Разработчики не могли зайти на GitHub: настраиваем XKeen на Keenetic для обхода блокировок

XKeen решает несколько критически важных задач:

• Автоматическое обновление баз маршрутизации — GeoIP и GeoSite базы из AntiZapret, Antifilter и v2fly обновляются автоматически, поэтому список заблокированных ресурсов всегда актуален.
• Прозрачная маршрутизация — устройства в сети не знают о существовании VPN. Трафик к заблокированным ресурсам автоматически направляется через зашифрованный туннель, а остальной трафик идет напрямую.
• Поддержка современных протоколов — VLESS с Reality, XTLS-RPRX-Vision и другие протоколы Xray, которые практически невозможно обнаружить и заблокировать.
• Гибкая маршрутизация — можно настроить правила по доменам, IP-адресам, портам и протоколам. Например, направлять через VPN только GitHub и Docker Hub, а все остальное — напрямую.
• Политики доступа — через встроенный механизм Keenetic можно выбрать, какие устройства будут использовать XKeen, а какие — обычное подключение.

XKeen работает на уровне ядра роутера, перехватывая сетевой трафик через Netfilter (iptables/nftables). Когда устройство в сети пытается обратиться к какому-либо ресурсу, происходит следующее:

1. DNS-запрос обрабатывается роутером (через DNS-over-TLS или DNS-over-HTTPS для защиты от подмены).
2. Xray-ядро анализирует домен или IP-адрес назначения, сверяя его с базами GeoSite и GeoIP.
3. Если ресурс есть в списках маршрутизации — трафик направляется через VPN-туннель (outbound vless-reality).
4. Если ресурс не найден в списках — трафик идет напрямую (outbound direct).
5. Нежелательный трафик (например, телеметрия или определенные порты) может быть заблокирован (outbound block).

Вся эта маршрутизация происходит прозрачно — пользователь просто открывает нужный сайт, а роутер сам решает, как доставить трафик.

XKeen и все его компоненты устанавливаются в систему пакетов OPKG, которая работает с USB-накопителя. Подключите USB-флешку (рекомендуется от 1 ГБ) или внешний диск к USB-порту роутера. Накопитель будет отформатирован, поэтому сохраните с него важные данные заранее.

Зайдите в веб-интерфейс роутера по адресу http://192.168.1.1 и перейдите в раздел Управление → Параметры системы → Изменить набор компонентов. Установите следующие компоненты:

• Интерфейс USB — для работы с USB-накопителем
• Файловая система Ext — для форматирования накопителя в ext4
• Общий доступ к файлам (SMB) — для доступа к файлам на накопителе
• Поддержка открытых пакетов (OPKG) — менеджер пакетов, через который устанавливается XKeen
• DNS-over-TLS — шифрованный DNS для защиты от перехвата
• DNS-over-HTTPS — альтернативный шифрованный DNS
• Протокол IPv6 — для корректной работы с IPv6-ресурсами
• Модули ядра Netfilter — необходимы для перехвата и маршрутизации трафика

После установки роутер перезагрузится. Дождитесь полной загрузки — это может занять 2-3 минуты.

После перезагрузки перейдите в раздел Приложения в веб-интерфейсе. Роутер предложит отформатировать USB-накопитель и инициализировать систему пакетов OPKG. Согласитесь и дождитесь завершения процесса. После этого на накопителе появится директория /opt, в которую будут устанавливаться все пакеты.

Для установки XKeen потребуется доступ к командной строке роутера через SSH. В веб-интерфейсе перейдите в Управление → Пользователи и доступ и убедитесь, что SSH-сервер включен. По умолчанию SSH доступен на порту 22, но может быть также настроен на порту 222.

Параметры подключения по умолчанию:

• Адрес: 192.168.1.1
• Порт: 22 (или 222)
• Логин: root
• Пароль: пароль администратора роутера

Для подключения используйте любой SSH-клиент: PuTTY на Windows, встроенный терминал на macOS/Linux, или Windows Terminal:

ssh root@192.168.1.1 -p 22

Подключитесь к роутеру по SSH и выполните следующую последовательность команд:

opkg update && opkg upgrade && \
opkg install curl tar unzip && \
curl -sOfL https://raw.githubusercontent.com/RockBlack-VPN/XKeen/main/install.sh && \
chmod +x ./install.sh && ./install.sh

Разберем, что делает каждая строка:

1. opkg update && opkg upgrade — обновляет списки пакетов и устанавливает обновления для уже установленных пакетов.
2. opkg install curl tar unzip — устанавливает утилиты, необходимые для загрузки и распаковки XKeen.
3. curl -sOfL ... — загружает установочный скрипт XKeen с GitHub. Флаги: -s (silent), -O (сохранить с оригинальным именем), -f (fail silently), -L (следовать редиректам).
4. chmod +x ./install.sh && ./install.sh — делает скрипт исполняемым и запускает установку.

