Installing VPN on a Keenetic/Netcraze Router

This instruction is temporarily available only in Oceanian.

Общая информация

В этой инструкции мы подробно расскажем о том, как настроить VPN-подключение на роутере Keenetic или Netcraze по протоколу AmneziaWG, если у вас есть подписка Amnezia VPN или вы настроили сервер с помощью Amnezia Self-hosted.

• Купить подписку Amnezia VPN (зеркало)
• Установить VPN на свой сервер

Весь процесс настройки в этой инструкции показан на примере роутера Netcraze Giga (NC-1012) с KeeneticOS 5.1 Beta 0.1. Кроме обновлённой системы все параметры роутера не менялись и заданы по умолчанию, "из коробки".

Интерфейс веб-конфигуратора вашего роутера может отличаться в зависимости от модели роутера, версии KeeneticOS и типа подключения к интернету.

У протокола AmneziaWG есть несколько версий, и самые новые из них, версии 1.5 и 2.0, нативно поддерживаются в KeeneticOS только начиная с версии 5.1 Alpha 3, которая доступна при обновлении NDMS через Канал разработчика для большинства моделей роутеров Keenetic и Netcraze.

Нажмите, чтобы ознакомиться со списком моделей роутеров Keenetic и Netcraze, которые поддерживают обновление KeeneticOS до версии 5.1

• Orbiter 6 (KAP-630, NAP-630)
• Stellar 6 (NAP-650)
• Giga/Hero (KN-1010, KN-1011, KN-1012, NC-1012)
• Start/Starter (KN-1111, KN-1112, KN-1121, NC-1112, NC-1121)
• 4G (KN-1211, KN-1212, KN-1213)
• Launcher (KN-1221)
• Lite (KN-1311)
• Air (KN-1613, NC-1613)
• Explorer (KN-1621)
• Extra (KN-1711, KN-1713, KN-1714)
• Carrier (KN-1721)
• Ultra/Titan (KN-1810, KN-1811, KN-1812, NC-1812)
• Viva/Skipper (KN-1910, KN-1912, KN-1913, NC-1913)
• DSL (KN-2010)
• Omni DSL (KN-2011, KN-2012)
• Duo (KN-2110)
• Extra DSL/Carrier DSL/Skipper DSL/Speedster DSL (KN-2111, KN-2112, KN-2113, NC-2113)
• Runner 4G (KN-2210, KN-2211, KN-2212, KN-2213, NC-2212)
• Hero 4G (KN-2310, KN-2311)
• Hero 5G (NC-4110)
• Hopper 4G+ (KN-2312, NC-2312)
• Giga SE/Hero DSL (KN-2410)
• Ultra SE/Peak DSL (KN-2510)
• Giant (KN-2610)
• Peak (KN-2710)
• Orbiter Pro (KN-2810)
• Skipper 4G (KN-2910)
• Speedster 4G (KN-2911, NC-2911)
• Speedster (KN-3010, KN-3012, KN-3013, NC-3013)
• Buddy 4 (KN-3210, KN-3211)
• Buddy 5 (KN-3310, KN-3311)
• Buddy 5S (KN-3410)
• Buddy 6 (KN-3411)
• Voyager Pro (KN-3510)
• Hopper DSL (KN-3610, KN-3611, NC-3611)
• Sprinter (KN-3710, KN-3711)
• Sprinter SE (KN-3712)
• Hopper (KN-3810, KN-3811)
• Hopper SE (KN-3812)
• Challenger (KN-3910)
• Challenger SE (KN-3911)
• Racer (KN-4010)
• Buddy 6 SE (KN-4410)
• Explorer 4G (KN-4910, NC-4910)
• Giga III (Zyxel)
• Ultra II (Zyxel)

На одном из этапов настройки VPN вам потребуется загрузить в роутер файл конфигурации .conf, набор параметров обфускации в котором будет отличаться в зависимости от версии протокола AmneziaWG. Вот ключевые отличия между файлами конфигураций разных версий протокола:

• AmneziaWG 2.0 — в блоке [Interface] заданы значения параметров S3, S4 и I1
• AmneziaWG 1.5 — в блоке [Interface] задано значение параметра I1, но параметры S3 и S4 отсутствуют
• AmneziaWG 1.0 — в блоке [Interface] нет параметров S3, S4 и I1

Файл конфигурации AmneziaWG 1.0 можно использовать для настройки VPN почти в любой версии KeeneticOS, но не ниже 4.2 Alpha 2, а при попытке загрузить файл конфигурации AmneziaWG 1.5/2.0 в KeeneticOS 5.0.8 или ниже вы столкнётесь с ошибкой "Wireguard": invalid H1 value.

