VPN на роутере с OpenWRT и Passwall — установка с нуля

VPN на роутере — это когда не нужно ставить клиент на каждое устройство. Подключили смартфон к Wi-Fi — и трафик уже идёт через защищённый туннель. Работает с Smart TV, приставками, консолями и любым IoT, на котором VPN-клиента в принципе нет.

Здесь — пошаговая инструкция: какое железо взять, как поставить OpenWRT, как настроить Passwall с протоколом VLESS Reality (это то, на чём работает TrayVPN и большинство современных обходов DPI).

Что понадобится

• Роутер с поддержкой OpenWRT. Минимум 128 МБ RAM и 16 МБ flash. Лучше — 256 МБ RAM и 32+ МБ flash, чтобы хватило на Passwall и кеш geoip.
• Подписка на VPN с VLESS Reality. Например, TrayVPN— там при добавлении устройства можно выбрать «Линукс» и получить готовую subscription-ссылку.
• Кабель Ethernet для первой настройки (Wi-Fi после прошивки сначала отключён).

Какой роутер взять под OpenWRT в 2026

В порядке возрастания цены (и скорости через VPN):

• Xiaomi Mi Router 4A Gigabit — ~1500 ₽ б/у. 128 МБ RAM, тянет 60–80 Мбит/с через VLESS. Бюджетный вариант для дома.
• Xiaomi Redmi AC2100 — ~3000 ₽. 128 МБ RAM, 80–120 Мбит/с. Народный выбор последних лет, хорошо документирован.
• GL.iNet Flint 2 (MT6000) — ~12000 ₽. 1 ГБ RAM, аппаратное AES, гигабит через VLESS. Если нужен запас.
• Banana Pi BPI-R3 / R4 — самосбор, ~8000–15000 ₽. Топ по скорости (полный гигабит даже с шифрованием), но требует знания консоли.

Чего избегать: TP-Link Archer C7 (старая ревизия, всего 16 МБ flash), любые роутеры с 64 МБ RAM, любые с MIPS-процессорами от Realtek — на них Xray собирается криво и тормозит.

Шаг 1. Прошить роутер OpenWRT

1. Зайдите на firmware-selector.openwrt.orgи найдите свою модель (введите имя в строку поиска).
2. Скачайте factory образ — он подходит для первой прошивки с заводской прошивки. Если уже стоит OpenWRT — берите sysupgrade.
3. В админке родной прошивки откройте «Обновление прошивки» и загрузите файл. Для Xiaomi сначала нужно получить SSH-доступ через утилиту OpenWRTInvasion(есть на GitHub) — заводская прошивка прямой загрузки не разрешает.
4. После перезагрузки роутер будет на IP 192.168.1.1, логин root, пароль пустой. Сразу зайдите по SSH и поставьте пароль: passwd.

Шаг 2. Поставить Passwall

Passwall — это GUI для Xray/Sing-box на OpenWRT. Через него и подключается VLESS Reality.

1. Зайдите по SSH: ssh root@192.168.1.1.
2. Обновите список пакетов: opkg update.
3. Добавьте репозиторий Passwall в /etc/opkg/customfeeds.conf:

   src/gz passwall_luci https://master.dl.sourceforge.net/project/openwrt-passwall-build/releases/packages-24.10/aarch64_cortex-a53/passwall_luci
   src/gz passwall_packages https://master.dl.sourceforge.net/project/openwrt-passwall-build/releases/packages-24.10/aarch64_cortex-a53/passwall_packages

   Замените aarch64_cortex-a53 на архитектуру вашего роутера — её можно увидеть командой opkg print-architecture.
4. Установите ключ репозитория и пакеты:

   opkg update
   opkg install luci-app-passwall luci-i18n-passwall-ru

5. Перезайдите в LuCI (веб-интерфейс роутера) — слева в меню появится раздел «Сервисы → Passwall».

Если репозиторий «отвалился» — Passwall есть в виде ipk-файлов на их GitHub, можно скачать вручную и закинуть через scp.

