์ของผู้ให้บริการ VPN เฉพาะ คุณจะถูกล็อกกับโปรโตคอล ประเทศ exit และนโยบายการเก็บ log ของผู้ให้บริการนั้น หากผู้ให้บริการเปลี่ยนเงื่อนไขหรือเลิกกิจการ router จะย้ายไปบริการใหม่ได้ไม่ง่าย
เส้นทางที่สี่ต่างออกไปเล็กน้อยเพราะมันไม่ต้องการการซื้อหรือแฟลชฮาร์ดแวร์ router มันยังให้การครอบคลุม VPN ระดับ router หาก router ของคุณชี้ขึ้นไปยัง VPS แต่ตัว VPN endpoint เองอยู่บนเซิร์ฟเวอร์แทนที่จะอยู่ในตัว router
เส้นทางที่ 4: ใช้ VPS เป็น VPN Gateway
| รัน WireGuard หรือ OpenVPN บน Linux VPS แล้วชี้ router หรืออุปกรณ์แต่ละเครื่องของคุณไปยังเซิร์ฟเวอร์นั้น นี่ไม่ใช่การซื้อ router แบบฮาร์ดแวร์ มันเป็นกลยุทธ์ endpoint ที่ต่างออกไป ดังนั้นข้อแลกเปลี่ยนจึงสมควรมีหัวข้อของตัวเองด้านล่าง | ความซับซ้อนของการตั้งค่า | เส้นทาง | เพดานประสิทธิภาพ | การสลับเซิร์ฟเวอร์ | ความเสี่ยงด้านฮาร์ดแวร์ | ค่าใช้จ่ายต่อเนื่อง |
|---|---|---|---|---|---|---|
| ความเหมาะสม | ต่ำ | Router ที่มีอยู่ | จำกัดโดย CPU ของ router | ไม่มี | ผ่านหน้าแอดมิน | ไม่มีนอกเหนือจาก ISP |
| คุณมี router ที่รองรับอยู่แล้ว | สูง | Router ที่มีอยู่ | จำกัดโดย CPU ของ router | แฟลช custom firmware | ผ่านหน้าแอดมิน | ความเสี่ยงในการทำพัง |
| คุณต้องการความยืดหยุ่นของโปรโตคอลและยอมรับความเสี่ยง | Router ที่ตั้งค่ามาแล้ว | Router ที่มีอยู่ | ต่ำที่สุด | ไม่มี | ขึ้นอยู่กับผู้ผลิต | ค่าฮาร์ดแวร์ ค่าสมัครสมาชิกผู้ให้บริการหากรวมมาด้วย |
| คุณต้องการแบบเสียบปลั๊กใช้งานได้เลยและยอมรับราคาที่เพิ่ม | VPS เป็น gateway | ปานกลางถึงสูง | จำกัดโดย CPU ของ VPS (สูงกว่า) | ไม่มี | เริ่ม VPS ตัวใหม่ในอีกภูมิภาค | ค่าเช่า VPS รายเดือน |
คุณต้องการเลือกเขตอำนาจศาล ประสิทธิภาพที่ดีกว่า หรือโฮสต์เองอยู่แล้ว
เมื่อไหร่ที่ VPN Router สมเหตุสมผล และเมื่อไหร่ที่ไม่
คำถามไม่ใช่ว่า VPN แบบ router ดีกว่า VPN แบบอุปกรณ์ในเชิงนามธรรมหรือไม่ แต่เป็นว่าสถานการณ์เฉพาะของคุณต้องการการครอบคลุมทั้งเครือข่ายจริงหรือไม่ เพราะทันทีที่คุณวาง VPN ไว้บน router ทุกอุปกรณ์ที่อยู่หลังมันจ่ายภาษีการเข้ารหัสเท่ากัน
กรณีการใช้งานที่ VPN แบบ Router คุ้มกับต้นทุนการตั้งค่า
ครัวเรือนที่มีหลายอุปกรณ์เป็นกรณีที่ชัดเจนที่สุด เมื่อคุณกำลังจัดการอุปกรณ์มากกว่าสี่หรือห้าเครื่อง การติดตั้งและอัปเดต VPN client บนแต่ละเครื่องเป็นงานน่ารำคาญ การตั้งค่าระดับ router ทำครั้งเดียว
