Какие модели Keenetic поддерживают XKeen?

Все модели с MIPS/ARM-архитектурой и поддержкой Entware: Hero, Giga, Ultra, Peak, Titan, Hopper, Viva, Extra. Не работает на совсем слабых вроде Start, нужен минимум 128 МБ RAM и USB-порт для флешки.

Нужна ли флешка для XKeen?

Да, обязательна. Entware и Xray устанавливаются на внешний USB-накопитель, потому что во встроенной памяти Keenetic их разместить негде. Флешка должна быть отформатирована в Ext4, минимум 4 ГБ, желательно USB 3.0.

Чем XKeen отличается от Keenetic VPN-клиента?

Встроенный клиент Keenetic поддерживает OpenVPN/IKEv2/WireGuard, но не Xray с VLESS Reality. XKeen добавляет именно современный Xray-стек, который сложнее детектировать DPI и который быстрее работает на нестабильных каналах.

Сильно ли нагружает роутер Xray?

На Keenetic Giga (KN-1011) с VLESS Reality стабильно 200–400 Мбит/с при загрузке CPU 40–60%. На младших моделях типа Extra — до 80 Мбит/с. Для офиса 10–20 пользователей с обычным веб-сёрфингом хватает с запасом.

Keenetic · Xray 8 февраля 2026 · 16 мин чтения

XKeen на Keenetic: установка Xray-роутинга с VLESS Reality на роутер

Меня зовут Семёнов Евгений Сергеевич, директор АйТи Фреш. В 2024–2026 годах мы с командой перевели на XKeen больше 60 офисных роутеров наших корпоративных клиентов. Keenetic — самый массовый брендовый роутер в московских офисах, а XKeen превращает его из обычной точки доступа в умный шлюз с селективным роутингом через Xray. Заблокированные домены автоматически уходят в тоннель к VLESS Reality серверу, остальной трафик идёт напрямую. Пользователи ничего не настраивают, не ставят VPN-клиенты на компьютеры, не нажимают кнопки «включить». В этой статье — пошаговая установка и настройка XKeen для типового офиса.

Что такое XKeen и зачем он нужен

XKeen — это open-source проект, который портирует Xray-core (популярный форк v2ray) на роутеры Keenetic. Устанавливается через Entware — пакетный менеджер для встраиваемых систем на базе OpenWrt. Ключевые фишки:

Xray с VLESS Reality, VMess, Trojan, Shadowsocks — все современные протоколы, включая TLS-маскировку.
Селективный роутинг по geosite-спискам — только заблокированные домены идут через прокси, YouTube работает напрямую, если нужно.
Автообновление списков — base (RKN-блоки), youtube, discord обновляются каждые сутки.
Tproxy/redirect-режим — никаких настроек на клиентах, роутер прозрачно перехватывает трафик.
Web-интерфейс конфига — не нужно руками править JSON, есть UI.

Требования к роутеру

Модель	RAM	CPU	Ожидаемая скорость VLESS
Keenetic Extra (KN-1713)	128 МБ	MT7621	60–80 Мбит/с
Keenetic Hero 4G+ (KN-2311)	256 МБ	MT7621	150–200 Мбит/с
Keenetic Giga (KN-1011)	256 МБ	MT7621	200–400 Мбит/с
Keenetic Ultra (KN-1811)	512 МБ	Quad-core	500–700 Мбит/с
Keenetic Peak (KN-2710)	512 МБ	Quad-core	600+ Мбит/с

Для офиса я обычно ставлю Giga или Ultra. На Peak с ARM-ядром легко выжимаем гигабит в тоннель, если канал позволяет. В нашем дата-центре МТС основной VLESS-сервер на Dell Xeon Platinum 8280 с 40G Mellanox-сетевой картой — на нём 40 корпоративных Keenetic-клиентов живут спокойно.