Шаг 3. Добавить узел VLESS Reality из TrayVPN

1. В личном кабинете trayvpn.org добавьте устройство, выберите тип «Линукс». Скопируйте subscription-ссылку.
2. В Passwall: Узлы → Подписка → Добавить. Вставьте ссылку, поставьте автообновление раз в сутки.
3. Нажмите «Ручное обновление подписки» — через 5–10 секунд в списке узлов появятся серверы (Москва, СПб и т.д.).
4. В разделе «Базовые настройки»:
   • Основной режим — chnroute или gfwlist (см. ниже).
   • Узел — выберите московский (он самый быстрый из России).
   • Транспорт — Xray (Sing-box тоже работает, но Xray стабильнее с Reality).
5. Включите Passwall тумблером сверху и нажмите «Применить».

chnroute vs gfwlist — что выбрать

Это режимы маршрутизации Passwall — кому идти через VPN, а кому напрямую:

• gfwlist — через VPN идут только заблокированные сайты (YouTube, Instagram, Twitter и пр.). Остальное — напрямую. Российские сервисы работают как обычно.
• chnroute — наоборот: всё, кроме китайских/российских IP, идёт через VPN. Подходит, если хочется максимально много трафика через туннель.
• global — весь трафик через VPN. Самое простое, но если сервер ляжет — интернет на всём роутере пропадёт.

Для большинства подойдёт gfwlist: быстро, не ломает Сбербанк/Госуслуги, и трафик через VPN минимальный — лимита подписки хватит надолго.

Шаг 4. Проверить работу

1. Откройте на телефоне, подключённом к Wi-Fi роутера, youtube.com.
2. Зайдите на 2ip.ru — если режим chnroute/global, увидите IP сервера VPN. Если gfwlist — увидите свой обычный IP, и это нормально (YouTube идёт через VPN, а 2ip.ru — нет).
3. В Passwall есть тест соединения: Узлы → Список узлов → ↻. Покажет задержку и ошибки.

Что может пойти не так

• Скорость 5 Мбит/с при 100 Мбит на канале. Скорее всего, на роутере не хватает CPU. Xray шифрование на MIPS — это боль. Решение: роутер помощнее.
• Узлы добавились, но не подключаются. Проверьте дату/время на роутере (date в SSH) — Reality чувствителен к рассинхрону больше 1 минуты. Поставьте ntp через opkg.
• YouTube открывается, а Instagram нет. gfwlist устарел — обновите его в Passwall (Базовые → Обновить правила).
• Интернет пропал совсем. Выключите Passwall тумблером, проверьте, что доступ есть. Если нет — кривая прошивка, нужен factory reset (зажать reset 10 сек).

Сравнение с VPN на каждом устройстве

• Плюсы роутера: один раз настроил — работает всем. Smart TV, игровые приставки, IoT — никаких лишних клиентов. Меньше нагрузки на батарею телефона.
• Минусы: скорость через дешёвый роутер хуже, чем через прямое подключение со смартфона. Сложнее переключать страны (нужно лезть в LuCI). При отказе сервера интернет дома пропадает.

Оптимальная схема: роутер + клиент на телефоне. Дома весь трафик через роутер, а в дороге — Happ на смартфоне. В TrayVPN базовая подписка на 3 устройства покрывает оба сценария.

Часто задаваемые вопросы

Можно ли поставить Passwall без OpenWRT — на стоковой прошивке?

Нет. Passwall — пакет под OpenWRT. На прошивках Asus / Keenetic / TP-Link есть свои VPN-модули, но они работают только с OpenVPN / WireGuard, а эти протоколы давно режутся DPI. VLESS Reality на стоковой прошивке невозможен.

Подойдёт ли Keenetic с прошивкой Entware?

Технически можно скомпилировать Xray и запустить вручную, но это дикий хардкор. Если у вас Keenetic — проще купить отдельный роутер под OpenWRT за 1500 ₽ и пустить через него только Wi-Fi, оставив Keenetic как ISP-роутер.

Сколько устройств можно подключить к роутеру?

Сколько угодно — в подписке роутер считается одним устройством. То есть в базовом тарифе TrayVPN (149 ₽/мес, 3 устройства) у вас остаётся ещё 2 слота на телефон и ноутбук.

Итог

OpenWRT + Passwall + VLESS Reality — это самая универсальная связка для домашнего VPN в 2026 году. Один раз настроили — и Smart TV, телефоны, ноутбуки и приставки работают без блокировок без лишних приложений. Если нужен сервис с готовым роутер-режимом под Passwall — TrayVPN даёт subscription-ссылку прямо в личном кабинете (тип устройства «Линукс»).

Важное обновление за май 2026: в Passwall выбирайте конфиги с транспортом gRPC или XHTTP, а не голый TCP — ТСПУ начал детектить наивный VLESS+TCP+Reality. Почему и что делать — разбор волны блокировок и фикс.