OpenWRT туннели 2026: AmneziaWG, WireGuard и sing-box на роутере

Дома стоит TP-Link Archer C7 или Xiaomi 4A Gigabit, на нём прошивка OpenWRT, и хочется поднять туннель на уровне роутера. Заходишь в LuCI, идёшь в Network → Interfaces → Add — и видишь четыре варианта Protocol: Static, DHCP, PPPoE, WireGuard. Никакого AmneziaWG. И никакого sing-box. А по подсказкам сообщества выходит, что у каждого из трёх клиентов своя установка, свой feed, свой набор подводных камней.

В 2026 OpenWRT остаётся практически единственной открытой прошивкой, которая ставится на сотни моделей роутеров без вендорских ограничений. Keenetic, MikroTik, ASUS — каждый со своей закрытой прошивкой и своими правилами. OpenWRT — это обычный Linux с opkg-менеджером, и сюда можно поставить любой из массовых туннельных протоколов. Вопрос только в том, какой из них выбрать под свою задачу.

Дальше — три рабочих способа: штатный WireGuard через opkg за пять минут, AmneziaWG через свежий пакет luci-proto-amneziawg, sing-box с поддержкой VLESS / Reality / Trojan / Hysteria. Что под какой провайдерский кейс уместнее, какие версии OpenWRT для каждого нужны, и где упирается железо.

Какие версии OpenWRT нужны

OpenWRT — модульная система. От версии прошивки зависит, какие пакеты в принципе ставятся через opkg.

• OpenWRT 21.02+ — wireguard-tools и kernel-модуль kmod-wireguard доступны из stable-репозитория. Этого достаточно для штатного WireGuard. Версия 21.02 устарела (релиз 2021, поддержка прекращена в 2023), но базовый туннель на ней работает.
• OpenWRT 22.03+ — рекомендуемый минимум для WireGuard. Веб-вкладка LuCI luci-app-wireguard отполирована, не требует ручных правок /etc/config/network.
• OpenWRT 23.05+ — здесь становится возможен AmneziaWG через community-feed. Сам пакет amneziawg-tools собирается под ядро 5.15 / 6.1 (зависит от target), которые в ветке 23.05 идут по умолчанию.
• OpenWRT 23.05.6+ или 24.10.3+ — появился пакет luci-proto-amneziawg (новое имя, до этого был luci-app-amneziawg). Добавляет вкладку AmneziaWG в Network → Interfaces, заполняет Jc, S1–S2, H1–H4 через UI без правки конфигов.
• OpenWRT 22.03+ для sing-box — userspace-приложение, ставится из community-feed или собирается под целевую архитектуру вручную.

Проверить версию: SSH в роутер, cat /etc/openwrt_release. Если стоит 19.07 или раньше — обновите прошивку, на старых ядрах ничего из перечисленного не запустится корректно.

Подходит ли OpenWRT-туннель лично вам? Короткий тест

Прежде чем уходить в opkg, проверьте, что ваша задача в принципе решается на роутере.

Ваша ситуация	Что выбрать
Стандартный туннель, провайдер не режет WireGuard	Способ 1 — штатный WireGuard, читайте дальше
Провайдер режет WG-handshake (Beeline, МегаФон, Yota, Tele2)	Способ 2 — AmneziaWG через luci-proto-amneziawg
Нужны VLESS Reality, Trojan, Hysteria — всё в одном клиенте	Способ 3 — sing-box
Роутер не OpenWRT (Keenetic, MikroTik, ASUS)	Обзор по роутерам
Глубокая инструкция по AmneziaWG на всех трёх типах роутеров	Deep guide
Не хочу разбираться, ищу готовый конфиг	Molystrix — QR-код на email, ставится прямо на устройства

Дальше — три способа подробно. В одном порядке: установка, конфиг, проверка.

Способ 1: штатный WireGuard через opkg

Самый короткий путь и максимальная производительность. WireGuard в OpenWRT работает в ядре (kernel-fastpath), пакеты обрабатываются без перехода в user-space — это значит, что на средних моделях вроде Xiaomi 4A Gigabit или GL.iNet Beryl AX выходит 700–900 Мбит/с. На бюджетных с MT7621 (Xiaomi 4A, ZyXEL Keenetic Lite на OpenWRT) — 100–200 Мбит/с, упирается в single-thread ChaCha20 без аппаратного ускорителя.

