WireGuard на Keenetic 2026: настройка пошагово

Keenetic — самый популярный домашний роутер в РФ среди тех, кто понимает, зачем им WireGuard. Giga, Hopper, Speedster, Ultra — все поддерживают протокол как клиент через встроенный модуль KeeneticOS. Конфиг импортируется через веб-интерфейс минут за пять, без SSH и правки текстовых файлов. Но дальше начинаются нюансы: selective routing, проверка handshake — и отдельный кусок про то, что делать, когда обычный WireGuard перестаёт ходить из-за DPI провайдера.

Дальше — короткое сравнение, где Keenetic вытягивает, а где нет, и пошаговая настройка для KeeneticOS 4.x. В конце — что делать, если handshake висит и провайдер режет именно WireGuard.

Что нужно для WireGuard на Keenetic

Три предусловия — без любого из них дальше идти бессмысленно.

Поддерживаемая модель. WireGuard-клиент работает на всех Keenetic с KeeneticOS 3.7 и выше. На практике — Hero, Giga, Ultra, Hopper, Speedster, Sprinter, Carrier и все KN-XXXX с 2018 года. Древние Lite, Start и Omni первых ревизий могут упереться в потолок CPU задолго до раздела меню.

Прошивка KeeneticOS 4.x. Раздел WireGuard стабилизировался в 4.0 — до этого интерфейс перестраивали почти каждый релиз. Обновляться через Общие настройки → Обновление, бесплатно для моделей в поддержке. Если стоит 3.x — обновление обязательное, иначе половина инструкций ниже не совпадёт с реальным меню.

Готовый .conf. Источник — либо сервис (например, Molystrix шлёт QR-код и .conf на email после оплаты), либо свой WireGuard-сервер на VDS с самостоятельной генерацией пар ключей.

Чему подходит Keenetic + WireGuard, а чему нет

Прежде чем углубляться в шаги — короткий тест. Не все сценарии одинаково хорошо ложатся на туннель в роутере.

Ваш сценарий	Что выбрать
Один WireGuard для всех устройств в доме (Smart TV, ноут, телефон)	Keenetic — настройка один раз на роутере, всё домашнее за NAT работает
Хотите выборочно — часть трафика через туннель (например, только YouTube)	Selective routing на Keenetic — раздел Сетевые правила → Маршрутизация
Нужно покрытие вне дома (на работе, в кафе с Wi-Fi)	Туннель на каждом устройстве — Keenetic не поможет, нужен мобильный профиль
Провайдер режет WireGuard, надо AmneziaWG	Туннель на устройствах — Keenetic пока не поддерживает AmneziaWG нативно

Третья и четвёртая строки — реальные ограничения. Keenetic привязан к квартире, и его модуль умеет только классический WireGuard. Если кейс — путешествия или DPI-фильтрация WG-handshake — туннель на устройствах удобнее. Сравнение с другими роутерами — в гайде про AmneziaWG на роутерах.

Установка модуля «Клиент WireGuard» (если нет в комплекте)

В большинстве свежих сборок KeeneticOS модуль WireGuard уже встроен. Проверка: Управление → Общие настройки, список Компоненты KeeneticOS, строка «Клиент WireGuard». Галочка стоит — всё на месте.

Если пункт есть, но не активирован — поставьте галочку и нажмите Установить обновление. Роутер скачает модуль и перезагрузится. Минут пять с учётом ребута.

Строки нет вообще — у вас базовая сборка без опционных компонентов. Откройте Системный монитор → О системе, посмотрите версию. Для 3.x обновитесь до KeeneticOS 4 через Общие настройки → Обновление → Канал обновлений → Стабильный. После ребута WireGuard-компонент появится в списке.

На старых Lite II, Start и Omni I полная KeeneticOS 4.x не помещается во flash. Список совместимых моделей — на сайте Keenetic; если вашей нет, без замены железа дальше не продвинетесь.

