AmneziaWG на роутере 2026: пошаговая инструкция для Keenetic, OpenWRT, MikroTik

Сервер с AmneziaWG уже поднят, конфиг на ноутбуке работает, ChatGPT открывается без артефактов. Логичный следующий шаг — перенести туннель на домашний роутер, чтобы Smart TV, AppleTV и игровая приставка ребёнка ходили через тот же шлюз. Открываете админку Keenetic, ищете раздел AmneziaWG — а его там нет. Только обычный WireGuard. Идёте на форум — пишут про Entware, opkg, ручную сборку конфига и автозапуск через init.d. На MikroTik картина похожая: чтобы получить AmneziaWG, нужен RouterOS 7.4+ с container-package, image со сборкой amneziawg-go и настройка bridge между контейнером и физическим интерфейсом. На OpenWRT всё проще — пакет ставится через opkg, — но SSH и базовый Linux всё равно потребуются.

Дальше — три рабочих способа для трёх типов прошивок, troubleshooting по MTU, policy-routing для Сбера и Госуслуг, kill switch и производительность по моделям из реальных тестов. Без воды, с конкретными командами.

Почему AmneziaWG, а не голый WireGuard

Классический WireGuard в Keenetic, MikroTik и ASUS-Merlin поддерживается из коробки. AmneziaWG — форк команды Amnezia с параметрами Jc/S1/S2/H1–H4, которые ломают packet-shape эвристики DPI: первый байт перестаёт быть message_type, длина handshake перестаёт быть фиксированной, ритм transport-сообщений становится случайным. Цена — нативной поддержки в роутерных прошивках почти нигде нет, потому что вендоры интегрировали только mainline-WG.

Подробное сравнение AmneziaWG и стандартного WireGuard — в отдельном разборе. Здесь короткая выжимка для контекста, дальше — практика по роутерам.

Какой ваш роутер — короткая навигация

Прежде чем читать дальше, проверьте, какой путь подходит именно вашему железу. Способы 1, 2 и 3 заметно отличаются по сложности и требованиям к навыкам.

Ваш роутер	Что делать
Keenetic Hopper / Speedster / Giga / Hero	Способ 1 — Entware + amneziawg-tools через SSH
Любой роутер с OpenWRT 22.03+ (TP-Link Archer, GL.iNet, Xiaomi)	Способ 2 — нативный пакет через opkg
MikroTik с RouterOS 7.4+	Способ 3 — container с amneziawg-go
GL.iNet Beryl / Slate / Flint	Поддержка из коробки в стоковой прошивке — настройка через web-UI, отдельный гайд не нужен
Стоковый TP-Link Archer / D-Link / Tenda	Прошить OpenWRT (если модель совместима) → Способ 2. Иначе — туннель только на устройства
Не уверен какой роутер	Купить GL.iNet с предустановленной поддержкой — самый короткий путь без SSH

Дальше — три способа подробно, в одном порядке: установка пакетов, конфиг, автозапуск, проверка handshake.

Способ 1: Keenetic + Entware

KeeneticOS не содержит AmneziaWG в стоке и не планирует — это закрытая прошивка, форки вендор не интегрирует. Но в KeeneticOS есть Entware — адаптация opkg-package-manager под mips/arm-сборки Keenetic. Через него ставится практически любой Linux-пакет, включая amneziawg-tools и amneziawg-go.

Подойдут модели с USB-портом и достаточным flash: Keenetic Hero (KN-1011), Hopper (KN-3810), Giga (KN-1011), Speedster (KN-3010), Ultra (KN-1810). Без USB Entware ставить некуда.

Шаг 1. Включить OPKG в KeeneticOS

1. Веб-интерфейс → Общие настройки → Изменить набор компонентов → найти и активировать «OPKG» → перезагрузить.
2. Подключите отформатированную ext4-флешку (минимум 4 ГБ) — веб- интерфейс автоматически предложит установить Entware на неё; либо через SSH opkg-install с USB.

После установки флешка монтируется как /opt, и в shell появляется полноценное Entware-окружение.

Шаг 2. Подключиться по SSH

Включите SSH в Управление → Пользователи и доступ → SSH-сервер. Стандартный логин — admin, пароль от админки.

ssh admin@192.168.1.1

После логина окажетесь в opkg-окружении Entware, не в стандартной KeeneticOS-консоли.

