Шаринг (раздача) VPN с компьютера через Wi-Fi

Текущая редакция 1.0.06 от 02.01.2025

Этот текст распространяется под лицензией Creative Commons.

Задача состоит в раздаче с компьютера по Wi-Fi соединения VPN без использования настроек прокси-сервера на подключенных устройствах. Такими устройствами, например, могут быть TV или гарнитура VR, не имеющие настроек прокси. Для этого используем компьютер под Windows 7 - 11 с двумя интерфейсами – один для подключения по LAN к Интернету и VPN , и второй для раздачи по Wi-Fi. Вероятно, можно использовать и два беспроводных адаптера – на вход и на выход.  
Считаем, что у вас есть подключение к Интернету (через роутер) по LAN, и установлен клиент VPN, который умеет работать в режиме TUN.

На разных версиях Windows это делается двумя способами

1 способ через хотспот – работает для Win10 и Win11.

1. Вначале убедитесь, что у вас работает служба автонастройки WLAN. Для этого в окошке поиска напишите "службы", и среди них найдите «Служба автонастройки WLAN». Включите её, если она не включена, и установите для неё автозапуск:

2. Рассмотрим на примере VPN-клиента Nekobox. Он должен быть запущен в режиме TUN (если потребует перезапуск от имени администратора, соглашайтесь).
Программу следует установить в папку, созданную в корне диска С:
Ключ желателен типа VMess (VLESS тоже подойдет). С ключами Trojan в режиме TUN могут возникать проблемы.

3. В самой программе Nekobox рекомендуется включить режим совместимости, чтобы в дальнейшем включать её с правами администратора:

4. Теперь необходимо включить мобильную точку доступа. Нажмите кнопку Пуск, а затем выберите Параметры > Сеть & Интернет > мобильный хот-спот. Или просто скопируйте в строку поиска команду:

start ms-settings:network-mobilehotspot

и нажмите Enter.

5. Теперь сопряжем работу подключения VPN с работой мобильной точкой доступа.

Для этого введите ncpa.cpl в строке поиска Windows и нажмите Enter, чтобы открыть настройки сетевых адаптеров. Находим адаптер nekoray-tun. Нажимаем правой кнопкой мышки по его значку, заходим в Свойства, и разрешаем другим пользователям использовать это подключение для доступа к Интернету. Выберите подключение к частной сети - в выпадающем списке выбираем созданную нами ранее WiFi сеть. Так мы разрешаем раздавать наше VPN-подключение по Wi-Fi.

Возможные проблемы и их решение.

Если через некоторое время Wi-Fi адаптер перестанет получать от компьютера IP-адрес (долгое подключение устройства, заканчивающееся отказом), то необходимо предпринять следующие шаги: снова набираем в строке поиска ncpa.cpl

и отключаем nekoray-tun от нашего виртуального Wi-Fi адаптера. Жмем OK.

Должно получиться так:

Далее снова подключаем наш адаптер к nekoray-tun, как описано выше в пункте 5.

2 способ – через размещенную сеть. Работает для Win7 - Win11

Основано на публикациях ссылка 1, ссылка 2, ссылка 3.

Первая проблема - при подключении к Windows адаптера WiFi - он запускается по умолчанию в режиме инфраструктуры. А для использования его как виртуальной точки доступа, он должен работать в режиме размещённой сети. Это умеет далеко не всякий адаптер. Поэтому, при возникновении такой задачи, следует первым делом проверить пригодность адаптера.

 Вторая проблема заключается в том, что шаринг подключения к Интернету через VPN штатными средствами в Win7-Win11 запрещен.

Настроить шаринг с использованием прокси-сервера легко, но задача стоит сделать шаринг для внешнего устройства, не имеющего настроек прокси-сервера. Поэтому для шаринга используется виртуальный TAP-адаптер.

0.    Проверяем пригодность нашего адаптера для работы в режиме размещённой сети

Команда работает из запущенной от имени администратора консоли (cmd) только при вставленном адаптере WLAN в Win7-Win11:

netsh wlan show drivers

Если адаптер пригоден – в выдаче будет

hosted network supported = yes (Поддержка размещённой сети = да).

Если адаптер непригоден, то на этом всё и останавливается – нужен другой адаптер. При этом в разных версиях системы результат проверки может отличаться. Иногда помогает переустановка встроенного драйвера на фирменный.

1.     Если режим размещенной сети доступен, то из консоли создаем беспроводную сеть (AP):

netsh wlan set hostednetwork mode=allow ssid=[NetworkName] key=[NetworkPassword]

Здесь SSID – имя сети, key – ключ подключения к сети (не менее 9 символов).

Выдача:

Режим размещенной сети разрешен в службе беспроводной сети.
Идентификатор SSID размещенной сети успешно изменен.
Парольная фраза пользовательского ключа размещенной сети была успешно изменена.

В дальнейшем этой командой можно менять параметры AP.

