Содержание:

VPN на Keenetic Ultra KN-1810 обычно настраивают как WireGuard-клиент: роутер поднимает зашифрованный туннель до вашего сервера, а потом вы решаете, какой трафик пользователей отправлять через VPN. Ниже - рабочий порядок действий и проверка, чтобы не упереться в проблемы с DNS.

Основа инструкции - подход KeeneticOS: WireGuard работает через компонент WireGuard VPN, а профиль VPN подключается через загрузку конфигурационного файла .conf в разделе интернет-настроек. Для справки по моделям и поддержке WireGuard в Keenetic используйте официальную документацию Keenetic и инструкции по WireGuard в их базе знаний:
- Документация AmneziaWG для Keenetic (WireGuard и загрузка .conf): https://docs.amnezia.org/ru/documentation/instructions/keenetic-os-awg
- Обзор VPN-протоколов и поддержка Keenetic (WireGuard входит в список): https://blog.telecom-sales.ru/tipy-vpn-soedinenij-v-keenetic/

Что понадобится перед началом

  1. Доступ к веб-интерфейсу роутера Keenetic.
  2. Конфигурационный файл VPN в формате .conf для WireGuard (его вы получаете на стороне сервиса VPN или из вашего сервера).
  3. Понимание протокола WireGuard vs. другие VPN. В этой статье - именно WireGuard на Keenetic.

Если на роутере старая версия KeeneticOS, может понадобиться обновление для корректной загрузки современных конфигураций. В инструкциях по AmneziaWG отмечают, что для новых версий протокола могут требоваться более свежие сборки KeeneticOS и канал разработчика. Перед экспериментами сделайте резервную копию системы и настроек в веб-интерфейсе роутера. Это же рекомендуют в инструкциях по AmneziaWG на Keenetic:
https://docs.amnezia.org/ru/documentation/instructions/keenetic-os-awg

Шаг 1. Подготовьте DNS на роутере

Смысл этапа - чтобы в момент, когда трафик будет уходить в VPN, DNS запросы не развалились на разных настройках.

В типовом сценарии настройка такая:
- Включите DNS на стороне роутера, добавив несколько публичных резолверов.
- Отключите или приведите к одному источнику DNS, если в клиентских устройствах используется DoH/DoT или “частный DNS”.

Пример набора DNS, который часто используют в инструкциях:
- 8.8.8.8
- 8.8.4.4
- 1.1.1.1
- 1.0.0.1
- 9.9.9.9

Точный путь в меню зависит от версии KeeneticOS, но логика одна: на странице интернет-фильтров задайте DNS сервера для роутера.

Если вы уже используете DoH/DoT на устройствах (например, AdGuard DNS), учитывайте распространенную проблему: когда VPN-политика и DNS берутся из разных мест, клиенты в “VPN-сегменте” могут продолжать получать DNS из DoH на устройстве или в роутере. Это же обсуждают владельцы Keenetic Ultra 1810: при разных приоритетах подключений DNS не “переезжает” вместе с трафиком. Симптомы - неправильный DNS и ошибки в части клиентов. См. обсуждение на Habr Q&A: https://qna.habr.com/q/1061294?from=questions_similar

Шаг 2. Установите компонент WireGuard VPN

  1. Откройте настройки роутера.
  2. Перейдите в раздел управления системой и откройте “Изменить набор компонентов”.
  3. Найдите компонент по слову wireguard.
  4. Включите “WireGuard VPN”.
  5. Нажмите “Обновить NDMS”, подтвердите изменения.

После этого в интернет-настройках появится возможность создать подключение WireGuard по файлу конфигурации.

Шаг 3. Создайте WireGuard-подключение из файла .conf

  1. Перейдите в “Другие подключения” (раздел интернет-настроек).
  2. Нажмите “Загрузить из файла”.
  3. Выберите ваш файл .conf.
  4. Включите переключатель “Использовать для выхода в интернет”.
  5. Сохраните и переведите подключение в состояние “Включено”.

Такой сценарий описан в инструкции по AmneziaWG для Keenetic: загрузка файла .conf и включение использования для выхода в интернет.
https://docs.amnezia.org/ru/documentation/instructions/keenetic-os-awg

Шаг 4. Решите, какой трафик отправлять через VPN (маршрутизация)

На Keenetic это делается через приоритеты подключений и применение политик.

