VPN Transparente no Roteador: VLESS + Reality + TPROXY no OpenWrt do Básico ao Avançado
Aprenda a configurar um VPN transparente no seu roteador OpenWrt usando VLESS, Reality e TPROXY. Este guia detalhado cobre desde a escolha do hardware até a configuração avançada de roteamento e DNS, garantindo acesso seguro e fácil para todos os seus dispositivos.
MundiX News·01 de maio de 2026·15 min de leitura·👁 2 views
VPN Transparente no Roteador: VLESS + Reality + TPROXY no OpenWrt do Básico ao Avançado
Este artigo detalha a configuração de um VPN transparente em um roteador OpenWrt, utilizando as tecnologias VLESS, Reality e TPROXY. O objetivo é permitir que todos os dispositivos em sua rede doméstica acessem a internet de forma segura e sem a necessidade de instalar clientes VPN individuais. O guia abrange desde a escolha do hardware até a configuração avançada, incluindo roteamento de tráfego, DNS seguro e balanceamento de carga.
Por Que VPN no Roteador?
Colocar um cliente VPN em cada dispositivo pode ser problemático, especialmente em uma casa com vários dispositivos, como Smart TVs, consoles de jogos e dispositivos IoT. Um VPN no roteador resolve esses problemas, proporcionando acesso VPN para todos os dispositivos conectados à rede Wi-Fi ou por cabo, sem a necessidade de configurações individuais. Além disso, um VPN no roteador simplifica a manutenção e as atualizações.
Escolhendo o Hardware
Nem todos os roteadores são adequados para essa configuração. É necessário:
Suporte OpenWrt: Essencial para a instalação e configuração.
RAM Suficiente: Recomenda-se no mínimo 256 MB de RAM, mas 512 MB proporcionam um desempenho mais confortável, devido ao consumo de memória do Xray-core.
CPU Adequada: Um processador ARM Cortex-A53 ou superior é recomendado para lidar com a criptografia.
O artigo recomenda o Cudy TR3000 v1 como um bom exemplo de hardware.
Firmware OpenWrt
A instalação do OpenWrt envolve duas etapas:
Instalação da Firmware Intermediária: Carregue o arquivo binário da firmware intermediária fornecida pela Cudy através da interface web do roteador.
Sysupgrade para a Versão Final: Após a reinicialização, use a interface LuCI da firmware intermediária para fazer o sysupgrade para a versão final do OpenWrt.
Após a instalação, conecte-se via SSH para configurar.
Arquitetura da Solução
A arquitetura da solução é a seguinte:
Dispositivo na Rede: (Notebook, telefone, TV) envia tráfego TCP para um serviço remoto.
Roteador: Usa nftables (TPROXY) para interceptar o tráfego e encaminhá-lo para o Xray.
Xray: Roteia o tráfego com base em regras (por exemplo, tráfego .ru vai direto, outros usam VLESS+Reality).
DNS: AdGuard Home + DoH para filtragem de anúncios e DNS seguro.
Tecnologias Utilizadas
VLESS: Protocolo de proxy leve, sucessor do VMess, que delega a criptografia para TLS.
Reality: Tecnologia de mascaramento TLS que permite que o tráfego pareça TLS normal, mesmo usando um domínio e certificado falsos.
XTLS-Vision: Otimização que permite que o Xray passe o TLS interno diretamente para o TLS externo, resultando em quase velocidade nativa.
TPROXY: Permite que o Xray veja o endereço de destino original, essencial para o roteamento transparente.
Configuração da Rede
A configuração da rede envolve:
PPPoE: O roteador estabelece a sessão PPPoE.
MTU: 1480 para PPPoE.
DNS: Cloudflare (1.1.1.1) e Google (8.8.8.8).
Instalação do Xray e Pacotes Necessários
Use os seguintes comandos para instalar o Xray e os pacotes necessários:
A configuração do Xray envolve as seguintes seções:
Inbound (Entrada): Configura o recebimento do tráfego.
Outbound (Saída): Define os servidores proxy (VLESS+Reality), conexões diretas e bloqueios.
Observatory + leastPing: Balanceamento de carga entre os servidores.
Routing (Roteamento): Define as regras de roteamento (split-routing) com base em IP, domínio e outros critérios.
DNS: AdGuard Home + DoH
O DNS é configurado usando AdGuard Home para filtragem de anúncios e DoH (DNS-over-HTTPS). Isso garante que as consultas DNS sejam criptografadas e que a publicidade seja bloqueada em todos os dispositivos da rede.
TPROXY: Interceptação de Tráfego
O TPROXY é a chave para a interceptação do tráfego. O artigo detalha o caminho do pacote, os módulos do kernel, o policy routing e as regras nftables necessárias para configurar o TPROXY corretamente.
Geodata: Listas de Domínio e IP
O Xray usa arquivos geoip.dat e geosite.dat para roteamento. O geoip.dat contém informações de geolocalização de IPs, enquanto o geosite.dat contém listas de domínios.