Шаг 1. SSH в роутер

ssh root@192.168.1.1

Если пароль не задан (сразу после прошивки) — войдёте без него. Сразу установите: команда passwd.

Шаг 2. Установить пакеты

opkg update
opkg install wireguard-tools kmod-wireguard luci-app-wireguard luci-proto-wireguard

kmod-wireguard — kernel-модуль (без него туннель не поднимется). luci-app-wireguard добавляет вкладку статуса в Status → WireGuard. luci-proto-wireguard — добавляет «WireGuard VPN» в выпадающий список протоколов в Network → Interfaces.

После установки перезагрузите LuCI: меню браузера → обновить страницу.

Шаг 3. Создать интерфейс

LuCI: Network → Interfaces → Add new interface. Name — wg0, Protocol — WireGuard VPN. Сохранить.

На вкладке General Settings заполняется из вашего .conf:

• Private Key — содержимое поля PrivateKey из секции [Interface]
• Listen Port — оставить пустым (выберется случайный)
• IP Addresses — Address из конфига, например 10.7.0.5/32

На вкладке Advanced Settings:

• MTU — 1420 (стандарт для WireGuard)
• Bring up on boot — отметить

Шаг 4. Добавить peer

Вкладка Peers → Add Peer:

• Public Key — серверный PublicKey
• Preshared Key — если есть в конфиге
• Allowed IPs — 0.0.0.0/0 и ::/0 для full-tunnel, или конкретные подсети для split
• Endpoint Host — IP сервера
• Endpoint Port — порт сервера (обычно 51820)
• Persistent Keepalive — 25

Save → Save & Apply.

Шаг 5. Firewall

В Network → Firewall создать новую зону wg, прикрутить к ней интерфейс wg0. Forward от lan → wg — Accept, masquerading включить на зоне wg. Без masquerading трафик из локалки в туннель не уйдёт.

Шаг 6. Проверка

wg show

Ищите строку latest handshake свежее минуты. С любого LAN-устройства: curl ifconfig.me — должен показать IP сервера, а не вашего провайдера.

Ограничение Способа 1. Штатный WireGuard виден DPI по характерным признакам: первый байт message_type всегда 0x01–0x04, длина handshake-пакета фиксированная (148 байт), ритм transport-сообщений стабильный. У некоторых провайдеров в 2024–2026 включена эвристика по этим признакам, и handshake режется на третьем-четвёртом обмене. Если у вас именно такой случай — переходите ко Способу 2.

Способ 2: AmneziaWG через luci-proto-amneziawg

AmneziaWG — форк WireGuard от команды Amnezia с параметрами обфускации Jc / Jmin / Jmax (junk-пакеты случайной длины перед handshake), S1 / S2 (magic-байты, меняющие длину handshake-сообщений), H1–H4 (заменяют стандартные типы пакетов 0x01–0x04). DPI-эвристика по packet-shape перестаёт работать, потому что packet-shape перестаёт быть стабильным.

В стандартных репозиториях OpenWRT пакета amneziawg-tools нет — он собирается сообществом и подключается как community-feed. До OpenWRT 23.05.6 / 24.10.3 настройка делалась через awg-quick и ручное редактирование /etc/amneziawg/awg0.conf. С появлением luci-proto-amneziawg процесс выглядит так же, как для штатного WireGuard, только с дополнительными полями для параметров обфускации.

Подробное сравнение AmneziaWG и обычного WireGuard — в отдельной статье.

Шаг 1. Подключить community-feed

Актуальный URL feed-репозитория — на странице github.com/amnezia-vpn/amneziawg-openwrt. Добавьте в /etc/opkg/customfeeds.conf:

echo "src/gz amneziawg https://github.com/amnezia-vpn/amneziawg-openwrt/releases/download/latest/" \
  >> /etc/opkg/customfeeds.conf
opkg update

Если репозиторий переехал — посмотрите README на github.

Шаг 2. Установить пакеты

opkg install kmod-amneziawg amneziawg-tools luci-proto-amneziawg

kmod-amneziawg — kernel-модуль обфускационного форка. Производительность сравнима со штатным WireGuard, потому что обработка идёт в ядре. luci-proto-amneziawg добавляет вкладку «AmneziaWG» в Network → Interfaces.

На OpenWRT 22.03–23.05.5 пакет назывался luci-app-amneziawg — если opkg install luci-proto-amneziawg ругается на «unknown package», попробуйте старое имя. С 23.05.6 и 24.10.3 — только новое.

