diff --git a/docs/wireguard/wireguard_iproute_openwrt.txt b/docs/wireguard/wireguard_iproute_openwrt.txt
index f9232f1..7ca61cd 100644
--- a/docs/wireguard/wireguard_iproute_openwrt.txt
+++ b/docs/wireguard/wireguard_iproute_openwrt.txt
@@ -230,7 +230,12 @@ config rule
    Но в случае с отдельной зоной можно настроить особые правила на подключения с vpn сервера в сторону клиента.
 *) Разрешение форвардинга между локалкой за роутером и wgvps.
 *) Разрешение принимать icmp от vpn сервера, включая пинги. ICMP жизненно важны для правильного функционирования ip сети !
-*) И обязательно проткнуть дырку в фаерволе, чтобы принимать пакеты wireguard со стороны инетовского ip vpn сервера.
+*) И желательно проткнуть дырку в фаерволе, чтобы принимать пакеты wireguard со стороны инетовского ip vpn сервера.
+   Конечно, оно скорее всего заработает и так, потому что первый пакет пойдет от клиента к серверу и тем самым создаст
+   запись в conntrack. Все дальнейшие пакеты в обе стороны подпадут под состояние ESTABLISHED и будут пропущены.
+   Запись будет поддерживаться за счет периодических запросов keep alive. Но если вы вдруг уберете keep alive или
+   выставите таймаут, превышающий udp таймаут в conntrack, то могут начаться ошибки, висы и переподключения.
+   Если же в фаерволе проткнута дырка, то пакеты от сервера не будут заблокированы ни при каких обстоятельствах.
    
 # /etc/init.d/firewall restart
 # ifup wgvps