VPN на OpenWrt — PBR, sing-box и безопасный откат

Быстрый ответ: не переводите весь дом через VPN первым шагом. Сначала сделайте backup OpenWrt, отправьте через VPN одно устройство или отдельный SSID, оставьте LAN и админку direct, проверьте откат и только потом усложняйте PBR или sing-box.

Какая схема безопасна для дома

Роутерный VPN хорош, когда телевизор, приставка или отдельное устройство должны идти через туннель без ручного включения клиента. Но плохая настройка ломает банки, принтеры, локальные NAS и доступ к самому роутеру. Поэтому домашняя схема должна быть не «всё через VPN», а управляемая маршрутизация.

Перед началом: backup и карта сети

1. В LuCI скачайте System → Backup / Flash Firmware → Generate archive.
2. Запишите IP роутера, LAN-подсеть и адрес устройства, которое пойдёт через VPN.
3. Сделайте DHCP reservation для телевизора/приставки.
4. Проверьте скорость и доступ к роутеру без VPN.
5. Подготовьте кабельный доступ или запасной Wi‑Fi, если PBR сломает маршрут.

PBR: начать с одного устройства

Policy-based routing нужен, чтобы не гонять весь дом через туннель. Начните с одного IP, например телевизора. Если всё хорошо, позже можно расширять на отдельный SSID.

Name: TV via Foli
Local addresses: 192.168.1.50
Remote addresses: пусто для всего трафика устройства
Interface: vpnclient / tun0 / wg0
Enabled: true

После сохранения проверьте три вещи: телевизор идёт через VPN, телефон в обычной сети идёт direct, админка роутера открывается. Если любой пункт сломан — откатывайте политику, а не добавляйте новые.

Отдельный SSID Foli-TV

Если устройств несколько, удобнее сделать отдельную Wi‑Fi-сеть. Пользовательский смысл простой: обычная сеть — direct, сеть Foli-TV — через VPN. Это проще объяснить семье, чем правила по MAC/IP для каждого устройства.

SSID: Foli-TV
Subnet: 192.168.50.0/24
PBR source: 192.168.50.0/24
PBR interface: vpnclient / tun0
LAN/router access: direct or explicitly blocked for guest mode

sing-box TUN: когда пора

sing-box TUN и auto_route/auto_redirect полезны, когда нужна более гибкая маршрутизация. Но это уже уровень, где ошибка в DNS или nftables может оставить отдельную сеть без интернета. Используйте sing-box после того, как поняли PBR и имеете backup.

{
  "inbounds": [{
    "type": "tun",
    "interface_name": "tun0",
    "auto_route": true,
    "auto_redirect": true
  }],
  "route": {
    "rules": [
      { "ip_cidr": ["192.168.0.0/16"], "outbound": "direct" },
      { "domain_suffix": ["local"], "outbound": "direct" }
    ]
  }
}

Это не готовый конфиг для копирования. Реальный outbound, DNS и подписка зависят от вашего образа OpenWrt, пакетов и способа импорта Foli.

Проверка после настройки

• С устройства через VPN откройте «Мой IP».
• С обычного телефона в домашней сети проверьте, что IP остался direct.
• Откройте админку роутера и локальные устройства.
• Выключите VPN-интерфейс и убедитесь, что понимаете поведение strict/fallback.
• Сохраните рабочий backup после успешной настройки.

Шаблон заметки для себя

OpenWrt version: ...
VPN interface: ...
PBR policy: source ... → interface ...
Devices via VPN: ...
LAN direct exceptions: ...
Rollback: disable policy / restore backup file ...

FAQ

Можно ли пустить весь дом через VPN?

Можно, но это плохой первый шаг. Начните с одного устройства или отдельного SSID, иначе сложно понять, что именно сломалось.

Нужен ли strict enforcement?

Только если вы осознанно хотите, чтобы выбранные устройства оставались без интернета при падении VPN. Для семьи чаще лучше понятный fallback или отдельная сеть.

Где взять профиль Foli для роутера?

Начните с Telegram-бота или кабинета Foli, проверьте подписку на телефоне, затем переносите её в роутерный клиент.