Một gia đình với hai điện thoại, hai laptop, một smart TV, một máy chơi game, và một loa thông minh là bảy thiết bị có thể đều cần được VPN bao phủ. Cài đặt và bảo trì một ứng dụng VPN trên từng thiết bị thật phiền phức. Một số trong đó, đặc biệt là máy chơi game và nhiều thiết bị IoT, không thể chạy một ứng dụng VPN thông thường chút nào. Những thiết bị khác, như smart TV, có thể chỉ hỗ trợ ứng dụng VPN trên một số nền tảng nhất định.
Một VPN router giải quyết điều này bằng cách chạy VPN ngay trên chính router, để mọi thiết bị đứng sau nó đều kế thừa đường hầm mà không phải cài đặt gì cả. Thuật ngữ này bao gồm vài kiểu thiết lập khác nhau: một router kết nối ra một nhà cung cấp VPN thay mặt cho LAN, một router đóng vai trò một server VPN cho phép bạn tạo đường hầm vào từ nơi khác, hoặc một gateway tự host trên một VPS mà bạn kiểm soát từ đầu đến cuối.
Phiên bản ngắn gọn
- Một VPN router chạy phần mềm VPN ngay trên router để mọi thiết bị kết nối, kể cả những thiết bị không thể tự chạy một ứng dụng VPN, đều dùng đường hầm một cách tự động.
- Nó có hai chế độ giải quyết các vấn đề khác nhau: chế độ client tạo đường hầm cho lưu lượng đi ra đến một nhà cung cấp VPN hoặc server của riêng bạn; chế độ server cho phép các thiết bị từ xa tạo đường hầm vào trong LAN của bạn.
- WireGuard là giao thức phù hợp cho VPN ở cấp router trong gần như mọi trường hợp. Mã nguồn nhỏ gọn, chi phí trên mỗi gói tin thấp, và CPU của router phổ thông xử lý nó tốt hơn so với xử lý OpenVPN.
- Bạn có bốn cách để có một cái: dùng một router đã hỗ trợ VPN, nạp firmware tùy chỉnh lên một router bạn sở hữu, mua một VPN router đã cấu hình sẵn, hoặc bỏ qua hoàn toàn phần cứng và chạy WireGuard trên một VPS. Lựa chọn cuối là mạnh nhất nếu bạn muốn chọn server, quyền kiểm soát theo pháp lý, hoặc đã tự host sẵn.
VPN Router Thực Sự Hoạt Động Như Thế Nào
Khi một thiết bị kết nối với một VPN router ở chế độ client, thiết bị không hề biết nó đang ở trên một VPN. Nó nhận một bản DHCP lease thông thường từ router, mở một kết nối TCP đến một đích, và gửi các gói tin. Router làm việc mã hóa. Thiết bị thấy một LAN bình thường. Có hai chế độ đáng để hiểu, và hầu hết các "VPN router" phổ thông chỉ làm tốt chế độ đầu tiên.
Chế Độ VPN Client (Đi Ra)
Ở chế độ client, router giữ thông tin đăng nhập VPN và tạo đường hầm cho toàn bộ lưu lượng đi ra thay mặt cho các thiết bị đứng sau nó. Luồng dữ liệu là: thiết bị → router → đường hầm mã hóa → server VPN → internet công cộng.
Mọi thiết bị trong LAN đều dùng cùng một đường hầm một cách tự động. Router lấy từng gói tin, mã hóa nó, và chuyển tiếp nó đến endpoint VPN đã được cấu hình. Internet công cộng thấy IP thoát của server VPN, chứ không phải IP do ISP của gia đình cấp. Đây là kiểu thiết lập mà mọi người thường nói đến khi họ nói "VPN router."
Việc mã hóa diễn ra trên CPU của router. Đây là chi tiết cơ chế quan trọng. Các router phổ thông cũ và rẻ hơn có thể chạy các chip ARM hoặc MIPS xung nhịp thấp với khả năng tăng tốc mã hóa hạn chế, trong khi các router hỗ trợ VPN mới hơn thì nhanh hơn nhiều. Dù thế nào, router vẫn chịu trách nhiệm mã hóa từng byte đi ra và đi vào với mọi thiết bị trên mạng, nên phần cứng router trở thành trần hiệu năng.
