WireGuard туннель с Keenetic Start на VLESS сервер

Да, настроить WireGuard туннель с Keenetic Start на домашний сервер для перенаправления всего трафика на зарубежный VLESS-сервер вполне реально и стабильно работает. Это отличный обход ограничений роутера — сервер берёт на себя VLESS через Docker, а Keenetic просто туннелирует трафик. Схема стоит усилий, если у вас мощный сервер на Proxmox: скорость упадёт до 20-50 Мбит/с из-за железа Start, но обойдёте баги AmneziaWG.

Содержание

• Возможности Keenetic Start для VPN
• Почему AmneziaWG нестабильна на Keenetic
• Общая схема: роутер → сервер → VLESS
• Настройка WireGuard-сервера на домашнем сервере
• Установка Xray-core для VLESS в Docker
• Конфигурация WireGuard-клиента на Keenetic Start
• Маршрутизация всего трафика через туннель
• Возможные проблемы и отладка
• Источники
• Заключение

Возможности Keenetic Start для VPN

Keenetic Start — скромный роутер с чипом MT7628NN (575 МГц, 64 МБ RAM), но VPN он тянет на ура. Нативно поддерживает WireGuard и OpenVPN как клиент и сервер, без танцев с Entware или Docker — это его сильная сторона. WireGuard здесь работает быстрее OpenVPN, особенно для туннелирования всего трафика.

Хотите проверить? Зайдите в веб-интерфейс, компоненты → VPN → WireGuard VPN client. Установите, если нет. Генерация ключей прямо в KeeneticOS: приватный ключ для клиента, публичный для сервера. А для OpenVPN генерит certs с опцией “keysize 1024” для совместимости. Но почему именно WireGuard? Он проще в настройке между роутером и вашим сервером — пара строк в .conf, и готово.

Документация Keenetic по WireGuard подтверждает: интерфейс wg0 поднимается мгновенно, с MTU 1420 для стабильности. OpenVPN тоже ок, но медленнее на слабом железе.

Почему AmneziaWG нестабильна на Keenetic

AmneziaWG — крутая тема для обфускации, но на Keenetic Start она глючит. Пользователи жалуются: handshake зелёный, но пакеты мелкие, нет реального соединения с VLESS. Причина? Слабый CPU не тянет обфускацию под нагрузкой, плюс баги в модуле для MIPS-архитектуры.

Kwass или аналоги для VLESS? Забудьте — Entware не ставится на 32 МБ флеша, Docker тем более. Форумы полны историй: “трафик не идёт, только пинги”. Лучше не мучаться, а делегировать серверу.

Обсуждение на ntc.party рекомендует именно Docker на локальном сервере как выход. Стоит ли фиксить Amnezia? Нет, переходите на чистый WireGuard — надёжнее.

Общая схема: роутер → сервер → VLESS

Ваша идея гениальна: Keenetic Start (клиент WireGuard) → домашний сервер (WG-сервер + VLESS-клиент в Docker) → зарубежный VLESS. Всё трафик дома идёт в туннель, сервер NAT’ит его на VLESS. Proxmox идеален: VM или LXC с Docker, ресурсы не проблема.

Почему не напрямую? Start не потянет Xray-core. Скорость: 20-50 Мбит/с на загрузке, но для дома хватит. OpenVPN как альтернатива, если WireGuard не взлетит.

Руководство Keenetic по туннелированию описывает именно такую цепочку. Да, стоит реализовывать — проще, чем апгрейд роутера.

Настройка WireGuard-сервера на домашнем сервере

На Proxmox создайте LXC-контейнер (Ubuntu 22.04) или VM — Docker в VM стабильнее, без nested-virt проблем. Установите WireGuard:

apt update && apt install wireguard -y
wg genkey | tee server_private.key | wg pubkey > server_public.key

Конфиг /etc/wireguard/wg0.conf:

[Interface]
Address = 10.0.0.1/24
PrivateKey = <server_private_key>
ListenPort = 51820
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o <VLESS_INTERFACE> -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o <VLESS_INTERFACE> -j MASQUERADE

[Peer]
PublicKey = <keenetic_public_key>
AllowedIPs = 10.0.0.2/32

wg-quick up wg0, systemctl enable wg-quick@wg0. Откройте UDP 51820 в файрволе. Публичный ключ сервера скопируйте на Keenetic позже.

Если Proxmox глючил с Docker раньше — используйте LXC, там проще networking (bridge vmbr0).