Импорт конфига через веб-интерфейс

Когда модуль встал, появляется раздел меню. Дальше — четыре шага.

Шаг 1. Откройте раздел WireGuard

В адресной строке браузера — 192.168.1.1 или my.keenetic.net. Войдите под учёткой администратора. Слева в меню: Интернет → Другие подключения → WireGuard. Если раздела нет — модуль не активирован, вернитесь к предыдущему пункту.

Шаг 2. Создайте подключение

Нажмите + Добавить подключение. Откроется форма с двумя блоками — параметры локального интерфейса и параметры пира. Заполнять можно вручную или загрузить готовый .conf через кнопку Загрузить из файла в верхнем правом углу формы.

При ручном вводе блок интерфейса:

• Имя соединения — любое читаемое (Molystrix, home-tunnel)
• Адрес и маска — значение Address из секции [Interface] вашего .conf (формат 10.7.0.5/32)
• Listen port — оставьте пустым, KeeneticOS назначит сам
• Приватный ключ — PrivateKey из секции [Interface]

Блок пиров (внутри той же формы кнопка + Добавить пира):

• Публичный ключ — PublicKey из секции [Peer]
• Endpoint — IP и порт сервера в формате 193.x.x.x:51820
• Allowed IPs — 0.0.0.0/0 (если хотите весь трафик через туннель) или конкретные подсети для selective routing
• Persistent keepalive — 25 секунд, чтобы NAT провайдера не закрывал UDP-сессию

Шаг 3. Сохраните и активируйте

Нажмите Сохранить. Подключение появится в списке с тумблером слева. Включите его. Через 5–15 секунд статус сменится на «Подключено» и появится зелёная иконка.

Шаг 4. Проверьте приоритет

В Приоритеты подключений WireGuard должен стоять выше основного провайдера. Если ниже — трафик пойдёт мимо туннеля. Перетащите строку наверх, нажмите Применить.

Настройка маршрутизации (Selective routing)

Selective routing — отправка через туннель только части трафика. Полезно, когда хочется YouTube и Discord через WireGuard, а банки и доставку — напрямую через российский IP, чтобы не ловить капчи и ограничения.

В KeeneticOS это работает через Сетевые правила → Маршрутизация. Логика: указываете подсеть назначения и интерфейс, через который её гнать.

Простой пример — направить весь трафик к Google и YouTube через туннель, остальное оставить напрямую:

1. Установите Allowed IPs в WireGuard-подключении не как 0.0.0.0/0, а как пусто (или конкретный диапазон) — иначе KeeneticOS вкатит default-маршрут и перетянет весь трафик
2. Сетевые правила → Маршрутизация → + Добавить маршрут
3. Адрес назначения — например, 8.8.8.8/32 (DNS Google) или диапазон AS Google 142.250.0.0/15
4. Интерфейс — ваш WireGuard
5. Метрика — 1

Повторите для каждого блока IP, который хотите загнать в туннель. Минус подхода — нужно знать AS-номера и подсети назначения. На помощь приходит модуль IP HotSpot → IP Sets, где можно собрать готовый набор по доменам или подгрузить список.

Обратный сценарий — «весь через туннель, кроме банков»: оставляете Allowed IPs 0.0.0.0/0, подсети российских банков прописываете маршрутами через основного провайдера с метрикой ниже. Так живёт большинство пользователей с мультихоумом.

Проверка handshake

После активации подключения откройте его в списке — KeeneticOS показывает свежую статистику. Что искать:

• Состояние — «Подключено», без жёлтой или красной индикации
• Последнее рукопожатие — должно быть «несколько секунд назад» или «менее минуты назад». Если стоит «никогда» или «более 10 минут» — handshake не прошёл, идите в раздел про ошибки
• RX / TX — счётчики байт на приём и передачу. Должны расти при любой активности на устройствах за роутером

Внешняя проверка: с компьютера за Keenetic откройте 2ip.ru или ifconfig.me. IP должен быть европейский (или тот, что у вашего WireGuard-сервера), а не российский. Если показывает родной — либо маршрутизация не настроена правильно (см. предыдущий раздел), либо приоритет подключения ниже основного провайдера.

