Настройка AmneziaWG на роутере Keenetic
Создание подключения WireGuard с дополнительными параметрами asc в обновлённом интерфейсе роутеров KeeneticOS 4.2.
Шаг 1
Откройте в веб-браузере, страницу управления роутером. Чаще всего, адрес страницы управления: http://192.168.1.1 или http://192.168.0.1
Шаг 2
Сразу после авторизации, перейдите в раздел "Управление", далее "Параметры системы", разверните пункт "startup-config" и сохраните резервную копию нынешних настроек вашего роутера.
Шаг 3
Проверьте какая версия KeeneticOS установлена на роутере, и предлагается ли обновление KeeneticOS до версии 4.2., так как поддержка WireGuard с параметрами asc, в KeeneticOS, появилась начиная с версии 4.2 Alpha 2. Если для вашего роутера ещё не вышел релиз KeeneticOS 4.2, попробуйте переключить канал обновления, на "Предварительный".
Шаг 4
Если уже установлена версия KeeneticOS 4.2, или предлагается обновление до 4.2, нужно проверить наличие необходимого компонента системы. Нажмите кнопку "Изменить набор компонентов".
Шаг 5
На открывшейся странице "Компоненты операционной системы", в секции "Сетевые функции", проверьте наличие установленного компонента "WireGuard VPN" Если компонент "WireGuard VPN" не установлен, отметьте соответствующий чек-бокс для установки, и нажмите появившуюся снизу кнопку "Обновить KeeneticOS". Дождитесь, пока роутер обновится и перезагрузится.
Шаг 6
Если компонент "WireGuard VPN" уже установлен, но нуждается в обновлении, закройте список компонентов, чтобы вернуться на страницу "Параметры системы".
Шаг 7
После чего выполните обновление роутера до версии 4.2 или новее, нажав кнопу "Обновить KeeneticOS" на странице "Параметры системы". В процессе обновления, роутер выполнит перезагрузку.
Шаг 8
После обновления и перезагрузки роутера, нужно заново авторизоваться на странице управления роутером.
Шаг 9
Найдите и откройте только что сохранённый файл конфигурации в какой-нибудь текстовой программе, например в "Блокноте".
Шаг 10
Из данного файла Вам понадобятся значения параметров Jc, Jmin, Jmax, S1, S2, H1, H2, H3, H4 - это asc параметры.
Шаг 11
Теперь, Вам нужно вернуться к настройкам роутера, и перейти в раздел Интернет и выбрать "Другие подключения".
Шаг 12
Выберите секцию Wireguard, в ней создайте новое подключения, импортировав сохранённый файл конфигурации AmneziaWG. Для этого нажмите на ссылку "Загрузить из файла"
Шаг 13
В появившемся окне файлового менеджера, перейдите в папку, где Вы сохранили файл конфигурации AmneziaWG, выберите его, и нажмите кнопку "Открыть".
Шаг 14
Через несколько секунд, в секции Wireguard, должно появится новое соединение, с таким же названием, как было у импортированного файла. Но использовать появившееся подключение, еще рано. Нужно зайти в его настройки для редактирования, щелкнув по его строке в любом месте, кроме свитчера.
Шаг 15
В открывшемся окне настроек подключения, отметь чек-бокс "Использовать для выхода в интернет", после чего сохраните внесённые изменения, нажав кнопку "Сохранить", внизу страницы с настройками.
Шаг 16
Теперь Вам нужно, перейти в веб-версию командной строки роутера Keenetic, для выполнения ряда команд. Для этого необходимо перейти в настройки, нажать на изображение шестеренки, в правом верхнем углу веб-страницы, и перейти по ссылке "Командная строка".
Шаг 17
Введите команду show interface и нажмите кнопку "Отправить запрос". Ниже, отобразится информация обо всех имеющихся интерфейсах.
Шаг 18
Теперь нужно узнать имя нужного интерфейса, по названию созданного ранее подключения. Для этого, откройте поиск по странице (это можно сделать, одновременно нажав две клавиши, Ctrl+F). Введите для поиска, название созданного ранее подключения. В данном примере, это amnezia_for_awg . Должно быть найдено одно, уникальное название в поле "description". А рядом с ним, будет находится другое поле, "interface-name", в котором отображается имя нужного интерфейса. В данном примере, это Wireguard1 .
Шаг 19
Теперь, зная имя интерфейса и значения параметров asc из файла в формате .conf который мы сохранили ранее. Нужно заменить все значения шаблона в скобках, Вашими значениями, а сами скобки удалить.
interface {name} wireguard asc {jc} {jmin} {jmax} {s1} {s2} {h1} {h2} {h3} {h4}
В данном примере, строка примет вид:
interface Wireguard1 wireguard asc 8 50 1000 30 32 1811016522 1196729875 457766807 1765857463
Получившуюся строку, нужно вставить в вэб-версии командной строки роутера, и нажать кнопку "Отправить запрос". Если Вы ввели правильную команду, ниже будет выведен результат обработки запроса, как на приведённом скриншоте.
