WireGuard на роутере 2026: Keenetic, MikroTik, ASUS, OpenWRT

Дома пять устройств — два телефона, рабочий ноут, Smart TV в гостиной и PlayStation у подростка. Ставить туннель на каждом утомительно, а на TV и приставке клиент вообще не поставишь — соответствующих приложений в их сторе нет. Всё это решается одним ходом — туннель на роутере. Один раз настроил, и весь домашний трафик уходит через него. Smart TV, консоли, IoT-лампочки, гостевой Wi-Fi — всё за NAT, всё через шифрованный канал.

Дальше — где WireGuard поддерживается нативно (Keenetic, MikroTik), где через сторонние прошивки (ASUS), а где придётся через CLI (OpenWRT). Два пошаговых гайда — Keenetic и MikroTik, — короткий разбор ASUS Merlin и OpenWRT, и в финале — когда стандартного WireGuard на роутере уже не хватает.

Зачем настраивать WireGuard на роутере

Прежде всего — централизация. Туннель на роутере покрывает весь LAN: телефоны, ноуты, Smart TV, консоли, IoT, гостевой Wi-Fi. Не нужно ставить клиент на каждом устройстве, не нужно объяснять родителям, как переключать кнопку в WireGuard-приложении. Туннель поднялся при загрузке роутера, и работает в фоне.

Отдельная категория — устройства, на которых клиента в принципе нет. На Smart TV (Samsung Tizen, LG webOS) приложения WireGuard в сторе нет. На PlayStation, Xbox, Nintendo Switch — тоже нет. На большинстве IoT-устройств (умные колонки, лампочки, Wi-Fi-камеры) — нет и не появится. Без туннеля на роутере эти устройства остаются вне защищённого периметра.

Сюда же — policy-routing. Не весь трафик нужно отправлять через туннель. Сбер, ВТБ, Госуслуги, банковские приложения чувствуют европейский IP и могут запрашивать дополнительную верификацию. Хороший роутер позволяет развести: внутрироссийские сервисы — напрямую, международные — через туннель. На Keenetic это «политики доступа», на MikroTik — routing tables плюс mangle-правила, на OpenWRT — ip rule и iptables.

Из минусов — упирается в CPU роутера. ChaCha20-Poly1305 без аппаратного ускорения крутит процессор: на бюджетных моделях с MT7621 потолок около 60–80 Мбит/с, тариф на 500 в реальности даст 70.

Какие роутеры поддерживают WireGuard в 2026

Картина по производителям неоднородная. У одних поддержка встроена в стоковую прошивку, у других — только через сторонние сборки.

Keenetic. WireGuard в KeeneticOS появился ещё в версии 3.3 (2020), к версии 4.0 интерфейс стабилизировался. Поддерживают практически все актуальные модели — Speedster (KN-3010), Hopper (KN-3810), Hopper DSL, Giga (KN-1011), Hero (KN-1111), Ultra (KN-1811), Sprinter (KN-3710) и Carrier (KN-1711). Бюджетные Start / Lite на чипе MT7628 формально поддерживают WG, но на практике потолок 30–50 Мбит/с, под современный тариф уже не вытягивает. Настройка через веб-интерфейс по адресу 192.168.1.1 или my.keenetic.net, без SSH и текстовых конфигов. Есть встроенный инструмент «Подключение по политикам доступа» — задаёте правило для конкретного клиента, и его трафик идёт через туннель, остальные — мимо.

MikroTik. Нативная поддержка — с RouterOS 7.0 (2021), сейчас стабильная ветка 7.13+. Работает на всём, что поднимает RouterOS 7: hAP ac², hAP ax², RB951, RB4011, RB5009, CCR. Настройка через Winbox, WebFig или CLI — гибко, но требует понимания firewall-rules и routing. Производительность за свои деньги одна из лучших — RB5009UG+S+IN тянет около гигабита через WireGuard на голом CPU без аппаратного ускорения.

ASUS. Со стоковой ASUSWRT всё печально: WireGuard-клиент есть только на топовых RT-AX88U Pro / RT-AX86U Pro / GT-AX11000 и свежих сборках 3.0.0.6.102+ (2024). На большинстве моделей нужно ставить ASUSWRT-Merlin — кастомную прошивку от Eric Sauvageau. WireGuard-клиент в Merlin с версии 388. Поддерживаемые модели: RT-AC68U, RT-AC86U, RT-AC88U, RT-AC3100, RT-AX86U, RT-AX88U, GT-AX11000 и часть линеек ROG.