Giao thức ở đây quan trọng vì cùng một lý do. Chi phí trên mỗi gói tin của WireGuard thấp hơn của OpenVPN, đó là lý do hỗ trợ WireGuard trên các router phổ thông là tính năng đáng để tìm. Xem hướng dẫn thiết lập WireGuard trên VPS.
đã có sẵn.
Chế Độ VPN Server (Đi Vào)
Ở chế độ server, chính router chạy một server VPN. Các thiết bị từ xa trên internet mở kết nối đi vào đến IP công cộng của router và đáp xuống LAN như thể chúng đang ngồi trong phòng khách. Luồng dữ liệu là: thiết bị từ xa → IP công cộng → server VPN của router → các tài nguyên LAN.
Cái này giải quyết một vấn đề khác. Đó là truy cập từ xa, không phải quyền riêng tư khi đi ra. Một laptop ở quán cà phê có thể tiếp cận một file server ở nhà. Một điện thoại ở nước ngoài có thể tiếp cận mạng gia đình. Router là server VPN; điện thoại là client VPN.
Chế độ server yêu cầu một địa chỉ IP định tuyến công cộng. Nếu ISP của bạn đã đặt bạn sau CGNAT, và nhiều ISP gia đình đã làm vậy, thì không có IP công cộng nào để kết nối đi vào, và chế độ này không hoạt động nếu không có thêm các thủ thuật khác. Việc chuyển tiếp cổng thường cũng cần thiết, điều này giới hạn nó chỉ dành cho những người sở hữu router và có thể cấu hình tường lửa của nó.
Hai chế độ không loại trừ lẫn nhau. Một router có khả năng có thể chạy cả hai cùng lúc. Nhưng các trường hợp sử dụng hoàn toàn khác nhau. Chế độ client là cho "Tôi muốn cả nhà mình đứng sau một lối thoát VPN." Chế độ server là cho "Tôi muốn tiếp cận nhà mình từ nơi khác."
Bốn con đường đến một VPN cấp router: dùng một router đã hỗ trợ VPN, nạp firmware tùy chỉnh, mua một router cấu hình sẵn, hoặc chạy WireGuard trên một VPS gateway.
Không có một thứ duy nhất gọi là "có một VPN router." Có bốn con đường, và chúng phân loại theo hai trục: bạn muốn kiểm soát phần cứng và firmware đến mức nào, và bạn muốn một nhà cung cấp thương mại hay server của riêng bạn ở đầu kia của đường hầm. Con đường đúng tùy thuộc vào trục nào quan trọng hơn với bạn.
Con Đường 1: Dùng Router Hiện Có Của Bạn (Nếu Nó Hỗ Trợ VPN) Một số nhà sản xuất router phổ thông hiện đã trang bị sẵn hỗ trợ VPN client gốc, bao gồm WireGuard, trong firmware gốc của họ. ASUS hỗ trợ WireGuard một cách gốc trên các firmware gần đây. Dòng Flint và Beryl của GL.iNET hỗ trợ WireGuard ngay khi xuất xưởng,.
được ghi lại trong hướng dẫn chính thức của họ
Đây là con đường rẻ nhất, ít rủi ro nhất. Nếu router của bạn đã có trong danh sách này, bạn không nạp gì cả và không làm hỏng gì cả. Bạn nhập một cấu hình WireGuard trong bảng quản trị và đường hầm được dựng lên. Hạn chế thì rõ ràng: router phải hỗ trợ giao thức bạn muốn, và các tùy chọn giao thức tùy thuộc vào những gì nhà sản xuất trang bị. Các model cũ sẽ không được thêm WireGuard về sau.