Шаг 19
Теперь, следует сохранить изменения в конфигурации роутера. Введите команду system configuration save, и нажмите "Отправить запрос". Если всё введено верно, ниже будет выведен результат обработки запроса, как на приведённом скриншоте.
Шаг 20
Теперь нужно перейти в раздел "Интернет", далее "Другие подключения", и проверить работоспособность созданного подключения WireGuard, переключив его состояние на "Включено". Через несколько секунд, отметка активности пира, должна изменить цвет с серого, на зелёный. Также, должна отобразиться информация о входящем/исходящем трафике, и о времени с последнего "рукопожатия".
Шаг 21
Если подключение установилось успешно, нужно перейти в раздел "Интернет" - "Приоритеты подключения".
Шаг 22
В настройках Политик доступа в Политике по умолчанию созданное VPN-подключение (amnezia_for_awg) должно идти ниже вашего основного интернет-подключения, чтобы избежать проблем с переподключением роутера при обрыве основного интернет-соединения.
Шаг 23
Теперь Вам нужно создать новую политику доступа.
Нажмите на ссылку "+ Добавить политику"
Введите имя новой политики доступа (в данном примере, используется имя VPN), и нажмите по ссылке "Сохранить" с зелёной галочкой.
При создании политики, не нужно включать "Многопутевая передача"
Шаг 24
Далее, для политики с названием VPN, установите чек-бокс активности, только на ранее созданном подключении (в данном примере, amnezia_for_awg), и нажмите кнопку Сохранить, внизу страницы.
В данном примере, в политику VPN, включено только подключение amnezia_for_awg, чтобы снизить вероятность утечки трафика через протоколы ipv4 и ipv6, основного интернет-подключение (в данном примере, Ethernet).
Если в политику VPN, включить вторым по порядку подключение Ethernet, то при отключении amnezia_for_awg, все устройства политики VPN, будут переходить на использование основного интернет-подключения (в данном примере, Ethernet), это может быть удобно для переключения между разными соединениями без постоянного переноса устройств между разными политиками, однако это может вызывать и утечки трафика через основное интернет-соединение.
Настройки маршрутизации роутера, могут переопределять направления трафика всех устройств. Если прописать в маршрутизации роутера необходимые маршруты для инстаграм через подключение amnezia_for_awg, то все устройства, во всех политиках (кроме политики Без доступа в интернет) получат доступ к инстаграм через amnezia_for_awg. Также работает и обратный пример: Если прописать все необходимые маршруты до гос.услуг через подключение Ethernet, то все устройства во всех политиках (кроме политики Без доступа в интернет) получат доступ к гос.услугам через Ethernet. (Основная проблема, это узнать необходимые для прописывания маршруты и производительность роутера).
Шаг 25
Затем, переключитесь на вкладку - "Применение политик". В списке слева выберите ту политику, из которой нужно переместить устройства и/или сегменты подключения устройств (в данном примере, это "Политика по умолчанию"). В выпадающем меню сверху выберите политику, в которую нужно переместить устройства и/или сегменты подключения устройств (в данном примере, это "VPN"). Отметьте те устройства и/или сегменты подключения устройств, которые должны постоянно подключаться, только через VPN.
Нажмите кнопку "Подтвердить", для перемещения выбранных устройств в политику "VPN".
Также, сегменты подключения устройств и зарегистрированные устройства, можно просто перетаскивать, на пункт с названием нужной политики доступа.
Большинство ваших устройств входят в политики с названием: "Политика по умолчанию" и "Политика по умолчанию сегмента"
В данном примере также можно видеть сегмент подключения устройств под названием Гостевая сеть. Именно он выбран в качестве примера, потому что для данного сегмента, по-умолчанию не используется ipv6, что исключает утечку информации о вашем реальном ip, при реализации схемы с включением в политику VPN подключения Ethernet.
В настройках Гостевой сети, можно настроить и включить дополнительную WiFi сеть. Таким образом, роутер Keenetic, будет раздавать сразу две WiFi сети: 1-я с обычным интернет подключением, 2-я с подключением через vpn.
Шаг 26
Теперь вы можете переключиться на политику с названием VPN и убедится, что перемещённые вами устройства, перенесены в данную политику. Также, проверьте на самих устройствах, что теперь их трафик идёт через созданное подключение amnezia_for_awg, например открыв сайт https://ipinfo.io
Чуть ниже, вы можете выбрать пункт: "Показать все объекты", чтобы сразу увидеть все Политики, Сегменты, и все Зарегистрированные устройства одновременно, а также перемещать устройства и сегменты между политиками простым перетаскиванием.
Шаг 27
Теперь Вы можете выйти из настроек роутера. Нажмите на шестерню в правом верхнем углу страницы, а затем нажать кнопку Выйти в правом нижнем углу страницы.