อุปกรณ์ที่รองรับ VPN จำกัดหรือลำบากเป็นกรณีที่สอง เครื่องเล่นเกม อุปกรณ์ IoT ส่วนใหญ่ และฮับสมาร์ทโฮมรุ่นเก่ามักไม่มีแอป VPN ปกติให้ใช้ สมาร์ททีวีบางเครื่องรันแอป VPN ได้ โดยเฉพาะ Android TV / Google TV และ Apple TV รุ่นใหม่ แต่ VPN ระดับ router ยังช่วยได้เมื่อแพลตฟอร์มทีวีไม่รองรับผู้ให้บริการของคุณ หรือเมื่อคุณต้องการนโยบายเครือข่ายที่สม่ำเสมอเดียว
การเดินทางเป็นกรณีที่สาม travel router ขนาดกะทัดรัดที่รองรับ WireGuard หมายความว่า tunnel เดียวครอบคลุมทุกอุปกรณ์ในห้องพักโรงแรม (โทรศัพท์ แล็ปท็อป แท็บเล็ต) ผ่าน Wi-Fi ของ router ไม่ว่าเครือข่ายของโรงแรมจะทำอะไรก็ตาม ตรรกะเดียวกันใช้กับ VPS gateway ที่เข้าถึงผ่าน travel router
สำนักงานขนาดเล็กและพื้นที่อยู่อาศัยร่วมเป็นกรณีที่สี่ นโยบายเครือข่ายที่สม่ำเสมอเดียวที่ใช้ที่ gateway เข้าใจง่ายกว่ากองการตั้งค่าระดับอุปกรณ์ที่ค่อยๆ ไม่ตรงกันตามเวลา
กรณีที่ VPN แบบ Router เป็นตัวเลือกที่ผิด
หากคุณสลับประเทศ exit ของ VPN บ่อยๆ เพื่อเนื้อหาที่ล็อกตามภูมิภาค การทดสอบเขตอำนาจศาล หรือเหตุผลอื่นใด VPN ระดับ router เป็นเครื่องมือที่ผิด การสลับ exit บนโทรศัพท์คือแตะเดียว การทำบน router ต้องล็อกอินเข้าหน้าแอดมิน
หากคุณต้องการ split-tunneling ระดับแอปพลิเคชัน บางแอปผ่าน VPN และบางแอปตรง แอป VPN ระดับอุปกรณ์จัดการได้สะอาด router ไม่สามารถบอกได้ง่ายว่าแอปพลิเคชันใดสร้างแพ็กเก็ตใด
หากบางอุปกรณ์บนเครือข่ายของคุณต้องการ VPN และอุปกรณ์อื่นต้องไม่ใช้อย่างเด็ดขาด VPN แบบ router วางทุกคนไว้หลัง exit IP เดียวกัน แอปธนาคารตั้งธงทราฟฟิก VPN บริการสตรีมที่ล็อกตามภูมิภาคพัง นโยบายเหมารวมที่ router หมายถึงวิธีแก้เหมารวมสำหรับทุกข้อยกเว้น
หากคุณมีอุปกรณ์หนึ่งหรือสองเครื่อง ชั้น VPN ระดับ router กำลังแก้ปัญหาที่คุณไม่มี How-To Geek เสนอข้อโต้แย้งเรื่องความหน่วง
ในปี 2023: VPN ทั้งเครือข่ายกำหนดความหน่วงของ VPN ให้ทุกอุปกรณ์ที่เชื่อมต่อ รวมถึงเครื่องที่ทำงานที่ไวต่อความหน่วงอย่างการเล่นเกม วิดีโอคอล และการประชุมแบบเรียลไทม์ที่ไม่ได้ประโยชน์จากการป้องกันของ VPN ระหว่างกิจกรรมเหล่านั้น ข้อโต้แย้งนั้นถูกต้องและคุ้มค่าที่จะพิจารณา วิธีแก้ไม่ใช่การละทิ้ง VPN แบบ router แต่คือการตระหนักว่าคุณอาจต้องการให้บางอุปกรณ์อยู่นอก tunnel
ผู้ให้บริการ VPN เชิงพาณิชย์หลายเจ้ายังจำกัดการเชื่อมต่อพร้อมกันต่อบัญชี ขณะที่เจ้าอื่นตอนนี้เสนอจำนวนอุปกรณ์ที่สูงขึ้นหรือไม่จำกัด VPN แบบ router ยังมีประโยชน์ได้เพราะผู้ให้บริการมักเห็น router เป็นการเชื่อมต่อ VPN เดียว แม้จะมีหลายอุปกรณ์อยู่หลังมัน
การเลือกโปรโตคอลสำหรับ VPN แบบ router: WireGuard เทียบกับ OpenVPN เทียบกับ L2TP/IPsec เปรียบเทียบด้วยขนาดโค้ดเบส handshake และต้นทุน CPU ต่อแพ็กเก็ต
