Installing VPN with AmneziaWG on Keenetic routers

This instruction is temporarily available only in Russian.

Создание подключения WireGuard с дополнительными параметрами asc в обновлённом интерфейсе роутеров KeeneticOS 4.2.

Шаг 1

Откройте в веб-браузере, страницу управления роутером. Чаще всего, адрес страницы управления: http://192.168.1.1 или http://192.168.0.1 Как альтернатива, для роутеров Keenetic, можно открыть сайт: http://my.keenetic.net

Имя пользователя по умолчанию: admin.
Если вам не известен пароль, в некоторых случаях он может быть указан на обратной стороне роутера. Часто встречаются простые пароли по-умолчанию, например, admin или 1234.

Шаг 2

Сразу после авторизации, перейдите в раздел "Управление", далее "Параметры системы", разверните пункт "startup-config" и сохраните резервную копию нынешних настроек вашего роутера.

Шаг 3

Проверьте какая версия KeeneticOS установлена на роутере, и предлагается ли обновление KeeneticOS до версии 4.2., так как поддержка WireGuard с параметрами asc, в KeeneticOS, появилась начиная с версии 4.2 Alpha 2. Если для вашего роутера ещё не вышел релиз KeeneticOS 4.2, попробуйте переключить канал обновления, на "Предварительный".

Шаг 4

Если уже установлена версия KeeneticOS 4.2, или предлагается обновление до 4.2, нужно проверить наличие необходимого компонента системы. Нажмите кнопку "Изменить набор компонентов".

Шаг 5

На открывшейся странице "Компоненты операционной системы", в секции "Сетевые функции", проверьте наличие установленного компонента "WireGuard VPN" Если компонент "WireGuard VPN" не установлен, отметьте соответствующий чек-бокс для установки, и нажмите появившуюся снизу кнопку "Обновить KeeneticOS". Дождитесь, пока роутер обновится и перезагрузится.

Шаг 6

Если компонент "WireGuard VPN" уже установлен, но нуждается в обновлении, закройте список компонентов, чтобы вернуться на страницу "Параметры системы".

Шаг 7

После чего выполните обновление роутера до версии 4.2 или новее, нажав кнопу "Обновить KeeneticOS" на странице "Параметры системы". В процессе обновления, роутер выполнит перезагрузку.

Если обновление прерывается с сообщением "Недостаточно места", нужно в списке компонентов отключить ненужные, чтобы уменьшить размер обновления.

Шаг 8

После обновления и перезагрузки роутера, нужно заново авторизоваться на странице управления роутером.

Шаг 9

Убедитесь, что KeeneticOS обновилась до версии 4.2, и что необходимый компонент "WireGuard VPN", установлен.

Шаг 10

Теперь, Вам потребуется файл конфигурации AmneziaWG в нативном формате (т.е. файл, с расширением .conf).

Один файл одновременно можно использовать только на одном устройстве! При наличии подписки Amnezia Premium, файл в нативном формате, можно запросить в боте поддержки для Premium. При использовании self-hosted решения, файл можно сгенерировать в приложении AmneziaVPN, в разделе "Поделиться" (Второй слева значок нижней панели), выбрав в качестве формата подключения - "Оригинальный формат AmneziaWG", и нажав кнопку "Поделиться", в самом низу.

Шаг 11

После генерации нового подключения AmneziaWG нужно сохранить его в виде файла. Для этого, на следующем отобразившемся экране AmneziaVPN, нажмите ещё одну кнопку "Поделиться", расположенную сверху.

Шаг 12

В появившемся окне файлового менеджера, выберите папку, куда сохранится созданный файл, и укажите название самого файла. Запомните место сохранения файла, нажмите кнопку "Сохранить конфигурацию AmneziaWG"

Шаг 13

Найдите и откройте только что сохранённый файл конфигурации в какой-нибудь текстовой программе, например в "Блокноте".

Шаг 14

Из данного файла Вам понадобятся значения параметров Jc, Jmin, Jmax, S1, S2, H1, H2, H3, H4 - это asc параметры.