Con Đường 2: Nạp Firmware Tùy Chỉnh (OpenWrt, DD-WRT, FreshTomato)
Nếu router của bạn không có trong danh sách được hỗ trợ, bạn có thể thay firmware của nó bằng một trong các lựa chọn mã nguồn mở. OpenWrt được bảo trì tích cực nhất trong ba cái và có phạm vi hỗ trợ phần cứng rộng nhất. DD-WRT cũng đang hoạt động, với một triết lý thiết kế khác và một nhóm thiết bị được hỗ trợ lớn hơn. FreshTomato tiếp nối dự án Tomato gốc nhưng bị giới hạn ở các chipset Broadcom và phục vụ một cộng đồng nhỏ hơn nhiều.
Mẹo chuyên nghiệp
Firmware tùy chỉnh cho bạn quyền chọn giao thức: OpenVPN, WireGuard, IPsec, tất cả đều có thể cấu hình. Nó cũng cho bạn mọi thứ khác mà các dự án đó cung cấp: QoS tốt hơn, các quy tắc tường lửa chi tiết, quản lý gói. Cái giá là rủi ro và thời gian.
Việc nạp firmware tùy chỉnh có thể làm hỏng vĩnh viễn một router nếu bạn chọn sai image, mất điện giữa chừng khi nạp, hoặc chạy một bản build có lỗi cho đúng phiên bản phần cứng của bạn. Hãy chọn một model mà dự án firmware hỗ trợ một cách rõ ràng, đọc trang dành riêng cho thiết bị, và chấp nhận rằng bạn đã làm mất hiệu lực bảo hành. Nếu router bạn làm hỏng là router duy nhất của bạn, hãy chuẩn bị tinh thần mất kết nối trong khoảng thời gian cần để mua một cái thay thế.
Con Đường 3: Mua Một VPN Router Cấu Hình Sẵn
Con đường đơn giản nhất. Các nhà sản xuất như GL.iNET bán các router có sẵn WireGuard ngay khi xuất xưởng. Một số nhà cung cấp VPN thương mại cũng bán các router gắn thương hiệu được cấu hình sẵn theo dịch vụ của họ, nghĩa là bạn cắm vào, nhập thông tin tài khoản, và xong.
Những đánh đổi là giá và tình trạng bị khóa. Các router cấu hình sẵn tốn nhiều hơn cho mỗi đơn vị so với tự xây lấy. Nếu thiết bị đến kèm thương hiệu của một nhà cung cấp VPN cụ thể, bạn bị khóa vào các giao thức, các quốc gia thoát, và chính sách ghi log của nhà cung cấp đó. Nếu nhà cung cấp thay đổi điều khoản hoặc ngừng kinh doanh, router không dễ chuyển sang một dịch vụ mới.
Con đường thứ tư hơi khác một chút vì nó không đòi hỏi mua hay nạp phần cứng router. Nó vẫn cho bạn sự bao phủ VPN ở cấp router nếu router của bạn trỏ lên VPS, nhưng bản thân endpoint VPN nằm trên một server thay vì bên trong router.
Con Đường 4: Dùng Một VPS Làm VPN Gateway
| Chạy WireGuard hoặc OpenVPN trên một VPS Linux, rồi trỏ router hoặc từng thiết bị riêng lẻ của bạn đến server đó. Đây không phải việc mua một router phần cứng. Đó là một chiến lược endpoint khác, nên những đánh đổi xứng đáng có phần riêng của chúng ở dưới đây. | Độ phức tạp của Thiết lập | Con đường | Trần hiệu năng | Chuyển đổi server | Rủi ro phần cứng | Chi phí định kỳ |
|---|---|---|---|---|---|---|
| Phù hợp | Thấp | Router hiện có | Bị giới hạn bởi CPU của router | Không có | Qua bảng quản trị | Không có gì ngoài ISP |
| Bạn đã sở hữu một router được hỗ trợ | Cao | Router hiện có | Bị giới hạn bởi CPU của router | Nạp firmware tùy chỉnh | Qua bảng quản trị | Rủi ro làm hỏng |
| Bạn muốn linh hoạt về giao thức và chấp nhận rủi ro | Router cấu hình sẵn | Router hiện có | Thấp nhất | Không có | Tùy thuộc nhà sản xuất | Chi phí phần cứng; đăng ký nhà cung cấp nếu đi kèm |
| Bạn muốn cắm là chạy và chấp nhận mức giá đội lên | VPS làm gateway | Trung bình đến cao | Bị giới hạn bởi CPU của VPS (cao hơn) | Không có | Khởi tạo một VPS mới ở một vùng khác | Tiền thuê VPS hàng tháng |
Bạn muốn quyền chọn theo pháp lý, hiệu năng tốt hơn, hoặc đã tự host sẵn
Khi Nào Một VPN Router Có Lý Và Khi Nào Không
Câu hỏi không phải là liệu một VPN trên router có tốt hơn một VPN trên thiết bị một cách trừu tượng hay không. Mà là liệu tình huống cụ thể của bạn có thực sự đòi hỏi sự bao phủ cho toàn mạng hay không, bởi vì ngay khi bạn đặt một VPN lên router, mọi thiết bị đứng sau nó đều phải trả cùng một khoản thuế mã hóa.