Шаг 2.5. Подключить community-feed с amneziawg

Стандартный Entware-репозиторий не содержит amneziawg-tools — пакет собирается сообществом и подключается как кастомный feed. Добавьте в /opt/etc/opkg.conf строку:

src/gz amneziawg https://gitlab.com/ShidlaSGC/keenetic-entware-awg-go/-/raw/main/feed

После этого opkg update подтянет каталог community-сборок.

Шаг 3. Поставить пакеты

opkg update
opkg install amneziawg-tools amneziawg-go

amneziawg-go — userspace-реализация на Go, потому что mainline-ядро Keenetic не содержит модуль amneziawg. На производительность это влияет: вместо kernel-fastpath (packet-обработка идёт в ядре, не в user-space — задержка ниже, throughput выше) трафик идёт через user-space, и потолок скорости падает примерно в полтора-два раза по сравнению с нативным WG.

Шаг 4. Создать конфиг

mkdir -p /opt/etc/amneziawg
nano /opt/etc/amneziawg/awg0.conf

Вставьте содержимое из вашего .conf-файла целиком. Обязательные параметры обфускации в секции [Interface]:

[Interface]
PrivateKey = <ваш приватный ключ>
Address = 10.7.0.5/32
DNS = 1.1.1.1
MTU = 1420
Jc = 4
Jmin = 40
Jmax = 70
S1 = 50
S2 = 100
H1 = 1234567890
H2 = 1234567891
H3 = 1234567892
H4 = 1234567893

[Peer]
PublicKey = <публичный ключ сервера>
PresharedKey = <preshared ключ если есть>
Endpoint = <IP сервера>:51820
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25

Конкретные значения Jc/S1/H1–H4 берутся из вашего серверного конфига — они должны совпадать с настройками сервера побайтно, иначе handshake не пройдёт.

Шаг 5. Поднять туннель и проверить

awg-quick ищет конфиги в /etc/amneziawg, но Entware кладёт их в /opt/etc/amneziawg. Симлинк решает рассогласование:

ln -sf /opt/etc/amneziawg /etc/amneziawg
awg-quick up awg0
awg show

В выводе ищите строку latest handshake: X seconds ago — должна появиться через 5–15 секунд. Если её нет, проверяйте параметры обфускации, Endpoint и время на роутере (расхождение больше двух минут ломает handshake, потому что timestamp подписан).

Шаг 6. Автозапуск через init.d

Чтобы туннель поднимался после ребута роутера:

nano /opt/etc/init.d/S99awg

Содержимое:

#!/bin/sh
ENABLED=yes
PROCS=awg
ARGS=""
. /opt/etc/init.d/rc.func
start() {
    awg-quick up awg0
}
stop() {
    awg-quick down awg0
}

chmod +x /opt/etc/init.d/S99awg

Entware-init.d выполнится после загрузки KeeneticOS и поднимет туннель автоматически.

Шаг 7. Маршрутизация LAN-трафика через туннель

Чтобы клиенты домашней Wi-Fi-сети ходили через awg0, добавьте правила в KeeneticOS-firewall. В веб-интерфейсе Сетевые правила → Маршрутизация прописать 0.0.0.0/0 через интерфейс awg0. Если интерфейс не виден в выпадающем списке — KeeneticOS не знает про Entware-сети, тогда добавьте через CLI:

ip route add default dev awg0 table 200
ip rule add from 192.168.1.0/24 table 200

И NAT-masquerade в iptables:

iptables -t nat -A POSTROUTING -o awg0 -j MASQUERADE

Сохраните правила в /opt/etc/init.d/S99awg, чтобы они восстановились после ребута.

Способ 2: OpenWRT (любой совместимый)

OpenWRT — самый простой путь, потому что AmneziaWG-команда ведёт официальный community-feed для OpenWRT 22.03+. Подходит для роутеров с прошивкой OpenWRT: TP-Link Archer C7/A6/A7/AX73, GL.iNet (любая модель), Xiaomi 4A Gigabit, Linksys WRT3200 и десятки других. Полный список совместимости — в официальной таблице на openwrt.org.

Шаг 1. SSH в роутер

ssh root@192.168.1.1

Если впервые после прошивки — пароль не установлен, вход без него. Сразу задайте: команда passwd.

