Домогосподарство з двома телефонами, двома ноутбуками, смарт-телевізором, консоллю та розумною колонкою — це сім пристроїв, яким усім може знадобитися VPN-покриття. Встановлювати й підтримувати VPN-клієнт на кожному з них — марудно. Деякі з них, особливо консолі та багато IoT-пристроїв, узагалі не можуть запускати звичайний VPN-клієнт. Інші, як-от смарт-телевізори, можуть підтримувати VPN-застосунки лише на певних платформах.
VPN-роутер вирішує це, запускаючи VPN на самому роутері, тож кожен пристрій за ним успадковує тунель, нічого не встановлюючи. Цей термін охоплює кілька різних налаштувань: роутер, який підключається до VPN-провайдера від імені LAN; роутер, який діє як VPN-сервер, дозволяючи вам тунелюватися всередину звідкись іще; або самостійно розміщений шлюз на VPS, який ви контролюєте від початку до кінця.
Коротко
- VPN-роутер запускає VPN-програму на роутері, тож кожен підключений пристрій, зокрема ті, що самі не можуть запускати VPN-клієнт, автоматично використовує тунель.
- У нього два режими, які вирішують різні задачі: клієнтський режим тунелює вихідний трафік до VPN-провайдера чи вашого власного сервера; серверний режим дозволяє віддаленим пристроям тунелюватися всередину вашої LAN.
- WireGuard — правильний протокол для VPN рівня роутера майже в усіх випадках. Кодова база невелика, вартість на пакет низька, а процесори споживчих роутерів справляються з ним краще, ніж з OpenVPN.
- У вас є чотири способи отримати такий: використати роутер, який уже підтримує VPN; прошити власну прошивку на роутер, який вам належить; купити попередньо налаштований VPN-роутер; або взагалі обійтися без заліза й запустити WireGuard на VPS. Останній варіант найсильніший, якщо вам потрібен вибір сервера, юрисдикційний контроль, або ви вже маєте самостійний хостинг.
Як насправді працює VPN-роутер
Коли пристрій підключається до VPN-роутера в клієнтському режимі, пристрій не знає, що він на VPN. Він отримує звичайну DHCP-оренду від роутера, відкриває TCP-з'єднання до призначення й надсилає пакети. Роутер виконує шифрування. Пристрій бачить звичайну LAN. Є два режими, які варто розуміти, і більшість споживчих «VPN-роутерів» добре виконує лише перший.
Клієнтський режим VPN (вихідний)
У клієнтському режимі роутер зберігає VPN-облікові дані й тунелює весь вихідний трафік від імені пристроїв за ним. Потік даних такий: пристрій → роутер → зашифрований тунель → VPN-сервер → публічний інтернет.
Кожен пристрій у LAN автоматично використовує той самий тунель. Роутер бере кожен пакет, шифрує його й пересилає до налаштованої кінцевої точки VPN. Публічний інтернет бачить вихідний IP VPN-сервера, а не IP домашньої мережі, призначений провайдером. Саме це налаштування зазвичай мають на увазі, коли кажуть «VPN-роутер».
Шифрування відбувається на процесорі роутера. Це важлива технічна деталь. Старіші й дешевші споживчі роутери можуть працювати на низькочастотних чипах ARM чи MIPS з обмеженим криптоприскоренням, тоді як новіші VPN-здатні роутери набагато швидші. Так чи інакше, роутер усе одно відповідає за шифрування кожного байта, що йде до й від кожного пристрою в мережі, тож залізо роутера стає стелею продуктивності.
Протокол тут має значення з тієї самої причини. Вартість на пакет у WireGuard нижча, ніж в OpenVPN, тому підтримка WireGuard на споживчих роутерах — це функція, яку варто шукати. Див. наявний посібник з налаштування WireGuard на VPS.
Серверний режим VPN (вхідний)
У серверному режимі сам роутер запускає VPN-сервер. Віддалені пристрої у відкритому інтернеті підключаються вхідно до публічного IP роутера й потрапляють у LAN так, ніби сидять у вітальні. Потік даних такий: віддалений пристрій → публічний IP → VPN-сервер роутера → ресурси LAN.
Це вирішує іншу задачу. Це віддалений доступ, а не вихідна приватність. Ноутбук у кав'ярні може дістатися до файлового сервера вдома. Телефон за кордоном може дістатися до домашньої мережі. Роутер — це VPN-сервер; телефон — VPN-клієнт.