Вариант A. Весь трафик через VPN

Подходит, если нужно, чтобы устройства за роутером ходили в интернет через VPN всегда.

Действия:
1. Откройте “Приоритеты подключений”.
2. Убедитесь, что политика по умолчанию не ставит “обычный интернет” выше WireGuard.
3. Создайте политику, например “VPN”.
4. В ней отметьте WireGuard-подключение.
5. Перейдите в “Применение политик” и перенесите нужные клиентов/сети в политику VPN.

Проверка:
- Откройте на устройстве сайт проверки IP, например ipinfo.io, и убедитесь, что IP совпадает с сервером VPN.

Вариант B. Через VPN все, кроме российских доменов .ru/.рф/.su

Эта схема нужна, когда VPN нужен для “внешних” ресурсов, но российские сайты вы хотите открывать напрямую.

Важно: если вы делаете исключения по доменам, DNS на клиенте и DNS на роутере должны совпадать по источнику. Иначе снова получите ситуацию, когда трафик “как будто VPN”, но резолвится не там, где ожидаете.

Настройка логики обычно сводится к:
- WireGuard поставить выше обычного подключения в политике по умолчанию.
- На устройствах убрать пользовательский DNS (DoH/DoT и частный DNS), чтобы резолвилось через настройки роутера.

Таблица: типичные проблемы при настройке WireGuard на Keenetic

Признак Чаще всего причина Что проверить
Подключение в VPN включено, но сайты не открываются DNS берется не там, где ожидаете, или устройство продолжает использовать DoH/DoT На клиенте отключите частный DNS/DoH/DoT, чтобы DNS резолвился роутером; проверьте, что VPN-клиенты попадают в нужную политику
“VPN-сегмент” показывает один DNS, а “не-VPN” другой Настройки DNS различаются между политиками/устройствами Сравните DNS на уровне роутера и на уровне клиента, приведите к одному источнику
Конфигурация .conf не импортируется или ошибка WireGuard Не подходит версия конфигурации под текущую KeeneticOS Обновите KeeneticOS или используйте совместимую версию конфигурации; в инструкциях по AmneziaWG это завязано на версию KeeneticOS и канал обновлений
В роутере создано несколько правил, но реальный трафик уходит не туда Неправильный порядок подключений в приоритетах или неверно применены политики к клиентам Перепроверьте “Приоритеты подключений” и “Применение политик” для нужной сети/устройства
Торренты тормозят, Steam/игры могут лагать Скорость и задержка через VPN ниже, чем напрямую Для игровых сервисов и тяжелого трафика проверьте, нужен ли VPN всегда, или лучше делать исключения

Проверка, что “все работает”

  1. На устройстве, которое должно идти через VPN:
  2. Проверить внешний IP через ipinfo.io.
  3. Проверить DNS:
  4. Если DNS не совпадает с ожидаемым резолвером, вернитесь к разделу про DoH/DoT и частный DNS на клиенте.
  5. Если используете несколько Wi-Fi сетей и разные политики:
  6. Убедитесь, что политика VPN реально применяется к гостевой сети и к незарегистрированным устройствам. По этому вопросу в Keenetic есть нюансы привязок профилей - в сети гостя правила могут в итоге отличаться от ожидаемых. Пример обсуждения с “гостевой сетью только через VPN”: https://forum.keenetic.ru/topic/7786-настройка-отдельной-wifi-точки-для-раздачи-vpn/

Резюме по настройке

  • Сначала включаете компонент WireGuard VPN.
  • Потом импортируете .conf и включаете “использовать для выхода в интернет”.
  • Дальше настраиваете политики, чтобы трафик действительно уходил через VPN.
  • Самый частый стоп-фактор - DNS: клиентский DoH/DoT и “частный DNS” может ломать ожидания, даже если VPN подключение поднялось.

Если захотите автоматизировать часть сетевых политик и прокси-логики, в сообществе часто используют дополнительный софт, в том числе наборы вроде xkeen, но для базового WireGuard на Keenetic это не требуется.