Решение проблем

Список частых проблем и способов их диагностики. Для типовых вопросов “как это работает” см. FAQ.

Установка

“Не удалось определить архитектуру”

Сообщение установщика install.sh. Означает, что Entware не найден или не работает.

  • Установите Entware по официальному гайду Keenetic
  • Проверьте: opkg print-architecture | grep _kn — должна вернуть одну из поддерживаемых (mipsel-3.4, mips-3.4, aarch64-3.10)

Установщик не скачивается

curl: (6) Could not resolve host: raw.githubusercontent.com или аналогичное:

  • Проверьте, что роутер имеет интернет-доступ (пинг на 8.8.8.8)
  • Проверьте DNS — иногда помогает echo "nameserver 1.1.1.1" > /etc/resolv.conf до повторного запуска

Форматирование накопителя (Entware)

Если Entware не ставится с ошибкой о занятом накопителе, бывает нужно его очистить. Только для встроенной памяти роутера.

  1. Откройте CLI в браузере: http://192.168.1.1/a
  2. Отключите все активные сессии Telnet / SSH
  3. Выполните по одной:
opkg no disk
no system mount storage:
erase storage:
system mount storage:

После этого повторите установку Entware.

Connection refused при заходе в UI

  • Сервис ещё не поднялся — подождите 10–20 секунд
  • Узнать актуальный порт: cat /opt/etc/awg-manager/settings.json, поле port
  • Проверить, что сервис запущен: /opt/etc/init.d/S99awg-manager status

Туннели

Статус broken

Туннель поднялся, но awg-manager обнаружил проблему (упал процесс, не установилась связь и т.п.). Цвет LED — оранжевый.

Диагностика:

  1. Журнал туннеля — страница Диагностика → вкладка Журнал, фильтр по имени туннеля
  2. Проверки туннеля — страница Диагностика → вкладка Тесты → секция per-tunnel. Запустите Проверка соединения
  3. Конфигурация — откройте Изменить на карточке, проверьте ключи / endpoint / параметры обфускации

Туннель running, но трафик не идёт

  • Откройте Диагностика → Тесты, запустите Проверку IP. Если IP не меняется при включённом туннеле — трафик не уходит через него
  • Параметры обфускации (вкладка Обфускация в редакторе): S1-S4 и H1-H4 должны совпадать с сервером, иначе пакеты отправляются, но сервер их отбрасывает (см. Управление туннелями)
  • AllowedIPs — если не 0.0.0.0/0, убедитесь что нужные подсети перечислены
  • Маршрут по умолчанию — в редакторе вкладка Маршрутизация. Если выключен, через туннель идёт только трафик, совпадающий с DNS- или IP-правилами
  • Устройство использует свой DNS — при DoH/DoT в браузере DNS-правила не сработают (см. DNS-маршрутизация — условия)

Связь пропадает через несколько минут

Типично для NAT-провайдеров. Решение — периодический keepalive:

  • В поле Keepalive (редактор → вкладка Основное → секция Сервер) выставьте 25 секунд
  • Если не помогает, включите Мониторинг — туннель будет авто-перезапускаться при падении связности

“Адрес нельзя изменить для запущенного туннеля в режиме kernel”

Текст в редакторе. Остановите туннель (тумблер в карточке), внесите правку, запустите снова.

Маршрутизация

DNS-правила не срабатывают

Проверьте в порядке:

  1. Устройство в политике “Политика по умолчанию” — веб-интерфейс роутера → Приоритеты подключений. Если устройство в другой политике — DNS-маршруты на него не распространяются
  2. В качестве DNS на клиенте указан IP роутера — не 8.8.8.8, не 1.1.1.1, не DoH/DoT в браузере
  3. Туннель запущен — если туннель в stopped или broken, NDMS не может применить маршрут
  4. Правило включено (тумблер на карточке правила)
  5. Keenetic OS версии 5.x — на OS 4.x вкладки NDMS нет, используйте Маршрутизацию по IP

Подробнее — DNS-маршрутизация — обязательные условия.

