Konfiguracja klienta VLESS na OpenWRT: Kieruj cały ruch przez Xray
Uruchomienie VLESS na poziomie routera oznacza, że każde urządzenie w Twojej sieci korzysta z proxy — smartfony, smart TV, urządzenia IoT — bez instalowania oprogramowania klienckiego. Ten przewodnik obejmuje instalację xray-core i sing-box na OpenWRT.
Ten poradnik prowadzi do konfiguracji routera OpenWrt, która kieruje wybrany ruch sieciowy przez proxy VLESS lub Xray. Jest dla użytkowników chcących routingu na poziomie routera dla wielu urządzeń, labów albo automatyzacji, i obejmuje wymagania, instalację Xray, konfigurację, DNS oraz weryfikację.
Spis treści
Wymagania wstępne
Potrzebujesz routera OpenWRT z co najmniej 16 MB pamięci flash i 128 MB RAM. Sprawdź model swojego routera na openwrt.org, aby potwierdzić kompatybilność. Przewodnik był testowany na OpenWRT 23.05 z routerem GL.iNet.
Wymagane pakiety: xray-core (lub sing-box jako alternatywa), iptables-nft, dnsmasq-full (zastąp dnsmasq). Wymagany jest dostęp SSH do routera.
Zainstaluj xray-core na OpenWRT
Połącz się przez SSH: ssh root@192.168.1.1. Następnie zainstaluj xray-core: opkg update && opkg install xray-core. Jeśli xray-core nie jest w repozytorium opkg dla Twojego buildu, pobierz plik binarny arm/mipsle z GitHub i umieść go w /usr/bin/xray.
Utwórz katalog konfiguracji: mkdir -p /etc/xray. Główny plik konfiguracyjny będzie w /etc/xray/config.json.
Konfiguracja klienta VLESS
Utwórz /etc/xray/config.json z konfiguracją inbound i outbound VLESS. Inbound obsługuje lokalny ruch (SOCKS5 na porcie 1080 + przezroczyste proxy na porcie 1081), outbound łączy się z Twoim serwerem VLESS.
Struktura config.json
{ "inbounds": [{"port": 1080, "protocol": "socks"}, {"port": 1081, "protocol": "dokodemo-door", "settings": {"followRedirect": true}'}], "outbounds": [{"protocol": "vless", "settings": {"vnext": [{"address": "YOUR_SERVER", "port": 443, "users": [{"id": "YOUR_UUID", "encryption": "none", "flow": "xtls-rprx-vision"}]}]}, "streamSettings": {"network": "tcp", "security": "reality", "realitySettings": {"fingerprint": "chrome", "serverName": "YOUR_SNI", "publicKey": "YOUR_PUBKEY"}'}'}] }Proxy Poland zapewnia dedykowane polskie proxy mobilne 4G/5G z obsługą VLESS/Xray. Prawdziwe karty SIM, rotacja IP 1,8s, 99,6% uptime.
Reguły routingu z iptables
Aby przechwycić cały ruch TCP/UDP i kierować go przez xray, dodaj reguły iptables. Utwórz /etc/firewall.user z regułami PREROUTING, które przekierowują ruch na port 1081 (dokodemo-door), z wyjątkiem lokalnych i zarezerwowanych IP.
Dodaj xray do uruchamiania: /etc/init.d/xray enable. Uruchom usługę: /etc/init.d/xray start. Sprawdź logi: logread | grep xray.
Zapobieganie wyciekom DNS
Bez zapobiegania wyciekom DNS, zapytania DNS idą poza proxy i ujawniają Twoją rzeczywistą lokalizację. Skonfiguruj dnsmasq, aby przekazywał wszystkie zapytania przez DNS xray: w /etc/dnsmasq.conf ustaw server=127.0.0.1#5300 i disable-systemd-resolved.
Dodaj inbound DNS do konfiguracji xray na porcie 5300, który przekazuje zapytania przez outbound VLESS. Przetestuj w proxypoland.com/tools/dns-leak-test — wszystkie serwery DNS powinny pokazywać polskie IP.
Weryfikacja
Z dowolnego urządzenia w Twojej sieci odwiedź proxypoland.com/tools/proxy-checker. Twoje IP powinno być polskim mobilnym IP operatora. Wykonaj test prędkości — zazwyczaj zobaczysz 20-40 Mbps przez VLESS Reality na wydajnym routerze.
Oficjalne źródła
Najczęściej zadawane pytania
Co jest lepsze dla OpenWRT — xray-core czy sing-box?+
Oba obsługują VLESS Reality. xray-core jest bardziej dojrzały i lepiej udokumentowany. sing-box ma prostszy format konfiguracji JSON i lepszą wydajność UDP. Dla większości użytkowników zaczynających przygodę, xray-core jest łatwiejszy do szukania pomocy.
Czy VLESS na OpenWRT spowalnia moją sieć?+
Szyfrowanie ma koszt dla CPU. Na starszych routerach MIPS możesz zaobserwować 10-20% redukcję przepustowości. Nowoczesne routery ARM (GL.iNet Beryl AX, Banana Pi R4) obsługują VLESS Reality z pełną prędkością łącza. Jeśli prędkość jest krytyczna, użyj przepływu XTLS-Vision, który odciąża część przetwarzania.
Mój router OpenWRT nie ma xray-core w opkg. Co zrobić?+
Pobierz prekompilowany plik binarny xray dla architektury swojego CPU z github.com/XTLS/Xray-core/releases. Dopasuj architekturę: MIPS24kc dla większości starszych routerów, ARM v7/v8 dla nowoczesnych. Umieść w /usr/bin/xray i nadaj uprawnienia chmod +x.