Инсталлятор в интерактивном режиме предложит выбрать:

• Версию ядра Xray
• Источники баз GeoIP и GeoSite (рекомендуем выбрать все доступные: AntiZapret, Antifilter, v2fly)
• Режим работы (tproxy — рекомендуемый)

Дождитесь завершения установки. XKeen создаст все необходимые директории и конфигурационные файлы.

По умолчанию веб-интерфейс Keenetic использует порт 443 для HTTPS. Этот порт необходим для работы VLESS Reality, поэтому его нужно освободить. Подключитесь к CLI роутера (не OPKG, а именно CLI Keenetic) и выполните:

ip http ssl port 5443
system configuration save

После этого веб-интерфейс роутера будет доступен по адресу https://192.168.1.1:5443. Обязательно запомните новый порт — иначе вы потеряете доступ к панели управления.

Важно: эти команды выполняются не в SSH-сессии OPKG, а в CLI самого Keenetic. Для этого можно использовать Telnet-подключение или интерфейс командной строки в веб-панели.

Файл управляет логированием работы Xray:

{
  "log": {
    "access": "/opt/var/log/xray/access.log",
    "error": "/opt/var/log/xray/error.log",
    "loglevel": "none",
    "dnsLog": false
  }
}

Параметры:

• access — путь к логу доступа. Сюда записываются все обработанные соединения.
• error — путь к логу ошибок.
• loglevel — уровень логирования. Значение "none" отключает логи для экономии ресурсов роутера. Для отладки можно установить "warning" или "info".
• dnsLog — логирование DNS-запросов. Отключено (false) в продакшене.

Совет: при первоначальной настройке рекомендуем установить loglevel в "warning", чтобы видеть возможные ошибки. После того как все заработает стабильно — переключите на "none".

Этот файл определяет, как Xray принимает перенаправленный трафик от Netfilter. Настраиваются два обработчика для разных типов трафика:

{
  "inbounds": [
    {
      "tag": "redirect",
      "port": 61219,
      "protocol": "dokodemo-door",
      "settings": {
        "network": "tcp",
        "followRedirect": true
      },
      "sniffing": {
        "enabled": true,
        "destOverride": ["http", "tls"]
      }
    },
    {
      "tag": "tproxy",
      "port": 61219,
      "protocol": "dokodemo-door",
      "settings": {
        "network": "udp",
        "followRedirect": true
      },
      "streamSettings": {
        "sockopt": {
          "tproxy": "tproxy"
        }
      },
      "sniffing": {
        "enabled": true,
        "destOverride": ["http", "tls"]
      }
    }
  ]
}

Разберем ключевые моменты:

• redirect — обработчик TCP-трафика. Использует протокол dokodemo-door («дверь куда угодно»), который принимает любое входящее соединение и перенаправляет его согласно правилам маршрутизации.
• tproxy — обработчик UDP-трафика. Использует тот же протокол, но работает в режиме tproxy (transparent proxy) для прозрачного проксирования UDP.
• Порт 61219 — оба обработчика слушают на одном порту, но для разных протоколов (TCP и UDP).
• sniffing — включен для обоих обработчиков. Позволяет Xray анализировать содержимое соединения (HTTP-заголовки и TLS SNI), чтобы определить домен назначения даже когда клиент обращается по IP-адресу.
• followRedirect — указывает обработчику следовать за перенаправлением iptables, то есть использовать оригинальный адрес назначения.