Шаг 1: подготовка роутера и флешки

Первое, что делаем — устанавливаем последнюю прошивку KeeneticOS 4.x. Это через web-интерфейс 192.168.1.1 → Настройки → Обновления. Дальше — подключаем USB-флешку к роутеру и форматируем её в Ext4 через web-UI:

Приложения → USB-накопители → выбираем флешку.
Форматировать → Ext4 → ввод имени «OPKG» и подтверждение.
Настройки → Общие настройки → Компоненты ОС → ищем «Наборы пакетов OPKG» и устанавливаем.
Перезагружаем роутер, SSH включаем в «Параметры системы» → «Опции протокола» → галка «SSH».

Шаг 2: установка Entware

Подключаемся по SSH под учётной записью admin с паролем от web-интерфейса:

ssh admin@192.168.1.1

# Внутри роутера - попадаем в CLI Keenetic
opkg update
opkg install entware-opt
exit

Entware устанавливается на флешку в /opt. После этого заново заходим по SSH — теперь доступны полноценный bash, opkg, cron.

Шаг 3: установка XKeen

XKeen ставится одной командой из своего репозитория:

curl -fL https://raw.githubusercontent.com/Skrill0/XKeen/main/install.sh | sh

Скрипт выкачивает xray-core под архитектуру роутера, ставит в /opt/sbin/xkeen, создаёт конфиги в /opt/etc/xray, добавляет init-скрипт. После установки запускаем:

xkeen -start
xkeen -status

Если всё ок, видим «Xray is running» и пустую статистику соединений.

Шаг 4: конфиг подключения к VLESS Reality

Редактируем /opt/etc/xray/configs/05_outbounds.json и прописываем свой сервер:

{
  "outbounds": [
    {
      "tag": "vless-reality",
      "protocol": "vless",
      "settings": {
        "vnext": [
          {
            "address": "vpn.example.com",
            "port": 443,
            "users": [
              {
                "id": "UUID-ВАШЕГО-КЛИЕНТА",
                "flow": "xtls-rprx-vision",
                "encryption": "none"
              }
            ]
          }
        ]
      },
      "streamSettings": {
        "network": "tcp",
        "security": "reality",
        "realitySettings": {
          "fingerprint": "chrome",
          "serverName": "www.cloudflare.com",
          "publicKey": "ВАШ_PUBLIC_KEY_СЕРВЕРА",
          "shortId": "abcd1234",
          "spiderX": "/"
        }
      }
    },
    {
      "tag": "direct",
      "protocol": "freedom"
    }
  ]
}

UUID, publicKey и shortId берём из конфига своего VLESS-сервера (3x-ui, Marzban, Sing-box — неважно, формат одинаковый). Перезапускаем:

xkeen -restart
xkeen -log  # Проверяем, что handshake прошёл без ошибок

Шаг 5: правила роутинга

Самое интересное. В /opt/etc/xray/configs/08_routing.json определяем, какой трафик идёт в тоннель, а какой напрямую:

{
  "routing": {
    "domainStrategy": "IPIfNonMatch",
    "rules": [
      {
        "type": "field",
        "outboundTag": "vless-reality",
        "domain": [
          "geosite:youtube", "geosite:discord",
          "geosite:meta", "geosite:openai",
          "geosite:github", "geosite:twitter"
        ]
      },
      {
        "type": "field",
        "outboundTag": "vless-reality",
        "domain": ["ext:base.srs:geosite-all"]
      },
      {
        "type": "field",
        "outboundTag": "direct",
        "network": "tcp,udp"
      }
    ]
  }
}

Первое правило — заворачивает в тоннель конкретные сервисы. Второе — использует «base» список заблокированных РКН доменов, который XKeen обновляет автоматически. Всё остальное — напрямую.

Шаг 6: автообновление списков

XKeen из коробки умеет обновлять geosite-файлы. Включаем cron:

xkeen -update-geodata
crontab -e

# Добавляем строку
30 4 * * * /opt/sbin/xkeen -update-geodata >> /opt/var/log/xkeen-update.log 2>&1

Теперь каждое утро в 4:30 роутер тихо обновляет списки и перечитывает конфиг Xray без потери соединений.