Các Trường Hợp Mà Một VPN Trên Router Xứng Đáng Với Chi Phí Thiết Lập
Các hộ gia đình nhiều thiết bị là trường hợp rõ ràng nhất. Một khi bạn đang quản lý hơn bốn hoặc năm thiết bị, việc cài đặt và cập nhật ứng dụng VPN trên từng cái là một việc cực nhọc. Thiết lập ở cấp router thì chỉ cấu hình một lần.
Các thiết bị có hỗ trợ VPN hạn chế hoặc khó khăn là trường hợp thứ hai. Máy chơi game, hầu hết các thiết bị IoT, và các hub nhà thông minh cũ thường không có ứng dụng VPN thông thường nào. Một số smart TV có thể chạy ứng dụng VPN, đặc biệt là Android TV / Google TV và các model Apple TV mới hơn, nhưng VPN ở cấp router vẫn giúp ích khi nền tảng TV không hỗ trợ nhà cung cấp của bạn hoặc khi bạn muốn một chính sách mạng nhất quán.
Đi lại là trường hợp thứ ba. Một travel router nhỏ gọn có hỗ trợ WireGuard nghĩa là một đường hầm bao phủ mọi thiết bị trong một phòng khách sạn (điện thoại, laptop, tablet) qua Wi-Fi của router, bất kể mạng của khách sạn làm gì. Cùng một logic áp dụng cho một VPS gateway được truy cập thông qua travel router.
Các văn phòng nhỏ và không gian sống chung là trường hợp thứ tư. Một chính sách mạng nhất quán được áp dụng tại gateway thì dễ suy luận hơn so với một loạt các cấu hình ở cấp thiết bị mà dần lệch nhau theo thời gian.
Các Trường Hợp Mà VPN Trên Router Là Lựa Chọn Sai
Nếu bạn thường xuyên đổi quốc gia thoát VPN để xem nội dung bị khóa theo vùng, kiểm tra theo pháp lý, hay vì bất kỳ lý do nào khác, thì một VPN ở cấp router là công cụ sai. Bật tắt lối thoát trên điện thoại chỉ là một cú chạm. Làm điều đó trên router đòi hỏi đăng nhập vào bảng quản trị.
Nếu bạn cần split-tunneling ở cấp ứng dụng, một số ứng dụng đi qua VPN còn các ứng dụng khác đi trực tiếp, thì một ứng dụng VPN ở cấp thiết bị xử lý việc đó gọn gàng. Router không thể dễ dàng biết được ứng dụng nào đã tạo ra gói tin nào.
Nếu một số thiết bị trên mạng của bạn cần VPN còn những thiết bị khác thì nhất quyết không được dùng, thì VPN trên router đặt mọi người sau cùng một IP thoát. Các ứng dụng ngân hàng đánh dấu lưu lượng VPN. Các dịch vụ phát trực tuyến bị khóa theo vùng sẽ hỏng. Một chính sách áp dụng chung tại router nghĩa là một cách lách chung cho mọi ngoại lệ.