การเลือกโปรโตคอลสำคัญบน router มากกว่าบนแล็ปท็อป เพราะ CPU ของ router เป็นคนเข้ารหัสและ CPU ของ router ช้า แล็ปท็อปสมัยใหม่ที่มี AES-NI จัดการ OpenVPN หรือ WireGuard ได้ดีเท่ากันที่ระดับกิกะบิต router ระดับผู้บริโภคทำไม่ได้
WireGuard เป็นคำตอบที่ถูกต้องสำหรับแทบทุกสถานการณ์ โค้ดเบสเล็กกว่าของ OpenVPN อย่างมาก ซึ่งทำให้ตรวจสอบและรีวิวได้ง่ายกว่า การเข้ารหัสทันสมัย: ChaCha20 สำหรับการเข้ารหัส Poly1305 สำหรับการยืนยันตัวตน Curve25519 สำหรับการแลกเปลี่ยนคีย์ handshake เสร็จในหนึ่งรอบ ขณะที่ TLS handshake ของ OpenVPN ใช้หลายรอบ ต้นทุนการประมวลผลต่อแพ็กเก็ตต่ำพอที่ CPU ของ router ระดับผู้บริโภคจัดการได้ในจุดที่มันจะลำบากกับ OpenVPN WireGuard ตอนนี้ได้รับการรองรับในตัวโดย ASUS, GL.iNET และโปรเจกต์ custom firmware ส่วนใหญ่
OpenVPN ยังมีที่ของมัน มันเป็นโปรโตคอลที่สุกงอม รองรับกว้าง และมีการเชื่อมต่อกับระบบยืนยันตัวตนระดับองค์กรที่กว้างกว่า หากคุณมีการติดตั้ง OpenVPN ที่มีอยู่พร้อมใบรับรองที่ออกแล้ว หรือคุณมีข้อกำหนดความเข้ากันได้เฉพาะที่ WireGuard ยังตอบไม่ได้ OpenVPN ยังคงเป็นตัวเลือกที่สมเหตุสมผล มันรันได้ดีบน router ที่มีความสามารถ
คำแนะนำมืออาชีพ
L2TP/IPsec ยังปรากฏบนหน้าแอดมินของ router หลายตัว ส่วนใหญ่เพื่อความเข้ากันได้กับของเก่า มันใช้งานได้ แต่ไม่ใช่โปรโตคอลที่ควรเลือกสำหรับ VPN ระดับ router ใหม่เมื่อมี WireGuard ให้ใช้ PPTP ควรถูกถือว่าตายแล้ว มันมีปัญหาด้านความปลอดภัยที่รู้กัน และ Microsoft ได้เริ่มเลิกใช้ PPTP และ L2TP จาก Windows Server เวอร์ชันอนาคตแล้ว
หาก CPU ของ router ของคุณเก่ากว่าห้าปีและไม่มีการเร่งความเร็วฮาร์ดแวร์ WireGuard ก็รัน WireGuard ต่อไป แม้ไม่มีการเร่งความเร็ว มันมักเอาชนะ OpenVPN ที่มีการเร่งความเร็วบนฮาร์ดแวร์เดียวกัน ข้อยกเว้นมีน้อยและเกี่ยวข้องกับชิป Broadcom เฉพาะที่มี OpenVPN offload เฉพาะ หากคุณยืนยันไม่ได้ว่า router ของคุณเป็นกรณีพิเศษเหล่านั้น ให้เลือก WireGuard เป็นค่าเริ่มต้น หมายเหตุเกี่ยวกับการอ้างประสิทธิภาพที่หมุนเวียนทางออนไลน์ หน้าประสิทธิภาพของ WireGuard เอง อธิบายเบนช์มาร์กที่เผยแพร่ว่า "เก่า เปื่อย และทำได้ไม่ดีนัก" นั่นคือผู้เขียนของโปรเจกต์เอง อัตราส่วน throughput เฉพาะที่คุณพบอ้างอิงในบล็อกของบุคคลที่สามมักไม่มีแหล่งที่มาที่เชื่อถือได้ ข้อกล่าวอ้างเชิงคุณภาพที่ว่า WireGuard มักทำได้ดีกว่า OpenVPN โดยเฉพาะบนฮาร์ดแวร์ที่มีพลังต่ำกว่า มีหลักฐานสนับสนุนอย่างดี. ส่วนตัวคูณเฉพาะนั้นไม่มี
คุณควรสร้าง VPN Router หรือใช้ VPS Gateway?