Серверний режим вимагає публічно маршрутизованої IP-адреси. Якщо ваш провайдер помістив вас за CGNAT, а багато домашніх провайдерів так і зробили, немає публічного IP, до якого можна підключитися вхідно, і цей режим не працює без додаткових хитрощів. Зазвичай також потрібне перенаправлення портів, що обмежує це людьми, яким належить роутер і які можуть налаштувати його фаєрвол.
Ці два режими не є взаємовиключними. Здатний роутер може запускати обидва одночасно. Але сценарії використання геть різні. Клієнтський режим — для «я хочу, щоб увесь мій будинок був за VPN-виходом». Серверний режим — для «я хочу дістатися до свого будинку звідкись іще».
Чотири шляхи до VPN рівня роутера
Немає однієї речі під назвою «отримати VPN-роутер». Є чотири шляхи, і вони сортуються за двома осями: скільки контролю над залізом і прошивкою ви хочете, і чи хочете ви комерційного провайдера, чи власний сервер на іншому кінці тунелю. Правильний шлях залежить від того, яка з цих осей важливіша.
Шлях 1: використати ваш наявний роутер (якщо він підтримує VPN)
Кілька виробників споживчих роутерів тепер постачають нативну підтримку VPN-клієнта, зокрема WireGuard, у своїй штатній прошивці. ASUS підтримує WireGuard нативно на нещодавніх прошивках. Серії Flint і Beryl від GL.iNET підтримують WireGuard з коробки, що задокументовано в їхньому офіційному посібнику.
Це найдешевший шлях із найнижчим ризиком. Якщо ваш роутер уже в цьому списку, ви нічого не прошиваєте й нічого не псуєте. Ви вводите конфігурацію WireGuard в адмін-панелі, і тунель піднімається. Обмеження очевидне: роутер має підтримувати протокол, який ви хочете, а варіанти протоколів залежать від того, що постачає виробник. Старіші моделі не отримають WireGuard заднім числом.
Шлях 2: прошити власну прошивку (OpenWrt, DD-WRT, FreshTomato)
Якщо вашого роутера немає в списку підтримуваних, ви можете замінити його прошивку однією з альтернатив із відкритим кодом. OpenWrt — найактивніше підтримувана з трьох і має найширшу підтримку заліза. DD-WRT теж активна, з іншою філософією дизайну й більшим пулом підтримуваних пристроїв. FreshTomato продовжує оригінальний проєкт Tomato, але обмежена чипсетами Broadcom і обслуговує набагато меншу спільноту.
Власна прошивка дає вам вибір протоколу: OpenVPN, WireGuard, IPsec — усе налаштовується. Вона також дає все інше, що пропонують ці проєкти: кращий QoS, гранульовані правила фаєрвола, керування пакетами. Ціна — це ризик і час.
Професійна порада
Прошивання власної прошивки може назавжди вивести роутер з ладу, якщо ви оберете не той образ, втратите живлення посеред прошивання чи запустите збірку з багом для вашої конкретної ревізії заліза. Оберіть модель, яку проєкт прошивки явно підтримує, прочитайте сторінку для конкретного пристрою й прийміть те, що ви анулювали гарантію. Якщо роутер, який ви виведете з ладу, — ваш єдиний роутер, плануйте бути офлайн на час, потрібний для придбання заміни.
Шлях 3: купити попередньо налаштований VPN-роутер
Найпростіший шлях. Виробники на кшталт GL.iNET продають роутери з вбудованим WireGuard з коробки. Деякі комерційні VPN-провайдери також продають фірмові роутери, попередньо налаштовані під їхній сервіс, тобто ви вмикаєте його, вводите облікові дані свого акаунта — і готово.
Компроміси — це ціна й прив'язка. Попередньо налаштовані роутери коштують дорожче за одиницю, ніж збирати самому. Якщо пристрій постачається під брендом конкретного VPN-провайдера, ви прив'язані до протоколів, країн виходу й політики логування цього провайдера. Якщо провайдер змінює умови чи припиняє діяльність, роутер нелегко перенести на новий сервіс.
Четвертий шлях трохи відрізняється, бо не вимагає купівлі чи прошивання заліза роутера. Він усе одно дає вам VPN-покриття рівня роутера, якщо ваш роутер спрямований вище за течією на VPS, але сама VPN-кінцева точка живе на сервері, а не всередині роутера.
