- Что подготовить до начала
- Поддерживаемая модель и важная версия KeeneticOS
- Шаг 0. Сделайте резервную копию
- Шаг 1. Настройка DNS на роутере (чтобы VPN не “спотыкался”)
- Шаг 2. Установите компонент WireGuard VPN
- Шаг 3. Загрузите VPN-конфиг и включите подключение
- Шаг 4. Решите, как именно маршрутизировать трафик через VPN
- Важно про гостевую Wi-Fi сеть и “все устройства через VPN”
- DNS и DOH/DOТ: почему на гостевой “не тот DNS”
- Если вы готовы идти дальше: xkeen и прокси-инструменты (опционально)
- Краткая таблица: что где настраивать
- Быстрая проверка после настройки
Ниже - пошагово, как поднять VPN-клиент на Keenetic Ultra (KN-1810) и заставить клиентов ходить через него. Буду ориентироваться на сценарий с WireGuard и файлами конфигурации .conf (включая AmneziaWG), потому что это самый частый путь для Keenetic.
Что подготовить до начала
- Файл конфигурации VPN в формате
.conf - Доступ к веб-интерфейсу роутера Keenetic
- Желательно - резервную копию (на случай, если что-то пойдёт не так)
Логика простая: Keenetic подхватывает VPN конфиг, поднимает WireGuard-подключение, а дальше вы выбираете, какой трафик через него пойдёт с помощью политик/приоритетов.
Поддерживаемая модель и важная версия KeeneticOS
Keenetic Ultra KN-1810 поддерживает обновление до KeeneticOS 5.1 и относится к линейке Ultra/Titan (KN-1810). Для новых версий протокола AmneziaWG чаще всего нужна актуальная KeeneticOS.
Если вы сталкиваетесь с ошибкой вида Wireguard": invalid H1 value, обычно причина в том, что версия KeeneticOS слишком старая для выбранной версии конфига. В таком случае помогает переход на более новую сборку KeeneticOS (иногда через канал разработчика). Делайте это только после бэка и с пониманием рисков.
Шаг 0. Сделайте резервную копию
- Откройте Настройки системы (раздел ⚙️ Управление)
- Найдите резервное копирование
- Скачайте два файла:
firmwarestartup-config
Шаг 1. Настройка DNS на роутере (чтобы VPN не “спотыкался”)
- Зайдите в Интернет-фильтры -> Сетевые правила -> вкладка Настройка DNS
- Нажмите Добавить сервер
- Добавьте:
8.8.8.8- Ещё добавьте:
8.8.4.41.1.1.11.0.0.19.9.9.9
По желанию: отключение DNSv4 от провайдера и IPv6
На этой же странице в Кабель Ethernet выставьте:
- Игнорировать DNSv4 интернет-провайдера (галочка) - опционально, по ситуации
- Настройка IPv6 -> Не используется
Если пункта про Игнорировать DNSv4 интернет-провайдера нет, ориентируйтесь на ваш тип интернет-подключения (PPPoE / SIM / и т.п.) и делайте соответствующие настройки в нужной карточке подключения.
Шаг 2. Установите компонент WireGuard VPN
- Откройте Настройки системы -> ⚙️ Управление
- Нажмите Изменить набор компонентов
- В поиске введите
wireguard - Поставьте галочку WireGuard VPN
- Нажмите Обновить NDMS
- Подтвердите изменения
Шаг 3. Загрузите VPN-конфиг и включите подключение
- Перейдите в Другие подключения (раздел 🌐 Интернет)
- Нажмите Загрузить из файла
- Выберите ваш файл
.conf - Включите настройки:
- поставьте галочку Использовать для выхода в интернет
- нажмите Сохранить
- Переведите переключатель созданного подключения в Включено
Откуда взять .conf
- Для подписки Amnezia Premium - из личного кабинета
- Если сервер ваш - обычно конфиг можно сформировать в приложении AmneziaVPN через опцию “поделиться подключением” в “оригинальном формате AmneziaWG”
Шаг 4. Решите, как именно маршрутизировать трафик через VPN
Дальше два самых понятных режима.
Вариант A. Через VPN идёт весь трафик
Подходит, если вы хотите, чтобы вообще всё работало через VPN.
