🍓 Решение на Raspberry Pi: VODKA
🔹 1. 🔵 Keenetic (KeeneticOS 3.9+) — Самый простой способ
Почему лучший выбор: Единственная массовая прошивка с нативной поддержкой SOCKS5+Auth через веб-интерфейс.
📋 Предварительные требования
- Роутер с KeeneticOS 3.9 или новее (проверьте:
Система → Обновления) - Доступ к веб-интерфейсу (обычно
192.168.1.1илиmy.keenetic.net) - Данные прокси:
IP-адрес:порт,логин,пароль
🔧 Пошаговая настройка
Шаг 1: Установка компонента «Прокси-клиент»
- Зайдите в веб-интерфейс роутера
- Перейдите:
Управление→Параметры системы→Обновления и компоненты→Изменить набор компонентов - В поиске введите
proxy - ✅ Отметьте галочкой Прокси-клиент
- (Опционально) Также отметьте DNS-сервер и DNS-over-TLS/HTTPS. При использовании Rich Proxy проксирование DNS работает "из коробки" на стороне наших серверов, поэтому дополнительная защита DNS не обязательна.
- Нажмите Установить обновление → роутер перезагрузится (2-3 минуты)
Шаг 2: Создание прокси-подключения
- После перезагрузки перейдите:
Интернет→Другие подключения→Прокси-подключения - Нажмите Добавить подключение
- Заполните форму:
- 🔸 Имя: Любое (например,
MySOCKS5) - 🔸 Протокол:
SOCKS v5 - 🔸 Адрес сервера: IP-адрес или домен (например,
1.2.3.4) - 🔸 Порт: Порт прокси (например,
1080) - 🔸 Аутентификация: Пароль
- 🔸 Имя пользователя: Ваш логин
- 🔸 Пароль: Ваш пароль
- 🔸 Использовать для доступа в Интернет: ✅ Включено
- 🔸 Имя: Любое (например,
- Нажмите Сохранить
Шаг 3: Настройка DNS через прокси (Опционально для Rich Proxy)
Важно: При использовании сторонних прокси без этого шага запросы доменных имён (DNS) пойдут в обход прокси, что приведёт к утечке данных провайдеру. Однако, при использовании серверов Rich Proxy DNS-запросы автоматически резолвятся внутри защищенного SOCKS5 туннеля. Этот шаг можно пропустить! Если вы всё же хотите дополнительно настроить DoT (DNS-over-TLS), следуйте инструкции ниже.
- Перейдите:
Сетевые правила→DNS-серверы - Нажмите Добавить сервер
- Настройте:
- 🔸 Тип: DNS-over-TLS (или DNS-over-HTTPS)
- 🔸 Адрес:
9.9.9.9(Quad9) или1.1.1.1(Cloudflare) - 🔸 Домен для проверки:
dns.quad9.net(для Quad9) - 🔸 Использовать подключение: [выберите ваше прокси-подключение]
- Нажмите Сохранить
- В разделе
Параметры DNSубедитесь, что ваш новый сервер выше в списке приоритета
Шаг 4: Приоритет подключений
- Перейдите:
Приоритеты подключений - Найдите ваше прокси-подключение в списке
- Перетащите его вверх — выше, чем основное подключение (PPPoE, DHCP и т.д.)
- Нажмите Сохранить
💡 Теперь весь трафик будет идти через SOCKS5-прокси.
Шаг 5: Проверка работы
- Подключите любое устройство к сети роутера
- Откройте браузер, перейдите на
2ip.ruилиwhoer.net - Вы должны видеть IP-адрес прокси, а не ваш реальный
- Проверьте утечки DNS на
dnsleaktest.com— в списке не должно быть вашего провайдера
🔹 2. 🟢 GL.iNet (OpenWRT с удобным интерфейсом)
Почему популярен: Готовый OpenWRT с графическим интерфейсом + возможность установки пакетов через консоль.
📋 Предварительные требования
- Роутер GL.iNet (Flint, Beryl, Slate, Mango)
- Доступ к веб-интерфейсу (
192.168.8.1) - Включён доступ по SSH (по умолчанию включён)
Способ А: Через веб-интерфейс (плагин)
Шаг 1: Установка плагина (если доступен)
- Зайдите в веб-интерфейс
- Перейдите:
Плагины→ найдите Shadowsocks, V2Ray или RedSocks - Нажмите Установить
- После установки перейдите в настройки плагина
Шаг 2: Настройка SOCKS5
- В плагине создайте новый сервер:
Тип: SOCKS5
Сервер: 1.2.3.4
Порт: 1080
Авторизация: Логин/Пароль
Пользователь: ваш_логин
Пароль: ваш_пароль - Включите Глобальный прокси или настройте правила маршрутизации
- Сохраните и активируйте
⚠️ Не все плагины поддерживают SOCKS5 с авторизацией. Если ваш плагин не подходит — используйте Способ Б.