Nếu bạn có một hoặc hai thiết bị, thì một lớp ở cấp router đang giải quyết một vấn đề mà bạn không hề có. How-To Geek đã đưa ra lập luận về độ trễ
vào năm 2023: một VPN cho toàn mạng áp đặt độ trễ của VPN lên mọi thiết bị kết nối, kể cả những thiết bị đang làm các công việc nhạy cảm với độ trễ như chơi game, gọi video, và họp thời gian thực, vốn không hưởng lợi gì từ sự bảo vệ của VPN trong các hoạt động đó. Lập luận đó đúng và đáng cân nhắc. Cách khắc phục không phải là từ bỏ VPN trên router. Mà là nhận ra rằng bạn có thể muốn để một số thiết bị ra ngoài đường hầm.
Nhiều nhà cung cấp VPN thương mại vẫn giới hạn số kết nối đồng thời cho mỗi tài khoản, trong khi những nhà cung cấp khác giờ đã cho số thiết bị cao hơn hoặc không giới hạn. Một VPN trên router vẫn có thể hữu ích vì nhà cung cấp thường thấy router như một kết nối VPN duy nhất, dù có vài thiết bị ngồi sau nó.
Chọn giao thức cho một VPN trên router: WireGuard so với OpenVPN so với L2TP/IPsec, so sánh theo kích thước mã nguồn, quá trình bắt tay, và chi phí CPU trên mỗi gói tin.
Việc chọn giao thức quan trọng trên router hơn là trên laptop, bởi vì CPU của router đang làm việc mã hóa và CPU của router thì chậm. Một laptop hiện đại có AES-NI xử lý OpenVPN hay WireGuard tốt như nhau ở tốc độ gigabit. Một router phổ thông thì không.
WireGuard là câu trả lời đúng cho gần như mọi tình huống. Mã nguồn nhỏ hơn rất nhiều so với của OpenVPN, điều này khiến nó dễ kiểm toán và rà soát hơn. Phần mã hóa thì hiện đại: ChaCha20 cho việc mã hóa, Poly1305 cho việc xác thực, Curve25519 cho việc trao đổi khóa. Quá trình bắt tay hoàn tất trong một vòng đi về; quá trình bắt tay TLS của OpenVPN mất vài vòng. Chi phí xử lý trên mỗi gói tin thấp đủ để CPU của router phổ thông xử lý được trong khi chúng sẽ chật vật với OpenVPN. WireGuard giờ đã được ASUS, GL.iNET, và hầu hết các dự án firmware tùy chỉnh hỗ trợ một cách gốc.
OpenVPN vẫn có chỗ đứng của nó. Nó trưởng thành, được hỗ trợ rộng rãi, và có sự tích hợp rộng hơn với các hệ thống xác thực doanh nghiệp. Nếu bạn đã có sẵn một triển khai OpenVPN với các chứng chỉ đã được cấp, hoặc bạn có một yêu cầu tương thích cụ thể mà WireGuard chưa đáp ứng được, thì OpenVPN vẫn là một lựa chọn hợp lý. Nó chạy ổn trên các router có khả năng.
Mẹo chuyên nghiệp
L2TP/IPsec vẫn xuất hiện trên nhiều trang quản trị router, chủ yếu để tương thích với các thiết lập cũ. Nó có thể hoạt động, nhưng không phải giao thức để chọn cho một VPN cấp router mới khi đã có sẵn WireGuard. PPTP nên được coi như đã chết. Nó có các vấn đề bảo mật đã biết, và Microsoft đã chuyển sang loại bỏ dần PPTP và L2TP khỏi các phiên bản Windows Server tương lai.
