Руководство
Серверы

Серверы

Раздел Серверы превращает роутер в WireGuard-сервер: к нему подключаются ваши устройства снаружи (телефон в поездке, ноутбук в кафе) и попадают в домашнюю сеть и/или выходят в интернет через домашнее подключение. awg-manager управляет здесь и штатным сервером Keenetic, и собственными серверами, созданными прямо из интерфейса. Раздел доступен на уровне использования Расширенный (см. Настройки — уровни использования).

Открыть раздел

В главном меню — пункт Серверы. Слева — список всех серверов с состоянием и счётчиком клиентов онлайн, справа — панель выбранного сервера: его параметры, настройки и таблица клиентов.

Страница Серверы

Сервер в списке может быть трёх типов (бейдж рядом с названием):

  • Встроенный — штатный «Wireguard VPN Server» Keenetic OS. awg-manager управляет им поверх NDMS: тумблер NAT, политика доступа, клиенты. Если настроен KeenDNS, под заголовком показывается доменное имя — его удобно использовать как Endpoint для клиентов.
  • Управляемый — сервер, созданный самим awg-manager (NDMS-интерфейсы Wireguard1, Wireguard2, …). Полный набор возможностей: режимы NAT, доступ в LAN, маршрутизация через sing-box, обфускация ASC.
  • Системный — уже существующий в системе WireGuard-интерфейс, отмеченный как сервер. Кнопкой Вернуть в туннели он убирается из этого раздела обратно.

Встроенный сервер

Создать сервер

Кнопка + Новый сервер внизу списка. В модальном окне сверху показывается внешний IP (WAN) — по нему клиенты будут подключаться. Поля: название, IP-адрес сервера в VPN-сети (предлагается свободный), маска (CIDR), порт (предлагается первый свободный начиная с 51820), Endpoint (если не указан — используется WAN IP; можно вписать доменное имя, например KeenDNS), MTU. Тумблер Генерировать ASC-параметры сразу включает обфускацию AmneziaWG со случайными параметрами — иначе её можно настроить позже на странице обфускации.

Создание WireGuard сервера

Кнопка Настройки на панели сервера открывает те же поля для редактирования, Рестарт перезапускает интерфейс, Удалить (с подтверждением вторым кликом) удаляет сервер вместе со всеми клиентами.

Клиенты

Таблица внизу панели: имя, IP в VPN-сети, endpoint и трафик/handshake (для подключённых — статус online). Тумблер слева временно отключает клиента, не удаляя его. Кнопка скачивания выдаёт готовый .conf для приложений WireGuard/AmneziaWG, там же доступен QR-код для импорта с телефона (для очень больших конфигов с ASC-параметрами QR может не сгенерироваться — тогда используйте файл).

Добавить клиента — имя/описание, адрес в VPN-сети (предлагается следующий свободный) и DNS для клиента: либо публичные серверы (по умолчанию 1.1.1.1, 8.8.8.8), либо тумблер DNS роутера — тогда клиент будет резолвить через роутер и попадать под локальные DNS-правила.

Добавление клиента

NAT и доступ в сеть

У управляемого сервера выпадающий список NAT определяет, как клиент виден из сетей за роутером:

  • Полный NAT — клиент выходит в интернет с внешним IP роутера, а в локальной сети виден не как отдельное устройство, а как сам роутер. Самый совместимый режим, включён по умолчанию.
  • NAT только для интернета — в интернет клиент выходит с внешним IP, но в LAN виден со своим VPN-адресом: к нему можно обращаться напрямую, как к обычному устройству сети.
  • Без NAT — подмены адреса нет вовсе: клиент виден со своим VPN-адресом, выхода в интернет у него нет (если трафик не заворачивается через sing-box).

У встроенного сервера вместо режимов — простой тумблер NAT («доступ клиентов в интернет через NAT роутера»).

Остальные параметры панели:

  • Доступ в LAN — какие сегменты локальной сети (Home, Guest, …) доступны клиентам этого сервера.
  • Маршрутизация через sing-box — заворачивать интернет-трафик клиентов сервера в sing-box: подключившийся снаружи клиент будет ходить в интернет по правилам sing-box-маршрутизатора (например, через внешний прокси). Режим NAT при этом влияет только на видимость в LAN.
  • Политика доступаполитика NDMS, регулирующая выход в интернет; применяется ко всем клиентам сервера сразу.

Обфускация (ASC)

Кнопка Обфускация открывает страницу ASC-параметров сервера: Junk-пакеты (Jc / Jmin / Jmax), Padding (S1–S2) и подмена заголовков (H1–H4); на прошивках Keenetic OS 5.1+ доступен расширенный набор (S3–S4, I1–I5). Кнопка Сгенерировать параметры заполняет всё случайными значениями. После изменения ASC уже выданные клиентские конфиги перестают подходить — скачайте клиентам новые.

Обфускация ASC сервера

Резервная копия

Кнопки Экспорт / Импорт в шапке страницы работают с управляемыми серверами. Экспорт скачивает JSON со всеми серверами, клиентами и их приватными ключами — храните файл в надёжном месте. Импорт восстанавливает серверы из такого файла, например после сброса роутера.

Если awg-manager обнаруживает, что сервер есть в его конфигурации, но пропал из NDMS (типично после отката прошивки или сброса настроек), сверху появляется баннер «Обнаружено N серверов в конфигурации, отсутствующих в NDMS» с кнопкой Восстановить — серверы пересоздаются со старыми ключами, и клиентские конфиги продолжают работать.

Что дальше

Подключение конкретных устройств локальной сети к исходящим туннелям — это другой раздел: VPN для устройств. Ограничение доступа клиентов сервера — Политики доступа. Если клиентам сервера нужен интернет через внешний прокси — Sing-box Router.