Отвалился Amnezia WG

[djekvrn]

Всем привет, сегодня (16 января 2026) перезагрузил роутер (ultra 1812) и вдруг перестал коннектиться Amnezia WG. Не проходит handshake, делает несколькло попыток, потом пробует заново переподключиться и так по кругу. Прошивка 5.0.3. Уже обновил до 5.0.4, но не помогло.

Конфиг такой:

interface Wireguard0
    description VPN
    security-level public
    ip address 172.16.0.2 255.255.255.255
    ip mtu 1420
    ip global 61438
    ip tcp adjust-mss pmtu
    wireguard asc 4 40 70 0 0 1 2 3 4
    wireguard peer ##########= !Peer
        endpoint engage.cloudflareclient.com:2408
        keepalive-interval 15
        allow-ips 0.0.0.0 0.0.0.0
        connect
    !
    up
!

В логах такие записи:

[I] Jan 16 14:52:46 kernel: wireguard: Wireguard0: handshake for peer "########=" (16) (162.159.192.1:2408) did not complete after 5 seconds, retrying (try 2)
[I] Jan 16 14:52:51 kernel: wireguard: Wireguard0: handshake for peer "########=" (16) (162.159.192.1:2408) did not complete after 5 seconds, retrying (try 3)
[I] Jan 16 14:52:56 kernel: wireguard: Wireguard0: handshake for peer "########=" (16) (162.159.192.1:2408) did not complete after 5 seconds, retrying (try 4)

До сегодняшего дня все работало успешно где то год, в начале месяца последний раз перезагружал роутер, проблем не было. А сегодня что-то произошло. Куда копать?

Изменено 16 января пользователем djekvrn

[mrGhotius]

2 часа назад, djekvrn сказал:

Куда копать?

Думаю подкоп в сторону РКН

2 часа назад, djekvrn сказал:

engage.cloudflareclient.com

У меня с 13 числа некоторая часть того, что завязано на сервисах cloudflare не работает или работает частично. Например сейчас не открывается даже whois.ru. А форум Keenetic висит с постоянной подгрузкой контента с media.invisioncic.com.

Изменено 16 января пользователем mrGhotius

[blacksmith]

В 16.01.2026 в 17:57, mrGhotius сказал:

Думаю подкоп в сторону РКН

У меня с 13 числа некоторая часть того, что завязано на сервисах cloudflare не работает или работает частично. Например сейчас не открывается даже whois.ru. А форум Keenetic висит с постоянной подгрузкой контента с media.invisioncic.com.

Неделю назад vps взял (тестирую), пока что это самое хорошее решение для меня, работает все на мегафон

[Denis46]

Такая же история. 24.01.2026 отвалился авг на роутере Ultra (KN-1811). При этом тот же конфиг на пк работает исправно. Что это может быть?

[hoaxisr]

В 16.01.2026 в 12:03, djekvrn сказал:

вдруг перестал коннектиться Amnezia WG

AmneziaWG тут ни разу не при чем, и прошивка тоже.

Ваш peer ничего не знает про этот протокол, то что это работало до 16.01 не гарантирует его работу в будущем.

Не надо смешивать протокол и вариант его обфускации с конечным узлом сервиса, которым вы пользовались.

WARP/Proton активно блокируется и теперь и у вас работает как задумано РКН. 

[Superior Bahamut]

11 часов назад, hoaxisr сказал:

Не надо смешивать протокол и вариант его обфускации с конечным узлом сервиса, которым вы пользовались.

WARP/Proton активно блокируется и теперь и у вас работает как задумано РКН. 

Да, но тогда бы Забытьё вообще не подрубало бы никак. В этом-то и прикол шутки юмора. Все конфиги, которые не работают через WG-протокол на Keenetic, прекрасно работают на локальных приложениях с компа и телефона. Тут как раз дело в том, что WG-протокол Keenetic немного отстаёт от того, который сейчас есть у программ для компа и мобилок. 

Более того! Есть конфиги, которые осуществляют рукопожатие, однако трафик через них идёт кошачий. Если что у меня 5.0.4, с предварительного канала обновления. 

[liliput-liliout]

3 часа назад, Superior Bahamut сказал:

Да, но тогда бы Забытьё вообще не подрубало бы никак. В этом-то и прикол шутки юмора. Все конфиги, которые не работают через WG-протокол на Keenetic, прекрасно работают на локальных приложениях с компа и телефона. Тут как раз дело в том, что WG-протокол Keenetic немного отстаёт от того, который сейчас есть у программ для компа и мобилок. 

Более того! Есть конфиги, которые осуществляют рукопожатие, однако трафик через них идёт кошачий. Если что у меня 5.0.4, с предварительного канала обновления. 

Все смешалось, кони/люди.

Я понимаю, что "бесплатное" манит и привлекает, особенно, если это разрекламировано везде и всюду просто.

WireGuard в роутере нисколько не отстает ни от чего.

