AmneziaWG на роутере 2026: Keenetic, MikroTik, ASUS, OpenWRT

Идея поставить туннель прямо на роутер выглядит соблазнительно. Один раз настроил — и Smart TV, AppleTV, ноутбук подруги, лампочки с Алисой и игровая приставка ребёнка ходят через защищённое соединение. Не надо ставить клиент на каждое устройство.

Но картина сложнее, чем хотелось бы. В мае 2026 поддержка AmneziaWG на роутерах фрагментирована. На Keenetic, MikroTik и ASUS-Merlin есть только классический WireGuard, на OpenWRT через community-пакет работает полноценный AmneziaWG, а бюджетные TP-Link / D-Link / Tenda не тянут вообще ничего серьёзнее PPTP.

Дальше — таблица для быстрого решения, четыре пошаговых инструкции по моделям и блок про то, почему домашний роутер часто оказывается слабым звеном.

Зачем туннель на роутере — и когда это плохая идея

Главная причина — устройства, на которые клиент не поставишь. Smart TV без приложения WireGuard в магазине, AppleTV, Xbox, PlayStation, IoT-лампочки, гостевой Wi-Fi. Туннель на роутере решает это разом.

Но есть три «но», о которых редко предупреждают.

Слабый процессор роутера съедает скорость. Шифрование WireGuard — операция вычислительно дорогая. Бытовой роутер с ARM-чипом типа MT7621 (половина моделей в магазине) выдаёт 20–80 Мбит/с через туннель. Тариф на 500 — увидите 60. Это его потолок.

Весь трафик идёт через туннель — банки могут ругаться. Сбер, Тинькофф и сервисы доставки проверяют IP и при европейском могут требовать СМС или отказывать в платеже. На устройстве лечится split tunneling в один тап, на роутере — вручную через policy-based routing.

Падает туннель — падает интернет у всех. Перегрузка сервера, ошибка в конфиге — и без интернета вся семья сразу. На устройстве выключить туннель — один тап. На роутере — открыть админку через ПК.

Если эти пункты не пугают — идём дальше. Если пугают — в конце секция про то, почему чаще удобнее туннель на каждое устройство.

AmneziaWG vs классический WireGuard на роутере — что доступно

Чтобы не гадать, какой путь выбрать для вашего роутера — вот короткая таблица. AmneziaWG в мае 2026 нативно поддерживается только на одном типе прошивки.

Роутер	AmneziaWG	Классический WireGuard	Рекомендация
Keenetic	Нет	Есть в KeeneticOS 4.0+	Поставить WireGuard, AmneziaWG — на устройства
MikroTik (RouterOS 7+)	Нет	Есть	Тот же подход
ASUS (Asuswrt-Merlin)	Нет	Есть	Тот же подход
OpenWRT 22.03+	Через пакет amneziawg-tools	Есть	Полноценный AmneziaWG, но нужен SSH
TP-Link / D-Link / Tenda (стоковые)	Нет	Чаще нет	Туннель ставить на устройства, не на роутер

Важный нюанс: AmneziaWG — надстройка над WireGuard с обфусцированным handshake. Если роутер умеет только классический WireGuard, вы получите рабочее защищённое соединение, но без маскировки заголовков. На большинстве сетей этого хватит — обычный WG отлично работает в России на 2026 год. Полноценный AmneziaWG нужен только если провайдер агрессивно фильтрует именно WG-handshake (редкий случай) или если хочется единый стек на всех устройствах.

Установка WireGuard на Keenetic

KeeneticOS — пожалуй, самая дружелюбная прошивка для домашних роутеров. WireGuard появился там ещё в версии 3.7, в 4.0+ интерфейс уже стабилизировался. Подойдут модели Keenetic Hero / Giga / Ultra и все более новые.

Шаг 1. Откройте веб-интерфейс

В браузере перейдите на 192.168.1.1 (или my.keenetic.net). Войдите под учёткой администратора.

Шаг 2. Раздел WireGuard

Слева — Интернет → Другие подключения → WireGuard. Если раздела нет, обновите KeeneticOS до 4.0+ через Общие настройки → Обновление. Большинство моделей апгрейдятся бесплатно.