Установка Xray-core для VLESS в Docker

В том же контейнере на сервере поднимите Xray как VLESS-клиент. Docker-compose из репозитория xray-vless-reality:

version: '3'
services:
 xray:
 image: ghcr.io/xtls/xray-core:latest
 volumes:
 - ./config.json:/etc/xray/config.json
 restart: unless-stopped
 cap_add:
 - NET_ADMIN

config.json для VLESS (замените на ваши данные сервера):

{
 "inbounds": [{"port": 1080, "protocol": "socks", "listen": "127.0.0.1"}],
 "outbounds": [{
 "protocol": "vless",
 "settings": {"vnext": [{"address": "your.vless.server", "port": 443, "users": [{"id": "uuid-here"}]}]},
 "streamSettings": {"network": "tcp", "security": "reality", "realitySettings": {"..."}}
 }]
}

docker-compose up -d. Теперь Xray слушает SOCKS на 1080. На сервере настройте proxychains или redsocks, чтобы WG-трафик шёл через него. Или systemd proxy.

Туториал по Xray упрощает: готовые конфиги под VLESS+Reality.

Конфигурация WireGuard-клиента на Keenetic Start

В KeeneticOS: VPN → Добавить WireGuard-соединение.

• Имя: HomeServerWG
• Локальный IP: 10.0.0.2/24
• Приватный ключ: сгенерируйте в роутере, публичный на сервер
• Публичный ключ сервера: вставьте
• Endpoint: IP_сервера:51820
• Allowed IPs: 0.0.0.0/0 (всё!)
• MTU: 1420

Сохраните, добавьте в “Интернет-соединения” (drag-and-drop). CLI для принуда: interface Wireguard0 security-level private.

Инструкция по настройке на Keenetic — копипаст под ваш сервер. Подключится за секунды.

Маршрутизация всего трафика через туннель

Ключ — full tunnel. На Keenetic: AllowedIPs=0.0.0.0/0, плюс политики: drag WG в “VPN основной”. CLI:

ip route add 0.0.0.0/0 dev Wireguard0 table main metric 1
system policy route add destination any interface Wireguard0

На сервере: sysctl net.ipv4.ip_forward=1, iptables NAT (см. wg0.conf). Тестируйте: curl ifconfig.me — должен показать VLESS-IP.

Keenetic гайд по full tunnel с примерами CLI.

Возможные проблемы и отладка

Проблемы с Docker на Proxmox? Часто networking: используйте macvlan или host mode. Нет handshake? Проверьте ключи, UDP-порты (ufw allow 51820/udp). Медленно? MTU ниже, CPU Start на 100%.

VLESS не тянет? Reality-settings в config.json. Логи: wg show, journalctl -u wg-quick@wg0, docker logs xray.

Альтернативы: OpenVPN вместо WG (медленнее), или роутер помощнее (Keenetic Hero). Но схема работает — тесты на форумах подтверждают.

Источники

1. WireGuard VPN — Настройка WireGuard клиента и сервера на Keenetic: https://help.keenetic.com/hc/en-us/articles/360010592379-WireGuard-VPN
2. Internet access through a WireGuard VPN tunnel — Полное туннелирование трафика через WireGuard на Keenetic: https://support.keenetic.com/hero/kn-1011/en/21424-internet-access-through-a-wireguard-vpn-tunnel.html
3. Configuring a WireGuard VPN between two Keenetic routers — Конфигурация туннеля WireGuard между роутерами: https://help.keenetic.com/hc/en-us/articles/360012075879-Configuring-a-WireGuard-VPN-between-two-Keenetic-routers
4. xray-vless-reality — Docker Compose для VLESS с Reality в Xray-core: https://github.com/mikhailde/xray-vless-reality/
5. xray-tutorial — Туториал по установке Xray VLESS в Docker: https://github.com/wpdevelopment11/xray-tutorial
6. VLESS подключение в Keenetic без Entware — Обсуждение схемы Docker на локальном сервере для Keenetic: https://ntc.party/t/vless-подключение-в-keenetic-без-entware-с-помощью-docker-с-клиентом-на-локальном-сервере-какой-клиент-выбрать/14304

Заключение

Схема WireGuard туннель Keenetic Start → сервер с VLESS в Docker полностью рабочая и рекомендуется как workaround для слабого роутера — стабильнее AmneziaWG, обходит все лимиты. Следуйте шагам, начните с ключей и NAT, и трафик полетит на зарубежный VLESS. Если сервер 24/7, это идеальный вариант; протестируйте на малом трафике. Удачи с настройкой!