OpenWRT. Любой роутер из списка совместимости поднимает WireGuard-клиент через opkg install wireguard-tools. Линейки GL.iNet (Beryl AX, Slate, Flint), TP-Link Archer C7, Xiaomi Mi Router 4A и сотни других моделей. Минус — нужен SSH и понимание /etc/config/network

• /etc/config/firewall. Плюс — максимальная гибкость по policy-routing и единственный путь к нативному AmneziaWG через amneziawg-tools.

Подходит ли вам туннель на роутере? Короткий тест

Туннель на роутере — не универсальное решение. Часть кейсов лучше закрывать клиентом на каждом устройстве — гибче и без покупки нового железа.

Ваша ситуация	Что выбрать
Дома Smart TV, IoT, консоль — клиента нет в принципе	Туннель на роутере — читайте дальше
Десяток устройств без поддержки клиента + гостевой Wi-Fi	Туннель на роутере — читайте дальше
2–3 устройства, все с поддержкой клиента (телефон, ноут)	Туннель на устройствах — проще и гибче, см. AmneziaWG на iPhone или на Windows / macOS
Нужен туннель в кафе / на работе / в поездке	Туннель на устройствах — роутер привязан к квартире
Российские банки чувствуют европейский IP, нужно гибкое переключение	Туннель на устройствах — split tunneling одним тапом
Провайдер режет именно WG-handshake, нужна обфускация	AmneziaWG на устройствах — на роутерах нативно только OpenWRT

Какой роутер выбрать — короткая навигация

Сегмент «WireGuard на роутере» большой. Прежде чем уходить в шаги настройки, стоит соотнести ваш кейс с моделью, на которую имеет смысл смотреть.

Ваша ситуация	Что выбрать
Дома до 100 Мбит/с от провайдера, нужно «всё включено и без CLI»	Keenetic Speedster (KN-3010) — нативный WireGuard в веб-морде, 100–150 Мбит/с через туннель
Тариф 200–500 Мбит/с, удобный UI, политики доступа	Keenetic Hopper (KN-3810) / Giga (KN-1011) / Hero (KN-1111) — потолок 300–600 Мбит/с через туннель
500–1000 Мбит/с, готовы к Winbox и firewall-rules	MikroTik hAP ax3 или RB5009UG+S+IN — гигабит на голом CPU
Уже есть ASUS, не покупать новый — готовы прошить Merlin	ASUS RT-AC86U / RT-AX86U + ASUSWRT-Merlin
Старый роутер из совместимых, не жалко SSH и CLI	OpenWRT — максимум гибкости + нативный AmneziaWG
Своего роутера нет, нужен «купил и забыл»	Keenetic Hopper или Giga — самый дружелюбный путь

Если выбрали Keenetic или MikroTik — у нас есть подробные пошаговые гайды: WireGuard на Keenetic и WireGuard на MikroTik. Ниже — сжатая версия настройки для двух самых популярных моделей.

Как настроить WireGuard на Keenetic

Подойдёт KeeneticOS 4.x. Если сейчас 3.x — обновитесь через Общие настройки → Обновление, бесплатно для моделей в поддержке. Без 4.x половина пунктов меню будет в других местах.

Шаг 1. Веб-интерфейс. В браузере — 192.168.1.1 или my.keenetic.net. Войдите под учёткой администратора.

Шаг 2. Раздел WireGuard. Слева — Интернет → Другие подключения → WireGuard. Если раздела нет совсем, проверьте Управление → Общие настройки → Компоненты KeeneticOS — поставьте галочку «Клиент WireGuard» и обновитесь.

Шаг 3. Создайте подключение. + Добавить подключение:

• Имя соединения — любое осмысленное (molystrix-tunnel)
• Адрес и маска — Address из конфига (например, 10.7.0.5/32)
• Listen port — оставьте пустым, назначится сам
• Приватный ключ — PrivateKey из секции [Interface]

Шаг 4. Добавьте пира. Пиры → + Добавить пира:

• Публичный ключ — PublicKey из секции [Peer]
• Endpoint — IP и порт сервера (193.x.x.x:51820)
• Allowed IPs — 0.0.0.0/0
• Persistent keepalive — 25

Шаг 5. Включите и проверьте. Активируйте переключатель. Через 10 секунд Системный монитор → Состояние интернета должен показывать зелёный статус и трафик. С любого устройства откройте 2ip.ru — IP должен быть европейским. Если показывает российский — проверьте Приоритеты подключений: WireGuard должен быть выше основного провайдера.