สำหรับผู้อ่านสายเทคนิค การเปรียบเทียบที่ชัดเจนกว่าคือตำแหน่ง endpoint: VPN สิ้นสุดบนฮาร์ดแวร์ในบ้านของคุณ หรือบนซอฟต์แวร์ที่รันบนเซิร์ฟเวอร์ที่คุณเช่า?
VPN router แบบฮาร์ดแวร์มีจุดแข็งเฉพาะอยู่บ้าง ขอบเขตการเข้ารหัสถูกแยกทางกายภาพไว้กับอุปกรณ์ที่คุณเป็นเจ้าของ ไม่มีค่าเช่าต่อเนื่องนอกเหนือจาก ISP ของคุณ โมเดลความคิดเรียบง่าย: หนึ่งกล่อง หนึ่งการตั้งค่า หนึ่งสายเข้าผนัง สำหรับสถานการณ์การเดินทาง router แบบฮาร์ดแวร์ในรูปทรงที่พกพาได้ (เช่นเครื่องระดับ Beryl ของ GL.iNET) เป็นของที่มีประโยชน์จริง
VPS ที่ใช้เป็น gateway มีจุดแข็งต่างออกไป VPS ที่ดีพอมักให้พลังประมวลผลที่คาดเดาได้มากกว่าและมีพื้นที่เหลือมากกว่า router ระดับผู้บริโภคราคาถูก โดยเฉพาะเมื่อคุณต้องการหลาย exit, uplink ที่สูงกว่า หรือ tunnel พร้อมกันมากกว่า คุณเลือกเขตอำนาจศาล VPN exit อยู่ที่ใดก็ตามที่ VPS อยู่ และคุณย้ายมันได้ คุณควบคุม VPN daemon และ log ระดับแอปพลิเคชันของมัน แม้ผู้ให้บริการโฮสติ้งจะยังควบคุมโครงสร้างพื้นฐานเบื้องล่าง หากคุณต้องการ exit ที่สองในอีกภูมิภาค คุณเริ่ม VPS อีกตัวใน 10 นาทีแทนการซื้อ router อีกตัว
จุดเริ่มต้นที่สมเหตุสมผลสำหรับการกำหนดขนาด VPN gateway ส่วนตัวคือ 1 vCPU และ RAM 1 GB ซึ่งรองรับการเชื่อมต่ออุปกรณ์พร้อมกัน 5 ถึง 10 เครื่องที่รัน WireGuard ที่แบนด์วิดท์ระดับที่อยู่อาศัย การเข้ารหัสพร้อมกันที่หนักกว่าหรือ uplink ที่สูงกว่าทำให้แพ็กเกจที่เน้น CPU คุ้มค่า งานเข้ารหัสจำกัดที่ CPU ไม่ใช่ที่หน่วยความจำ ดู VPS ที่ดีที่สุดสำหรับ VPN สำหรับการกำหนดขนาดแพ็กเกจ
เลือกฮาร์ดแวร์หากคุณต้องการไม่มีค่าใช้จ่ายรายเดือนนอกเหนือจาก ISP ของคุณ คุณมี router ที่มีความสามารถอยู่แล้ว หรือคุณต้องการรูปทรงแบบ travel router โดยเฉพาะ เลือก VPS หากคุณต้องการประสิทธิภาพการเข้ารหัสที่ดีกว่าที่ router ระดับผู้บริโภคให้ได้ การเลือกเขตอำนาจศาลของ exit หรือคุณโฮสต์บริการอื่นเองอยู่แล้วและการเพิ่ม daemon อีกตัวไม่เป็นภาระเพิ่ม สำหรับสภาพแวดล้อมเครือข่ายที่จำกัด เส้นทาง VPS ยังปรับให้เข้ากับสถานการณ์ได้ง่ายกว่าการตั้งค่า router มาตรฐาน เพราะคุณควบคุมซอฟต์แวร์เซิร์ฟเวอร์และไม่ถูกจำกัดด้วยโปรโตคอลที่ผู้ผลิต router เปิดให้ในหน้าแอดมิน
หากคุณเลือกเส้นทาง VPS เกณฑ์การซื้อเรียบง่าย: เลือกภูมิภาคที่ใกล้ CPU เพียงพอสำหรับการเข้ารหัส dedicated IP และผู้ให้บริการที่ให้สิทธิ์ root โดยไม่ซ่อนรายละเอียดเครือข่าย Linux VPS ของ Cloudzy เป็นตัวเลือกหนึ่งสำหรับสิ่งนี้ และมาร์เก็ตเพลสมีการติดตั้ง Access Server แบบคลิกเดียว WireGuard และ OpenVPN หากคุณต้องการข้ามการตั้งค่าเซิร์ฟเวอร์ด้วยมือ
คำถามที่พบบ่อย
ฉันต้องใช้ Router พิเศษเพื่อใช้ VPN หรือไม่?