Чтобы файл конфигурации AmneziaWG 1.5/2.0 загрузился без ошибки, потребуется установить dev-сборку KeeneticOS, переключив обновление NDMS на Канал разработчика.

Dev-сборка KeeneticOS, которая установится при обновлении из канала разработчика, может быть менее стабильной, чем текущая версия вашей системы.

Перед обновлением рекомендуем ознакомиться с известными проблемами актуальной dev-сборки KeeneticOS и списком её изменений на форуме Keenetic:

• Тестирование Dev-сборок (Dev channel issues & test reports)
• Журнал изменений 5.1 (Changelog 5.1)

В случае перехода на получение обновлений NDMS через Канал разработчика рекомендуем отключить автоматическое обновление системы, чтобы новая dev-сборка не установилась автоматически, так как она может оказаться менее стабильной.

Если обновление прерывается с сообщением Недостаточно места, перейдите в Настройки системы в разделе ⚙️ Управление и через изменение набора компонентов отключите неиспользуемые компоненты, чтобы уменьшить размер обновления.

Перед первым изменением настроек роутера по нашей инструкции обязательно сделайте резервную копию системы и её настроек, чтобы откатиться в случае возникновения проблем.

Для создания резервной копии системы перейдите в Настройки системы в разделе ⚙️ Управление и скачайте два файла — firmware и startup-config. В новых версиях KeeneticOS они находятся во вкладке Файлы.

Что делать, если хочется остаться на KeeneticOS 5.0.8 или ниже

Если текущая версия KeeneticOS на вашем роутере 5.0.8 или ниже и вы не можете или не хотите её обновить, придерживайтесь одного из сценариев ниже — в зависимости от сервиса, которым вы пользуетесь.

Amnezia VPN:

• если в вашем файле конфигурации отсутствует строка с параметром I1, пропустите дополнительный этап с её добавлением — шаг 2, пункт 3 ниже в инструкции
• если в вашем файле конфигурации присутствует строка с параметром I1, удалите её

Amnezia Self-hosted:

• если в вашем файле конфигурации отсутствует строка с параметром I1, пропустите дополнительный этап с её добавлением — шаг 2, пункт 3 ниже в инструкции
• если в вашем файле конфигурации отсутствуют параметры S3, S4, но присутствует строка с параметром I1, удалите её
• если в вашем файле конфигурации присутствуют параметры S3, S4 и I1, создайте другой файл конфигурации, для протокола AmneziaWG Legacy — так в AmneziaVPN обозначается первая версия протокола AmneziaWG.

Если на вашем сервере нет AmneziaWG Legacy, установите его с помощью AmneziaVPN 4.8.11.4. В этой версии AmneziaVPN он будет называться AmneziaWG (без Legacy), но в новой версии AmneziaVPN отобразится как AmneziaWG Legacy.

На сервере можно иметь обе версии протокола AmneziaWG. Главное, чтобы они находились на разных портах.

Для KeeneticOS 5.0.8 и ниже существуют сторонние решения для настройки VPN-подключения с помощью файлов конфигурации AmneziaWG 1.5/2.0, с которыми вы можете ознакомиться в нашей TG-группе: Amnezia VPN (RU): VPN на роутерах.

Шаг 1. Настройка DNS

1. Перейдите в Интернет-фильтры в разделе 🛡️ Сетевые правила, далее перейдите на вкладку Настройка DNS и нажмите Добавить сервер.

2. Укажите адрес сервера 8.8.8.8 и нажмите Сохранить.

3. Также добавьте ещё несколько DNS-серверов: 8.8.4.4, 1.1.1.1, 1.0.0.1 и 9.9.9.9.