Шаг 3. Создать интерфейс

LuCI: Network → Interfaces → Add new interface. Name — awg0, Protocol — AmneziaWG. Сохранить.

На вкладке General Settings заполняется из .conf:

• Private Key — содержимое PrivateKey
• Listen Port — пусто
• IP Addresses — Address (например 10.7.0.5/32)

Дальше — Advanced Settings:

• MTU — 1420
• Jc — количество junk-пакетов (обычно 4)
• Jmin / Jmax — минимальная и максимальная длина junk-пакета в байтах (например 40 и 70)
• S1 / S2 — magic-байты для начальных handshake-сообщений
• H1 / H2 / H3 / H4 — типы пакетов, заменяющие стандартные 0x01–0x04

Значения этих параметров берутся из серверного конфига побайтно. Без них AmneziaWG деградирует до обычного WireGuard и DPI его увидит.

Шаг 4. Добавить peer

То же, что в Способе 1:

• Public Key — серверный
• Preshared Key — если есть
• Allowed IPs — 0.0.0.0/0, ::/0
• Endpoint Host / Port — IP и порт сервера
• Persistent Keepalive — 25

Save → Save & Apply.

Шаг 5. Firewall и проверка

Зона awg, forward lan → awg, masquerading. То же, что в Способе 1, но интерфейс awg0 вместо wg0.

awg show

latest handshake должен появиться через 5–15 секунд. Если не появился — проверьте параметры обфускации (должны совпадать с сервером), Endpoint, и время на роутере (через date). Расхождение больше двух минут ломает handshake.

Edge case по памяти. На роутерах с менее чем 128 МБ RAM (старые TP-Link Archer C20 / C50, бюджетные модели на MT7628) AmneziaWG может не подняться или валиться через несколько минут — kernel-модуль и связанные процессы съедают около 30–40 МБ, а на этих моделях после загрузки системы остаётся 20–40 МБ свободной памяти. Минимум 128 МБ RAM рекомендую, комфортно — 256 МБ.

Способ 3: sing-box для VLESS Reality, Trojan, Hysteria

Когда AmneziaWG-обфускация уже не помогает (редкие, но встречающиеся кейсы агрессивных корпоративных DPI), или хочется единый клиент под несколько протоколов сразу — приходит sing-box. Это userspace-приложение, написанное на Go, поддерживает VLESS, Reality, Trojan, Hysteria, Shadowsocks, Tuic, V2Ray legacy и десяток других протоколов в одном бинаре. Преимущество — самая сильная маскировка из доступных (VLESS Reality имитирует TLS-handshake реального стороннего сайта; подробности — в разборе VLESS Reality). Цена — userspace-обработка, проседание скорости в полтора-два раза против kernel-WireGuard.

Шаг 1. Установка

Готового пакета sing-box в основном репозитории OpenWRT нет (на момент 2026 — только community-сборки разной свежести). Два пути:

Путь A — community-feed openwrt-sing-box. Поддерживается несколькими сообществами на GitHub. Качество зависит от мейнтейнера и регулярности обновлений. Найти актуальный — поиск «openwrt sing-box ipk» по архитектуре вашего роутера (mips_24kc, aarch64_cortex-a53, arm_cortex-a7_neon-vfpv4 и т. п.). Узнать архитектуру: opkg print-architecture.

Путь B — ручная сборка/загрузка бинаря с github.com/SagerNet/sing-box. Релизы команды Sager публикуются под все массовые ARM- / MIPS-архитектуры. Скачать бинарь под свою архитектуру, положить в /usr/bin/sing-box, дать chmod +x.

Шаг 2. Конфигурация

sing-box не использует .conf-формат WireGuard — у него собственный JSON. Конфиг кладётся в /etc/sing-box/config.json. Минимальный пример для VLESS Reality:

{
  "log": { "level": "info" },
  "outbounds": [
    {
      "type": "vless",
      "server": "your.server.ip",
      "server_port": 443,
      "uuid": "ваш-UUID",
      "flow": "xtls-rprx-vision",
      "tls": {
        "enabled": true,
        "server_name": "www.microsoft.com",
        "reality": {
          "enabled": true,
          "public_key": "серверный-pubkey",
          "short_id": "shortid-из-конфига"
        },
        "utls": {
          "enabled": true,
          "fingerprint": "chrome"
        }
      }
    }
  ]
}

Полный конфиг (включая inbounds для перехвата LAN-трафика и route для policy-routing) — в документации sing-box.sagernet.org. Без inbounds tun или inbounds redirect LAN-трафик через sing-box не пойдёт — это принципиальное отличие от WireGuard, где interface создаётся автоматически.