Способ Б: Через консоль + redsocks2 (универсальный)
Шаг 1: Подключение по SSH
ssh [email protected]
# Пароль по умолчанию: тот же, что от веб-интерфейса
Шаг 2: Установка пакетов
opkg update
opkg install redsocks2 iptables-mod-tproxy kmod-ipt-tproxy
Шаг 3: Настройка redsocks2
Откройте конфиг: vi /etc/redsocks2.conf
Замените содержимое на:
base {
log_debug = off;
log_info = off;
log = stderr;
daemon = on;
redirector = iptables;
}
redsocks {
bind = "192.168.8.1:12345";
relay = "1.2.3.4:1080";
type = socks5;
login = "ваш_логин";
password = "ваш_пароль";
autoproxy = 0;
timeout = 10;
}
Сохраните: :wq в vi.
Шаг 4: Настройка iptables
# Создаём цепочку iptables -t nat -N REDSOCKS # Исключаем локальные сети iptables -t nat -A REDSOCKS -d 0.0.0.0/8 -j RETURN iptables -t nat -A REDSOCKS -d 10.0.0.0/8 -j RETURN iptables -t nat -A REDSOCKS -d 127.0.0.0/8 -j RETURN iptables -t nat -A REDSOCKS -d 169.254.0.0/16 -j RETURN iptables -t nat -A REDSOCKS -d 172.16.0.0/12 -j RETURN iptables -t nat -A REDSOCKS -d 192.168.0.0/16 -j RETURN iptables -t nat -A REDSOCKS -d 224.0.0.0/4 -j RETURN iptables -t nat -A REDSOCKS -d 240.0.0.0/4 -j RETURN # Перенаправляем трафик на redsocks iptables -t nat -A REDSOCKS -p tcp -j REDIRECT --to-ports 12345 # Применяем к трафику с LAN (интерфейс обычно br-lan) iptables -t nat -A PREROUTING -i br-lan -p tcp -j REDSOCKS
Шаг 5: Запуск и автозагрузка
# Запустить redsocks2 /etc/init.d/redsocks2 start # Включить автозагрузку /etc/init.d/redsocks2 enable # Проверить статус /etc/init.d/redsocks2 status
Шаг 6: Настройка DNS (Опционально для Rich Proxy)
# С Rich Proxy все DNS-запросы автоматически резолвятся безопасно внутри туннеля. # Вы можете смело пропустить этот шаг! # При использовании сторонних прокси рекомендуется установить dnscrypt-proxy: opkg install dnscrypt-proxy # И настроить /etc/config/dnscrypt-proxy
Шаг 7: Проверка
# С любого устройства в сети: curl https://api.ipify.org # должен показать IP-адрес прокси nslookup google.com # должен резолвиться через прокси
🔄 Сохранение правил iptables после перезагрузки
GL.iNet на OpenWRT может сбрасывать правила после перезагрузки. Создайте скрипт /etc/firewall.user:
#!/bin/sh # Этот файл выполняется после загрузки правил фаервола # Повторно применяем правила для redsocks iptables -t nat -N REDSOCKS 2>/dev/null || true iptables -t nat -F REDSOCKS # ... (все правила из Шага 4) ...
Сделайте его исполняемым: chmod +x /etc/firewall.user
🔹 3. 🟡 OpenWRT (универсальный способ)
Поддерживаемые модели: Таблица оборудования — TP-Link Archer C7, Xiaomi Mi Router 4A, Netgear R7800 и сотни других.
