Как настроить vpn WireGuard на роутре Keenetic

В данном случае рассматривается клиент на оси виндовс.

Установка WireGuard на роутре Keenetic

Немного пришлось повозится, но это всяко лучше чем другие впн соединения поддерживаемые данным роутером. Правда не все они это умеют, но у кого есть такая возможность просто здорово. Итак приступим без лишней воды.

Заходим в вебморду. Слева в столбце меню Управление - Общие настройки - жмем кнопку Изменить набор компонентов

В открывшемся окошке в строке поиска вставить wireguard , если написано не установлен и нет галочки, то поставить галку появится надпись Будет установлен и жамкнуть Установить обновления.

Подтвердить свои намерения, если спросит про резервную копию, послать его подальше.

Пойдет непринужденно длительный процесс установки и перезагрузки, ждем.

Когда Keenetic перезагрузится ввести логин пасворд. Проверяем, что установка прошла успешно, если хочется.

Настройки подключения к серверу vpn Keenetic

Меню Другие подключения - в разделе Wireguard нажать кнопку Добавить подключение

Откроется окно настройки. Красненькие прямоугольники это поля обязательные для заполнения. Сходу пишем название подключения WG-S можно любое, какое захочется в пределах разумного. Для меня это сокращение WireGuard-Server.

Поставить галку Использовать для входа в Интернет - а чтоб было. Нажать кнопку Генерация пары ключей будет сгенерирован приватный и публичные ключи нам нужен публичный.

Итак, что с этим добром делать? Создать текстовый файлик с содержимым, которое сейчас будем заполнять:

[Interface]
PrivateKey = 
Address = 
DNS = 1.1.1.1

[Peer]
PublicKey = 
AllowedIPs = 
Endpoint = 
PersistentKeepalive = 5

Скопировать публичный ключ, который сгенерировали, нажав кнопку Сохранить публичный ключ в буфер обмена. Вставить публичный ключ в строку файла PublicKey = 

[Interface]
PrivateKey = 
Address = 
DNS = 1.1.1.1

[Peer]
PublicKey = r1k8VAL0ak1xm1TPvFij4nap6KPrcgdlQroXDdDGfU0=
AllowedIPs = 
Endpoint = 
PersistentKeepalive = 5

В окне настроек подключения заполнить поле Адрес 172.16.82.1/24, а так может быть любая приватная подсеть, которую не юзает клиент и сервер в данном случае Keenetic. В поле Порт прослушивания например поставить 16631 это порт по которому будет проходить подключение при обращении к впн серверу Keenetic.

Поле DNS 1 рекомендуется заполнять на стороне клиента, что уже сделано в редактируемом файле конфига, запись DNS = 1.1.1.1 Теперь можно заполнить почти все строки.

  • AllowedIPs = 0.0.0.0/0 Лично я делаю чтобы не только локалка была доступна через впн, но и интернет то же, данная запись - разрешается юзать все адреса.
  • Endpoint = ip-server-Keenetic:16631 а вот это как раз адрес подключения к серверу WireGuard Keenetic и соответственно порт, который ранее уже указали в настройках подключения роутера. ip-server-Keenetic - заменить айпи адресом или доменным именем роутера.
  • Address = 172.16.82.2/32 возможные айпи адреса клиента к подсетке тунеля который выше заполнили в поле Адрес 172.16.82.1/24

На данном этапе должно получится так:

[Interface]
PrivateKey = 
Address = 172.16.82.2/32
DNS = 1.1.1.1

[Peer]
PublicKey = r1k8VAL0ak1xm1TPvFij4nap6KPrcgdlQroXDdDGfU0=
AllowedIPs = 0.0.0.0/0
Endpoint = ip-server-Keenetic:16631
PersistentKeepalive = 5

Далее нажать кнопку Добавить пир откроются еще поля для заполнения сразу написать Имя пира можно и не заполнять WG-P

И вот теперь нужно открыть на устройстве, которое будет подключаться к роутеру клиент WireGuard. Нажать сочетание клавиш Ctrl+N откроется окно для нового подключения

Копируем публичный ключ glF82QGb8crgTDesLBB1JfvUtjnxOZcgFx7vxRLuHzE= вставляем в поле Публичный ключ

Так же копируем PrivateKey = EMw+ruXQwF2s4N7HTM2gCj80s98LoSgE8Q6+YivVQUQ= вставляем в файлик

[Interface]
PrivateKey = EMw+ruXQwF2s4N7HTM2gCj80s98LoSgE8Q6+YivVQUQ=
Address = 172.16.31.2/32
DNS = 1.1.1.1

[Peer]
PublicKey = r1k8VAL0ak1xm1TPvFij4nap6KPrcgdlQroXDdDGfU0=
AllowedIPs = 0.0.0.0/0
Endpoint = ip-server-Keenetic:16631
PersistentKeepalive = 5

Теперь полностью копируем заполненные данные и вставляем их в окно с новым подключением на клиентской машине:

Не забыть указать в поле Название и нажать кнопку Сохранить

В поле Разрешенные подсети 172.16.82.2/32, поле Проверка активности оставить по умолчанию.

Смело нажать кнопку Сохранить. В итоге появится строка в Другие подключениях

Активировать подключение нажав на переключатель слева от имени подключения.

Настройка межсетевого экрана

Теперь нужно разрешить трафик для подключения WG-S. Меню - Межсетевой экран выбрать вкладку с именем подключения которое создали в нашем случае WG-S.

После чего нажать кнопку *Добавить правило. Откроется окно:

  • В поле Протокол Выбрать IP
  • В поле *Описание написать WG-Rules , а так пиши что хошь, главное что бы тебе было понятно.
  • Поставить галочку Включить правило
  • Нажать кнопку Сохранить

Правило должно включится автоматически, что и будем видеть вот так:

Настройка автоматической трансляции адресов (NAT)

А вот без следующих магических действий не будет доступа в интернет через туннель на роутер Keenetic. Надо попасть в интерфейс командной строки (CLI) делается это так: в адресной строке браузера все что написано справа от адреса роутера стереть и написать /a т.е. должно быть примерно так http://192.168.1.1/a . Есть еще варианты подключения по telnet или ssh. Откроется окно.

Прям как есть в этой открытой вкладке Parse в строке Command пишутся заклинания:

ip nat Wireguard0 нажать Send request

И закрепить полученный результат:

system configuration save нажать Send request

З.Ы. в оффинструкции есть еще множество нюансов с маршрутами и прочими настройками, но для меня достаточно этих, что бы по тунелю был доступ в локалку и интернет.

Теперь в клиенте WireGuard выбираем из списка туннелей только что настроенный и жмем Подключить