VPN или VPS: настройка на примере роутера с DD-WRT

DD-WRT — это прошивка, основанная на ядре Linux, задачей которой являлось улучшить основные беспроводные маршрутизаторы потребительского уровня (с чипами Ralink, Atheros, BroadCom и Xscale).

Преимущества, приносимые установкой DD-WRT:

1. Поддержка современного сетевого протокола IPv6.
2. Наличие WDS (Wireless Distribution System) – технологии, позволяющей увеличить площадь покрытия Wi-Fi беспроводным способом.
3. Возможность применения протокола RADIUS для передачи данных между оборудованием и центральной платформой.
4. Допустимость разгона роутера.
5. Возможность сделать маршрутизатор клиентом или сервером OpenVPN.

В основном, прошивка DD-WRT устанавливается для возможности включения VPN или VPS непосредственно на маршрутизаторе. Для простого обывателя VPN и VPS – одно и то же, но это не так.

Причины, по которым лучше установить VPN на маршрутизатор:

1. Желание обойти запрет на ограниченное количество устройств на тарифном плане VPN-провайдера. В случае если VPN установлен на роутер, то количество подключений будет зависеть исключительно от мощности самого маршрутизатора.
2. Требование установки VPN на какое-нибудь нестандартное устройство, по типу игровой приставки или телевизора. Далеко не все VPN-провайдеры предоставляют специальное ПО под каждую непопулярную платформу. Если VPN-сервис поставить на маршрутизатор, то, каким бы нестандартным устройство не было, VPN будет работать.
3. Отсутствие желания каждый раз проходить авторизацию на VPN-сервисе. Проверенные VPN-провайдеры требуют авторизации в случае отключения VPN. Дабы каждый раз не вводить логин и пароль от личного аккаунта, можно просто поставить VPN-сервис на роутер. Теперь достаточно на любом устройстве подключится к домашней сети и всё – ваше соединение защищено.
4. Требование круглосуточной работы VPN. В этом случае следует выбрать то устройство, которое всегда работает без перебоев, и это, конечно же, маршрутизатор. Только если VPN поставлен на роутер, можно не переживать, что в какой-то момент времени доступа к устройству с VPN-сервисом не будет.
5. Желание удалённо подключаться к домашней сети с повышенным вниманием к уровню безопасности.

Однозначно ответить на вопрос «Что лучше использовать: VPN или VPS?» нельзя. Следует понимать, что в большинстве случаев VPS используют в тандеме с VPN:

с помощью первой технологии происходит подключение к удалённому серверу, а вторая ставится на этот самый сервер для защиты трафика. Даже если злоумышленники получат доступ к VPS-серверу, минуя VPN, то им никак не получится подключиться к вашему основному устройству.

Конечно же, если в виду имеется выбор между VPN и VPS на роутере, то нужно определиться, что для вас важнее: скорость подключения или безопасность. Если первое, то ваш выбор VPS, а иначе – VPN.

Оптимальные VPN-сервисы для DD-WRT

DD-WRT, хоть и популярная прошивка, но далеко не все VPN-сервисы могут работать с ней корректно. На самом деле VPN-провайдеров, которые хорошо оптимизировали свои детища под DD-WRT, можно пересчитать по пальцам одной руки:

ExpressVPN — несомненный лидер этого списка

Преимущества:

• Для роутеров LinkSys имеется собственная прошивка, которая значительно упрощает процесс настройки VPN на маршрутизаторе. Существуют даже роутеры с уже установленной прошивкой на борту, и в этом случае ExpressVPN будет работать «из коробки».
• Круглосуточная техническая поддержка по любым возникающим вопросам. Способы связи: горячая линия, чат на сайте, различные мессенджеры в социальных сетях.
• Едва ли не лучший стандарт безопасности среди всех существующих VPN-провайдеров. Взлом 256-битного шифрования и AES-канала возможен разве что с помощью универсального квантового компьютера, которого пока нет в природе, поэтому волноваться не стоит.
• Идеальное соотношение скорости/стабильности/защищенности.
• Возможность разблокировки геологически-зависимых служб (например, US Netflix и Hulu для стран СНГ).
• ExpressVPN – едва ли не единственный сервис, который смог побороть китайский фаервол «Золотой Щит».
• Гарантия возврата средств на срок в 30 дней.
• Возможность оплаты в Bitcoin для пущей безопасности.

            Недостатки:

• Повышенная стоимость по сравнению с конкурентами. Этот недостаток является исправимым, так как можно получить существенную скидку по промокоду на сайте.