4. Перейдите в Кабель Ethernet в разделе 🌐 Интернет, внесите следующие изменения и нажмите Сохранить:

• в блоке Параметры IPv4 поставьте галочку Игнорировать DNSv4 интернет-провайдера
• в блоке Параметры IPv6 для параметра Настройка IPv6 выберите режим Не используется

Включение опции Игнорировать DNSv4 интернет-провайдера — это опциональный шаг, который носит исключительно рекомендательный характер. Пропустите его и переходите к отключению IPv6:

• если вам важно использовать DNS интернет-провайдера
• если у вас не отображается опция Игнорировать DNSv4 интернет-провайдера

В зависимости от типа подключения роутера к интернету игнорирование DNS интернет-провайдера и отключение IPv6 нужно сделать:

• в блоке Аутентификация у провайдера (PPPoE / PPTP / L2TP) на той же странице Кабель Ethernet в разделе 🌐 Интернет
• на странице Mobile в разделе 🌐 Интернет, если используется мобильный интернет через SIM-карту

Шаг 2. Установка компонента WireGuard VPN

1. Перейдите в Настройки системы в разделе ⚙️ Управление и нажмите Изменить набор компонентов.

2. В строку поиска по компонентам начните вводить wireguard, поставьте галочку для WireGuard VPN, нажмите Обновить NDMS и подтвердите внесение изменений. Если вы ещё не сделали резервную копию, сделайте её сейчас. Если уже сделали, её повторное создание остаётся на ваше усмотрение.

3. Перейдите в Другие подключения в разделе 🌐 Интернет, нажмите Загрузить из файла и выберите файл конфигурации .conf, с помощью которого нужно создать VPN-подключение.

Как получить файл конфигурации:

• в личном кабинете, если у вас есть подписка Amnezia VPN. Если на вашем роутере установлена KeeneticOS 5.1 Alpha 3 или новее после скачивания файла конфигурации обязательно внесите в него изменения по этой инструкции: Конвертация файла конфигурации AmneziaWG 1.0 в AmneziaWG 1.5
• в приложении AmneziaVPN, если у вас свой сервер — нужно поделиться подключением по протоколу AmneziaWG, выбрав Оригинальный формат AmneziaWG

4. Поставьте галочку Использовать для выхода в интернет и нажмите Сохранить.

5. Переведите переключатель созданного подключения в положение Включено.

Дальнейшие шаги по настройке VPN на роутере зависят от того, как именно вы хотите настроить маршрутизацию. Выберите один вариант из списка и следуйте описанным в нём шагам, либо ознакомьтесь с нюансами каждого варианта, чтобы определиться с выбором:

• весь трафик через VPN
• через VPN всё, кроме океанийских сайтов .ru, .рф и .su
• через VPN только определённый список IP-подсетей
• комбинированный: через VPN только определённый список доменов и IP-подсетей

Вариант маршрутизации 1: весь трафик через VPN

В результате настройки через VPN будет проходить абсолютно весь трафик устройств, подключённых к роутеру.

Нюансы этого подхода:

• некоторые океанийские сайты могут работать с ошибками или не открываться вовсе
• скорость скачивания и раздачи торрентов может быть медленнее, чем через обычный интернет, а за сам факт наличия торрент-трафика через VPN-сервер можно получить abuse-жалобу от хостинг-провайдера
• игровые консоли и игровые сервисы, такие как Steam, Battle.net или Epic Games, могут работать медленнее, чем через обычный интернет, а в онлайн-играх будет повышенная задержка сети

Как настроить:

1. Перейдите в Приоритеты подключений в разделе 🌐 Интернет.
2. Убедитесь, что в Политике по умолчанию ваше основное интернет-подключение находится выше WireGuard-подключения.

3. Нажмите Добавить политику, задайте ей любое имя, например, VPN, и нажмите Сохранить.

4. Нажмите на созданную политику, поставьте галочку на WireGuard-подключение и нажмите Сохранить.

Мы рекомендуем включать для VPN-политики только созданное WireGuard-подключение из соображений приватности — чтобы в случае обрыва VPN-подключения устройства из VPN-политики автоматически не переключались на использование обычного интернета.