Через CLI:

ssh admin@192.168.1.1
show interface Wireguard0 summary

Покажет last-handshake в секундах и счётчики трафика.

Если WireGuard на Keenetic не подключается: handshake висит, ошибки и DPI

Симптомы — handshake висит «никогда», иконка серая или жёлтая, пинг через туннель не идёт. Что проверять:

Часы на роутере. WireGuard ругается, если время на клиенте и сервере разъезжается больше чем на пару минут. Системный монитор → Время — синхронизация по NTP должна быть включена и состояние «Синхронизировано».

Endpoint достижим вообще. В CLI: ping <ip-сервера-из-конфига> — если ICMP не идёт, сервер либо выключен, либо провайдер режет трафик к этому IP. Попросите провайдера сервиса проверить.

UDP-порт проходит. Большинство WireGuard-сетапов слушают порт 51820 или 443. Некоторые домашние и корпоративные провайдеры режут UDP по нестандартным портам — проверьте ping -t udp или запросите конфиг с другим портом (часто 443 проходит лучше).

Ключи не перепутаны. Дважды проверьте, что PrivateKey из секции [Interface] попал в блок интерфейса, а PublicKey из [Peer] — в блок пира. Перепутать местами легко, симптом тот же — handshake не проходит.

MTU. Иногда туннель встаёт, но трафик не идёт. Уменьшите MTU интерфейса с 1420 до 1380 или 1320 — у некоторых российских провайдеров с PPPoE MTU ниже стандартного.

Если всё перебрали, а handshake всё равно не проходит — упёрлись в DPI. Российские провайдеры в 2026 году научились распознавать WireGuard по характерному 148-байтному handshake (типы пакетов 0x01-0x04 открыты в первом байте). Сервер отвечает, но провайдер дропает ответные пакеты обратно.

Если handshake не проходит и DPI провайдера явно режет WireGuard — AmneziaWG (форк WireGuard от той же команды Amnezia) маскирует сигнатуру через junk-пакеты и подменённые header bytes, и проходит там, где оригинал режется. Keenetic пока не поддерживает AmneziaWG нативно, поэтому ставить надо на каждое устройство — но конфиг тот же по структуре. У нас Molystrix — туннель на AmneziaWG, 249 ₽ в месяц за три устройства, конфиг QR-кодом на email. → Посмотреть тарифы

Подробный разбор симптомов и диагностики — в гайде WireGuard не работает: что проверить. Если интересно сравнение протоколов — статья AmneziaWG vs WireGuard.

Часто задаваемые вопросы

Какие модели Keenetic поддерживают WireGuard?

Все модели на KeeneticOS 3.7 и выше. Это Hero, Giga (KN-1010 и KN-1011), Ultra, Hopper, Speedster, Sprinter, Carrier, Runner 4G, Extra II, Viva и большинство KN-XXXX, выпущенных с 2018 года. Древние модели (Lite II, Omni I, Start базовых ревизий) могут не получить полную KeeneticOS 4.x из-за нехватки flash. Актуальный список поддерживаемых моделей — на сайте Keenetic в разделе обновлений.

Сколько одновременных подключений выдержит Keenetic Giga?

KN-1011 (последняя ревизия Giga) тянет до гигабита через WireGuard благодаря криптоускорителю. Ограничение по числу клиентов за NAT — сотни устройств, упор будет в ширину канала, а не в счётчик. На KN-1010 (предыдущая ревизия без аппаратного ускорения ChaCha20) потолок около 200–300 Мбит/с, и при 4K-стриминге на нескольких устройствах одновременно может проседать.

Можно ли поднять WireGuard-сервер прямо на Keenetic?