Шаг 3. Создайте подключение

+ Добавить подключение:

• Имя соединения — любое (Molystrix)
• Адрес и маска — Address из конфига (10.7.0.5/32)
• Listen port — пустым, назначится автоматически
• Приватный ключ — PrivateKey из конфига

Раздел Пиры → + Добавить пира:

• Публичный ключ — PublicKey из секции [Peer]
• Endpoint — IP и порт сервера (193.x.x.x:51820)
• Allowed IPs — 0.0.0.0/0
• Persistent keepalive — 25

Шаг 4. Включите и проверьте

Активируйте переключатель. Через 10 секунд Системный монитор → Состояние интернета — зелёный статус и видимый трафик. Снаружи — откройте 2ip.ru с любого устройства, IP должен быть европейским. Если показывает российский — проверьте Приоритеты подключений: WireGuard должен быть выше основного провайдера.

Установка WireGuard на MikroTik (RouterOS 7+)

MikroTik поддерживает WireGuard встроенно с RouterOS 7.0 (2021). Если у вас всё ещё 6.x — обновитесь, иначе раздела в меню не будет. Шаги через Winbox; в web — то же самое.

Шаг 1. WireGuard-интерфейс

Interfaces → WireGuard → +: Name = wg-molystrix, MTU = 1420, Private Key — из конфига. Сохранить.

Шаг 2. Пир

Вкладка Peers → +: Interface = wg-molystrix, Public Key — публичный ключ сервера, Endpoint + Endpoint Port — из конфига, Allowed Address = 0.0.0.0/0, Persistent Keepalive = 00:00:25.

Шаг 3. IP-адрес

IP → Addresses → +: Address = ваш адрес из конфига (10.7.0.5/24), Interface = wg-molystrix.

Шаг 4. Маршрут и NAT

IP → Routes → +: Dst. Address = 0.0.0.0/0, Gateway = wg-molystrix, Distance = 1.

IP → Firewall → NAT → +: Chain = srcnat, Out. Interface = wg-molystrix, Action = masquerade.

Шаг 5. Проверка

В терминале: /interface wireguard print — должен появиться last-handshake свежее минуты. С любого устройства — curl ifconfig.me, ответ должен быть европейским IP.

Установка WireGuard на ASUS (Asuswrt-Merlin)

Стоковая прошивка ASUS WireGuard почти не поддерживает (только на топовых RT-AX88U Pro в свежих сборках). Большинство владельцев ASUS ставят Asuswrt-Merlin — кастомную прошивку с расширенным функционалом. WireGuard-клиент в ней с версии 388.

Если у вас стоковая прошивка — сначала прошьёте Merlin (список моделей на asuswrt-merlin.net).

Шаг 1. Раздел VPN

В админке Merlin: VPN → WireGuard Client. Выберите слот Client 1.

Шаг 2. Импорт конфига

Нажмите Import .conf file и выберите .conf из письма Molystrix. Все поля заполнятся автоматически.

Шаг 3. Применить

Переключатель Enable WireGuard наверху → Apply. Через 5–10 секунд в Status появится зелёная галочка и статистика. Если красный — проверьте Endpoint (IP мог смениться) и время на роутере (расхождение больше 2 минут ломает handshake).

Установка AmneziaWG на OpenWRT

OpenWRT — единственная прошивка, где AmneziaWG в 2026 работает нативно. Через community-пакет amneziawg-tools, собранный для OpenWRT 22.03+. Минус — нужен SSH и базовый Linux. Если это напрягает, остановитесь на классическом WireGuard на одном из роутеров выше.

Шаг 1. SSH

С компьютера: ssh root@192.168.1.1. Пароль — тот, что вы задали при первой настройке (или пустой по умолчанию — сразу смените passwd).

Шаг 2. Подключите community-feed

echo "src/gz amnezia https://github.com/amnezia-vpn/amneziawg-openwrt/releases/download/latest/" \
  >> /etc/opkg/customfeeds.conf
opkg update

Если репозиторий переехал — актуальный URL смотрите на github.com/amnezia-vpn/amneziawg-openwrt.

Шаг 3. Установите пакеты

opkg install kmod-amneziawg amneziawg-tools luci-app-amneziawg

luci-app-amneziawg — опциональная веб-морда; без неё всё через CLI.

Шаг 4. Конфиг

mkdir -p /etc/amnezia/amneziawg
nano /etc/amnezia/amneziawg/awg0.conf

Вставьте содержимое из письма Molystrix (включая Jc, Jmin, Jmax, S1, S2, H1–H4 — отличие от обычного WG). Сохранить (Ctrl+O, Enter, Ctrl+X).