Для удаления точки доступа используйте команду

netsh wlan set hostednetwork mode=disallow

В Центре управления сетями и общим доступом - ЦУСиОД (для Win10 -"Параметры - сеть и Интернет - Центр управления сетями и общим доступом") появляются два беспроводных подключения — одно для физического адаптера и одно для Microsoft Virtual WiFi Miniport Adapter. У обоих включен DHCP и настройка, но адреса не выданы.

2.    Запуск точки доступа:

netsh wlan start hostednetwork

Размещенная сеть запущена.

(Допускается в Win7 до 8, а в Win10 до 100 подключений).

В ЦУСиОД в адаптерах появляется беспроводное соединение, у которого виден введенный SSID. Если его не видно, нажмите обновить. В Сетях появляется дополнительная сеть с указанным SSID. Имя подключения у меня "Подключение по локальной сети*10" - это имя потом нам понадобится.

В Win11 ЦУСиОД удален. Смотрим Парамертры - Сеть и Интернет - Дополнительные параметры - свойства оборудования и подключения. Видно как “Подключение по локальной сети*n”, описание Microsoft hosted network Virtual Adapter. А SSID не виден. Все команды проверки и реконфигурации исключительно из консоли. Изменение свойств адаптеров, в том числе и доступ - там же.

2.1 Затем проверьте, какой IP-адрес имеет ваш виртуальный WiFi-адаптер

 ipconfig /all

- Microsoft Virtual WiFi Miniport Adapter получил адрес 192.168.173.1. Но может быть и 192.168.137.1

2.2 Проверка статуса WiFi адаптера (точки доступа):

netsh wlan show hostednetwork

Будет показан SSID и тип проверки подлинности - WPA2-Peronal. (Поэтому для соответствия требованиям длина Preshared key (ключ WiFi) >8).

 netsh wlan show settings

(параметры беспроводной сети)

 netsh wlan show hostednetwork setting=security

(Параметры безопасности размещенной сети — покажет шифрование и действующий ключ сети)

2.3 Когда все проверки пройдены, можно остановить точку доступа:

 netsh wlan stop hostednetwork

Возможные проблемы и их решение.

* Если при попытке запуска ответ: “The hosted network couldn't be started. The group or resource is not in the correct state to perform the requested operation output” (Не удалось запустить размещенную сеть. Группа или ресурс не находятся в нужном состоянии для выполнения требуемой операции.)

— То, возможно, дело в неуказанном названии точки доступа и пароле. Поскольку точка разрешает работать только с шифрованием. Длину пароля надо использовать не менее 9 символов.

— В диспетчере устройств

mmc devmgmt.msc

 найдите Microsoft Hosted Network Virtual Adapter и поставьте Enable. После чего снова запустите AP.

* Если при проверке адресов после старта сети выдаются адреса 169.254.х.х на hostednetwork виртуальный адаптер — неверно работает DHCP-сервер, и как это лечить — неясно. Возможно, поможет сброс сети.

3.    Создание виртуального TAP-адаптера, через который идёт доступ к интернету

Запускаем клиент VPN, умеющий работать в режиме TUN.

Создается виртуальный адаптер, при этом требуются административные права. Используем Nekobox. Он же будет DHCP-сервером для TAP-адаптера.

Запускаем программу, ставим галочку TUN (при запросе повышения прав - разрешаем) и стартуем ключ. В окне логов не должно быть ошибок. В Центре управления сетями появляется виртуальный адаптер nekoray-tun.

4.    У нас запущена виртуальная точка доступа WLAN и VPN через TUN

 и подключение по локальной сети. Теперь надо WiFi сеть подключить к TAP-адаптеру. Откройте Центр сетей и общего доступа, выберите «Изменить свойства адаптера». Выберите созданный TAP-адаптер nekoray-tun и в “Свойства – Доступ” поставьте "Разрешить другим пользователям использовать это подключение". Затем, в качестве домашней сети, выберите из раскрывающегося списка Подключение по локальной сети*10 (подключение к запущенной виртуальной WiFi сети). Галочку "Разрешить другим пользователям управление..." снять. OK.

5. Проверяем работу.

 ipconfig /all

Адаптер беспроводной сети должен получить адрес 192.168.137.1 маска 255.255.255.0

Подключаем по WiFi внешнее устройство с нашим SSID и KEY. Оно получит адрес из той же сети. Проверяем, что Интернет с VPN через AP расшарен. Теперь через канал могут работать даже устройства, в которых нет настроек прокси.

Замечания.

·        ПРЕДУПРЕЖДЕНИЕ: Крайне не рекомендуется во время работы в режиме SoftAP отключать физический адаптер Wi-Fi, например вытаскивать его из USB-порта — это может привести к аварийному завершению работы ОС!!!

·        Компьютер, раздающий WiFi через виртуальную точку, в спящий режим не погружается.

·        После выключения компьютера сеть нужно запускать снова. Сама она не запускается. Но настраивать заново не нужно.

·       С самого компьютера, где запущена виртуальная точка, ее не видно, в т.ч. и через программы мониторинга беспроводных сетей.

(К началу)