Шаг 2. Подключить feed AmneziaWG

echo "src/gz amnezia https://github.com/amnezia-vpn/amneziawg-openwrt/releases/download/latest/" \
  >> /etc/opkg/customfeeds.conf
opkg update

Если репозиторий переехал — актуальный URL в README на github.com/ amnezia-vpn/amneziawg-openwrt.

Шаг 3. Поставить пакеты

opkg install kmod-amneziawg amneziawg-tools luci-proto-amneziawg

kmod-amneziawg — модуль ядра (на OpenWRT он есть, в отличие от Keenetic). Это означает kernel-fastpath: производительность сравнима с нативным WireGuard. luci-proto-amneziawg добавляет вкладку в веб-интерфейс LuCI — после установки её видно в Network → Interfaces.

На OpenWRT 22.03–23.05.5 пакет назывался luci-app-amneziawg — если opkg install luci-proto-amneziawg ругается на «unknown package», попробуйте старое имя.

Шаг 4. Создать интерфейс

Через LuCI: Network → Interfaces → Add new interface. Name — awg0, Protocol — AmneziaWG. Сохранить, перейти на вкладку General Settings созданного интерфейса.

Поля заполняются из вашего .conf:

• Private Key — PrivateKey из секции [Interface]
• Listen Port — пустым (выберется автоматически)
• IP Addresses — Address из конфига (10.7.0.5/32)
• MTU — 1420

В Advanced Settings заполнить параметры обфускации: Jc, Jmin, Jmax, S1, S2, H1–H4. Без них AmneziaWG деградирует до обычного WireGuard и не пройдёт через DPI.

Шаг 5. Добавить peer

Вкладка Peers → Add Peer:

• Public Key — PublicKey сервера
• Endpoint Host / Port — IP и порт из Endpoint
• Allowed IPs — 0.0.0.0/0, ::/0
• Persistent Keepalive — 25

Save → Save & Apply.

Шаг 6. Firewall и routing

В Network → Firewall создать новую зону awg, прикрутить к ней интерфейс awg0. Forward от lan → awg — Accept, masquerading включить на зоне awg. Без masquerading трафик из локалки не выйдет в туннель — увидите passthrough к провайдеру.

Шаг 7. Проверка

awg show

Ищите latest handshake свежее минуты. С любого LAN-устройства: curl ifconfig.me — должен показать IP сервера, а не провайдера.

Если третий вечер настройки и MTU всё ещё не подобрался — у Molystrix приходит готовый AmneziaWG-конфиг с параметрами обфускации и совместимым MTU 1420. Импорт в LuCI или Entware занимает минуту: вставили [Interface] и [Peer], активировали — туннель поднялся. Конфиг работает на трёх устройствах одной подписки, QR-код приходит на email после оплаты. 249 ₽ в месяц. → Посмотреть тарифы

Способ 3: MikroTik + container

В MikroTik AmneziaWG нативно не поддерживается, и Entware-аналога нет — RouterOS закрытая. Но в RouterOS 7.4+ появилась container-package, которая запускает docker-style контейнеры на роутере. Через container можно запустить amneziawg-go.

Способ требует RouterOS 7.4 или новее, container-package (устанавливается отдельно), USB-флешку или microSD для хранения container-image. Подходят модели hAP ax2/ax3, RB5009, CCR2004 и другие с USB и достаточным RAM.

Шаг 1. Поставить container-package

В Winbox: System → Packages. Скачать routeros-container-7.X.npk с mikrotik.com (соответствует версии RouterOS), загрузить в роутер через Files, перезагрузить. После ребута в меню появится раздел Containers.

Шаг 2. Подготовить storage

Подключить USB-флешку (минимум 1 ГБ). RouterOS автоматически смонтирует её как disk1. В Files виден новый раздел.

/container/config/set registry-url=https://registry-1.docker.io \
  ram-high=200000000 \
  tmpdir=disk1/tmp

Шаг 3. Подготовить veth-интерфейс

Контейнер общается с роутером через виртуальный ethernet-pair.

