↩️ Назад

Категории

Настройка WireGuard на Keenetic для выхода в интернет

19.05.2026 | Статья из категории: Сети LAN

Keenetic в WireGuard VPN-сервер с доступом в интернет

Если вы когда-нибудь настраивали WireGuard на роутере Keenetic, то наверняка сталкивались с ситуацией: вроде бы всё сделано по инструкции, сервер поднят, клиент подключается, а интернета нет. Вы гуглите, находите на форумах заветные команды вроде ip nat Wireguard0 и security-level private, вводите их в командную строку — и о чудо! Всё заработало.

Так в чём же прикол? Почему нельзя просто поставить галочку в веб-интерфейсе? Сейчас расскажу. А заодно дам готовую инструкцию по настройке WireGuard-сервера на Keenetic для полноценного выхода в интернет.

Почему «коробочная» настройка не даёт интернет?

Начну с главного: Keenetic из коробки умеет поднимать WireGuard-сервер [citation:1][citation:8]. Всё делается через веб-интерфейс — компонент устанавливается, сервер включается, клиенты добавляются. Но есть один важный нюанс, о котором часто умалчивают.

По умолчанию Keenetic рассматривает WireGuard-интерфейс (например, Wireguard0) как публичную (public) сеть. Это значит, что из туннеля можно ходить только в локальные сети роутера, но не в интернет. Это сделано в целях безопасности — чтобы случайно не открыть доступ в Сеть для непроверенных клиентов.

Это логично: если у вас VPN для доступа к домашним устройствам из поездки, интернет-шлюз через VPN-сервер вам не нужен. Но в нашем случае нужен. Поэтому мы «вручную» говорим роутеру: «Этот интерфейс теперь считается доверенным, и трафик из него можно отправлять в интернет» [citation:2].

Именно для этого и нужны те самые две команды в CLI:
Ссылка на cli - http://192.168.1.1/webcli/parse

  • security-level private — меняет уровень доверия интерфейса с публичного на частный;
  • ip nat — включает трансляцию адресов (NAT), чтобы клиенты VPN могли выходить в интернет через роутер.

Как настроить WireGuard на Keenetic для выхода в интернет

Теперь по делу. Будем настраивать VPN-сервер на вашем Keenetic, чтобы подключаться к нему из любой точки мира и сидеть в интернете как дома.

Шаг 1. Установка компонента WireGuard

  • Зайдите в веб-интерфейс роутера (my.keenetic.net).
  • Перейдите в Управление → Параметры системы → Изменить набор компонентов [citation:1].
  • Найдите WireGuard VPN, поставьте галочку и нажмите «Установить».
  • После установки роутер попросит перезагрузку — соглашайтесь.

Шаг 2. Создание VPN-сервера

  • В боковом меню выберите Приложения → WireGuard VPN Server [citation:1].
  • Нажмите на плитку, чтобы открыть настройки.
  • В поле Сетевой доступ выберите «Домашняя сеть» (или любой нужный вам сегмент).
  • В поле IP-адрес сервера укажите внутреннюю подсеть для VPN. Например: 172.16.6.1/24 [citation:1]. Это адрес самого роутера внутри туннеля.
  • Опция NAT для клиентов должна быть включена (это важно).

Шаг 3. Добавление клиента (пира)

  • В блоке Клиенты (пиры) нажмите + Добавить клиента [citation:1].
  • Придумайте имя (например, MyPhone или MyLaptop).
  • Поставьте галочку Доступ, чтобы клиент был активен.
  • Поле Allowed IPs (Разрешённые IP) оставьте пустым — тогда разрешены любые адреса.
  • Нажмите Сохранить.

Важный момент для интернет-доступа

Если вы хотите, чтобы через этот VPN-сервер клиенты выходили в интернет, в поле Allowed IPs позже (в настройках клиента на вашем устройстве) нужно будет прописать 0.0.0.0/0 — это означает «весь трафик, включая интернет» [citation:2].

Но это делается на стороне клиента, не на сервере.