Шаг 15

Теперь, Вам нужно вернуться к настройкам роутера, и перейти в раздел Интернет и выбрать "Другие подключения".

Шаг 16

Выберите секцию Wireguard, в ней создайте новое подключения, импортировав сохранённый файл конфигурации AmneziaWG. Для этого нажмите на ссылку "Загрузить из файла"

Шаг 17

В появившемся окне файлового менеджера, перейдите в папку, где Вы сохранили файл конфигурации AmneziaWG, выберите его, и нажмите кнопку "Открыть".

Шаг 18

Через несколько секунд, в секции Wireguard, должно появится новое соединение, с таким же названием, как было у импортированного файла. Но использовать появившееся подключение, еще рано. Нужно зайти в его настройки для редактирования, щелкнув по его строке в любом месте, кроме свитчера.

Внутренний IP-адрес созданного подключения, должен быть уникальным, среди других имеющихся соединений Wireguard. Иначе, эти соединения, будут конфликтовать. В такой ситуации, для одного из конфликтующих соединений, потребуется создать другой (новый) файл конфигурации, с другим IP-адресом.

Шаг 19

В открывшемся окне настроек подключения, отметь чек-бокс "Использовать для выхода в интернет", после чего сохраните внесённые изменения, нажав кнопку "Сохранить", внизу страницы с настройками.

Если у Вас есть несколько соединений, с одинаковым названием, стоит переименовать их так, чтобы название только что созданного подключения WireGuard, стало уникальным.

Шаг 20

Теперь Вам нужно, перейти в веб-версию командной строки роутера Keenetic, для выполнения ряда команд. Для этого необходимо перейти в настройки, нажать на изображение шестеренки, в правом верхнем углу веб-страницы, и перейти по ссылке "Командная строка".

Шаг 21

Введите команду show interface и нажмите кнопку "Отправить запрос". Ниже, отобразится информация обо всех имеющихся интерфейсах.

Шаг 22

Теперь нужно узнать имя нужного интерфейса, по названию созданного ранее подключения. Для этого, откройте поиск по странице (это можно сделать, одновременно нажав две клавиши, Ctrl+F). Введите для поиска, название созданного ранее подключения. В данном примере, это amnezia_for_awg . Должно быть найдено одно, уникальное название в поле "description". А рядом с ним, будет находится другое поле, "interface-name", в котором отображается имя нужного интерфейса. В данном примере, это Wireguard1 .

Шаг 23

Теперь, зная имя интерфейса и значения параметров asc из файла в формате .conf который мы сохранили ранее. Нужно заменить все значения шаблона в скобках, Вашими значениями, а сами скобки удалить.

interface {name} wireguard asc {jc} {jmin} {jmax} {s1} {s2} {h1} {h2} {h3} {h4}

В данном примере, строка примет вид:

interface Wireguard1 wireguard asc 8 50 1000 30 32 1811016522 1196729875 457766807 1765857463

Получившуюся строку, нужно вставить в вэб-версии командной строки роутера, и нажать кнопку "Отправить запрос". Если Вы ввели правильную команду, ниже будет выведен результат обработки запроса, как на приведённом скриншоте.

Шаг 24

Теперь, следует сохранить изменения в конфигурации роутера. Введите команду system configuration save, и нажмите "Отправить запрос". Если всё введено верно, ниже будет выведен результат обработки запроса, как на приведённом скриншоте.

Шаг 25

Теперь нужно перейти в раздел "Интернет", далее "Другие подключения", и проверить работоспособность созданного подключения WireGuard, переключив его состояние на "Включено". Через несколько секунд, отметка активности пира, должна изменить цвет с серого, на зелёный. Также, должна отобразиться информация о входящем/исходящем трафике, и о времени с последнего "рукопожатия".

В случае каких либо проблем с подключением, ещё раз проверьте все проделанные действия и введённые параметры. Также, можно прейти в раздел Управление -> Диагностика -> Показать журнал.

Шаг 26

Если подключение установилось успешно, нужно перейти в раздел "Интернет" - "Приоритеты подключения".