- Откройте Приоритеты подключений (раздел 🌐 Интернет)
- В Политике по умолчанию убедитесь, что ваш основной интернет-путь находится выше WireGuard - и не трогайте это, если хотите “всё через VPN” иначе
- Создайте новую политику:
- Добавить политику
- задайте имя (например
VPN) - Сохранить
- Внутри политики:
- отметьте WireGuard-подключение
- Сохранить
- Перейдите во вкладку Применение политик
- в поле Переместить в выберите политику
VPN - отметьте клиентов/сети, которым нужен VPN
- Подтвердите
Проверка:
- откройте на устройстве из политики проверку IP, например https://ipinfo.io/what-is-my-ip
Вариант B. Через VPN всё, кроме российских сайтов .ru/.рф/.su
Подходит, если нужно “почти всё через VPN”, но российские домены оставлять обычным интернетом.
Критично:
- клиентам нужно выключить пользовательский DNS, иначе браузеры/системы будут продолжать ходить “как настроили на устройстве”, и картинка смешается (частая причина путаницы в DNS при гостевых сетях и DOH/DOТ).
- На устройствах, подключаемых к роутеру:
- выключите Приватный DNS на Android
- выключите пользовательский DNS в браузерах
- в адаптере/сетевых настройках отключите/уберите кастомный DNS
-
в приложениях типа AdGuard - отключите профили DNS (или сделайте так, чтобы они не вмешивались)
-
Откройте Приоритеты подключений -> Политики
- В Политике по умолчанию переместите WireGuard-подключение выше основного интернет-подключения
- Проверьте на устройстве из нужной сети
Важно про гостевую Wi-Fi сеть и “все устройства через VPN”
Здесь обычно ломается ожидание из серии “повесил профиль на Wi-Fi - и зарегистрированные устройства тоже пошли через VPN”.
Рабочая логика в Keenetic такая:
- политики привязываются к клиентам/сегментам, а не “к факту зарегистрированности” как вы ожидаете
- если вы хотите стабильный результат, делайте маршрутизацию через политику WireGuard и применяйте её к нужной гостевой сети/сегменту, а не только к “профилю для не зарегистрированных устройств”
То есть цель - чтобы устройства из гостевой сети попадали в список клиентов, которых вы перенесли в политику VPN (как в варианте A).
DNS и DOH/DOТ: почему на гостевой “не тот DNS”
Если у вас на клиенте включён DOH/DOТ (например через AdGuard или “Приватный DNS”), то устройство начнёт резолвить домены “само”, и тогда:
- по IP может быть всё “как надо” (VPN включён),
- но по DNS вы увидите адреса/провайдера, заданного в DOH/DOТ.
Решение простое по смыслу: раз у вас маршрутизация через роутер, DNS должен быть тоже под контролем роутера. Выключайте пользовательский DNS на клиентах для нужной сети.
Если вы готовы идти дальше: xkeen и прокси-инструменты (опционально)
Если в вашей схеме нужен не просто WireGuard-маршрут, а продвинутая обработка трафика (например правила по доменам/портам), некоторые используют связку через Entware и инструменты уровня xkeen. Это отдельная ветка решений и она требует:
- Entware/OPKG на USB
- настройки в CLI и подмены/правки конфигов
Если ваша цель именно “VPN-клиент на роутере и гонять трафик через него”, то обычно хватает шагов выше. xkeen актуален, когда вам нужно то, что web-политиками Keenetic не закрывается.
Краткая таблица: что где настраивать
| Задача | Где в Keenetic | Что сделать |
|---|---|---|
Загрузить VPN .conf |
Другие подключения | Загрузить из файла -> выбрать .conf |
| Включить VPN как выход в интернет | Другие подключения | Галочка Использовать для выхода в интернет + Включено |
| Весь трафик через VPN | Приоритеты подключений | Создать политику VPN и во вкладке Применение политик перенести клиентов/сети |
| “Кроме RU сайтов” | Приоритеты подключений | WireGuard выше базового подключения + выровнять DNS на клиентах |
| Проблемы с DNS на гостевой | Настройки клиентов | Выключить DOH/DOТ и пользовательский DNS, чтобы клиенты брали роутер |
Быстрая проверка после настройки
- Подключите устройство к той Wi-Fi сети/сегменту, который должен идти через VPN
- Откройте
https://ipinfo.io/what-is-my-ip - Убедитесь, что IP меняется так, как ожидаете
- Если режим “кроме RU” - дополнительно проверьте открытие доменов из
.ru/.рф/.su(и что остальное идёт через VPN)