Настройка маршрутизации Wireguard только для ПК на Keenetic

Настройка Wireguard на роутере Keenetic с маршрутизацией только для ПК позволяет направить VPN-трафик исключительно с проводного компьютера, не затрагивая устройства в WiFi. Для этого создайте отдельный сетевой сегмент для ПК на базе bridge-интерфейса и примените политику маршрутизации (PBR), чтобы весь его трафик шел через Wireguard-интерфейс. Такой подход отделяет проводной ПК от WiFi-устройств, сохраняя основную сеть без изменений — это решает задачу выборочной маршрутизации без установки VPN-клиента на каждый девайс.

Содержание

• Что потребуется для настройки Wireguard Keenetic
• Установка компонента Wireguard на Keenetic
• Создание Wireguard-интерфейса как клиента
• Отделение проводного ПК в отдельный сегмент
• Настройка маршрутизации Wireguard только для ПК
• Политики маршрутизации и правила PBR
• Тестирование и отладка
• Частые проблемы и решения
• Источники
• Заключение

Что потребуется для настройки Wireguard Keenetic

Перед началом убедитесь, что ваш роутер Keenetic поддерживает Wireguard — это модели на KeeneticOS 3.7 и выше, вроде Ultra, Giga, Viva. Вам понадобится аккаунт провайдера VPN с Wireguard-конфигом (файл .conf), доступ к веб-интерфейсу роутера по адресу my.keenetic.net и IP-адрес проводного ПК (обычно 192.168.1.x).

Скачайте конфиг Wireguard от вашего VPN-сервера — официальная документация Keenetic рекомендует проверять Endpoint и AllowedIPs в файле. Подключите ПК к отдельному LAN-порту (например, LAN2), чтобы избежать конфликтов с WiFi-гостями. Если роутер на 4G-модели вроде Hopper, учтите лимиты трафика — Wireguard экономит батарею по сравнению с OpenVPN.

Установка компонента Wireguard на Keenetic

Зайдите в веб-мойку Keenetic, перейдите в “Управление” → “Компоненты системы”. Найдите Wireguard VPN, отметьте и нажмите “Обновить KeeneticOS” — установка займет 2-3 минуты с перезагрузкой.

После этого в меню “Приложения” появится раздел Wireguard VPN. Форум Keenetic полон отзывов: пользователи хвалят скорость до 500 Мбит/с на Giga без лагов. Если компонент не виден, обновите прошивку до последней версии — на декабрь 2025 актуальна 4.1.7.

Создание Wireguard-интерфейса как клиента

В “Приложения” → “Wireguard VPN” нажмите “Добавить интерфейс”. Выберите “Клиент”, загрузите .conf-файл или введите вручную:

• Имя: wg-vpn-pc
• PrivateKey: из конфига
• Address: 10.2.0.2/32
• DNS: 10.2.0.1 (или провайдера)
• Endpoint: сервер:порт (udp)
• AllowedIPs: 0.0.0.0/0 (для полного туннеля, но мы ограничим позже)

Сохраните и запустите. Статус “Готов” подтвердит подключение — ping 10.2.0.1 с роутера покажет связь. Документация по сегментам подчеркивает: Wireguard-интерфейс должен быть “вверх”, иначе PBR не сработает.

Отделение проводного ПК в отдельный сегмент

Чтобы отделить проводной ПК от WiFi-устройств, создайте изолированный сегмент. Идите в “Сеть” → “Домашняя сеть” → “Сегменты сети” → “Добавить”.

• Тип: Bridge (Homelab или новый)
• Имя: Seg-PC-WG
• Порты: Добавьте LAN2 (или тот, куда воткнут ПК)
• DHCP: Включите, пул 192.168.100.10-20
• Маршрут по умолчанию: Пока основной интернет

Подключите ПК к LAN2 — он получит IP из 192.168.100.x. WiFi остается в основном сегменте 192.168.1.x. Это базовая изоляция: ПК видит только роутер, WiFi-девайсы — друг друга, но не ПК без firewall-правил.

Проверьте в “Клиенты”: ПК в Seg-PC-WG, смартфоны в Home. Такой раздел по WiFi и проводному — хитрый способ избежать broadcast-шума.

Настройка маршрутизации Wireguard только для ПК

Ключ — keenetic wireguard маршрутизация через политики. В “Сеть” → “Маршрутизация” → “Политики маршрутизации” → “Добавить”.

Создайте правило:

1. Уровень приоритета: 100 (выше основного)
2. Исходный интерфейс: Seg-PC-WG (bridge ПК)
3. Маршрут по умолчанию: wg-vpn-pc
4. Метка: vpn-pc-only

Сохраните. Теперь трафик из Seg-PC-WG уйдет в Wireguard, а WiFi — напрямую. Гайд по PBR в Keenetic объясняет: PBR смотрит на source interface, идеально для selective VPN.

Для доступа ПК в локалку добавьте статический маршрут: 192.168.1.0/24 via Homelab (gateway роутера).

Политики маршрутизации и правила PBR

Углубимся в CLI для точности — подключитесь по SSH (включив в настройках).

Команды для PBR:

ip rule add from 192.168.100.0/24 table 100
ip route add default via 10.2.0.1 dev wg-vpn-pc table 100

В веб-интерфейсе это то же: политика привязана к IP-пулу сегмента. Если нужно исключить локалку, в AllowedIPs Wireguard укажите 0.0.0.0/1, 128.0.0.0/1 — split-tunnel.

Тестируйте: с ПК curl ipinfo.io — IP VPN-сервера. С телефона в WiFi — ваш реальный IP. Скорость? На Ultra до 300 Мбит/с, по отзывам на форуме.

Тестирование и отладка

1. Ping: С ПК ping 8.8.8.8 через wg (tcpdump -i wg-vpn-pc).
2. IP-чек: whatismyipaddress.com на ПК и WiFi.
3. Логи: “Система” → “Журнал” фильтр Wireguard.
4. MTU: Если фрагментация, set MTU 1420 в wg-интерфейсе.

Если не маршрутизирует — проверьте firewall: в “Безопасность” разрешите трафик из Seg-PC-WG в wg-vpn-pc.

Частые проблемы и решения

• Нет интернета на ПК: Политика ниже приоритета — поднимите до 50.
• WiFi тоже в VPN: Проверьте исходный интерфейс — только Seg-PC-WG.
• Wireguard не стартует: UDP-порт 51820 открыт, MTU 1280.
• Скорость низкая: Выберите сервер ближе, отключите IPv6 в segmente.

Форумчане советуют: для AmneziaWG генерируйте conf с низким пингом.

Источники

• https://help.keenetic.com/hc/ru/articles/360000464900-WireGuard-VPN
• https://help.keenetic.com/hc/ru/articles/213968389-Сегменты-сети
• https://help.keenetic.com/hc/ru/articles/360018212859-Политики-маршрутизации
• https://forum.keenetic.ru/topic/13955-wireguard-на-роутере/
• https://forum.keenetic.ru/topic/14567-wireguard-маршрутизация-для-определенных-устройств/

Заключение

Настройка Wireguard Keenetic с маршрутизацией только для ПК через сегменты и PBR — надежный способ изолировать проводной компьютер от WiFi, направив его трафик в VPN без влияния на остальную сеть. Вы получаете полный контроль: ПК в туннеле, смартфоны — напрямую. Протестируйте на вашей модели — и наслаждайтесь скоростью без компромиссов. Если трафик критичен, мониторьте логи ежедневно.