Шаг 3. Автозапуск через procd

OpenWRT использует procd, а не systemd. Init-скрипт /etc/init.d/sing-box:

#!/bin/sh /etc/rc.common
USE_PROCD=1
START=99

start_service() {
    procd_open_instance
    procd_set_param command /usr/bin/sing-box run -c /etc/sing-box/config.json
    procd_set_param respawn
    procd_set_param stdout 1
    procd_set_param stderr 1
    procd_close_instance
}

Активировать:

chmod +x /etc/init.d/sing-box
/etc/init.d/sing-box enable
/etc/init.d/sing-box start

Шаг 4. LuCI integration

Официального luci-app-sing-box нет. Community-вариант luci-app-sing-box или luci-app-homeproxy (форк под Hiddify-style) существует, но качество и совместимость с разными OpenWRT-релизами варьируются. Базово sing-box настраивается правкой JSON через SSH — это его нормальный режим.

Производительность

На бюджетных роутерах с MT7621 или IPQ4019 (Xiaomi 4A, TP-Link Archer C7, бюджетные GL.iNet) sing-box даёт 30–50 Мбит/с — userspace + JSON-обработка съедают single-thread CPU. На современных Cortex-A53 / A55 (GL.iNet Flint 2, Beryl AX, средние Xiaomi/Mercusys) — 80–150 Мбит/с. Гигабит через sing-box на роутере — практически только на RB5009 / Flint AX6000 / Banana Pi BPI-R3 уровня.

Сравнительная таблица: что выбрать под какой кейс

Кейс	Протокол	Почему
Self-host, провайдер не режет WG	WireGuard	Kernel-fastpath, 700–900 Мбит/с на средних моделях
Beeline / МегаФон / Yota / Tele2 режут handshake	AmneziaWG	Junk-байты + magic-headers ломают packet-shape эвристику; те же 600–800 Мбит/с kernel-fastpath
Корпоративный DPI с глубоким анализом, нужна имитация TLS	VLESS Reality через sing-box	Handshake неотличим от обычного HTTPS к microsoft.com / tesla.com / mozilla.org
Несколько протоколов одновременно (миграция, тестирование)	sing-box	Один бинарь под VLESS, Trojan, Hysteria, Shadowsocks; цена — 30–50% скорости

Краткий обзор всех трёх — в сравнении VLESS, WireGuard и AmneziaWG.

Что НЕ заработает на OpenWRT

Несколько кейсов, где OpenWRT не помощник:

• Клиенты коммерческих туннельных сервисов (ExpressVPN, NordVPN, ProtonVPN, Surfshark). Они выпускают нативные приложения только под desktop и мобильные платформы. На OpenWRT либо официально не поддерживаются, либо предлагают руками конвертировать .conf в WireGuard-формат и поднимать через штатный WG-клиент (что работает, но без фич типа kill switch и автоматического выбора сервера из приложения).
• Outline. Это серверная часть. Outline-Client под OpenWRT не существует. Если очень хочется — поднимайте Outline-сервер где-нибудь ещё и подключайтесь как Shadowsocks-клиентом через sing-box.
• V2Ray-classic. Deprecated с 2024, последний релиз 2023. Если у вас старый V2Ray-конфиг — мигрируйте на sing-box (нативная поддержка legacy V2Ray-формата) или Xray-core (форк, который продолжает развиваться).
• AmneziaWG full-client (AppImage). Это standalone-приложение для desktop. На OpenWRT-роутере не имеет смысла — нужно amneziawg-tools через opkg.

Подводные камни 2026

Если третий вечер уходит на opkg install и dependency-conflict — возможно, дешевле не возиться с роутером, а просто поставить клиент на ноут и телефон. У Molystrix приходит готовый AmneziaWG-конфиг с параметрами обфускации, импорт в приложение занимает минуту: вставили [Interface] и [Peer], активировали — туннель поднялся. Конфиг работает на трёх устройствах одной подписки, QR-код приходит на email после оплаты. 249 ₽ в месяц. → Посмотреть тарифы

Переименование luci-app-amneziawg → luci-proto-amneziawg. В версиях OpenWRT 22.03–23.05.5 пакет назывался luci-app-amneziawg. С 23.05.6 и в 24.10 — luci-proto-amneziawg (соответствует архитектурной конвенции OpenWRT: proto-пакеты добавляют новый Protocol в выпадающий список Network → Interfaces). Если ставите по старому гайду на свежей прошивке — пакет не найдётся, а если по новому на старой — наоборот. Проверьте версию cat /etc/openwrt_release перед выбором имени.