Czy mogę kierować przez VLESS tylko niektóre urządzenia na OpenWRT?+
Tak. W regułach PREROUTING iptables, dopasuj po adresie IP źródła lub adresie MAC zamiast kierować cały ruch. Przykład: dodaj -s 192.168.1.50, aby kierować tylko jedno urządzenie przez VLESS, podczas gdy inne urządzenia korzystają ze zwykłego internetu.
Czy Proxy Poland obsługuje protokół VLESS?+
Tak. Każdy plan Proxy Poland obejmuje dostęp do protokołu VLESS/Xray. Otrzymujesz ciąg połączenia VLESS Reality wraz z subskrypcją. Protokół działa na porcie 443 z kamuflażem Reality, co czyni go odpornym na głęboką inspekcję pakietów.
Czy każdy router obsługuje OpenWrt do konfiguracji mobile proxy?+
Nie — OpenWrt jest kompatybilny z określonymi chipsetami: TP-Link z chipsetem Qualcomm/Atheros, GL.iNet (sprzedawany z OpenWrt), Linksys WRT, Netgear R7800 i inne. Sprawdź tabelę wsparcia sprzętu na openwrt.org dla swojego modelu. Routery z nieobsługiwanymi chipsetami (starsze MediaTek MT7621, Broadcom z zastrzeżonym firmware) mogą nie mieć stabilnych buildów OpenWrt z obsługą OpenVPN lub Xray.
Jak zainstalować OpenVPN na routerze OpenWrt i podłączyć do Proxy Poland?+
SSH na router: opkg update && opkg install openvpn-openssl luci-app-openvpn. W LuCI (web UI): Usługi → OpenVPN → Prześlij plik .ovpn z dashboardu Proxy Poland → Włącz. Alternatywnie przez SSH: scp profil.ovpn na /etc/openvpn/, edytuj /etc/config/openvpn wskazując na plik, uruchom /etc/init.d/openvpn start. Zweryfikuj tunel: ifconfig tun0 powinien pokazać adres tunelu, ip route powinien pokazać routing przez tun0.
Jak podzielić ruch (split tunneling) na OpenWrt — część przez proxy, część bezpośrednio?+
Utwórz osobny interfejs OpenWrt (np. vpn_client ze strefą firewall vpn). Przydziel wybrane urządzenia LAN do tej strefy przez policy routing lub przypisanie interfejsu VLAN. Ruch ze strefy vpn przechodzi przez OpenVPN/Xray do modemu Proxy Poland; ruch z innych stref wychodzi normalnie. Dla bardziej granularnego routingu po domenie użyj dnsmasq z adresem /example.com/VPN_DNS aby przesyłać określone domeny przez tunel.
Czy Xray (VLESS) działa na starszych routerach OpenWrt z 64 MB RAM?+
Minimalnie — Xray-core wymaga około 30–50 MB RAM przy uruchomieniu, co pozostawia 10–30 MB dla systemu OpenWrt. W praktyce routery z 64 MB często doświadczają OOM przy szczytowym obciążeniu tunelu. Sprawdzone minimum to 128 MB RAM (np. GL.iNet GL-AR750S, TP-Link Archer C7). Dla routerów poniżej 128 MB użyj OpenVPN zamiast Xray — ma niższy footprint pamięci.
Jak debugować problemy z połączeniem OpenVPN na OpenWrt?+
logread -f | grep -i openvpn pokaże logi w czasie rzeczywistym. Typowe przyczyny: (1) Czas: upewnij się, że router synchronizuje NTP przed startem OpenVPN. (2) DNS: dodaj dhcp-option DNS 1.1.1.1 do pliku .ovpn jeśli DNS wycieka przez WAN. (3) MTU: dodaj mssfix 1450 żeby zapobiec fragmentacji na połączeniach LTE. (4) Zapora: sprawdź, że reguły iptables pozwalają na ruch z tun0.
Czy mogę uruchomić ad blocker i mobile proxy jednocześnie na OpenWrt?+
Tak — AdBlock lub AdGuard Home w OpenWrt może współistnieć z tunelem OpenVPN/Xray. AdBlock filtruje DNS przed wyjściem przez tunel. Upewnij się, że konfiguracja DNS AdBlock wskazuje na interfejs tunelu lub używa IP modemu Proxy Poland jako upstream, żeby żądania DNS były też tunelowane. Jeśli używasz AdGuard Home, skonfiguruj go jako proxy DNS na porcie 53 i skieruj jego upstream do DNS przez VPN.
Jak zaktualizować firmware OpenWrt bez utraty konfiguracji proxy?+
W LuCI: System → Backup/Flash Firmware → Pobierz backup (pobiera /etc/config jako tar). Flash nowy firmware z opcją Zachowaj ustawienia. Większość konfiguracji przetrwa, ale pakiety (openvpn, xray-core) muszą być ponownie zainstalowane po upgrade. Alternatywnie: sysupgrade -c /tmp/firmware.bin (flaga -c zachowuje konfigurację). Zweryfikuj konfigurację proxy po reboot i przetestuj łączność z modemem Proxy Poland.
Uzyskaj dostęp VLESS
Potrzebujesz serwera proxy VLESS do połączenia?
Proxy Poland zapewnia dedykowane polskie proxy mobilne 4G/5G z obsługą VLESS/Xray. Prawdziwe karty SIM, rotacja IP 1,8s, 99,6% uptime.