Шлях 4: використати VPS як VPN-шлюз
Запустіть WireGuard або OpenVPN на Linux VPS, потім спрямуйте свій роутер чи окремі пристрої на той сервер. Це не купівля апаратного роутера. Це інша стратегія кінцевої точки, тож її компроміси заслуговують на власний розділ нижче.
| Шлях | Складність налаштування | Стеля продуктивності | Перемикання серверів | Ризик для заліза | Поточна вартість | Кому підходить |
|---|---|---|---|---|---|---|
| Наявний роутер | Низький | Обмежена процесором роутера | Через адмін-панель | Жодного | Жодного, окрім провайдера | Ви вже маєте підтримуваний роутер |
| Прошивання власної прошивки | Високий | Обмежена процесором роутера | Через адмін-панель | Ризик виведення з ладу | Жодного, окрім провайдера | Ви хочете гнучкість протоколів і приймаєте ризик |
| Попередньо налаштований роутер | Найнижча | Обмежена процесором роутера | Залежить від виробника | Жодного | Вартість заліза; підписка на провайдера, якщо в комплекті | Ви хочете plug-and-play і приймаєте націнку |
| VPS як шлюз | Середня-висока | Обмежена процесором VPS (вища) | Запустіть новий VPS в іншому регіоні | Жодного | Місячна оренда VPS | Ви хочете вибір юрисдикції, кращу продуктивність або вже маєте самостійний хостинг |
Коли VPN-роутер має сенс, а коли ні
Питання не в тому, чи кращий роутерний VPN за пристроєвий VPN абстрактно. Питання в тому, чи ваша конкретна ситуація справді потребує покриття всієї мережі, бо щойно ви ставите VPN на роутер, кожен пристрій за ним платить той самий податок шифрування.
Сценарії, де роутерний VPN виправдовує вартість свого налаштування
Багатопристроєві домогосподарства — найочевидніший випадок. Щойно ви керуєте більш ніж чотирма-п'ятьма пристроями, встановлення й оновлення VPN-клієнтів на кожному стає рутиною. Налаштування рівня роутера робиться один раз.
Пристрої з обмеженою чи незручною підтримкою VPN — другий випадок. Ігрові консолі, більшість IoT-пристроїв і старіші хаби розумного дому зазвичай не мають звичайного VPN-застосунку. Деякі смарт-телевізори можуть запускати VPN-застосунки, особливо Android TV / Google TV і новіші моделі Apple TV, але VPN рівня роутера все одно допомагає, коли платформа телевізора не підтримує вашого провайдера або коли ви хочете єдину узгоджену мережеву політику.
Подорожі — третій випадок. Компактний дорожній роутер із підтримкою WireGuard означає, що один тунель покриває кожен пристрій у готельному номері (телефон, ноутбук, планшет) через Wi-Fi роутера, незалежно від того, що робить мережа готелю. Та сама логіка стосується VPS-шлюзу, до якого звертаються через дорожній роутер.
Малі офіси та спільні житлові простори — четвертий випадок. Однією узгодженою мережевою політикою, застосованою на шлюзі, легше оперувати, ніж парком конфігурацій рівня пристрою, які з часом розходяться.
Випадки, де роутерний VPN — неправильний вибір
Якщо ви часто перемикаєте країни виходу VPN заради контенту з регіональними обмеженнями, тестування юрисдикцій чи з будь-якої іншої причини, VPN рівня роутера — не той інструмент. Перемикання виходів на телефоні — це один дотик. Робити це на роутері вимагає входу в адмін-панель.
Якщо вам потрібне розділене тунелювання на рівні застосунку, коли частина застосунків іде через VPN, а інші напряму, VPN-застосунок рівня пристрою впорається з цим чисто. Роутер не може легко визначити, який застосунок згенерував який пакет.
Якщо одні пристрої у вашій мережі потребують VPN, а інші активно мусять бути без нього, роутерний VPN ставить усіх за той самий вихідний IP. Банківські застосунки позначають VPN-трафік. Стрімінгові сервіси з регіональними обмеженнями ламаються. Суцільна політика на роутері означає суцільний обхідний шлях для кожного винятку.
Якщо у вас один чи два пристрої, шар рівня роутера вирішує проблему, якої у вас немає.
How-To Geek навів аргумент про затримку у 2023 році: VPN на рівні всієї мережі накладає затримку VPN на кожен підключений пристрій, зокрема ті, що виконують чутливу до затримки роботу на кшталт ігор, відеодзвінків і зустрічей у реальному часі, яким не йде на користь захист VPN під час цих активностей. Цей аргумент правильний і вартий зважування. Виправлення — не відмовлятися від роутерного VPN. Воно в тому, щоб визнати: можливо, ви захочете тримати частину пристроїв поза тунелем.