MAC-spoofing на смене роутера. Часть провайдеров привязывают сессию к MAC-адресу первого роутера, который видели в розетке. Если меняете железо — новый MAC интернет не получит. В LuCI: Network → Interfaces → wan → Edit → Advanced Settings → Override MAC Address, вставить старый MAC. Или через /etc/config/network: option macaddr 'XX:XX:XX:XX:XX:XX'.

MTU на ARM-роутерах с AmneziaWG. Из-за особенностей реализации junk-пакетов в amneziawg-go AmneziaWG чувствителен к MTU больше, чем штатный WireGuard. Если страницы рвутся посередине загрузки, картинки догружаются с третьего раза — снизьте MTU интерфейса до 1380 (запас 40 байт от стандартного 1420 для WireGuard, или дополнительно −8 на PPPoE). В LuCI: интерфейс → Advanced → MTU. В CLI: /etc/config/network, секция interface awg0, добавить option mtu '1380'.

Memory pressure на бюджетных моделях. Роутеры с 64 МБ RAM (старые Archer C2, C20) — практически непригодны для туннеля любого типа, после загрузки OpenWRT остаётся 5–10 МБ свободной памяти. 128 МБ — минимум для штатного WireGuard, 256 МБ — комфорт для AmneziaWG или sing-box. Проверить: free -m после загрузки и установки всех пакетов.

Place в /overlay. OpenWRT хранит установленные пакеты в /overlay, обычно overlay-flash 4–8 МБ на бюджетных моделях. Установка sing-box + LuCI + всех зависимостей легко съедает 5–6 МБ. Проверить: df -h /overlay. Если упёрлось — нужен extroot (вывод overlay на USB-флешку через block-mount, kmod-usb-storage и kmod-fs-ext4).

Часто задаваемые вопросы

Какой OpenWRT-роутер лучше всего подойдёт под туннель в 2026?

Под штатный WireGuard и AmneziaWG — Xiaomi 4A Gigabit (бюджет, MT7621, ~80 Мбит/с) или GL.iNet Beryl AX (8–10 тыс ₽, IPQ6018, 250–340 Мбит/с с поддержкой AmneziaWG из коробки). Под sing-box и максимальную нагрузку — GL.iNet Flint 2 (IPQ8072A, около гигабита для штатного WG, 80–150 Мбит/с для sing-box) или MikroTik RB5009 с OpenWRT (тут уже самосбор и спорные совместимости). Полный список совместимости — openwrt.org/toh/start.

В чём разница luci-app-wireguard и luci-proto-amneziawg?

luci-app-wireguard — это дашборд статуса для штатного WireGuard. Показывает peers, handshake, traffic counters, кнопку Start/Stop. Сам Protocol «WireGuard VPN» в Network → Interfaces добавляется отдельным luci-proto-wireguard. Для AmneziaWG ситуации две: до OpenWRT 23.05.6 пакет назывался luci-app-amneziawg (включал и UI, и Protocol-handler), с 23.05.6 / 24.10.3 — luci-proto-amneziawg (architectural-cleanup, чтобы соответствовать конвенции OpenWRT). Функционально оба добавляют вкладку AmneziaWG в Network → Interfaces.

Можно ли использовать один и тот же конфиг от провайдера и на OpenWRT, и на телефоне?

Да. AmneziaWG- и WireGuard-конфиг — это текстовый файл .conf с секциями [Interface] и [Peer], формат единый. Параметры PrivateKey, Address, PublicKey, Endpoint, AllowedIPs, плюс Jc / S1 / H1–H4 для AmneziaWG — одинаково парсятся клиентом на iPhone, на Windows, в LuCI на OpenWRT. Единственная разница — на роутере ставите конфиг через UI один раз, на устройствах — через приложение AmneziaWG. У готового туннельного сервиса конфиг обычно приходит QR-кодом, и его можно отсканировать как телефоном (через камеру в AmneziaWG-app), так и руками перенести в LuCI на роутере.

Влияет ли туннель на роутере на скорость Wi-Fi всей сети?