Самый важный конфигурационный файл — здесь определяются каналы, через которые трафик покидает роутер. Настраиваются три исходящих подключения:

{
  "outbounds": [
    {
      "tag": "vless-reality",
      "protocol": "vless",
      "settings": {
        "vnext": [
          {
            "address": "ВАШ_СЕРВЕР",
            "port": 443,
            "users": [
              {
                "id": "ВАШ_UUID",
                "flow": "xtls-rprx-vision",
                "encryption": "none"
              }
            ]
          }
        ]
      },
      "streamSettings": {
        "network": "tcp",
        "security": "reality",
        "realitySettings": {
          "fingerprint": "chrome",
          "serverName": "ВАШ_SNI_ДОМЕН",
          "publicKey": "ВАШ_PUBLIC_KEY",
          "shortId": "ВАШ_SHORT_ID"
        }
      }
    },
    {
      "tag": "direct",
      "protocol": "freedom",
      "settings": {}
    },
    {
      "tag": "block",
      "protocol": "blackhole",
      "settings": {
        "response": {
          "type": "http"
        }
      }
    }
  ]
}

Подробный разбор каждого outbound:

1. vless-reality — основной VPN-канал. Протокол VLESS с технологией Reality обеспечивает максимальную маскировку трафика:

• address — IP-адрес или домен вашего VPN-сервера. Именно сюда будет направляться трафик к заблокированным ресурсам.
• port — порт сервера, стандартно 443 (HTTPS), что делает трафик неотличимым от обычного веб-трафика.
• id — UUID пользователя, который генерируется на сервере. Используется для аутентификации.
• flow: "xtls-rprx-vision" — оптимизированный алгоритм передачи данных XTLS, который минимизирует накладные расходы шифрования.
• fingerprint: "chrome" — Xray имитирует TLS-отпечаток браузера Chrome, что делает VPN-трафик неотличимым от обычного просмотра веб-страниц.
• serverName — SNI (Server Name Indication) — домен, который будет виден при анализе TLS-handshake. Обычно указывается популярный сайт, например, сайт Microsoft или Google.
• publicKey — публичный ключ Reality, генерируется на сервере.
• shortId — короткий идентификатор для дополнительной аутентификации.

2. direct — прямое подключение через протокол freedom. Трафик, направленный в этот outbound, идет к адресату напрямую, без VPN.

3. block — блокировка через протокол blackhole. Трафик, направленный сюда, просто отбрасывается. Полезно для блокировки нежелательных соединений (телеметрия, реклама и т.д.).

Где взять параметры для vless-reality? Вам понадобится VPN-сервер с настроенным Xray и протоколом VLESS Reality. Это может быть VPS за рубежом (Нидерланды, Германия, Финляндия — популярные локации). Настройка серверной части — тема для отдельной статьи, но все необходимые параметры (UUID, publicKey, shortId, serverName) генерируются при настройке серверной части Xray.

Этот файл — мозг всей системы. Здесь определяется, какой трафик куда направлять:

{
  "routing": {
    "domainStrategy": "IPIfNonMatch",
    "rules": [
      {
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "block",
        "type": "field",
        "network": "udp",
        "port": "135,137,138,139"
      },
      {
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "block",
        "type": "field",
        "domain": ["appcenter.ms"]
      },
      {
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "vless-reality",
        "type": "field",
        "domain": [
          "ext:geosite_v2fly.dat:google",
          "ext:geosite_v2fly.dat:speedtest",
          "ext:geosite_v2fly.dat:tiktok",
          "ext:geosite_zkeen.dat:domains",
          "ext:geosite_zkeen.dat:other",
          "2ip.ru",
          "2ip.io"
        ]
      },
      {
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "vless-reality",
        "type": "field",
        "ip": [
          "ext:geoip_v2fly.dat:google",
          "ext:geoip_v2fly.dat:twitter"
        ]
      },
      {
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "direct",
        "type": "field"
      }
    ]
  }
}

Разберем каждое правило по порядку (правила обрабатываются сверху вниз, первое совпавшее — срабатывает):

Правило 1 — блокировка SMB-портов: UDP-трафик на порты 135, 137, 138, 139 блокируется. Это порты Windows-сервисов (NetBIOS, SMB), которые не должны уходить за пределы локальной сети.

Правило 2 — блокировка определенных доменов: в данном случае блокируется appcenter.ms (Microsoft App Center), который может генерировать большой объем телеметрии.