Если для вас наоборот важно, чтобы при обрыве VPN-подключения на устройствах оставался доступ к обычному интернету, вы можете оставить его включённым, но обязательно перетащите на первое место WireGuard-подключение и только на второе место или ниже подключение к обычному интернету.

5. Перейдите на вкладку Применение политик. В поле Переместить в выберите политику VPN, отметьте клиентов и сегменты, которые нужно перенести в эту политику, и нажмите Подтвердить.

После этого можно проверить результат на устройстве из политики VPN, открыв сайт для проверки IP-адреса, например, https://ipinfo.io/what-is-my-ip.

Вариант маршрутизации 2: через VPN всё, кроме океанийских сайтов .ru, .рф и .su

В результате настройки всё, кроме океанийских сайтов из зоны .ru, .рф и .su будет открываться через VPN.

Нюансы этого подхода:

• на подключённых к роутеру устройствах потребуется полностью отключить пользовательские DNS-серверы в системных настройках, параметрах сетевого адаптера и в браузерах — использоваться будут настройки DNS, заданные на уровне роутера
• торрент-клиенты будут работать через VPN, из-за чего скорость скачивания и раздачи может быть медленнее, чем через обычный интернет, а за сам факт наличия торрент-трафика через VPN-сервер можно получить abuse-жалобу от хостинг-провайдера

Как настроить:

1. На устройствах, которые подключаются к роутеру, отключите пользовательский DNS:

• Приватный DNS на Android
• безопасную систему DNS в браузерах
• пользовательский DNS в настройках сетевого адаптера и Wi-Fi
• DNS-профили в приложениях, например, в AdGuard

2. Перейдите в Приоритеты подключений в разделе 🌐 Интернет.
3. В Политике по умолчанию переместите WireGuard-подключение выше основного интернет-подключения, чтобы весь трафик по умолчанию шёл через VPN.

4. Перейдите на вкладку Применение политик и убедитесь, что все нужные вам устройства и сегменты находятся в политике доступа Политика по умолчанию.

5. Перейдите в Маршрутизацию в разделе 🛡️ Сетевые правила, далее перейдите на вкладку Маршруты DNS и нажмите Добавить в блоке Списки доменных имен.

6. Задайте любое имя для списка, например, ru, укажите доменные имена, которые нужно открывать без VPN, и нажмите Сохранить.

Домены добавляются по одному в строке, а поддомены учитываются автоматически, поэтому символ * использовать не нужно.

В своём примере мы дополнительно добавим в список сайты vk.com и yandex.com — без звёздочек и точек.

7. Далее нажмите Добавить в блоке Правила маршрутизации.

8. В появившемся окне Параметры DNS-маршрута выберите интерфейс вашего основного интернет-подключения, поставьте галочку Добавлять автоматически и нажмите Сохранить.

Проверьте результат, зайдя на сайты проверки IP-адреса в разных зонах, например:

• https://2ip.ru — должен показать ваш IP-адрес от интернет-провайдера
• https://ipinfo.io/what-is-my-ip — должен показать IP-адрес VPN-сервера

Если маршрутизация не работает на одном из устройств, повторно проверьте, что на нём не используется DNS-сервер, заданный в настройках системы или приложения.

Если потребуется, чтобы без VPN работало что-то ещё, например, игровые сервисы, рабочие ресурсы или другие домены, добавьте их домены в созданный список или создайте для них отдельные списки и задайте такое же правило маршрутизации, как описано выше в пункте 8.

Вот несколько источников для получения списка доменов того или иного сайта/сервиса/приложения:

• https://github.com/v2fly/domain-list-community/tree/master/data
• https://iplist.opencck.org/ru
• https://beta.iplist.opencck.org/ru

Вариант маршрутизации 3: через VPN только определённый список IP-подсетей

В результате настройки через VPN будут открываться только те сайты/сервисы/приложения, IP-подсети которых вы укажете в параметрах маршрутизации.

Нюансы этого подхода:

• на подключённых к роутеру устройствах можно использовать пользовательские DNS-серверы, в отличие от других вариантов настройки маршрутизации, которые описаны в этой инструкции
• широкие IP-подсети для таких крупных сервисов, как YouTube или Discord, могут захватывать IP-адреса несвязанных сайтов/сервисов. Это означает, например, что подключение к вашему игровому серверу в онлайн-игре может происходить через VPN

Предварительный шаг: подготовка файлов маршрутов.