Багато комерційних VPN-провайдерів усе ще обмежують кількість одночасних підключень на акаунт, тоді як інші тепер пропонують вищу чи необмежену кількість пристроїв. Роутерний VPN усе одно може бути корисним, бо провайдер зазвичай бачить роутер як одне VPN-підключення, навіть якщо за ним сидить кілька пристроїв.
Вибір протоколу: WireGuard, OpenVPN та інші
Вибір протоколу важить більше на роутері, ніж на ноутбуці, бо процесор роутера виконує шифрування, а процесор роутера повільний. Сучасний ноутбук із AES-NI однаково добре справляється з OpenVPN чи WireGuard на гігабіті. Споживчий роутер — ні.
WireGuard — правильна відповідь майже для кожного сценарію. Кодова база драматично менша, ніж в OpenVPN, що полегшує її аудит і перевірку. Криптографія сучасна: ChaCha20 для шифрування, Poly1305 для автентифікації, Curve25519 для обміну ключами. Рукостискання завершується за один цикл туди-назад; TLS-рукостискання OpenVPN займає кілька. Вартість обробки на пакет достатньо низька, щоб процесори споживчих роутерів справлялися з нею там, де вони боролися б з OpenVPN. WireGuard тепер підтримується нативно ASUS, GL.iNET і більшістю проєктів власних прошивок.
OpenVPN усе ще має своє місце. Він зрілий, широко підтримуваний і має ширшу інтеграцію із системами корпоративної автентифікації. Якщо у вас є наявне розгортання OpenVPN з уже виданими сертифікатами або у вас є конкретна вимога сумісності, якій WireGuard поки що не відповідає, OpenVPN лишається розумним вибором. Він добре працює на здатних роутерах.
L2TP/IPsec усе ще з'являється на багатьох сторінках адмінок роутерів, переважно заради сумісності зі старим. Він може працювати, але це не той протокол, який варто обирати для нового VPN рівня роутера, коли доступний WireGuard. PPTP слід вважати мертвим. Він має відомі проблеми безпеки, і Microsoft уже почала виводити PPTP і L2TP з майбутніх версій Windows Server.
Професійна порада
Якщо процесор вашого роутера старший за п'ять років і не має апаратного прискорення WireGuard, усе одно запускайте WireGuard. Навіть без прискорення він зазвичай випереджає прискорений OpenVPN на тому самому залізі. Винятки рідкісні й стосуються конкретних чипів Broadcom із виділеним розвантаженням OpenVPN. Якщо ви не можете перевірити, що ваш роутер потрапляє в один із цих граничних випадків, за замовчуванням обирайте WireGuard.
Зауваження щодо тверджень про продуктивність, що циркулюють онлайн. Власна сторінка продуктивності WireGuard описує опубліковані бенчмарки як «старі, заіржавілі й не дуже добре проведені». Це слова самих авторів проєкту. Конкретні співвідношення пропускної здатності, які ви знаходите в цитатах сторонніх блогів, зазвичай не мають авторитетного джерела. Якісне твердження про те, що WireGuard зазвичай перевершує OpenVPN, особливо на менш потужному залізі, добре підтверджене. Конкретні множники — ні.
Будувати VPN-роутер чи використати VPS-шлюз?
Для технічного читача чистіше порівняння — це розташування кінцевої точки: чи термінується VPN на залізі у вашому будинку, чи на програмі, що працює на сервері, який ви орендуєте?
Апаратний VPN-роутер має кілька конкретних переваг. Межа шифрування фізично ізольована на пристрої, який вам належить. Немає поточної вартості оренди, окрім вашого провайдера. Ментальна модель проста: одна коробка, один конфіг, один кабель до розетки. Для сценарію подорожі апаратний роутер у кишеньковому форм-факторі (наприклад, пристрої класу Beryl від GL.iNET) — справді корисна річ.
VPS як шлюз має інші переваги. Пристойний VPS зазвичай дає вам більш передбачувані обчислення й більше запасу, ніж дешевий споживчий роутер, особливо коли вам потрібно кілька виходів, вищий аплінк чи більше одночасних тунелів. Ви обираєте юрисдикцію. VPN-вихід там, де живе VPS, і ви можете його перемістити. Ви контролюєте VPN-демон і його логування на рівні застосунку, хоча хостинг-провайдер усе одно контролює базову інфраструктуру. Якщо ви хочете другий вихід в іншому регіоні, ви запускаєте ще один VPS за 10 хвилин замість купівлі ще одного роутера.