Problemas Conhecidos
O artigo aborda problemas conhecidos, como a impossibilidade de usar o Observatory para balanceamento de carga com servidores que usam SNI baseado em IP.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
VPN Transparente no Roteador: VLESS + Reality + TPROXY no OpenWrt do Básico ao Avançado
Este artigo detalha a configuração de um VPN transparente em um roteador OpenWrt, utilizando as tecnologias VLESS, Reality e TPROXY. O objetivo é permitir que todos os dispositivos em sua rede doméstica acessem a internet de forma segura e sem a necessidade de instalar clientes VPN individuais. O guia abrange desde a escolha do hardware até a configuração avançada, incluindo roteamento de tráfego, DNS seguro e balanceamento de carga.
Por Que VPN no Roteador?
Colocar um cliente VPN em cada dispositivo pode ser problemático, especialmente em uma casa com vários dispositivos, como Smart TVs, consoles de jogos e dispositivos IoT. Um VPN no roteador resolve esses problemas, proporcionando acesso VPN para todos os dispositivos conectados à rede Wi-Fi ou por cabo, sem a necessidade de configurações individuais. Além disso, um VPN no roteador simplifica a manutenção e as atualizações.
Escolhendo o Hardware
Nem todos os roteadores são adequados para essa configuração. É necessário:
Suporte OpenWrt: Essencial para a instalação e configuração.
RAM Suficiente: Recomenda-se no mínimo 256 MB de RAM, mas 512 MB proporcionam um desempenho mais confortável, devido ao consumo de memória do Xray-core.
CPU Adequada: Um processador ARM Cortex-A53 ou superior é recomendado para lidar com a criptografia.
O artigo recomenda o Cudy TR3000 v1 como um bom exemplo de hardware.
Firmware OpenWrt
A instalação do OpenWrt envolve duas etapas:
Instalação da Firmware Intermediária: Carregue o arquivo binário da firmware intermediária fornecida pela Cudy através da interface web do roteador.
Sysupgrade para a Versão Final: Após a reinicialização, use a interface LuCI da firmware intermediária para fazer o sysupgrade para a versão final do OpenWrt.
Após a instalação, conecte-se via SSH para configurar.
Arquitetura da Solução
A arquitetura da solução é a seguinte:
Dispositivo na Rede: (Notebook, telefone, TV) envia tráfego TCP para um serviço remoto.
Roteador: Usa nftables (TPROXY) para interceptar o tráfego e encaminhá-lo para o Xray.
Xray: Roteia o tráfego com base em regras (por exemplo, tráfego .ru vai direto, outros usam VLESS+Reality).
DNS: AdGuard Home + DoH para filtragem de anúncios e DNS seguro.
Tecnologias Utilizadas
VLESS: Protocolo de proxy leve, sucessor do VMess, que delega a criptografia para TLS.
Reality: Tecnologia de mascaramento TLS que permite que o tráfego pareça TLS normal, mesmo usando um domínio e certificado falsos.
XTLS-Vision: Otimização que permite que o Xray passe o TLS interno diretamente para o TLS externo, resultando em quase velocidade nativa.
TPROXY: Permite que o Xray veja o endereço de destino original, essencial para o roteamento transparente.
Configuração da Rede
A configuração da rede envolve:
PPPoE: O roteador estabelece a sessão PPPoE.
MTU: 1480 para PPPoE.
DNS: Cloudflare (1.1.1.1) e Google (8.8.8.8).
Instalação do Xray e Pacotes Necessários
Use os seguintes comandos para instalar o Xray e os pacotes necessários:
A configuração do Xray envolve as seguintes seções:
Inbound (Entrada): Configura o recebimento do tráfego.
Outbound (Saída): Define os servidores proxy (VLESS+Reality), conexões diretas e bloqueios.
Observatory + leastPing: Balanceamento de carga entre os servidores.
Routing (Roteamento): Define as regras de roteamento (split-routing) com base em IP, domínio e outros critérios.
DNS: AdGuard Home + DoH
O DNS é configurado usando AdGuard Home para filtragem de anúncios e DoH (DNS-over-HTTPS). Isso garante que as consultas DNS sejam criptografadas e que a publicidade seja bloqueada em todos os dispositivos da rede.
TPROXY: Interceptação de Tráfego
O TPROXY é a chave para a interceptação do tráfego. O artigo detalha o caminho do pacote, os módulos do kernel, o policy routing e as regras nftables necessárias para configurar o TPROXY corretamente.
Geodata: Listas de Domínio e IP
O Xray usa arquivos geoip.dat e geosite.dat para roteamento. O geoip.dat contém informações de geolocalização de IPs, enquanto o geosite.dat contém listas de domínios.
Problemas Conhecidos
O artigo aborda problemas conhecidos, como a impossibilidade de usar o Observatory para balanceamento de carga com servidores que usam SNI baseado em IP.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
