Управление туннелями
На канале разработки (develop) появился режим дашборда — все туннели (AWG, sing-box и подписки) на одной странице вместо вкладок. Включается в Настройки → Внешний вид → Режим дашборда (доступен с уровня Расширенный). Что даёт:
- Общая липкая панель: поиск по всем туннелям сразу, единая кнопка экспорта и меню создания (AmneziaWG туннель / Один сервер / Группа серверов / Подписка по URL).
- Сводный блок: активные/всего туннели по типам, пиковая скорость, суммарный трафик и туннель-лидер по трафику.
- Два варианта расположения: Сплошной (один общий список; при выборе порядка «Вручную» карточки перетаскиваются за «ручку» в свой порядок) и Разделы (секции AWG → Sing-box → Подписки, либо группировка по тегам).
- Пользовательские теги на карточках: в режиме группировки по тегам теги добавляются кнопкой «+», клик по тегу фильтрует дашборд.
Эта страница описывает AmneziaWG-туннели. Для туннелей sing-box (VLESS / Trojan / Shadowsocks / Hysteria2 / NaiveProxy / Mieru) — отдельный раздел Sing-box.
Карточка туннеля
Карточка показывает:
- Имя и статус — цветная рамка подсказывает текущее состояние (зелёная — работает, красная — остановлен, жёлтая — переходное состояние, серая — выключен)
- Тумблер вкл/выкл — быстрый старт и остановка
- Сервер и порт — с кнопкой “показать” (по умолчанию скрыты для приватности)
- IPv4 / IPv6 — адрес интерфейса туннеля
- Подключение (ISP) — через какой WAN роутера работает туннель
- Uptime и handshake — при запущенном туннеле
- Пинг — текущая задержка по данным мониторинга, рядом с индикатором состояния

Статусы (LED индикатор)
Цветной индикатор на карточке показывает текущее состояние туннеля одним взглядом:
| Цвет | Состояние | Подпись в UI |
|---|---|---|
| Зелёный | Работает штатно, связность есть | — |
| Оранжевый | Работает, но есть проблемы со связностью (мониторинг восстанавливает) или сломан | Восстановление (попытка N) / Сломан |
| Жёлтый (пульсирует) | Переходное состояние — запускается или останавливается | Запуск... / Ожидает запуска / Остановка... |
| Серый | Выключен пользователем, отключён в настройках, или ещё не создан | — |
Для жёлтых и оранжевых состояний awg-manager выводит короткую подпись под индикатором. Для зелёного и серого — индикатор говорит сам за себя.
График трафика
Если туннель запущен, под действиями появляется блок Трафик — разворачивается кликом. Показывает скорости RX / TX в реальном времени с выбором периода (минута, час, сутки).
Действия на карточке
Внизу карточки три кнопки:
- Изменить → страница редактирования (см. ниже)
- Тест → страница per-tunnel тестов (соединение, IP, скорость)
- Удалить → подтверждение → туннель полностью удаляется (интерфейс, конфиг, все связанные правила маршрутизации)
Редактирование туннеля
Кнопка Изменить открывает страницу редактирования с четырьмя вкладками. Вверху страницы — кнопки:
- Заменить — заменить конфигурацию (см. ниже)
- Скачать — экспортировать текущий
.conf(например, чтобы импортировать на другом клиенте) - Сохранить — сохранить изменения без перезапуска
- Сохранить и запустить (для работающего туннеля — и перезапустить) — сохранить и сразу применить
Вкладка “Основное”

- Название — произвольная метка для вашего удобства
- Интерфейс [Interface]:
- IPv4 / IPv6 адрес (с маской) — адрес туннеля на стороне клиента
- MTU — размер пакета (по умолчанию 1420 для WireGuard)
- DNS — DNS-серверы через запятую, применяются на роутере при старте
- Сервер [Peer]:
- Публичный ключ сервера (read-only)
- Endpoint —
host:portсервера - AllowedIPs — какие подсети маршрутизируются в туннель
- Keepalive — интервал в секундах для поддержания соединения за NAT
Для туннеля в статусе running в режиме kernel адрес интерфейса нельзя изменить — остановите туннель, внесите правку, запустите заново.
Вкладка “Обфускация”
Расширенные параметры AmneziaWG, сгруппированы по функции:

- Junk пакеты (
Jc,Jmin,Jmax) — фейковые пакеты перед handshake, сбивают анализ трафика.Jc— количество пакетов,Jmin/Jmax— диапазон размера. - Padding (
S1–S4) — дополнительные байты в handshake-пакетах. Меняют размер WireGuard-пакетов, чтобы они не совпадали со стандартными сигнатурами. - Заголовки (
H1–H4) — подмена типов пакетов WireGuard на произвольные числовые значения. - Signature пакеты (
I1–I5) — пять initiation-пакетов, маскирующих соединение под QUIC / DTLS / STUN / DNS (AmneziaWG 1.5).
С настройками сервера обязательно должны совпадать только:
- Padding (
S1–S4) — меняют размер handshake-пакетов, обе стороны должны генерировать пакеты одинаковой длины - Заголовки (
H1–H4) — стороны должны одинаково интерпретировать типы пакетов
Junk пакеты (Jc/Jmin/Jmax) и Signature пакеты (I1–I5) на стороне клиента независимы от сервера — меняйте их свободно под свои нужды (маскировка под разные протоколы, количество noise-пакетов).
Вкладка “Маршрутизация”

- Подключение (ISP) — к серверу VPN роутер будет подключаться:
- Автоматически (по умолчанию) — через основной интернет-канал
- Через конкретный WAN-интерфейс из списка (полезно при нескольких провайдерах / LTE-резерве)
- Через другой туннель — каскад: соединение с сервером этого туннеля само пойдёт внутри другого туннеля
- Переключатель Показать все интерфейсы показывает также внутренние интерфейсы роутера — обычно не нужно
- Маршрут по умолчанию (NDMS Default Route) — регистрирует туннель среди интернет-выходов NDMS (
ip route defaultс метрикой): только с этой записью туннель участвует в политиках доступа и может претендовать на роль основного выхода. В большинстве случаев тумблер должен быть включён.
Вкладка “Анализ конфига”
Встроенный анализатор конфигурации: показывает текущий .conf туннеля (или любой вставленный текст), определяет версию протокола (WireGuard / AWG 1.0 / 1.5 / 2.0), выставляет балл защиты и подсказывает, как усилить обфускацию (например, добавить I1 для мимикрии под живой протокол). Анализ выполняется только в браузере — конфиг никуда не отправляется. Тот же инструмент доступен в Инструментах.

Замена конфигурации
Если провайдер прислал обновлённый .conf (сменились ключи, endpoint, обфускация), не обязательно удалять туннель и создавать заново. Кнопка Заменить на странице редактирования открывает модалку, куда можно подать новый конфиг тремя способами (те же, что при создании): Файл / Вставить текст / Ссылка.

Туннель будет остановлен, переконфигурирован и запущен автоматически. Все правила маршрутизации (DNS-правила, политики доступа) сохраняются — меняется только конфигурация WireGuard.
Удаление
Кнопка Удалить на карточке → подтверждение. Удаление необратимо и включает:
- Остановку туннеля, если он запущен
- Удаление интерфейса с роутера
- Удаление конфига из хранилища awg-manager
- Удаление всех связанных правил DNS-маршрутизации
- Удаление связанных политик доступа (устройств, привязанных к этому туннелю)
- На Keenetic OS 4.x — также удаление связанных IP-маршрутов
Все остальные сущности, ссылающиеся на удалённый туннель — IP-маршруты (на OS 5.x), client-routes (VPN для устройств), правила HR Neo и правила Sing-box Router — остаются как orphan и требуют ручной очистки в соответствующих разделах.
Если туннель нужно просто временно отключить — используйте тумблер на карточке, не удаление.
Системные туннели
Туннели, созданные через веб-интерфейс Keenetic (NativeWG), тоже видны в списке — с бейджем Системный. awg-manager ими не управляет: запуск, адреса и ключи остаются за веб-интерфейсом роутера. Единственное, что можно редактировать на странице системного туннеля, — параметры обфускации ASC (AmneziaWG поверх NativeWG): Junk, Padding, заголовки, на прошивках 5.1+ — расширенный набор. Это позволяет включить обфускацию у штатного туннеля Keenetic, не пересоздавая его в awg-manager.
Что дальше?
- DNS-маршрутизация — маршруты для конкретных сайтов через этот туннель
- Мониторинг — автоматический перезапуск при падении связности
- Политики доступа — привязать устройства к туннелю