Опционально — policy-routing. **Сетевые правила → Маршрутизация →

• Добавить маршрут** или, в новых сборках, прямо в карточке устройства во Wi-Fi-клиентах есть переключатель «Подключение по политикам доступа». Это позволяет одному устройству идти через туннель, второму — напрямую.

Как настроить WireGuard на MikroTik

Подразумеваем RouterOS 7.0+. На 6.x WireGuard просто нет, обновляйтесь через System → Packages → Check For Updates.

Шаг 1. Интерфейс. Winbox → WireGuard → +:

• Name = wg-tunnel
• MTU = 1420 (стандартный overhead 80 байт на 1500 MTU; если провайдер режет крупные пакеты, попробуйте 1380)
• Private Key — приватный ключ из конфига

Шаг 2. Peer. Вкладка Peers → +:

• Interface = wg-tunnel
• Public Key — публичный ключ сервера
• Endpoint + Endpoint Port — из конфига
• Allowed Address = 0.0.0.0/0
• Persistent Keepalive = 00:00:25

Шаг 3. IP-адрес. IP → Addresses → +: Address = ваш адрес из конфига (например, 10.7.0.5/24), Interface = wg-tunnel.

Шаг 4. Маршрут и NAT. IP → Routes → +: Dst. Address = 0.0.0.0/0, Gateway = wg-tunnel, Distance = 1.

IP → Firewall → NAT → +: Chain = srcnat, Out. Interface = wg-tunnel, Action = masquerade. Без masquerade пакеты от устройств за NAT уйдут в туннель с локальными IP, и сервер не сможет маршрутизировать ответ.

Шаг 5. Проверка. В терминале — /interface wireguard print. last-handshake должен быть свежее минуты. С любого устройства за NAT — curl ifconfig.me, ответ должен быть европейским IP.

Если возиться с конфигом на роутере не хочется — готовый AmneziaWG-конфиг приходит на email сразу после оплаты: QR-код для телефона и .conf для роутера или ноутбука. Один файл импортируется и в Keenetic, и в MikroTik, и в мобильное приложение. У нас Molystrix — 249 ₽ в месяц за три устройства, конфиг QR-кодом на email. → Посмотреть тарифы

Как настроить WireGuard на ASUS и OpenWRT

ASUS Merlin. Если стоковая прошивка не имеет WireGuard — прошейте Merlin. Список совместимых моделей и инструкция — на asuswrt-merlin.net. После прошивки: VPN → WireGuard Client → Client 1 → Import .conf file, выберите файл из письма, переключатель Enable WireGuard наверху → Apply. Через 5–10 секунд в Status появится зелёная галочка. Если красный — проверьте Endpoint и время на роутере (расхождение больше 2 минут ломает handshake).

OpenWRT. Через SSH: opkg update && opkg install wireguard-tools luci-app-wireguard. После перезагрузки в LuCI появится раздел Network → Interfaces → Add new interface, тип WireGuard VPN. Заполняете приватный ключ, IP-адрес, peer (public key + endpoint + allowed IPs), и в Firewall Settings ставите зону wan или создаёте отдельную с masquerade. Без LuCI — через /etc/config/network и /etc/config/firewall руками. OpenWRT — это ещё и единственный путь поднять на роутере полноценный AmneziaWG, подробности — в гайде по AmneziaWG на роутере.

Когда стандартный WireGuard на роутере не справляется

Бывает, что на роутере туннель поднялся, handshake свежий, но через 30 секунд трафик встаёт. Или сразу не поднимается — last-handshake показывает «никогда». Чаще всего причина — DPI на handshake. Стандартный WireGuard имеет распознаваемую сигнатуру: первый байт UDP-пакета — 0x01 (handshake initiation), длина первого пакета — 148 байт. Шейпер провайдера видит этот fingerprint и режет соединение.

В этом случае помогает AmneziaWG — форк WireGuard от российской команды Amnezia. К handshake добавляются junk-пакеты случайной длины (параметры Jc, Jmin, Jmax), плюс заменяются типы пакетов (H1–H4) и добавляются magic header bytes (S1, S2). DPI больше не видит знакомую сигнатуру.