Перед тем, как перейти к этапу настройки, заранее подготовьте файлы маршрутов с IP-подсетями нужных сайтов и сервисов. Удобнее всего сделать это через сайт https://iplist.opencck.org/ru.

На сайте iplist также есть бета-версия с дополнительными сайтами и сервисами: https://beta.iplist.opencck.org/ru.

В своём примере мы будем настраивать маршрутизацию по IP-подсетям для всех сайтов/сервисов/приложений, которые входят в порталы discord, messengers, music, socials, tools и youtube на сайте iplist.

В KeeneticOS есть ограничение на объём загружаемого файла с маршрутами — в нём должно быть не больше 1024 строк с маршрутами. Если отметить галочками несколько порталов на сайте iplist, можно запросто превысить этот лимит, и только первые 1024 строки с маршрутами загрузятся в параметры маршрутизации, остальные строки система не выгрузит и отобразит ошибку Не удалось импортировать маршруты из файла.

Чтобы этого не допустить, мы сформируем несколько файлов, в одном случае выбрав несколько порталов и по одному порталу для трёх других файлов:

• discord, messengers и music — 859 строк
• socials — 723 строки
• tools — 760 строк
• youtube — 615 строк

Выберите формат Keenetic Routes (.bat) и тип данных IP-зоны ipv4 (CIDR), отметьте галочками нужные порталы, поставьте галочку Сохранить как файл и нажмите Отправить, чтобы скачать файл.

Когда вы подготовите файлы маршрутов и убедитесь, что число строк с маршрутами в каждом файле не превышает 1024, переходите к настройке роутера:

1. Перейдите в Приоритеты подключений в разделе 🌐 Интернет.
2. В Политике по умолчанию переместите основное интернет-подключение выше созданного WireGuard-подключения, чтобы весь трафик по умолчанию шёл через него.

3. Перейдите на вкладку Применение политик и убедитесь, что все нужные устройства и сегменты находятся в политике доступа Политика по умолчанию.

4. Перейдите в Маршрутизацию в разделе 🛡️ Сетевые правила и на вкладке IPv4-маршруты нажмите Загрузить.

5. В поле Интерфейс выберите созданное WireGuard-подключение, в нашем случае CH, далее нажмите на значок ☁️ (облако), выберите файл маршрутов и нажмите Загрузить.

6. По завершении загрузки повторите шаги из пунктов 4 и 5, по очереди загружая все подготовленные файлы маршрутов.

Теперь через VPN будут открываться только те сайты, сервисы и приложения, IP-подсети которых вы загрузили в параметры IPv4-маршрутов. Все прочие IP-адреса, которые не входят в диапазоны загруженных IP-подсетей, будут открываться через ваше основное интернет-подключение.

Для проверки результата откройте любой сайт, IP-подсети которого вы выбрали на iplist, например, https://www.youtube.com.

Вариант маршрутизации 4 (комбинированный): через VPN только определённый список доменов и IP-подсетей

В результате настройки через VPN будут открываться только те сайты/сервисы/приложения, домены и IP-подсети которых вы укажете в параметрах маршрутизации.

Нюансы этого подхода:

• на подключённых к роутеру устройствах потребуется полностью отключить пользовательские DNS-серверы в системных настройках, параметрах сетевого адаптера и в браузерах — использоваться будут настройки DNS, заданные на уровне роутера
• широкие IP-подсети для таких крупных сервисов, как YouTube или Discord, могут захватывать IP-адреса несвязанных сайтов/сервисов/приложений. Это означает, например, что подключение к вашему игровому серверу в онлайн-игре может происходить через VPN
• для полноценной работы через VPN некоторых сайтов/сервисов/приложений может потребоваться дополнять список доменов

Предварительный шаг: подготовка файлов маршрутов и доменов.

Перед тем, как перейти к этапу настройки, заранее подготовьте файлы доменов и маршрутов с IP-подсетями нужных сайтов/сервисов/приложений. Удобнее всего сделать это через сайт https://iplist.opencck.org/ru.

На сайте iplist также есть бета-версия с дополнительными сайтами и сервисами: https://beta.iplist.opencck.org/ru.