Не работают российские сервисы (nalog.ru, умный дом и т.п.)

Ряд сервисов для пользователей в РФ (личный кабинет ФНС, Polaris smart-home и другие) перестают работать, когда роутер использует гео-DNS (Google 8.8.8.8, Cloudflare 1.1.1.1 и т.п.). Эти сервисы отдают IP в зависимости от страны запрашивающего DNS — запросы из зарубежных резолверов получают “не тот” IP.

Решение — для проблемного домена принудительно использовать DNS без гео-проверки (Yandex 77.88.8.8, NextDNS, DNS.SB и др.).

Через Keenetic Web UI: Интернет фильтры → для конкретного устройства поставить профиль Yandex.DNS — Базовый.

Или через CLI роутера (http://my.keenetic.net/a):

ip name-server 77.88.8.8 lkfl2.nalog.ru
system configuration save

(Замените домен на нужный.)

Через Entware (SSH):

ndmc -c ip name-server 77.88.8.8 lkfl2.nalog.ru
ndmc -c system configuration save

HR Neo — тег отключён (oversized)

В разделе HR NEO → служебный блок Отключённые теги. Возникает, когда количество записей в теге превысило лимит maxelem ipset.

Решения:

  • Увеличить maxelem в Настройках демона HR Neo (осторожно — растёт потребление памяти)
  • Использовать более узкий тег (например, вместо geoip:RUgeoip:RU_MOSCOW если есть)
  • Отказаться от этого тега, перейти на ручной список

VPN для устройств не применяется

  • Статический IP — проверьте, что устройству назначен статический IP в DHCP-резервациях роутера. Правило привязано к IP; при смене IP (новая аренда) оно теряет цель
  • Туннель запущен — если туннель упал и выбран fallback Блокировать (Kill Switch), трафик устройства блокируется (это ожидаемо)

Мониторинг

“Компонент pingcheck не установлен”

Предупреждение в разделе Мониторинг. Означает, что в прошивке Keenetic отсутствует компонент ping-check.

  • Установите: веб-интерфейс роутера → УправлениеНастройки системыИзменить набор компонентов → включить ping-check
  • Это нужно только для NativeWG-туннелей. Kernel-туннели используют собственный механизм awg-manager и работают без компонента

Туннель постоянно перезапускается

  • Слишком строгий порог сбоев — поставьте больше Максимум сбоев / Порог ошибок, чтобы кратковременные провалы не приводили к рестарту
  • Проверка через заблокированную цель — если ICMP 8.8.8.8 блокируется сервером VPN, выберите другую цель или метод (например, TLS 1.1.1.1:443)
  • Сам туннель нестабилен — смотрите журнал туннеля и исправьте корневую причину

UI и вход

Не помню, на каком порту awg-manager

В SSH на роутере:

cat /opt/etc/awg-manager/settings.json

Поле port в JSON.

Ошибки авторизации

По умолчанию UI открыт без авторизации. Если включили в Настройках:

  • Используются учётные данные администратора Keenetic — те же, что для входа в http://<ip-роутера> (80 порт)
  • Если не подходят — сначала проверьте, что можете войти в веб-интерфейс роутера напрямую

“Не удалось подключиться” в веб-терминале awg-manager

Встроенный терминал awg-manager использует SSH к роутеру:

  • Убедитесь, что SSH включён в настройках Keenetic
  • Логин = root, пароль = пароль администратора Keenetic

Как собрать диагностическую информацию для issue

При открытии issue на GitHub полезно приложить:

  1. Версия awg-manager — вверху UI (v2.x.x)
  2. Модель Keenetic + версия OS — Системный монитор в веб-интерфейсе роутера
  3. Архитектура — opkg print-architecture
  4. Последние 100 строк журнала — раздел Диагностика → вкладка Журнал → кнопка Копировать
  5. Шаги воспроизведения
  6. Содержимое /opt/etc/awg-manager/storage.json (уберите приватные ключи перед отправкой)

Что дальше?

  • FAQ — ответы на частые вопросы без глубокого разбора
  • GitHub Issues — сообщить о баге или предложить фичу