📋 Предварительные требования
- Установлен OpenWRT (проверьте версию: 21.02 или новее)
- Доступ по SSH
- Базовые знания Linux
🔧 Пошаговая настройка
Шаг 1: Установка пакетов
ssh [email protected] opkg update opkg install redsocks2 iptables iptables-mod-tproxy kmod-ipt-tproxy
Шаг 2: Конфигурация redsocks2
Откройте: vi /etc/redsocks2.conf
base {
log_debug = off;
log_info = off;
log = syslog;
daemon = on;
redirector = iptables;
}
redsocks {
bind = "192.168.1.1:12345";
relay = "1.2.3.4:1080";
type = socks5;
login = "ваш_логин";
password = "ваш_пароль";
autoproxy = 0;
timeout = 10;
}
Шаг 3: Настройка iptables
# Создаём цепочку
iptables -t nat -N REDSOCKS
# Исключаем локальные адреса (обязательно!)
for net in 0.0.0.0/8 10.0.0.0/8 127.0.0.0/8 169.254.0.0/16 172.16.0.0/12 192.168.0.0/16 224.0.0.0/4 240.0.0.0/4; do
iptables -t nat -A REDSOCKS -d $net -j RETURN
done
# Перенаправляем остальной TCP-трафик
iptables -t nat -A REDSOCKS -p tcp -j REDIRECT --to-ports 12345
# Применяем к исходящему трафику (замените br-lan на ваш интерфейс)
iptables -t nat -A PREROUTING -i br-lan -p tcp -j REDSOCKS
💡 Узнать имя интерфейса: ip link show или ifconfig
Шаг 4: Проверка работы redsocks2
# Запустить вручную для теста redsocks2 -c /etc/redsocks2.conf # В другом терминале проверить: curl --socks5 192.168.1.1:12345 https://api.ipify.org
Шаг 5: Настройка автозапуска
Создайте /etc/init.d/redsocks2:
#!/bin/sh /etc/rc.common
START=99
STOP=01
start() {
/usr/sbin/redsocks2 -c /etc/redsocks2.conf
}
stop() {
killall redsocks2 2>/dev/null
iptables -t nat -F REDSOCKS 2>/dev/null
iptables -t nat -X REDSOCKS 2>/dev/null
}
chmod +x /etc/init.d/redsocks2 /etc/init.d/redsocks2 enable /etc/init.d/redsocks2 start
Шаг 6: Сохранение iptables-правил
OpenWRT не сохраняет правила iptables после перезагрузки по умолчанию.
Вариант А: Через пакет iptables-persistent
opkg install iptables-persistent /etc/init.d/iptables-persistent save
Вариант Б: Через /etc/firewall.user
vi /etc/firewall.user
Добавьте в конец файла:
# Правила для redsocks iptables -t nat -N REDSOCKS 2>/dev/null || true iptables -t nat -F REDSOCKS # ... все правила из Шага 3 ...
Шаг 7: Настройка DNS (Опционально для Rich Proxy)
При использовании Rich Proxy этот шаг можно пропустить, так как DNS безопасно резолвится на стороне прокси-сервера. Для сторонних непроверенных прокси:
# Установите dnscrypt-proxy opkg install dnscrypt-proxy # Настройте /etc/config/dnscrypt-proxy vi /etc/config/dnscrypt-proxy
Пример минимальной конфигурации:
config dnscrypt-proxy
option address '127.0.0.1:5353'
option port '5353'
option resolv_conf '/tmp/resolv.conf.auto'
Затем в /etc/config/dhcp:
config dnsmasq
option noresolv '1'
option server '127.0.0.1#5353'
Перезапустите службы:
/etc/init.d/dnsmasq restart /etc/init.d/dnscrypt-proxy restart
Шаг 8: Финальная проверка
# Проверка внешнего IP-адрес curl https://api.ipify.org # Проверка DNS nslookup google.com # Онлайн-проверка: с устройства в сети откройте # - https://ipleak.net # - https://dnsleaktest.com
🔹 4. 🔵 ASUS Merlin + Entware
Поддерживаемые модели: RT-AX86U, RT-AX88U, GT-AX11000, RT-AC86U и другие из списка совместимости.