/interface/veth/add name=veth-awg address=172.17.0.2/24 gateway=172.17.0.1
/interface/bridge/add name=br-container
/interface/bridge/port/add bridge=br-container interface=veth-awg
/ip/address/add address=172.17.0.1/24 interface=br-container

Шаг 4. Создать container с amneziawg-go

/container/mounts/add name=awg-config src=disk1/awg-config dst=/etc/amneziawg
/container/add remote-image=docker.io/vgrebenschikov/amneziawg-mikrotik:latest \
  interface=veth-awg \
  root-dir=disk1/awg-container \
  mounts=awg-config \
  start-on-boot=yes

Исходники image — github.com/vgrebenschikov/amneziawg-mikrotik. Сообщество поддерживает сборку специально под RouterOS-container (минимальный alpine + amneziawg-go).

Файл awg0.conf (с теми же параметрами Jc/S1/H1–H4, что и в Способах 1–2) положить через Files в disk1/awg-config/awg0.conf.

Шаг 5. Запустить и подключить routing

/container/start [find]

Через 30–60 секунд container поднимет туннель внутри. Чтобы LAN-трафик шёл через него — добавить routing-mark в IP → Routes и firewall-mangle, который маркирует пакеты с LAN-сетки и отправляет через container-bridge. Точные правила зависят от вашей топологии; шаблоны есть в форуме MikroTik по запросу «amneziawg container».

Troubleshooting: MTU, policy-routing, kill switch

После того как туннель поднялся, обычно вылезают три проблемы. Все решаются на уровне роутера — на клиентах AmneziaWG их обычно не видно, потому что мобильные приложения сами подбирают разумные значения.

Низкая скорость или сайты не открываются — проблема MTU. Стандартный MTU для AmneziaWG — 1420. Внешний MTU вашего канала зависит от провайдера: Ethernet — 1500, PPPoE — 1480, иногда 1492. Если внешний MTU меньше суммы (внутренний MTU + WG-overhead 80 байт) — пакеты фрагментируются, часть теряется, TCP перепосылает. Видно как медленная загрузка крупных страниц при быстром ping.

Решение — снизить MTU интерфейса до 1380 (запас 100 байт от 1480). В Keenetic Entware: awg-quick down awg0, поправить MTU = 1380 в /opt/etc/amneziawg/awg0.conf, awg-quick up awg0. В OpenWRT: LuCI → интерфейс awg0 → Advanced → MTU. В MikroTik: /interface ethernet set veth-awg mtu=1380.

Сбер и Госуслуги ругаются на иностранный IP — нужен policy-routing. Российские банки и госсервисы проверяют geo IP, и при европейском могут требовать SMS на каждом действии или отказывать в платеже. Решение — пускать трафик к их подсетям мимо туннеля. В Linux это делается через ip rule:

ip rule add to 84.252.128.0/19 lookup main pref 100  # Сбер
ip rule add to 81.176.232.0/21 lookup main pref 100  # Госуслуги

Подсети меняются — точную карту лучше получать через DNS-based routing (dnsmasq + ipset), но это требует часа настройки. Минимально — добавить хотя бы Сбер и Тинькофф вручную.

Если туннель упал — выключить интернет, чтобы трафик не утёк напрямую (kill switch). На роутере это одно правило в iptables:

iptables -I FORWARD -i br-lan ! -o awg0 -j DROP

Где br-lan — ваш LAN-интерфейс. Правило режет любой forward, который не идёт через awg0. Если туннель поднят — трафик проходит, если упал — клиенты не видят интернет вообще, вместо того чтобы утечь напрямую с реального IP.

Часто задаваемые вопросы

Какой роутер легче всего настроить с AmneziaWG?

GL.iNet Beryl AX, Slate AX и Flint 2 — самый короткий путь. На них прошивка уже включает поддержку AmneziaWG, настройка через web-UI без SSH: импортировали конфиг, нажали Connect, готово. Цена — 8–15 тысяч рублей. Если уже есть Keenetic — Entware решает задачу примерно за полчаса работы в SSH. Если есть роутер с OpenWRT — Способ 2 займёт двадцать минут.

Нужен ли SSH для настройки?

Для всех трёх способов в этой статье — да. На Keenetic SSH нужен, чтобы установить пакеты Entware и создать init.d-скрипт автозапуска. На OpenWRT SSH нужен на этапе подключения community-feed (opkg работает только из консоли) и passwd для смены пароля. На MikroTik часть настройки делается через Winbox-GUI, но container и veth удобнее конфигурить через терминал. Если SSH пугает — посмотрите GL.iNet, там всё через web-интерфейс.

Что делать если AmneziaWG на Keenetic не подключается?