Розумна стартова точка для визначення розміру особистого VPN-шлюзу — це 1 vCPU і 1 GB RAM, що справляється з 5–10 одночасними підключеннями пристроїв, які запускають WireGuard на домашніх швидкостях. Важче одночасне шифрування чи вищий аплінк виправдовують план з оптимізацією під CPU. Робота шифрування обмежена процесором, а не пам'яттю. Див. найкращий VPS для VPN для визначення розміру плану.
Обирайте залізо, якщо хочете нульову місячну вартість поверх вашого провайдера, ви вже маєте здатний роутер, або вам конкретно потрібен форм-фактор дорожнього роутера. Обирайте VPS, якщо хочете кращу продуктивність шифрування, ніж може дати споживчий роутер, вибір юрисдикції на виході, або ви вже самостійно розміщуєте інші сервіси й додати ще один демон — не зайвий тягар. Для обмежувальних мережевих середовищ шлях VPS також може бути легшим в адаптації, ніж штатне налаштування роутера, бо ви контролюєте серверне ПЗ і не обмежені тими протоколами, які виробник роутера виставляє в його адмін-панелі.
Якщо ви обираєте шлях VPS, критерії вибору прості: оберіть найближчий регіон, достатньо CPU для шифрування, виділений IP і провайдера, який дає вам root-доступ, не приховуючи деталей мережі. Linux VPS від Cloudzy — один із варіантів для цього, а в маркетплейсі є розгортання Access Server в один клік, WireGuard та OpenVPN якщо ви хочете пропустити ручне налаштування сервера.
Часті запитання
Чи потрібен мені особливий роутер, щоб користуватися VPN?
Ні. Вам не потрібен особливий роутер, якщо ваш поточний роутер уже підтримує клієнтський режим VPN. Багато нещодавніх моделей ASUS і GL.iNET підтримують WireGuard чи OpenVPN у штатній прошивці, але підтримка залежить від точної моделі й версії прошивки. Якщо ваш роутер не підтримує VPN нативно, ви можете або встановити власну прошивку на кшталт OpenWrt, або запустити VPN на окремому пристрої, такому як VPS, Raspberry Pi чи невеликий Linux-сервер, через який роутер маршрутизує трафік.
Чи сповільнить VPN-роутер мій інтернет?
Так, дещо. Процесор роутера виконує роботу з шифрування, а процесори споживчих роутерів повільніші за процесори у вашому телефоні чи ноутбуці. Величина сповільнення залежить від чипа роутера, протоколу (WireGuard легший за OpenVPN) і того, чи має роутер апаратне прискорення. Сучасний роутер із WireGuard зазвичай втрачає невелику частку пропускної здатності WAN. Старіший роутер з OpenVPN може втратити набагато більше.
У чому різниця між VPN-роутером і VPN-застосунком на моєму пристрої?
VPN-роутер розміщує тунель на мережевому рівні, тож кожен підключений пристрій (телефон, ноутбук, смарт-телевізор, консоль, IoT) автоматично використовує VPN, нічого не встановлюючи. VPN-застосунок розміщує тунель на одному пристрої й захищає лише цей пристрій, але дозволяє тонший контроль: маршрутизацію по застосунках, легке перемикання серверів і виключення конкретних застосунків. Компроміс — це покриття всієї мережі проти гнучкості на рівні пристрою.
Який VPN-протокол мені використовувати на роутері — WireGuard чи OpenVPN?
WireGuard, майже в кожному випадку. Кодова база менша, криптографія сучасна, а вартість обробки на пакет достатньо низька, щоб процесори споживчих роутерів добре з нею справлялися. OpenVPN лишається розумним вибором, якщо у вас уже є розгортання OpenVPN з виданими сертифікатами або якщо у вас є конкретна вимога сумісності, якій WireGuard поки що не відповідає.
Чи можу я використати VPS замість апаратного VPN-роутера?
Так. Встановіть WireGuard або OpenVPN на Linux VPS, потім або спрямуйте роутер OpenWrt чи DD-WRT на нього як висхідний тунель, або підключіть окремі пристрої до VPS напряму. Цей підхід дає вам вибір юрисдикції на виході, контроль над VPN-демоном і його логами на рівні застосунку та більше обчислювального запасу, ніж у більшості налаштувань на споживчих роутерах. Компроміс у тому, що ви керуєте сервером, зокрема його патчите й моніторите.