Шаг 5. Поднимите и проверьте

awg-quick up awg0
awg show

Должен быть latest handshake свежее минуты.

Шаг 6. Автозапуск + LAN-роутинг

Для автозапуска: echo "awg-quick up awg0" >> /etc/rc.local (перед exit 0). Для LAN-трафика через туннель — добавьте route в /etc/config/network и зону awg0 с masquerading в /etc/config/firewall. Подробнее — в документации OpenWRT по WireGuard, шаги для AmneziaWG идентичны.

Что делать если роутер не тянет

Признаки, что роутер не справляется:

• скорость через туннель — 30–50 Мбит/с, хотя тариф на 200+
• Wi-Fi лагает после включения туннеля
• 4K-видео на Smart TV буферизуется, хотя без туннеля шло гладко
• веб-морда роутера тормозит под нагрузкой

Причина почти всегда одна — процессор упёрся в потолок. WireGuard и AmneziaWG используют ChaCha20-Poly1305 — быстрая криптография, но без аппаратного ускорения её всё равно крутит CPU. На MT7621 (чип в моделях за 3–5 тысяч) потолок около 60 Мбит/с. На IPQ-чипах ASUS/MikroTik — 200–400. На Keenetic Giga и MikroTik hAP ax3 — до гигабита.

Варианты:

1. Снять туннель с роутера, поставить на устройства. Часто оптимально — каждое устройство берёт нагрузку на свой CPU.
2. Обновить роутер на модель с криптоускорителем. Keenetic Giga (KN-1011), MikroTik hAP ax3, ASUS RT-AX86U Pro — гигабит через WG.
3. Туннель только для части устройств через VLAN или гостевой SSID. Сложно, но гибко.

Если роутер не тянет — Molystrix-конфиг работает на трёх устройствах одной подпиской: ноутбук + телефон + ещё одно (iPad, рабочий компьютер, Apple TV через Wi-Fi-bridge). Не нужно греть процессор роутера и резать общий канал — каждое устройство берёт нагрузку на себя. 249 ₽ в месяц, конфиг QR-кодом на email. → Посмотреть тарифы

Когда лучше туннель на устройства

Положа руку на сердце: для большинства домашних сценариев туннель на каждом устройстве удобнее, чем на роутере.

Один Smart TV. Поставьте AmneziaWG на телефон и раздавайте Wi-Fi с него. Нагревается, но для вечернего YouTube хватает. Альтернатива — travel-роутер (GL.iNet Beryl AX) только под зону Smart TV.

Один-два десктопа и пара телефонов. Родной клиент быстрее, удобнее настраивается, не делит CPU роутера. Три устройства подписки Molystrix хватает на типичную семью из двоих с ноутбуком + телефоном у каждого.

Гибкое переключение. На устройстве туннель включается одним тапом. На роутере — открыть админку, найти переключатель. Если регулярно переключаетесь под банки — на устройствах быстрее.

Боитесь сломать сеть жене / родителям. Ошибка на роутере — нет интернета у всех в квартире. На устройстве — только у вас.

Туннель на роутере оправдан когда у вас десяток устройств без поддержки клиента (умный дом, IP-камеры, несколько Smart TV) или когда нужен отдельный Wi-Fi с защищённым соединением для гостей.

Часто задаваемые вопросы

Можно ли совместить туннель на роутере и split tunneling?

Из коробки — нет. На MikroTik split нaстраивается через mangle-правила в Firewall, на Keenetic — через интерфейсные приоритеты, на OpenWRT — через ip rule и таблицы маршрутизации. Сложно, но возможно. Проще снять туннель с роутера и поставить на устройства — там split включается в один клик.

Какой роутер выбрать если хочется максимум скорости?

Из бытовых моделей с гигабитным потолком в 2026: Keenetic Giga (KN-1011), MikroTik hAP ax3, ASUS RT-AX86U Pro, RT-AX88U Pro. Стоят 12–20 тысяч и имеют аппаратное ускорение ChaCha20. Из премиум — MikroTik RB5009UG тянет 1 Гбит даже без ускорителя, на голом CPU.

Поддерживает ли стоковый AsusWRT WireGuard?