Реальный кейс: офис стартапа на 18 мест

В январе 2026 к нам обратился стартап-клиент — разработчики ПО, 18 сотрудников, офис на Арбате. Нужно было обеспечить доступ к GitHub, Discord, OpenAI API и Docker Hub для всего офиса без установки VPN-клиентов на каждую машину. За один вечер мы поставили Keenetic Giga вместо их старого TP-Link, за час накатили XKeen, настроили VLESS Reality на наш сервер в дата-центре МТС. В правила роутинга добавили только те домены, которые им реально нужны (youtube не заворачивали — работает напрямую). На следующее утро сотрудники пришли и ничего не заметили — просто GitHub начал открываться без VPN. Скорость клонирования репозиториев — 180 Мбит/с. Стоимость работ — 22 000 руб. + железо клиента. У нас на практике это самое дешёвое решение для офиса до 25 человек.

Типичные ошибки установки

Флешка в NTFS/FAT32. Entware требует Ext4, иначе не работают симлинки и права доступа. Форматируем обязательно.
Не включили пакеты OPKG. Без компонента «Наборы пакетов OPKG» команда opkg недоступна.
Неправильный publicKey. Xray молча не поднимает тоннель, в логах «handshake failed». Проверяем ключ побайтно.
Забыли про fingerprint. Reality требует указать fingerprint браузера (chrome/firefox/safari) — без него DPI может детектировать.
Старая KeeneticOS. На прошивках 3.x многие пакеты Entware не работают. Обязательно обновляемся до 4.x.
Флешка USB 2.0 на младшей модели. Xray пишет логи — медленная флешка даёт просадку по скорости. USB 3.0 решает.

Мониторинг и обслуживание

Контролировать работу XKeen удобно через стандартные команды:

xkeen -status          # Состояние демона
xkeen -log             # Живой лог
xkeen -restart         # Перезапуск
xkeen -update-core     # Обновление Xray-core
xkeen -update-geodata  # Обновление списков доменов
xkeen -disable         # Отключить автозапуск

Раз в пару месяцев я обновляю xray-core и проверяю логи на предмет аномалий. Если сервер переехал — правлю IP/UUID в 05_outbounds.json и рестартую.

Настроим XKeen на ваш Keenetic за 2 часа

Я лично настраиваю XKeen в офисах наших клиентов вместе с VLESS-сервером в дата-центре МТС. Full stack: выбор модели роутера, VLESS Reality-сервер на Xeon Platinum 8280 с 40G Mellanox, правила роутинга под ваши нужды, мониторинг и поддержка. Для офиса 10–30 человек — 2 часа работы, сервер в подарок при годовом абонементе на администрирование.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы по XKeen

Что такое XKeen?: XKeen — это готовый пакет для роутеров Keenetic, который устанавливает Xray-core поверх Entware и обеспечивает селективный роутинг: заблокированные домены идут через VLESS/VMess/Trojan-сервер, остальное — напрямую.
Какие модели Keenetic поддерживают XKeen?: Все модели с MIPS/ARM-архитектурой и поддержкой Entware: Hero, Giga, Ultra, Peak, Titan, Hopper, Viva, Extra. Не работает на совсем слабых вроде Start, нужен минимум 128 МБ RAM и USB-порт для флешки.
Нужна ли флешка для XKeen?: Да, обязательна. Entware и Xray устанавливаются на внешний USB-накопитель, потому что во встроенной памяти Keenetic их разместить негде. Флешка должна быть отформатирована в Ext4, минимум 4 ГБ, желательно USB 3.0.
Чем XKeen отличается от Keenetic VPN-клиента?: Встроенный клиент Keenetic поддерживает OpenVPN/IKEv2/WireGuard, но не Xray с VLESS Reality. XKeen добавляет именно современный Xray-стек, который сложнее детектировать DPI и который быстрее работает на нестабильных каналах.
Сильно ли нагружает роутер Xray?: На Keenetic Giga (KN-1011) с VLESS Reality стабильно 200–400 Мбит/с при загрузке CPU 40–60%. На младших моделях типа Extra — до 80 Мбит/с. Для офиса 10–20 пользователей с обычным веб-сёрфингом хватает с запасом.