Да, KeeneticOS поддерживает не только клиента, но и режим сервера. В разделе Интернет → Другие подключения → WireGuard при создании подключения выберите режим Сервер. Удобно для удалённого доступа к домашней сети из командировки или для членов семьи в другой квартире. Минус — внешний IP на роутере должен быть «белым» (статический или динамический публичный, не за CGNAT провайдера). У большинства провайдеров белый IP — отдельная платная услуга.

WireGuard на Keenetic режет скорость в 2-3 раза — это нормально?

На моделях без аппаратного ускорения ChaCha20 (большинство ревизий до 2022 года) — да, потолок около 80–150 Мбит/с независимо от тарифа. Шифрование съедает CPU, без ускорителя процессор просто не вытягивает. Решение — Keenetic Giga KN-1011, Hopper или Ultra последних ревизий с аппаратной криптографией, либо поставить туннель на устройства, где CPU мощнее. На современных ноутбуках и смартфонах WireGuard гонит гигабит без проседания.

Поддерживает ли Keenetic AmneziaWG?

На май 2026 — нет, нативной поддержки AmneziaWG в KeeneticOS нет. Прошивка закрытая, и команда Amnezia ждёт либо инициативы вендора, либо публичного SDK для самостоятельного портирования. Запросы на форумах Keenetic есть, официальных анонсов пока нет. Workaround один — оставить на роутере классический WireGuard, а где провайдер режет WG-сигнатуру, переключаться на AmneziaWG-конфиг на конкретном устройстве (телефон, ноутбук).

Как настроить selective routing — только YouTube через туннель?

В подключении WireGuard уберите 0.0.0.0/0 из Allowed IPs (иначе default-маршрут перетянет весь трафик). Откройте Сетевые правила → Маршруты, добавьте маршруты к подсетям Google: 142.250.0.0/15, 172.217.0.0/16, 216.58.192.0/19 — все с интерфейсом WireGuard и метрикой 1. Это покроет YouTube, Google Search, Gmail. Для более тонкой работы по доменам используйте модуль IP Sets — он умеет резолвить домены в IP и обновлять маршруты автоматически.

WireGuard handshake не проходит — что проверить на Keenetic?

Список из шести пунктов: (1) часы синхронизированы с NTP, (2) IP сервера достижим через ping, (3) UDP-порт не блокирует провайдер (попробуйте 443 вместо 51820), (4) приватный и публичный ключи подставлены без перепутывания, (5) MTU уменьшен с 1420 до 1380 если провайдер с PPPoE, (6) если ничего не помогло — провайдер фильтрует именно WireGuard-handshake по сигнатуре, нужен AmneziaWG на устройствах.

Можно ли вернуть всё как было если что-то сломалось?

Да. Управление → Файлы → Резервные копии — сохраните текущую конфигурацию перед началом любых экспериментов. Если что-то пошло не так, в том же разделе восстановите бэкап и роутер вернётся в предыдущее состояние. Полный сброс на заводские — кнопка Reset сзади корпуса, удерживать 10 секунд. После сброса нужно будет заново настроить интернет от провайдера.

Итог

• KeeneticOS 4.x + любой Keenetic 2018+ года — рабочая связка для WireGuard на роутере
• Импорт через Интернет → Другие подключения → WireGuard, ручной ввод или загрузка .conf
• Selective routing — через Сетевые правила → Маршрутизация, плюс правильный Allowed IPs в подключении
• Скорость упирается в CPU роутера: на Giga KN-1011 и Hopper — гигабит, на старых — 80–150 Мбит/с
• DPI на WireGuard в РФ растёт. Если handshake не проходит — нужен AmneziaWG-конфиг на устройства; Keenetic его пока не умеет

Если разбираетесь в инструментах детально, посмотрите ещё гайд WireGuard на macOS и Windows — там разобрана связка десктопного клиента, kill-switch и split-tunneling. Один и тот же .conf от провайдера импортируется и в Keenetic, и в любой родной клиент.