Если вы говорите о форке от команды Amnezia, то в роутере действительно в прошивке нет нового их решения, которое они называют версией 2.0

В тоже время, вам ничто не мешает воспользоваться Entware/OPKG и использовать их решение в этой среде, они предоставили все инструменты для этого, а на самом форуме есть прекрасная тема рассказывающая как это настроить и связать с прошивочными инструментами маршрутизации трафика для версии ОС Кинект >5.0. Dваш роутер поддерживает и дает возможность использовать этот инструмент. 

[Superior Bahamut]

2 часа назад, liliput-liliout сказал:

Если вы говорите о форке от команды Amnezia, то в роутере действительно в прошивке нет нового их решения, которое они называют версией 2.0

Да, я именно об этом и говорил. Но за рекомендацию Entware/OPKG спасибо. 

[AlexKr]

И все же непонятно почему в AmneziiWG с телефона и приставках нет никаких проблем с подключениям заблоченых ресурсов, но эти же параметры для подключения в Keenetic Wireguard не работают ?  В чем разница ? Почему там работает а в Keenetic нет ?

[German Ко]

Обновил до релизной 5.0.4, отвалился WG на роутере, везде работает, кроме него. Соединение есть, но прописанные маршруты не работают. Может  какие-то  изменения были в прошивке  связанные с маршрутами или wg?

На втором роутере где 4.3.6.3 все работает.

Upd openvpn работает , маршруты добавляет.

Изменено 27 января пользователем German Ко

[Superior Bahamut]

Так, пацаны. Опытным путём было выяснено, что рукопожатие на WG-клиенте Keenetic установить можно. Даже идёт како-то трафик, но самый минимальный. Для этого подходит самый стандартный сгенерированный конфиг от самой Amnezia, от её телеграм-бота. Помимо публичного ключа (PublicKey), там нужен ещё и общий (PresharedKey).

amneziawg1.conf

[hoaxisr]

9 часов назад, German Ко сказал:

Обновил до релизной 5.0.4, отвалился WG на роутере, везде работает, кроме него. Соединение есть, но прописанные маршруты не работают. Может  какие-то  изменения были в прошивке  связанные с маршрутами или wg?

На втором роутере где 4.3.6.3 все работает.

Upd openvpn работает , маршруты добавляет.

Подготовить self-test и идти с обращением в техническую поддержку. 5.0.4 объявлена стабильной, а значит проблемы решает техническая поддержка.

[German Ко]

Выяснилось , что подсеть ip/32 перестала работать после обновления , с ip/24 все работает  , это в настройках самого wg подключения , я не очень шарю  почему так , но  есть рядом  роутер с 32 сетью на 4.3.6.3  и там все работает , конфиги и настройки у роутеров зеркальные .

[VVS]

13 минут назад, German Ко сказал:

Выяснилось , что подсеть ip/32 перестала работать после обновления , с ip/24 все работает  , это в настройках самого wg подключения , я не очень шарю  почему так , но  есть рядом  роутер с 32 сетью на 4.3.6.3  и там все работает , конфиги и настройки у роутеров зеркальные .

Проверил написанное Вами - так же не работает, как и раньше.

Так что всё это шибко зависит от настроек оборудования РКН, установленного у конкретного провайдера.

[German Ко]

Что я сделал ,  1) dns провайдера выкл  , 2)прописал гугл-клауд9 в профиле  dns , 3)в конфиге wg те же  dns , 4)в маршрутах то же добавить  dns  ,5)транзитные запросы блокировать . На старой прошивке , все работало через интернет фильтр с  dns провайдера , сейчас по другому сделал. Может и Вам поможет .

Изменено 27 января пользователем German Ко

[mak-sim]

Протокол AWG 1.0 полностью перестал работать с серверами Cloudflare (WARP), скорее всего, потому что популярно и бесплатно. Некоторое время назад РКН прошерстил провайдеров, кому-то выписали штрафы, кому-то предупреждения. У неизвестных платных хостеров, которых еще не заметил РКН, протокол AWG 1.0 пока еще работает.

Протокол AWG 1.5 с использованием ASC параметров "I1= \(specialJunk1!)" и т.д. - работает в актуальных версиях программ Amnezia.

Поддержки ASC параметров протокола AWG 1.5 (2.0) в прошивках 5.0 Keenetic нет. А будет ли, точно пока неизвестно.