Частично. На RT-AX88U Pro, RT-AX86U Pro, GT-AX11000 и свежее WireGuard-клиент появился в стоковой прошивке с версии 3.0.0.6.102 (2024). На более старых моделях стоковая прошивка WireGuard не имеет — нужен Asuswrt-Merlin.

Сломаются ли банки если весь трафик через туннель?

С российскими банками (Сбер, Тинькофф, ВТБ) — иногда да. Проверяют geo IP при платежах и при входе из-за границы могут требовать СМС или временно ограничивать функции. Лечится PBR-исключением банковских доменов на роутере или временным отключением туннеля. На устройстве это решается split tunneling — одна из причин, почему туннель на устройстве удобнее.

Где взять конфиг для роутера — он отличается от мобильного?

Конфиг один и тот же — .conf с секциями [Interface] и [Peer]. Тот же файл, что импортируете в мобильное приложение, подходит и для роутера. Разница только во вводе: на телефоне сканируете QR, на роутере вставляете содержимое в форму или загружаете файл. В письме из Molystrix приходят оба формата сразу.

Как обновлять конфиг если выдали новый?

При обычном продлении подписки конфиг не меняется — старый продолжает работать. Новый приходит только при ручном перевыпуске ключа или смене устройства в личном кабинете. На роутере: Keenetic — отредактируйте поля ключа и пира в том же подключении; MikroTik — измените поля интерфейса и пира; ASUS Merlin — заново импортируйте .conf; OpenWRT — перепишите /etc/amnezia/amneziawg/awg0.conf и сделайте awg-quick down awg0 && awg-quick up awg0.

Почему AmneziaWG не поддерживается на Keenetic / MikroTik / ASUS?

Прошивки этих производителей закрытые. AmneziaWG-команде нужно либо ждать, пока вендор добавит поддержку, либо публиковать SDK для самостоятельной интеграции — пока ни того, ни другого. OpenWRT open source, поэтому community смог портировать сам. На май 2026 запросы к Keenetic и MikroTik обсуждаются на форумах, но без официальных анонсов.

Что если у меня роутер от провайдера?

Провайдерские роутеры (Ростелеком, МТС, Билайн) — обычно ребрендированные ZTE, Huawei или Sercomm с урезанной прошивкой. WireGuard на них почти никогда не поддерживается. Варианты: поставить свой роутер за провайдерским (двойной NAT, лишний прыжок) или попросить провайдера перевести их устройство в bridge-режим. Второй лучше, но не всегда возможен.

Можно ли отдельный SSID только для туннеля?

Да. На Keenetic — через Сегменты сети, на MikroTik — через bridge с VLAN и policy routing, на ASUS — через гостевую сеть с привязкой к WG, на OpenWRT — через firewall zones. Удобный сценарий: основной SSID идёт напрямую (банки работают), второй home-tunnel — через защищённое соединение для Smart TV и приставок.

Сколько устройств может ходить через туннель на роутере?

Технически — сколько потянет CPU. Один туннель WireGuard прокачивает любое количество клиентов за NAT, ограничение только в полосе. На бытовом роутере с потолком 80 Мбит/с пять устройств получат по 16 (если все смотрят 4K — будут страдать). На гигабитном — десятки без проблем. Подписка Molystrix считает 3 «устройства» по числу выданных ключей — а сколько устройств за каждым ключом, неважно.

Резюме

• AmneziaWG нативно — только на OpenWRT через amneziawg-tools
• Классический WireGuard — на Keenetic (KeeneticOS 4.0+), MikroTik (RouterOS 7+), ASUS (Merlin)
• Бюджетные роутеры (TP-Link / D-Link / Tenda) — туннель ставьте на устройства, не на роутер
• Слабый CPU роутера — главный потолок скорости (часто 30–80 Мбит/с)
• Если у вас не больше 3–4 устройств с поддержкой клиента — туннель на устройства практичнее: быстрее, гибче, безопаснее

Если хочется поставить AmneziaWG на конкретное устройство, у нас уже есть подробные гайды: iPhone и iPad, Windows и macOS, Android. Один конфиг работает на всех платформах одинаково.

Если ваш кейс — IoT, Smart TV без приложений и гости — тогда роутер оправдан, и инструкции выше дают рабочую конфигурацию. Если кейс — два ноутбука и три телефона, всерьёз подумайте про родные клиенты. В большинстве случаев это та же скорость без головной боли с маршрутизацией.