Шаг 4. «Волшебные» команды в CLI

А вот и то самое. Теперь нужно сделать WireGuard-интерфейс доверенным и включить для него NAT.

  1. В веб-интерфейсе роутера откройте командную строку. Обычно она находится в разделе Управление или по иконке «>_» в правом верхнем углу.

  2. Выполните по очереди следующие команды (в моём примере интерфейс называется Wireguard0; у вас может быть Wireguard1 или другое имя — проверьте через show interface):

    interface Wireguard0 security-level private
ip nat Wireguard0
system configuration save

    Пояснение:

    • security-level private — делает интерфейс «частным», разрешая маршрутизацию в интернет [citation:2].
    • ip nat Wireguard0 — включает NAT на этом интерфейсе [citation:2].
    • system configuration save — сохраняет конфигурацию.

  3. Готово! Теперь ваш Keenetic — полноценный VPN-сервер с выходом в интернет.

Шаг 5. Подключение клиента

Всё остальное — стандартное.

  • В карточке добавленного клиента скачайте файл конфигурации (.conf) или отсканируйте QR-код [citation:1].
  • Импортируйте этот файл в приложение WireGuard на вашем устройстве (Android, iOS, Windows, macOS) [citation:2].
  • В параметрах подключения на клиенте (не на роутере!) убедитесь, что в AllowedIPs прописано 0.0.0.0/0 для маршрутизации всего трафика через VPN.
  • Включите туннель и проверьте свой IP — он должен стать IP вашего домашнего роутера.

«А можно было без CLI?»

Технически — да. Для VPN-клиента (когда ваш Keenetic сам подключается к внешнему VPN) достаточно поставить галочку «Использовать для выхода в интернет» в интерфейсе [citation:3][citation:4]. Но для серверной роли разработчики пока не вынесли эти настройки в веб-интерфейс. Возможно, в будущих версиях KeeneticOS это исправят, но пока — только CLI.

Так что не пугайтесь. Эти две команды — не «костыль», а штатный способ тонкой настройки [citation:2]. Просто Keenetic даёт доступ к более гибким настройкам через командную строку, оставляя веб-интерфейс для простых сценариев.

Что важно помнить

  • Белый IP-адрес: Чтобы к вашему VPN-серверу можно было подключиться из интернета, у роутера должен быть белый (публичный) IP-адрес, или вы должны использовать KeenDNS в режиме прямого доступа [citation:1]. Без этого — никак.
  • Не забывайте про правила файрвола: Если клиенты VPN не могут достучаться до локальных устройств, возможно, придётся добавить разрешающие правила в Межсетевом экране на интерфейсе Wireguard0 [citation:2].
  • Производительность: Весь трафик клиентов пойдёт через ваш домашний канал. Если у вас асимметричный интернет (например, 100/10 Мбит/с), то «раздача» интернета через VPN будет ограничена скоростью отдачи (upload) — в данном случае 10 Мбит/с.

Заключение

Итак, магия команд security-level private и ip nat раскрыта. Это не баг и не недоделка, а просто осознанное решение безопасности: по умолчанию WireGuard-сервер работает в режиме «только локальный доступ», а мы его переводим в полноценный шлюз в интернет.

Теперь у вас есть готовая инструкция, чтобы поднять свой VPN-сервер на Keenetic и пользоваться домашним интернетом из любой точки мира. И если кто-то спросит «А почему не работает?», вы уже знаете ответ — нужно просто «поднять» уровень доверия интерфейсу.

Удачной настройки и безопасного серфинга! А если остались вопросы — добро пожаловать в комментарии, постараюсь помочь.

Теги: #wireguard #vpn #keenetic #роутер #vpn_сервер #настройка_роутера #security_level #cli


Категории:

Категории

Комментарии

Пока нет комментариев. Будьте первым!

Оставить комментарий

← Назад к списку статей

Обратная связь

Посетителей сегодня: 0
о блоге | карта блога | 📡 Подписаться на RSS

© Digital Specialist | Не являемся сотрудниками Google, Яндекса и NASA