Купить ExpressVPN со скидкой до 49%

NordVPN — VPN-провайдер для всех и каждого

Преимущества:

• Наличие весьма неплохих учебных пособий по DD-WRT.
• Встроенная защита от утечки DNS.
• Отсутствие каких-либо записей логов.
• Шифрование военного класса.

Недостатки:

• Настроенные роутеры отсутствуют в продаже.
• Завышенная стоимость.
• Скорость оставляет желать лучшего.

VyprVPN — один из самых дружелюбных VPN-провайдеров

Преимущества:

• Наличие обучающих материалов о DD-WRT прямо на главном сайте.
• Одна из самых приятных круглосуточных поддержек: поможет, даже если просто кабель отошел от маршрутизатора.
• Неплохая степень защиты и скорость работы.
• Умеренная стоимость.

Недостатки:

• Ведётся запись некоторых сведений о клиенте.
• Отсутствие предварительно настроенных маршрутизаторов в продаже.

Здесь мы осветили лишь немногие сервисы, совместимые с DD-WRT: перейдя по ссылке, можно ознакомиться с обзорами и на другие полезные приложения, а также с советами по их самостоятельной настройке. Кстати, о ней…

Самостоятельная настройка VPN на своём роутере с DD-WRT (маршрутизатор выступает в роли сервера OpenVPN).

Просто и без костылей можно выполнить вышеописанную операцию только в случае, когда у вас ОС Linux. Команды ниже применимы для дистрибутивов семейства Debian (Ubuntu, Linux Mint, Kali Linux и так далее).

В первую очередь нужно создать сертификаты и ключи шифрования под сервер OpenVPN. Для этого нужно скачать OpenVPN, и создать необходимые директории.

“sudo apt-get install openvpn easy-rsa”. Эта команда позволит вам установить OpenVPN и easy-rsa (без этих утилит невозможна дальнейшая работа).

“mkdir openvpn” — создаем директорию под названием openvpn.

“cd openvpn” — заходим в папку openvpn.

cd CA

source ./vars

./clean-all

./build-ca

./build-key-server

./build-dh

./build-key

cd keys

openvpn —genkey —secret pfs.key

Командами выше мы генерируем сертификаты. Следует отметить, что при генерации оных будет запрашиваться информация о геолокации, которая должна использоваться в сертификате (указывать настоящие данные не обязательно). Если у вас есть желание настроить местоположение заранее, то можно изменить соответствующие поля в файле CA/vars (перейдя в указанную директорию с помощью команды “cd” и открыв файл стандартным редактором nano).

Помимо этого в процессе генерации сертификатов будет предложено выбрать кодовую фразу. Лучше этого не делать, ведь тогда вы будете вынуждены вводить её при каждом подключении к VPN-серверу (на данном моменте просто нажмите Enter). По итогу генерации вы должны получить множество ключей и сертификатов в каталоге CA/keys (посмотреть их можно с помощью всё того же встроенного редактора nano). Теперь нужно пойти по адресу DD-WRT OpenVPN Server/Daemon. После переходим в Services — VPN и активируем OpenVPN Server/Daemon, вводя нужные ключи доступа в соответствующие поля.

Список соответствия ключа к полю:

• ca.crt — CA Cert
• server.crt — Public Server Cert
• server.key — Private Server Key
• dh2048.pem — DH PEM
• pfs.key — TLS Auth Key

То есть, нужно просто поочередно открывать указанные файлы в каком либо редакторе (например, встроенный — nano) и копировать ключ в соответствующее поле.

Нажав на кнопку Apply Settings, VPN-сервер должен начать работу. Перейдя по странице Status — OpenVPN, можно узнать статус подключения.

Заключение

В случае, когда вы осваиваете Linux с целью обретения навыков администрирования, несомненно, поднять собственный VPN-сервер будет отличной практикой. Когда ваша основная цель просто обезопасить домашнюю сеть, то гораздо проще и рациональнее купить роутер с VPN на борту, либо перепрошить существующий маршрутизатор самостоятельно и установить туда готовый VPN-сервис (на это явно уйдет меньше времени).

В случае если вы хотите просто иметь доступ к домашней сети удаленно, то, конечно же, лучше самостоятельно перепрошить роутер и пользоваться возможностями VPN или VPS самостоятельно, в зависимости от требований.

Алекс Лефтин
Блогер, кибербезопасность, технические обзоры