Изменено Среда в 08:22 пользователем mak-sim

[zubzer0]

насчет Cloudflare (WARP)
если у вас есть ipv6, можно попробовать подключится к его ipv6 адресу.
nslookup -type=aaaa engage.cloudflareclient.com

но, встроенный wg-клиент (всееще) не умеет подключатся к ipv6.
это можно обойти через перенаправление ipv4 -> ipv6 посредством socat
https://forum.keenetic.ru/topic/27233-wireguard-ipv6/#findComment-232301

p.s. можно заморочиться через iptables ip6tables с маркировками ...
но какпомне, для просто-юзер, простым и элегантным решением будет - socat

Изменено Среда в 15:18 пользователем zubzer0

[avn]

20 минут назад, zubzer0 сказал:

насчет Cloudflare (WARP)
если у вас есть ipv6, можно попробовать подключится к его ipv6 адресу.
nslookup -type=aaaa engage.cloudflareclient.com

но, встроенный wg-клиент (всееще) не умеет подключатся к ipv6.
это можно обойти через перенаправление ipv4 -> ipv6 посредством socat
https://forum.keenetic.ru/topic/27233-wireguard-ipv6/#findComment-232301

p.s. можно заморочиться через iptables ip6tables с маркировками ...
но какпомне, для просто-юзер, простым и элегантным решением будет - socat

Через wg setconf раньше можно было задать ipv6 endpoint. Ещё на версии 3.6. Сейчас, думаю тоже можно. Ключевые слова ipv6 wg setconf.

[zubzer0]

50 минут назад, avn сказал:

Через wg setconf раньше можно было задать ipv6 endpoint. Ещё на версии 3.6. Сейчас, думаю тоже можно. Ключевые слова ipv6 wg setconf.

в консоли BusyBox команды wg - не существует. 
метод 
(config)> interface Wireguard1
(config-if)> wireguard peer <PublicKey> endpoint [1234:1234::1234]:1234
даёт ошибку - Command::Base error[7405602]: argument parse error.

Изменено Среда в 16:18 пользователем zubzer0

[avn]

2 минуты назад, zubzer0 сказал:

в консоли BusyBox команды wg - не существует. 
метод 
(config)> interface Wireguard1
(config-if)> wireguard peer <PublicKey> endpoint [1234:1234::1234]:1234
даёт ошибку - Command::Base error[7405602]: argument parse error.

Entware. 

[avn]

1 час назад, zubzer0 сказал:

в консоли BusyBox команды wg - не существует. 
метод 
(config)> interface Wireguard1
(config-if)> wireguard peer <PublicKey> endpoint [1234:1234::1234]:1234
даёт ошибку - Command::Base error[7405602]: argument parse error.

Следим за руками

[zubzer0]

1 час назад, avn сказал:

Следим за руками

в консоли BusyBox команды wg - не существует. 


конечно, можно поставить сторонний wireguard, к примеру amnezia через opkgtun, в котором есть поддержка ipv6-endpoint.
но это не будет иметь "hw offload" как у встроенного клиента.

Изменено Среда в 19:39 пользователем zubzer0

[avn]

18 минут назад, zubzer0 сказал:

в консоли BusyBox команды wg - не существует. 


конечно, можно поставить сторонний wireguard, к примеру amnezia через opkgtun, в котором есть поддержка ipv6-endpoint.
но это не будет иметь hardware offload как у встроенного клиента.

opkg install wireguard-tools. Не говорите ерундой. С ядром можно по разному работать. 

Изменено Среда в 19:42 пользователем avn

[zubzer0]

1 час назад, avn сказал:

opkg install wireguard-tools. Не говорите ерундой. С ядром можно по разному работать. 

чтобы снова не попасть в неловкую ситуацию спрошу
чтобы это работало постоянно в случаях падений и перезагрузки - нужно делать скрипт, верно?

[avn]

2 минуты назад, zubzer0 сказал:

чтобы снова не попасть в неловкую ситуацию спрошу
чтобы это работало постоянно в случаях падений и перезагрузки - нужно делать скрипт, верно?

Верно. Тут две конфигурирующие системы конкурируют. Ndm при рестарте wg будет брать настройки из config файла роутера и писать их в ядро. Т.е. перетирать настройки, заданные через утилиту wg. На форуме были скрипты. Решение, конечно через Ж, но если очень хочется, то можно.

[zubzer0]

14 минут назад, avn сказал:

Верно. Тут две конфигурирующие системы конкурируют. Ndm при рестарте wg будет брать настройки из config файла роутера и писать их в ядро. Т.е. перетирать настройки, заданные через утилиту wg. На форуме были скрипты. Решение, конечно через Ж, но если очень хочется, то можно.

да, с одной стороны решение правильное, у нас нет проксирующей прослойки.
с другой привязывать скрипт к nwg1 ... а если он потом станет nwg2 или nwg0 - то конфиг будет привязываться не туда.
значит нужен четкий якорь, например endpoint = 127.0.0.1 который нужно парсить, чтобы узнать какой именно nwgX нужно менять.
притом менять не весь conf, а простой строкой:
wg set nwg<Х> peer <PublicKey> endpoint "[1234:1234::1234]:1234"
чтобы не ломать туннель если он будет изменен в GUI, включая порт.

попробую подумать как, одно-файловым скриптиком. 

Изменено Среда в 21:32 пользователем zubzer0

[zubzer0]

-del-

Изменено Четверг в 00:25 пользователем zubzer0