Шаг 26

В настройках Политик доступа в Политике по умолчанию созданное VPN-подключение (amnezia_for_awg) должно идти ниже вашего основного интернет-подключения, чтобы избежать проблем с переподключением роутера при обрыве основного интернет-соединения.

Шаг 27

Теперь Вам нужно создать новую политику доступа.
Нажмите на ссылку "+ Добавить политику"
Введите имя новой политики доступа (в данном примере, используется имя VPN), и нажмите по ссылке "Сохранить" с зелёной галочкой.

При создании политики, ненужно включать "Многопутевой режим"

Шаг 28

Далее, для политики с названием VPN, установите чек-бокс активности, только на ранее созданном подключении (в данном примере, amnezia_for_awg), и нажмите кнопку Сохранить, внизу страницы.

В данном примере, в политику VPN, включено только подключение amnezia_for_awg, чтобы снизить вероятность утечки трафика через протоколы ipv4 и ipv6, основного интернет-подключение (в данном примере, Ethernet).

Если в политику VPN, включить вторым по порядку подключение Ethernet, то при отключении amnezia_for_awg, все устройства политики VPN, будут переходить на использование основного интернет-подключения (в данном примере, Ethernet), это может быть удобно для переключения между разными соединениями без постоянного переноса устройств между разными политиками, однако это может вызывать и утечки трафика через основное интернет-соединение.

Настройки маршрутизации роутера, могут переопределять направления трафика всех устройств. Если прописать в маршрутизации роутера необходимые маршруты для инстаграм через подключение amnezia_for_awg, то все устройства, во всех политиках (кроме политики Без доступа в интернет) получат доступ к инстаграм через amnezia_for_awg. Также работает и обратный пример: Если прописать все необходимые маршруты до гос.услуг через подключение Ethernet, то все устройства во всех политиках (кроме политики Без доступа в интернет) получат доступ к гос.услугам через Ethernet. (Основная проблема, это узнать необходимые для прописывания маршруты и производительность роутера).

Шаг 29

Затем, переключитесь на вкладку - "Применение политик". В списке слева выберите ту политику, из которой нужно переместить устройства и/или сегменты подключения устройств (в данном примере, это "Политика по умолчанию"). В выпадающем меню сверху выберите политику, в которую нужно переместить устройства и/или сегменты подключения устройств (в данном примере, это "VPN"). Отметьте те устройства и/или сегменты подключения устройств, которые должны постоянно подключаться, только через VPN.

Нажмите кнопку "Подтвердить", для перемещения выбранных устройств в политику "VPN".

Также, сегменты подключения устройств и зарегистрированные устройства, можно просто перетаскивать, на пункт с названием нужной политики доступа.

Большинство ваших устройств входят в политики с названием: "Политика по умолчанию" и "Политика по умолчанию сегмента"

В данном примере также можно видеть сегмент подключения устройств под названием Гостевая сеть. Именно он выбран в качестве примера, потому что для данного сегмента, по-умолчанию не используется ipv6, что исключает утечку информации о вашем реальном ip, при реализации схемы с включением в политику VPN подключения Ethernet.

В настройках Гостевой сети, можно настроить и включить дополнительную WiFi сеть. Таким образом, роутер Keenetic, будет раздавать сразу две WiFi сети: 1-я с обычным интернет подключением, 2-я с подключением через vpn.

Шаг 30

Теперь вы можете переключиться на политику с названием VPN и убедится, что перемещённые вами устройства, перенесены в данную политику. Также, проверьте на самих устройствах, что теперь их трафик идёт через созданное подключение amnezia_for_awg, например открыв сайт https://ipinfo.io

Чуть ниже, вы можете выбрать пункт: "Показать все объекты", чтобы сразу увидеть все Политики, Сегменты, и все Зарегистрированные устройства одновременно, а также перемещать устройства и сегменты между политиками простым перетаскиванием.

Шаг 31

Теперь Вы можете выйти из настроек роутера. Нажмите на шестерню в правом верхнем углу страницы, а затем нажать кнопку Выйти в правом нижнем углу страницы.