Nếu CPU router của bạn cũ hơn năm năm và thiếu khả năng tăng tốc phần cứng cho WireGuard, thì cứ chạy WireGuard. Ngay cả khi không được tăng tốc, nó thường vẫn vượt OpenVPN được tăng tốc trên cùng phần cứng. Các ngoại lệ thì hiếm và liên quan đến các chip Broadcom cụ thể có khả năng giảm tải OpenVPN chuyên dụng. Nếu bạn không thể xác minh rằng router của mình rơi vào một trong các trường hợp ngoại lệ đó, hãy mặc định chọn WireGuard. Một lưu ý về các tuyên bố hiệu năng đang lan truyền trên mạng. Chính trang hiệu năng của WireGuard mô tả các benchmark đã công bố của nó là "cũ, lỗi thời, và không được tiến hành thật cẩn thận." Đó là chính các tác giả của dự án nói. Các tỷ lệ thông lượng cụ thể mà bạn thấy được trích dẫn trong các blog của bên thứ ba thường không có nguồn đáng tin. Tuyên bố mang tính định tính rằng WireGuard thường vượt OpenVPN, đặc biệt trên phần cứng yếu hơn, thì được hỗ trợ tốt. Còn các hệ số nhân cụ thể thì không.
Bạn Nên Xây Một VPN Router Hay Dùng Một VPS Gateway?
Với một độc giả kỹ thuật, sự so sánh gọn gàng hơn là vị trí đặt endpoint: VPN kết thúc trên phần cứng trong nhà bạn, hay trên phần mềm chạy trên một server bạn thuê?
Một VPN router phần cứng có một vài điểm mạnh cụ thể. Ranh giới mã hóa được tách biệt về mặt vật lý vào một thiết bị bạn sở hữu. Không có chi phí thuê định kỳ nào ngoài ISP của bạn. Mô hình tư duy thì đơn giản: một thiết bị, một cấu hình, một sợi cáp ra tường. Với một kịch bản đi lại, một router phần cứng ở dạng bỏ túi được (ví dụ các thiết bị GL.iNET dòng Beryl) là một vật thực sự hữu ích.
Một VPS làm gateway có những điểm mạnh khác. Một VPS tử tế thường cho bạn năng lực tính toán ổn định hơn và nhiều dư địa hơn một router phổ thông giá rẻ, đặc biệt khi bạn cần nhiều lối thoát, đường lên cao hơn, hoặc nhiều đường hầm đồng thời hơn. Bạn chọn nơi đặt theo pháp lý. Lối thoát VPN nằm ở bất cứ đâu VPS đặt, và bạn có thể di chuyển nó. Bạn kiểm soát daemon VPN và việc ghi log ở cấp ứng dụng của nó, dù nhà cung cấp dịch vụ host vẫn kiểm soát hạ tầng bên dưới. Nếu bạn muốn một lối thoát thứ hai ở một vùng khác, bạn khởi tạo thêm một VPS trong 10 phút thay vì mua thêm một router.
Một điểm khởi đầu hợp lý để định cỡ một VPN gateway cá nhân là 1 vCPU và 1 GB RAM, đủ để xử lý 5 đến 10 kết nối thiết bị đồng thời chạy WireGuard ở băng thông gia đình. Việc mã hóa đồng thời nặng hơn hoặc đường lên cao hơn thì cần một gói tối ưu cho CPU. Công việc mã hóa bị giới hạn bởi CPU, không phải bởi bộ nhớ. Xem VPS tốt nhất cho VPN để định cỡ gói.
Hãy chọn phần cứng nếu bạn muốn không tốn chi phí hàng tháng nào ngoài ISP, bạn đã sở hữu một router có khả năng, hoặc bạn đặc biệt cần một dạng travel router. Hãy chọn một VPS nếu bạn muốn hiệu năng mã hóa tốt hơn mức một router phổ thông có thể đem lại, quyền chọn lối thoát theo pháp lý, hoặc bạn đã tự host các dịch vụ khác sẵn và thêm một daemon nữa không phải là gánh nặng gì thêm. Với các môi trường mạng hạn chế, con đường VPS cũng có thể dễ thích nghi hơn một thiết lập router gốc, vì bạn kiểm soát phần mềm server và không bị giới hạn ở bất cứ giao thức nào mà nhà sản xuất router phơi ra trong bảng quản trị của nó.