Минус — на роутерах AmneziaWG нативно работает только на OpenWRT (через amneziawg-tools). На Keenetic, MikroTik и ASUS — только классический WireGuard. Если ваш провайдер режет именно WG-handshake — либо переходите на OpenWRT, либо снимайте туннель с роутера и настраивайте AmneziaWG на каждом устройстве. Подробнее про разницу — в статье AmneziaWG vs WireGuard.

Часто задаваемые вопросы

Какой роутер лучше для WireGuard в 2026?

Зависит от скорости и готовности к CLI. До 200 Мбит/с — Keenetic Hopper или Air, всё через веб-интерфейс. До 500 — Keenetic Giga или Hero. До гигабита — MikroTik hAP ax3 или RB5009 (нужен Winbox и понимание firewall). Если уже есть ASUS из совместимых — Merlin закрывает 300–400 Мбит/с.

Можно ли исключить определённые сайты из туннеля на роутере?

Только по IP-адресам или подсетям, не по доменам. WireGuard работает на сетевом уровне и не знает hostname в пакете. На Keenetic — встроенные «политики доступа» по клиентам. На MikroTik — routing tables + mangle. На OpenWRT — ip rule + iptables. Per-domain маршрутизация в WireGuard невозможна в принципе — для неё нужны VLESS+Reality в sing-box или Xray.

WireGuard на роутере замедляет интернет?

Зависит от CPU. MT7621 — потолок 60–80 Мбит/с. Keenetic Giga / Hopper — 200–500. MikroTik hAP ax3 / RB5009 — до гигабита. Для повседневного браузинга, стриминга и звонков разница незаметна.

Что делать если на провайдере DPI режет WireGuard?

Если в поиске вы набирали что-то вроде «WireGuard не работает у провайдера» — помогает AmneziaWG. Это форк WireGuard с обфусцированным handshake: junk-пакеты + magic header bytes + замена типов пакетов. На большинстве сетей классический WG работает нормально, AmneziaWG нужен если провайдер агрессивно фильтрует именно WG-сигнатуру. На роутерах AmneziaWG нативно — только на OpenWRT.

Как настроить WireGuard на старом роутере?

Если стоит OpenWRT — через opkg install wireguard-tools. Если стоковая прошивка без поддержки — два пути: (1) прошить OpenWRT (не все модели поддерживаются, проверьте на openwrt.org), (2) поставить туннель не на роутер, а на устройства за ним. Второй путь обычно проще и быстрее.

Сколько трафика выдержит WireGuard на роутере?

Считается не количеством устройств, а полосой. Один WG-интерфейс прокачивает любое число клиентов за NAT, ограничение — суммарная скорость. На потолке 80 Мбит/с пять устройств получат по 16 (если все смотрят 4K — будут страдать). На гигабитном роутере — десятки устройств без проблем.

Нужен ли VPS если есть готовый туннель?

Нет. Готовый сервис вроде Molystrix даёт .conf с уже сгенерированными ключами и работающим сервером. Импортируете файл в роутер — через 10 секунд handshake поднялся. VPS нужен только если хотите свой WireGuard-сервер: тогда настраиваете обе стороны (сервер + клиент) и сами генерируете пары ключей.

Резюме

• Keenetic — самый дружелюбный путь, веб-интерфейс, KeeneticOS 4.x, поддержка всех актуальных моделей
• MikroTik — максимум за свои деньги при готовности к Winbox и firewall-rules; до гигабита через туннель
• ASUS — нужна прошивка Merlin (для большинства моделей), стоковая ASUSWRT поддерживает только топовые
• OpenWRT — максимум гибкости + единственный роутерный путь к AmneziaWG; нужен SSH
• Бюджетные TP-Link / D-Link / Tenda — поддержки чаще всего нет, туннель ставьте на устройства

Финальный совет — если у вас десяток устройств без клиента (Smart TV, IoT, консоли, гостевой Wi-Fi) — туннель на роутере оправдан, и любая из инструкций выше подходит. Если устройств 2–4 и все с поддержкой клиента — туннель на каждом обычно проще и гибче. У Molystrix готовый AmneziaWG-конфиг работает и в Keenetic / MikroTik, и в мобильном приложении — один файл на все три устройства подписки. 249 ₽ в месяц. Посмотреть тарифы.