Сначала awg show — есть ли строка latest handshake. Если нет — причин три. Первая — параметры обфускации не совпадают с сервером (Jc, S1, H1–H4). Скопируйте конфиг с сервера побайтно, без правок. Вторая — Endpoint недоступен: ping IP-адрес сервера, если не отвечает — проверьте, что порт 51820 (или другой) открыт на сервере и не блокируется провайдером. Третья — время на роутере расходится с сервером больше двух минут: timestamp в handshake подписан, при расхождении подпись не валидируется. Включите NTP в Keenetic.

Можно ли настроить AmneziaWG на TP-Link Archer без OpenWRT?

Нет. Стоковая прошивка TP-Link не содержит ни AmneziaWG, ни обычного WireGuard, и плагины в неё не ставятся — она закрытая. Если ваш Archer есть в [таблице совместимости OpenWRT](https://openwrt.org/ toh/start), его можно прошить — после этого Способ 2 работает. Если модели в списке нет (часто Archer C20/C50 и младшие модели) — туннель ставьте только на устройства, через мобильное приложение AmneziaWG.

Какая производительность через AmneziaWG на роутере?

Зависит от железа и способа реализации. На Keenetic Speedster (KN-3010) с Entware и userspace-реализацией amneziawg-go — 30–60 Мбит/с (single-core ARM, без HW-ускорения для ChaCha20). На Keenetic Hopper (KN-3810) с Entware — по сообщениям сообщества, 150–250 Мбит/с (зависит от config’а и параллельной CPU-нагрузки). На MikroTik hAP ax3 через container — 150–250 Мбит/с (через container с veth/bridge hops дроп 30–50%). На GL.iNet Beryl AX с нативной поддержкой — 250–340 Мбит/с. На OpenWRT с TP-Link Archer AX73 и kernel-модулем — 100–150 Мбит/с. Гигабитная пропускная способность через AmneziaWG требует MikroTik RB5009UG или аналога с CPU 1.4 ГГц+ и kernel-fastpath.

Можно ли исключить российские сервисы из туннеля?

Да, через policy-routing — раздел про Сбер и Госуслуги выше. Минимально работает с десятком ip-rule-правил для основных подсетей. Полноценная схема с DNS-based routing (dnsmasq + ipset, который заполняется по доменам типа *.sberbank.ru) делается за час и потом работает автоматически. На клиентских устройствах та же задача решается split-tunneling-ом в один тап, но на iOS и macOS текущие WireGuard/AmneziaWG-приложения это поддерживают нестабильно — на роутере policy-routing работает предсказуемее.

Что делать если конфиг от знакомого протух?

Параметры обфускации (Jc, S1, H1–H4) обновляются при ротации серверного ключа или смене параметров на стороне сервера. Если знакомый перенастроил свой узел и не предупредил — handshake перестаёт проходить, awg show показывает peer без последнего handshake. Решений два: попросить новый .conf с актуальными параметрами, или взять собственный конфиг с сервиса, где параметры управляются за вас и обновления приходят автоматически на email. Тариф Molystrix — 249 ₽ в месяц за три устройства, конфиг приходит QR-кодом и .conf-файлом, подробности на странице тарифов.

Резюме

• Keenetic — единственный путь Entware (Способ 1), userspace реализация, потолок 30–250 Мбит/с в зависимости от модели
• OpenWRT 22.03+ — нативный пакет amneziawg-tools с kernel-fastpath, самый простой путь (Способ 2)
• MikroTik 7.4+ — container с amneziawg-go (Способ 3), требует USB-флешки и RouterOS 7.4+
• GL.iNet — поддержка из коробки, без SSH
• Стоковые TP-Link / D-Link / Tenda — никак, нужно прошить OpenWRT или ставить туннель только на устройства

После настройки три обязательных шага: подобрать MTU (1380–1420), настроить policy-routing для Сбера и Госуслуг, добавить kill switch. Без них туннель работает, но банки ругаются и при падении трафик утекает с реального IP.

Если ваша задача — только пара ноутбуков и телефонов, посмотрите как поставить AmneziaWG на iPhone и iPad, на Windows и macOS, на Android. Для роутерного обзора без deep-dive — сравнение Keenetic / MikroTik / ASUS. Что именно AmneziaWG даёт сверх обычного WireGuard — в статье AmneziaWG vs WireGuard: отличия.