Nếu bạn chọn con đường VPS, các tiêu chí khi mua thì đơn giản: chọn một vùng gần, đủ CPU cho việc mã hóa, một IP riêng, và một nhà cung cấp cho bạn quyền truy cập root mà không giấu các chi tiết về mạng. Linux VPS của Cloudzy là một lựa chọn cho việc này, và marketplace có các triển khai WireGuard và OpenVPN Access Server một cú nhấp nếu bạn muốn bỏ qua phần thiết lập server thủ công.
Câu hỏi thường gặp
Tôi Có Cần Một Router Đặc Biệt Để Dùng VPN Không?
Không. Bạn không cần một router đặc biệt nếu router hiện tại của bạn đã hỗ trợ chế độ VPN client. Nhiều model ASUS và GL.iNET gần đây hỗ trợ WireGuard hoặc OpenVPN trong firmware gốc, nhưng việc hỗ trợ tùy thuộc vào đúng model và phiên bản firmware. Nếu router của bạn không hỗ trợ VPN một cách gốc, bạn có thể hoặc cài firmware tùy chỉnh như OpenWrt hoặc chạy VPN trên một thiết bị riêng, chẳng hạn một VPS, Raspberry Pi, hay một server Linux nhỏ, mà router định tuyến qua đó.
Một VPN Router Có Làm Chậm Internet Của Tôi Không?
Có, phần nào đó. CPU của router làm việc mã hóa, và CPU của router phổ thông chậm hơn CPU trong điện thoại hay laptop của bạn. Mức độ chậm tùy thuộc vào chip của router, giao thức (WireGuard nhẹ hơn OpenVPN), và việc router có khả năng tăng tốc phần cứng hay không. Một router hiện đại chạy WireGuard thường chỉ mất một phần nhỏ thông lượng WAN. Một router cũ chạy OpenVPN có thể mất nhiều hơn nhiều.
Sự Khác Biệt Giữa Một VPN Router Và Một Ứng Dụng VPN Trên Thiết Bị Của Tôi Là Gì?
Một VPN router đặt đường hầm ở cấp mạng, nên mọi thiết bị kết nối (điện thoại, laptop, smart TV, máy chơi game, IoT) đều dùng VPN một cách tự động mà không phải cài đặt gì cả. Một ứng dụng VPN đặt đường hầm trên một thiết bị duy nhất và chỉ bảo vệ thiết bị đó, nhưng cho phép kiểm soát tinh hơn: định tuyến theo từng ứng dụng, dễ dàng chuyển đổi server, và loại trừ các ứng dụng cụ thể. Sự đánh đổi là bao phủ toàn mạng so với sự linh hoạt theo từng thiết bị.
Tôi Nên Dùng Giao Thức VPN Nào Trên Router Của Mình, WireGuard Hay OpenVPN?
WireGuard, trong gần như mọi trường hợp. Mã nguồn nhỏ hơn, phần mã hóa hiện đại, và chi phí xử lý trên mỗi gói tin thấp đủ để CPU của router phổ thông xử lý nó tốt. OpenVPN vẫn là một lựa chọn hợp lý nếu bạn đã có sẵn một triển khai OpenVPN với các chứng chỉ đã cấp, hoặc nếu bạn có một yêu cầu tương thích cụ thể mà WireGuard chưa đáp ứng được.
Tôi Có Thể Dùng Một VPS Thay Cho Một VPN Router Phần Cứng Không?
Có. Hãy cài WireGuard hoặc OpenVPN trên một VPS Linux, rồi hoặc trỏ một router OpenWrt hay DD-WRT đến nó như một đường hầm phía trên, hoặc kết nối từng thiết bị riêng lẻ đến VPS trực tiếp. Cách tiếp cận này cho bạn quyền chọn lối thoát theo pháp lý, quyền kiểm soát daemon VPN và các log ở cấp ứng dụng của nó, và nhiều dư địa tính toán hơn hầu hết các thiết lập router phổ thông. Sự đánh đổi là bạn phải vận hành một server, bao gồm cả việc vá lỗi và giám sát nó.