ไม่ คุณไม่ต้องใช้ router พิเศษหาก router ปัจจุบันของคุณรองรับ VPN client mode อยู่แล้ว รุ่นใหม่ของ ASUS และ GL.iNET หลายรุ่นรองรับ WireGuard หรือ OpenVPN ในเฟิร์มแวร์มาตรฐาน แต่การรองรับขึ้นอยู่กับรุ่นและเวอร์ชันเฟิร์มแวร์ที่แน่นอน หาก router ของคุณไม่รองรับ VPN ในตัว คุณสามารถติดตั้ง custom firmware อย่าง OpenWrt หรือรัน VPN บนอุปกรณ์แยก เช่น VPS, Raspberry Pi หรือเซิร์ฟเวอร์ Linux ขนาดเล็ก ที่ router ส่งผ่านไป
VPN Router จะทำให้อินเทอร์เน็ตของฉันช้าลงหรือไม่?
ใช่ ช้าลงบ้าง CPU ของ router เป็นคนทำงานเข้ารหัส และ CPU ของ router ระดับผู้บริโภคช้ากว่า CPU ในโทรศัพท์หรือแล็ปท็อปของคุณ ขนาดของความช้าขึ้นอยู่กับชิปของ router โปรโตคอล (WireGuard เบากว่า OpenVPN) และว่า router มีการเร่งความเร็วฮาร์ดแวร์หรือไม่ router สมัยใหม่ที่รัน WireGuard มักสูญเสีย throughput ของ WAN เพียงเล็กน้อย router รุ่นเก่าที่รัน OpenVPN อาจสูญเสียมากกว่ามาก
อะไรคือความแตกต่างระหว่าง VPN Router กับแอป VPN บนอุปกรณ์ของฉัน?
VPN router วาง tunnel ไว้ที่ระดับเครือข่าย เพื่อให้ทุกอุปกรณ์ที่เชื่อมต่อ (โทรศัพท์ แล็ปท็อป สมาร์ททีวี เครื่องเล่นเกม IoT) ใช้ VPN โดยอัตโนมัติโดยไม่ต้องติดตั้งอะไร แอป VPN วาง tunnel ไว้บนอุปกรณ์เดียวและปกป้องเฉพาะอุปกรณ์นั้น แต่ให้การควบคุมที่ละเอียดกว่า: การกำหนดเส้นทางแยกตามแอป การสลับเซิร์ฟเวอร์ง่าย และการยกเว้นแอปเฉพาะ ข้อแลกเปลี่ยนคือการครอบคลุมทั้งเครือข่ายเทียบกับความยืดหยุ่นต่ออุปกรณ์
ฉันควรใช้โปรโตคอล VPN ใดบน Router ของฉัน, WireGuard หรือ OpenVPN?
WireGuard ในแทบทุกกรณี โค้ดเบสเล็กกว่า การเข้ารหัสทันสมัย และต้นทุนการประมวลผลต่อแพ็กเก็ตต่ำพอที่ CPU ของ router ระดับผู้บริโภคจัดการได้ดี OpenVPN ยังคงเป็นตัวเลือกที่สมเหตุสมผลหากคุณมีการติดตั้ง OpenVPN พร้อมใบรับรองที่ออกแล้ว หรือหากคุณมีข้อกำหนดความเข้ากันได้เฉพาะที่ WireGuard ยังตอบไม่ได้
ฉันใช้ VPS แทน VPN Router แบบฮาร์ดแวร์ได้หรือไม่?
ได้ ติดตั้ง WireGuard หรือ OpenVPN บน Linux VPS แล้วชี้ router OpenWrt หรือ DD-WRT ไปที่มันเป็น upstream tunnel หรือเชื่อมต่ออุปกรณ์แต่ละเครื่องไปยัง VPS โดยตรง วิธีนี้ให้คุณเลือกเขตอำนาจศาลของ exit ควบคุม VPN daemon และ log ระดับแอปพลิเคชันของมัน และมีพื้นที่ประมวลผลเหลือมากกว่าการตั้งค่า router ระดับผู้บริโภคส่วนใหญ่ ข้อแลกเปลี่ยนคือคุณต้องดูแลเซิร์ฟเวอร์ รวมถึงการแพตช์และตรวจสอบมัน