📋 Предварительные требования
- Установлена прошивка ASUS Merlin
- Включён доступ по SSH (
Администрирование → Система → Включить SSH) - Установлен Entware (через amtm)
🔧 Пошаговая настройка
Шаг 1: Установка Entware (если ещё нет)
# Подключитесь по SSH ssh [email protected] # Установите amtm (менеджер для Merlin) curl -sL https://raw.githubusercontent.com/SomeWhereOverTheRainBow/asuswrt-merlin.entware/master/amtm.sh | sh # В меню amtm выберите установку Entware
Шаг 2: Установка redsocks или proxychains
# Обновите списки пакетов opkg update # Установите redsocks opkg install redsocks # Или proxychains-ng для отдельных команд opkg install proxychains-ng
Шаг 3: Настройка redsocks
vi /opt/etc/redsocks.conf
base {
log_debug = off;
log_info = off;
log = "syslog:daemon";
daemon = on;
redirector = iptables;
}
redsocks {
bind = "192.168.1.1:12345";
relay = "1.2.3.4:1080";
type = socks5;
login = "ваш_логин";
password = "ваш_пароль";
autoproxy = 0;
timeout = 10;
}
Шаг 4: Запуск redsocks
# Запустить вручную /opt/etc/init.d/S99redsocks start # Проверить статус ps | grep redsocks
Шаг 5: Настройка iptables
# Те же правила, что и для OpenWRT iptables -t nat -N REDSOCKS iptables -t nat -A REDSOCKS -d 192.168.0.0/16 -j RETURN # ... остальные исключения ... iptables -t nat -A REDSOCKS -p tcp -j REDIRECT --to-ports 12345 iptables -t nat -A PREROUTING -i br0 -p tcp -j REDSOCKS
💡 На ASUS Merlin основной интерфейс обычно br0, а не br-lan
Шаг 6: Автозагрузка
Создайте скрипт /jffs/scripts/services-start:
#!/bin/sh # Этот скрипт выполняется после загрузки системы # Ждём, пока поднимется сеть sleep 30 # Запускаем redsocks /opt/etc/init.d/S99redsocks start # Применяем правила iptables iptables -t nat -N REDSOCKS 2>/dev/null || true # ... ваши правила ...
chmod +x /jffs/scripts/services-start
Шаг 7: Проверка
Аналогично предыдущим инструкциям:
curl https://api.ipify.org nslookup google.com
🔹 5. 🟣 MikroTik RouterOS (v7.x)
Почему профессионалы выбирают: Мощность, гибкость, стабильность 24/7.
📋 Предварительные требования
- RouterOS 7.x (функция Socksify доступна с версии 7.1)
- Доступ через WinBox или SSH
- Базовое понимание правил фаервола MikroTik
Способ А: Нативная функция Socksify
Шаг 1: Создание сервиса socksify
# Через терминал (WinBox: New Terminal)
/ip socksify
add name=MyProxy \
socks5-server=1.2.3.4 \
socks5-port=1080 \
socks5-user=ваш_логин \
socks5-password=ваш_пароль \
connection-timeout=30 \
disabled=no
Шаг 2: Разрешение входящих подключений к сервису
/ip firewall filter add action=accept chain=input dst-port=952 protocol=tcp src-address=192.168.88.0/24 comment="Allow SOCKSIFY from LAN"
Порт 952 — стандартный для сервиса socksify
Шаг 3: Перенаправление трафика через socksify
# Проксировать веб-трафик (порт 80, 443) с локальной сети
/ip firewall nat
add action=socksify \
chain=dstnat \
dst-port=80,443 \
protocol=tcp \
socksify-service=MyProxy \
src-address=192.168.88.0/24 \
comment="Proxy web traffic"
Шаг 4: Проверка
# С устройства в сети: curl https://api.ipify.org
⚠️ Ограничение:
Socksify в MikroTik работает только для исходящего трафика и только через правила NAT. Не все протоколы поддерживаются.
Способ Б: Контейнер с redsocks (RouterOS 7.12+)
Если у вас RouterOS 7.12+ с поддержкой контейнеров:
Шаг 1: Подготовка образа
# Скачайте или соберите образ с redsocks # Пример: создайте Dockerfile на ПК FROM alpine:latest RUN apk add --no-cache redsocks iptables COPY redsocks.conf /etc/redsocks.conf ENTRYPOINT ["/usr/sbin/redsocks", "-c", "/etc/redsocks.conf"]
Шаг 2: Загрузка образа на роутер
# Через SCP или загрузку в файловую систему
Шаг 3: Запуск контейнера
/container add interface=bridge-local root-dir=redsocks logging=yes start [find]
Шаг 4: Настройка перенаправления трафика
# Перенаправляем трафик на контейнер
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=80,443 protocol=tcp \
to-addresses=172.17.0.2 to-ports=12345 \
comment="Redirect to redsocks container"
⚠️ Контейнеры в RouterOS — продвинутая функция, требующая глубокого понимания сетей.