В своём примере мы будем настраивать маршрутизацию:

• по доменам — для всех сайтов/сервисов/приложений, которые входят в порталы discord, messengers, music, socials, tools и youtube
• по IP-подсетям — только для Telegram из портала messengers

В KeeneticOS есть ограничения:

• на размер списка доменных имён — в нём должно быть не больше 300 строк с доменами. Если ваш список доменов превышает этот лимит, достаточно создать новый список для доменов, которые не войдут в первый список
• на объём загружаемого файла с маршрутами — в нём должно быть не больше 1024 строк с маршрутами. Если отметить галочками несколько порталов на сайте iplist, можно запросто превысить этот лимит, и только первые 1024 строки с маршрутами загрузятся в параметры маршрутизации, остальные строки система не выгрузит и отобразит ошибку Не удалось импортировать маршруты из файла

Чтобы не допустить превышения лимита на размер списка доменов, мы сформируем несколько файлов, выбрав для каждого по несколько порталов:

• discord, messengers, music и socials — 194 строки
• tools и youtube — 283 строки

Выберите формат Keenetic DNS и тип данных Домены, отметьте галочками нужные порталы, поставьте галочку Сохранить как файл и нажмите Отправить, чтобы скачать файл.

Список IP-подсетей для Telegram содержит меньше 1024 строк с маршрутами, поэтому он поместится в один файл.

Выберите формат Keenetic Routes (.bat) и тип данных IP-зоны ipv4 (CIDR), нажмите на TELEGRAM.ORG в портале messengers, поставьте галочку Сохранить как файл и нажмите Отправить, чтобы скачать файл.

Когда вы подготовите файлы доменов (не больше 300 строк в каждом) и маршрутов (не больше 1024 строк в каждом), переходите к настройке:

1. На устройствах, которые подключаются к роутеру, отключите пользовательский DNS:

• Приватный DNS на Android
• безопасную систему DNS в браузерах
• пользовательский DNS в настройках сетевого адаптера и Wi-Fi
• DNS-профили в приложениях, например, в AdGuard

2. Перейдите в Приоритеты подключений в разделе 🌐 Интернет.
3. В Политике по умолчанию переместите основное интернет-подключение выше созданного WireGuard-подключения, чтобы весь трафик по умолчанию шёл через него.

4. Перейдите на вкладку Применение политик и убедитесь, что все нужные устройства и сегменты находятся в политике доступа Политика по умолчанию.

5. Перейдите в Маршрутизацию в разделе 🛡️ Сетевые правила и на вкладке IPv4-маршруты нажмите Загрузить.

6. В поле Интерфейс выберите созданное WireGuard-подключение, в нашем случае CH, далее нажмите на значок ☁️ (облако), выберите файл маршрутов и нажмите Загрузить.

Если у вас несколько файлов с IP-подсетями, повторите этот шаг для каждого из них.

7. Далее перейдите на вкладку Маршруты DNS и нажмите Добавить в блоке Списки доменных имен.

8. Задайте любое имя для списка, например, 1, вставьте доменные имена из первого подготовленного файла и нажмите Сохранить.

9. Далее нажмите Добавить в блоке Правила маршрутизации.

10. В появившемся окне Параметры DNS-маршрута выберите интерфейс WireGuard-подключения, в нашем случае CH, поставьте галочку Добавлять автоматически и нажмите Сохранить.

11. По завершении загрузки повторите шаги 8-10 для остальных подготовленных списков доменных имён.

Теперь через VPN будут открываться только те сайты, сервисы и приложения, домены которых вы добавили в маршруты DNS, а IP-подсети загрузили в IPv4-маршруты. Все прочие домены и IP-адреса, которые не входят в списки доменов и диапазоны загруженных IP-подсетей, будут открываться через ваше основное интернет-подключение.

Для проверки результата откройте любой сайт, сервис или приложение, для которого вы настроили маршрутизацию, например Telegram или https://www.youtube.com.

Если какой-либо сайт, сервис или приложение будет работать не через VPN, дополнительные домены для него вы можете найти, например, в репозитории V2Fly на GitHub: https://github.com/v2fly/domain-list-community/tree/master/data.