Как сделать WireGuard-клиент для Android-планшета и дать ему доступ к домашним серверам

Когда VPN-сервер на Keenetic уже поднят, следующий шаг очевиден: подключить планшет так, чтобы с него можно было открыть Proxmox, Grafana, AdGuard, Vaultwarden и остальные внутренние сервисы.

Я настраивал это для Android-планшета и опирался на обычный клиент WireGuard.

Схема клиента

У меня клиент-планшет получает адрес:

• 10.66.66.2/32

Сервер WireGuard на роутере:

• 10.66.66.1

Через туннель нужны такие сети:

• 192.168.1.0/24
• 10.22.2.0/24
• 10.22.3.0/24
• 10.66.66.0/24

Рабочий клиентский конфиг

Ниже пример конфига в том виде, как его удобно импортировать в приложение WireGuard на Android. Приватный ключ клиента здесь нужно подставлять свой.

[Interface]
PrivateKey = 
Address = 10.66.66.2/32
DNS = 10.22.2.11

[Peer]
PublicKey = 
Endpoint = :51820
AllowedIPs = 192.168.1.0/24, 10.22.2.0/24, 10.22.3.0/24, 10.66.66.0/24
PersistentKeepalive = 25

Смысл параметров:

• Address — адрес планшета внутри VPN
• DNS — внутренний DNS, если нужны домашние доменные имена
• Endpoint — внешний адрес роутера
• AllowedIPs — какие сети должны ходить через VPN
• PersistentKeepalive = 25 — полезно для мобильной сети и NAT

Зачем тут внутренний DNS

Если хочешь на планшете открывать не только IP, но и внутренние имена, клиенту нужно выдать DNS-сервер из домашней инфраструктуры.

В моём случае это:

• 10.22.2.11 (AdGuard Home)

Тогда планшет может резолвить домены вроде:

• grafana.scam-dev.ru
• ad.scam-dev.ru
• openclaw.scam-dev.ru

Но важно помнить: сам DNS не поможет, если между WireGuard и нужными сегментами нет firewall rules.

Как проверить, что планшет действительно подключился

На практике я проверяю четыре простые вещи:

1. Поднялся ли интерфейс tun0
2. Пингуется ли 10.66.66.1
3. Пингуется ли 192.168.1.16
4. Открываются ли внутренние сервисы по IP или имени

Если первые два пункта работают, сам туннель уже жив.

Где обычно ломается схема

В реальной жизни проблемы почти всегда не в самом WireGuard, а в одном из таких мест:

• неверный Endpoint
• не тот публичный ключ сервера
• забыли PersistentKeepalive
• неверный AllowedIPs
• не настроены правила между Wireguard0 и private-сегментами
• клиент получил VPN, но не имеет доступа к нужным сетям
• Android использует не тот DNS или его надо прописать явно

То есть если на планшете поднялся tun0, но Proxmox не открывается, не надо сразу обвинять WireGuard. Чаще всего надо смотреть:

• маршруты
• firewall на роутере
• сегментацию сети

Что я бы советовал для администрирования

Для планшета удобнее всего использовать такую модель:

• VPN поднимается на роутере
• через туннель доступны все нужные внутренние сегменты
• админки открываются через браузер
• SSH идёт через отдельный клиент
• пароли живут в Vaultwarden или Bitwarden

Так получается нормальный мобильный админский набор, а не случайный доступ «по открытым наружу портам».

Практический итог

Если хочешь администрировать домашний стек с Android-планшета, достаточно:

1. поднять WireGuard на Keenetic
2. выдать планшету отдельный клиентский ключ
3. задать ему адрес в 10.66.66.0/24
4. включить маршруты до нужных локальных сетей
5. при необходимости прописать внутренний DNS
6. не забыть про firewall rules между Wireguard0 и private-сегментами

После этого планшет становится полноценной админской точкой доступа.

Источники

• Подключение по WireGuard VPN из Android: https://help.keenetic.com/hc/ru/articles/360010304780
• WireGuard VPN на Keenetic: https://help.keenetic.com/hc/ru/articles/360010592379-WireGuard-VPN