Добрый день.
Роутер: Keenetic Peak KN‑2710
Прошивка: KeeneticOS 5.0.8 (stable)
Настраиваю отдельную Wi‑Fi‑сеть, у которой весь трафик должен идти в интернет через WireGuard‑клиента на VPS, по официальным статьям Keenetic “Internet access through a WireGuard VPN tunnel” и “Маршрутизация сетей через VPN”.
Кратко, что сделано:
Поднят WireGuard‑сервер на VPS (Linux, “белый” IP, порт 51820/UDP).
wg show на VPS показывает стабильные рукопожатия с моим роутером (endpoint — мой домашний IP), latest handshake каждые несколько секунд, счётчики трафика растут. То есть туннель работает нормально.
На Keenetic:
Wireguard‑клиент (Wireguard0😞 адрес в туннеле, DNS, AllowedIPs = 0.0.0.0/0, ::/0, endpoint = VPS_IP:51820, keepalive включён.
Домашний сегмент: 192.168.1.0/24, NAT включён, основные SSID — интернет через провайдера работает.
VPN‑сегмент WgSegment: 192.168.50.0/24, шлюз 192.168.50.1, DHCP и NAT включены, отдельный SSID, к которому подключаю тестовый клиент.
Политика vpnpolicy:
единственный разрешённый глобальный выход — Wireguard0;
в веб‑интерфейсе для сегмента WgSegment в “Правила использования интернет‑трафика” выбрана именно vpnpolicy.
Симптомы:
Клиент в SSID сегмента WgSegment получает IP из подсети 192.168.50.x.
В интерфейсе роутера этот SSID/сегмент помечен как “без доступа к интернету”.
Сайты не открываются (в том числе 2ip / ifconfig и т.п.).
В это время:
WireGuard‑клиент активен,
на VPS всё ещё идут рукопожатия и трафик,
домашний сегмент 192.168.1.0/24 нормально выходит в интернет через провайдера.
Self‑test с текущей конфигурацией у меня есть и готов приложить по запросу (или отправить в личку сотруднику Keenetic).
Вопросы:
Не упускаю ли я какой‑то шаг при привязке политики vpnpolicy к сегменту WgSegment для сценария “весь сегмент в интернет через WireGuard‑клиента”?
Есть ли известные особенности/ограничения KeeneticOS 5.0.8 для KN‑2710, из‑за которых сегмент с такой политикой может оставаться без доступа к интернету при живом WireGuard‑туннеле?
Буду признателен за подсказки, куда смотреть дальше.