Опосредованно. Wi-Fi и туннель — две независимые задачи: радио-чип обрабатывает Wi-Fi (часто отдельный SoC или отдельные ядра), а CPU роутера крутит ChaCha20-Poly1305 для туннеля. Но на single-CPU моделях обе нагрузки конкурируют за процессор. На MT7621 + четыре устройства, активно качающие через туннель, общий потолок упадёт до 60–80 Мбит/с на всех вместе, не на каждого. На двухдиапазонных Wi-Fi 6 моделях с отдельным radio-SoC (Beryl AX, Flint 2) — разница незаметна, туннель кладёт CPU, Wi-Fi кладёт радио-чип, не пересекаются.

Можно ли split-tunneling на OpenWRT?

Да, через ip rule + отдельные routing-tables. Принцип: для трафика к российским сервисам (Сбер, Госуслуги, Тинькофф) указать lookup в основную таблицу (через провайдера), для остального — через туннельную. Минимально работает с десятком ручных правил для основных подсетей (получить можно через whois на их домены). Полноценная схема — dnsmasq-full с ipset-интеграцией: dnsmasq резолвит домены и подкидывает их IP в ipset, который iptables использует как условие для policy-routing. Подробнее — в секции про policy-routing в deep-guide.

Что делать, если на роутере нет места для пакетов?

Проверьте df -h /overlay. Если меньше 1 МБ свободного — нужен extroot. План: подключить USB-флешку (минимум 4 ГБ, отформатированную в ext4), поставить block-mount kmod-usb-storage kmod-fs-ext4, перенести /overlay на флешку через block detect > /etc/config/fstab, перезагрузить. После этого пакеты ставятся на флешку, и место не упирается в 8 МБ внутренней flash. Гайд — openwrt.org/docs/guide-user/storage/extroot_configuration.

Поддерживается ли sing-box на старых OpenWRT 21.02?

Да, бинарь под нужную архитектуру с github.com/SagerNet/sing-box работает почти на любой версии OpenWRT — это userspace-приложение, не зависит от ядра. Но: на 21.02 ядро 5.4 / 5.10 (зависит от target), и часть оптимизаций сетевого стека отсутствует, поэтому пропускная способность будет ниже, чем на 23.05+. Если у вас старая прошивка ради старого железа — пробуйте, скорее всего, заработает; если по другим причинам — обновитесь до 23.05.

Туннель на роутере или на каждом устройстве — что лучше?

Зависит от ландшафта дома. Если в квартире Smart TV, PlayStation, IoT-лампочки — для них клиента нет в принципе, и туннель на роутере единственный способ закрыть их защищённым каналом. Если только пара ноутбуков и смартфонов — туннель на каждом устройстве проще и гибче. Можно одной кнопкой переключить (выйти из дома → телефон уходит с домашнего туннеля → продолжает работать с мобильного клиента), можно индивидуальный split-tunneling. Часто разумно совмещать: на роутере штатный WireGuard для всего LAN, на телефонах отдельный AmneziaWG для мобильных сетей и поездок.

Резюме

• OpenWRT 22.03+ — штатный WireGuard через wireguard-tools + luci-proto-wireguard, пять минут на установку, kernel-fastpath, 700–900 Мбит/с на средних моделях
• OpenWRT 23.05.6+ или 24.10.3+ — AmneziaWG через community-feed + luci-proto-amneziawg, обфускация для провайдеров с DPI по packet-shape, та же производительность
• sing-box — userspace, VLESS Reality / Trojan / Hysteria в одном бинаре, цена 30–50% скорости, требует ручной правки JSON
• Базовые требования: 128 МБ RAM минимум, проверить /overlay, MTU 1380 при разрывах загрузок, отдельная зона firewall и masquerading

Что не пойдёт на OpenWRT в принципе — клиенты коммерческих сервисов (ExpressVPN, NordVPN, ProtonVPN), Outline-Client, V2Ray-classic. На стоковых TP-Link / D-Link без OpenWRT — никак, нужно либо прошить (если модель в списке совместимости), либо ставить туннель только на устройства.

Если же задача — просто получить рабочий конфиг без часов настройки роутера, у Molystrix приходит готовый AmneziaWG в виде QR-кода на email, который ставится на три устройства одной подписки. Тариф — 249 ₽ в месяц. Для роутерного обзора по другим прошивкам — Keenetic, MikroTik, ASUS, а для глубокого AmneziaWG-разбора по трём типам роутеров — deep guide. Если интересуют VLESS Reality на роутере отдельно — разбор Reality объясняет, чем он отличается от других обфускационных схем.