Все способы / VPN на роутере

VPN на роутере OpenWrt через PassWall2

Один роутер защищает все устройства в доме — телефоны, телевизоры, приставки. Настройка через веб-интерфейс LUCI за 20 минут.

Эта инструкция предполагает, что на вашем роутере уже установлен OpenWrt и вы попадаете в его веб-интерфейс LUCI по адресу роутера (обычно 192.168.1.1). Если OpenWrt ещё не установлен — начните с списка совместимых моделей на openwrt.org.

Мы будем использовать PassWall2 — самый удобный пакет для OpenWrt, который умеет VLESS+Reality и гео-маршрутизацию из коробки: российские сайты идут напрямую, всё остальное — через VPN. Минимальные требования к роутеру: 128 МБ flash, 256 МБ RAM.

Если в процессе что-то пойдёт не так или покажется слишком сложным — Форточка даёт готовую прошивку и конфиг для OpenWrt One: записываете на USB, загружаете в роутер, всё уже настроено.

Часть 1: Установка PassWall2

1

Обновите списки пакетов

Зайдите в LUCI: System → Software. Нажмите кнопку Update lists... и подождите 10-20 секунд, пока роутер скачает индекс пакетов.

Если предпочитаете командную строку — подключитесь к роутеру по SSH и выполните одну из команд (зависит от версии OpenWrt):

# OpenWrt 25.x и новее (APK) apk update # OpenWrt 24.10 и старше (opkg) opkg update

Не уверены, что у вас? Команда apk --version вернёт номер если APK установлен; иначе используйте opkg.

2

Установите PassWall2 и зависимости

В том же разделе System → Software, в поле Download and install package введите и нажмите OK:

luci-app-passwall2

Вместе с ним автоматически установятся xray-core, dnsmasq-full (заменит обычный dnsmasq), kmod-nft-tproxy и другие зависимости. Для русского интерфейса дополнительно установите luci-i18n-passwall2-ru.

3

Перезагрузите LUCI

После установки нажмите Ctrl+F5 или зайдите в System → Reboot. В верхнем меню LUCI появится новая вкладка Services → PassWall2.

Если вкладка не появилась — убедитесь, что пакет luci-app-passwall2 показан как installed в System → Software, и попробуйте перезагрузить роутер целиком.

Часть 2: Откуда взять ноду

4

Получите параметры VLESS+Reality

Вам понадобится либо ссылка-подписка (subscription URL), либо параметры отдельной ноды. Варианты:

VLESS-ссылка выглядит так:

vless://UUID@host:443?encryption=none&security=reality&sni=google.com&pbk=...&sid=...&fp=chrome&type=xhttp

Часть 3: Добавление ноды в PassWall2

Есть два способа. Путь А — проще и автообновляется, подходит если у вас есть subscription URL. Путь Б — ручная настройка для случая, когда у вас только параметры одной ноды.

Путь А: Через подписку

5

Добавьте подписку

В LUCI: Services → PassWall2 → Subscribe. Нажмите Add и заполните:

Remarksлюбое имя, например Fortochka
Subscribe URLваш subscription URL
Access MethodAuto
Allow Insecureоставьте выключенным

Нажмите Save, затем Save & Apply. Вверху страницы PassWall2 нажмите Manual subscription — через несколько секунд в Node List появятся ноды. Переходите к Части 4.

Путь Б: Вручную

6

Создайте новую ноду

В LUCI: Services → PassWall2 → Node List → Add.

7

Заполните основные параметры

Remarksлюбое имя, например Мой сервер
TypeXray
ProtocolVLESS
AddressIP или домен вашего сервера
Port443
UUIDваш UUID
Flowоставьте пустым (для XHTTP)
Encryptionnone
8

Настройте Reality и транспорт

TransportXHTTP
XHTTP Path/ (или то, что указано в вашем конфиге)
TLSвключить
TLS TypeReality
SNI / Server Namegoogle.com (или что задано на сервере)
Reality Public Keyваш public key (не private!)
Reality Short IDваш short ID (8 символов)
uTLS Fingerprintchrome

Нажмите Save, затем Save & Apply. Нода появится в Node List.

Важно: разница между Public и Private ключами Reality — принципиальная. Public key идёт в клиент (роутер), Private остаётся только на сервере. Если перепутали — handshake не пройдёт, и PassWall2 будет молча не работать.

Часть 4: Маршрутизация

Теперь настраиваем правила: русские сайты и локальная сеть идут напрямую, всё остальное — через VPN. Так YouTube, Telegram, Discord будут работать, а Госуслуги, Сбер и другие российские сервисы — быстро и без VPN.

9

Выберите ноду по умолчанию

В LUCI: Services → PassWall2 → Basic Setting → General.

Main Switchпока выключено (включим в самом конце)
TCP Nodeваша нода
UDP Nodeваша нода (или Same as TCP)
10

Настройте гео-маршрутизацию

Переключитесь на вкладку Basic Setting → Routing. Здесь указывается, что не пускать через прокси:

Direct Domain Listgeosite:category-ru
Direct IP Listgeoip:ru, geoip:private
Default RuleProxy (всё остальное через ноду)

Эти списки (geoip.dat и geosite.dat) уже установлены вместе с PassWall2 — ничего дополнительно качать не нужно.

11

Настройте DNS

В Basic Setting → DNS:

DNS Modedns2tcp (или dns2socks)
Remote DNS1.1.1.1 (Cloudflare)
Remote DNS ProtocolTCP
Direct DNS77.88.8.8 (Яндекс) или любой локальный

Remote DNS используется для всего, что идёт через VPN — чтобы ваш провайдер не видел, какие сайты вы открываете. Direct DNS — для российских доменов, которые идут напрямую.

Часть 5: Включить и проверить

12

Включите PassWall2

Вернитесь в Services → PassWall2 → Basic Setting → General. Переключатель Main Switch — включить. Нажмите Save & Apply.

Подождите 30-60 секунд, пока сервис запустится и применит правила firewall.

13

Проверьте подключение

С любого устройства в вашей сети (телефона, ноутбука) откройте whatismyipaddress.com. IP должен быть IP вашего VPN-сервера, а не домашнего провайдера.

Откройте YouTube, Telegram, Discord — должны работать. Откройте Госуслуги или любой российский сайт — тоже должны открываться быстро (они идут напрямую, не через VPN).

Все устройства в сети — телефоны, телевизоры, приставки, ноутбуки — теперь автоматически под VPN. Никаких приложений на них ставить не нужно.

Не работает? Частые проблемы:

Не хочешь разбираться?

Форточка даёт готовую прошивку и конфиг для OpenWrt One: записываете на USB, загружаете в роутер — всё настроено. PassWall2, выделенный сервер, маршрутизация — без LUCI и SSH.

Попробовать →