📊 Сводная таблица: сложность и возможности
| Платформа | Сложность | Авторизация | Прозрачная проксификация | Автозапуск | Идеально для |
|---|---|---|---|---|---|
| Keenetic | ⭐ Низкая | ✅ Нативно | ✅ Через приоритеты | ✅ Автоматически | Дом, малый офис |
| GL.iNet | ⭐⭐ Средняя | ✅ Через пакеты | ✅ redsocks | ⚠️ Требует настройки | Путешествия, энтузиасты |
| OpenWRT | ⭐⭐⭐ Высокая | ✅ redsocks2 | ✅ Полная | ⚠️ Через скрипты | Продвинутые пользователи |
| ASUS Merlin | ⭐⭐ Средняя | ✅ Entware | ✅ redsocks | ⚠️ Через services-start | Геймеры, домашние сети |
| MikroTik | ⭐⭐⭐⭐ Очень высокая | ✅ Socksify | ⚠️ Через NAT/контейнеры | ✅ Автоматически | Корпоративные сети |
🔐 Критически важные рекомендации для всех платформ
1. Защита от утечек DNS (Решено в Rich Proxy)
При использовании обычных прокси всегда настраивайте DNS, чтобы провайдер не видел ваши запросы. Однако с серверами Rich Proxy все DNS-запросы автоматически обрабатываются внутри защищенного туннеля, поэтому дополнительная настройка DoT/DoH не требуется!
Если вы используете сторонние прокси:
- Keenetic: DNS-over-TLS с привязкой к прокси-подключению
- OpenWRT/GL.iNet: dnscrypt-proxy или DoH через redsocks
- MikroTik:
/ip dns set use-doh-server=...с прокси
2. Исключение локальных адресов
Никогда не проксируйте локальную сеть — это сломает доступ к роутеру, принтерам, умному дому:
iptables -t nat -A REDSOCKS -d 192.168.0.0/16 -j RETURN
3. Резервный доступ
Перед настройкой прозрачной проксификации:
- Сохраните текущую конфигурацию
- Убедитесь, что есть доступ по консоли (не только по сети)
- Протестируйте в виртуальной машине, если возможно
4. Проверка после настройки
# Обязательный чек-лист: # 1. Внешний IP-адрес: curl https://api.ipify.org # 2. Утечки DNS: nslookup google.com # или онлайн: dnsleaktest.com # 3. WebRTC-утечки (для браузеров): # Откройте https://browserleaks.com/webrtc
5. Мониторинг и логи
# OpenWRT/GL.iNet: logread | grep redsocks # Keenetic: # Веб-интерфейс → Система → Журнал # MikroTik: /log print
🚨 Чего делать НЕ стоит
- ❌ Не настраивайте «вслепую» — всегда имейте резервный доступ к роутеру (консоль, второй канал управления).
- ❌ Не проксируйте локальный трафик — исключите 192.168.0.0/16, 10.0.0.0/8, 127.0.0.0/8 из правил.
- ❌ Не игнорируйте DNS (со сторонними прокси) — без DoT/DoH через прокси ваши запросы видны провайдеру. С Rich Proxy эта проблема решена.
- ❌ Не используйте публичные бесплатные SOCKS5 — они часто логируют трафик. Для роутера используйте платные приватные прокси.
- ❌ Не забывайте про автозагрузку — после перезагрузки роутера правила iptables могут сброситься.
💡 Быстрый выбор: какой роутер под вашу задачу?
-
🏠 Дом, нужна простота и надёжность?
→ Keenetic с компонентом Прокси-клиент
Пошагово: веб-интерфейс → компоненты → прокси → приоритеты -
✈️ Часто путешествуете, нужен компактный роутер?
→ GL.iNet Beryl/Mango
Пошагово: веб-интерфейс или SSH + redsocks -
🔧 Любите полный контроль, не боитесь консоли?
→ Любое устройство с OpenWRT + redsocks2
Пошагово: SSH → пакеты → конфиг → iptables → автозапуск -
🎮 Геймер с роутером ASUS?
→ Прошивка Merlin + Entware + redsocks
Пошагово: amtm → opkg → конфиг → services-start -
🏢 Корпоративная сеть, нужна стабильность?
→ MikroTik с Socksify или контейнером
Пошагово: WinBox → /ip socksify → правила NAT
💡
Финальный совет:
Если вы настраиваете прокси на роутере впервые — начните с Keenetic или GL.iNet. Они дают лучший баланс между функциональностью и простотой. Если позже понадобится больше гибкости — переходите на OpenWRT.
Нашли ошибку или метод не работает?
Технологии постоянно меняются. Если руководство устарело, вы столкнулись с проблемой или что-то не работает — дайте нам знать! Мы оперативно проверим информацию и поможем с настройкой.
Нужна индивидуальная помощь?
Используйте мощь ИИ. Мы подготовили специальный промпт для ChatGPT, который проанализирует вашу ситуацию и предоставит пошаговое руководство по подключению для вашего устройства.