Правило 3 — маршрутизация доменов через VPN: здесь перечислены категории доменов, трафик к которым идет через VLESS Reality:

• ext:geosite_v2fly.dat:google — все домены Google (google.com, googleapis.com, youtube.com и т.д.)
• ext:geosite_v2fly.dat:speedtest — сервисы измерения скорости
• ext:geosite_v2fly.dat:tiktok — TikTok и связанные сервисы
• ext:geosite_zkeen.dat:domains — заблокированные домены из базы AntiZapret/zkeen
• ext:geosite_zkeen.dat:other — другие заблокированные домены
• 2ip.ru и 2ip.io — сервисы определения IP, добавлены для проверки работоспособности VPN

Правило 4 — маршрутизация по IP через VPN: трафик к IP-адресам Google и Twitter направляется через VPN. Это дополнение к правилу по доменам — на случай, если клиент обращается напрямую по IP.

Правило 5 — всё остальное напрямую: финальное правило-ловушка — весь трафик, не совпавший с предыдущими правилами, идет напрямую через обычное интернет-подключение.

Параметр domainStrategy: "IPIfNonMatch" означает: если ни одно правило по доменам не совпало, Xray разрешит домен в IP-адрес и попробует применить правила по IP. Это обеспечивает максимально точную маршрутизацию.

Для кейса НетВорк Консалтинг мы добавили дополнительные домены в правило 3:

"domain": [
  "ext:geosite_v2fly.dat:google",
  "ext:geosite_v2fly.dat:speedtest",
  "ext:geosite_zkeen.dat:domains",
  "ext:geosite_zkeen.dat:other",
  "github.com",
  "github.io",
  "githubusercontent.com",
  "ghcr.io",
  "docker.io",
  "docker.com",
  "registry-1.docker.io",
  "hub.docker.com",
  "npmjs.org",
  "npmjs.com",
  "registry.npmjs.org",
  "yarnpkg.com",
  "2ip.ru",
  "2ip.io"
]

Это обеспечило стабильный доступ ко всем сервисам, необходимым разработчикам.

Важно: перед обновлением удалите файл 02_transport.json из директории конфигураций, если он существует. Этот файл может конфликтовать с новой версией ядра:

rm -f /opt/etc/xray/configs/02_transport.json

Затем скачайте и запустите скрипт обновления:

curl -s -S -L -O https://github.com/Corvus-Malus/XKeen-docs/raw/main/Installer/install_xray.sh
chmod +x install_xray.sh
./install_xray.sh

Скрипт автоматически определит архитектуру вашего роутера и загрузит подходящую версию ядра Xray.

После обновления проверьте версию:

xray -version

Вы должны увидеть актуальную версию Xray-core.

Если после обновления что-то пошло не так, можно откатиться к предыдущей версии:

./install_xray.sh recover

Важный шаг, который часто пропускают — настройка политики доступа. Она определяет, какие устройства в сети будут использовать маршрутизацию через XKeen.

В веб-интерфейсе роутера перейдите в Приоритеты подключений → Политики доступа в Интернет и создайте новую политику с именем «XKeen».

После создания политики перетащите в неё устройства, которые должны использовать VPN-маршрутизацию. В случае НетВорк Консалтинг мы добавили все рабочие станции разработчиков, но оставили принтеры, IP-телефоны и другое оборудование в стандартной политике — им VPN не нужен, и это снижает нагрузку на роутер.

Совет: рекомендуем сначала добавить только одно устройство (например, свой компьютер) для тестирования. После того как убедитесь в корректной работе — добавляйте остальные.

Некоторые приложения требуют дополнительной настройки портов. Основная команда для открытия портов:

xkeen -ap 80,443,50000:50030

Эта команда открывает порты 80 (HTTP), 443 (HTTPS) и диапазон 50000-50030. Это необходимо, в частности, для корректной работы Discord, который использует нестандартные порты для голосовой связи.

Для ChatGPT и других сервисов, использующих QUIC: если сервис работает нестабильно, попробуйте заблокировать UDP на порту 443 (QUIC-протокол). Это заставит приложение переключиться на TCP, что обеспечит стабильное соединение через VPN. Добавьте правило в 05_routing.json:

{
  "inboundTag": ["redirect", "tproxy"],
  "outboundTag": "block",
  "type": "field",
  "network": "udp",
  "port": "443"
}

Это правило нужно разместить выше правил маршрутизации через VPN, чтобы оно сработало первым.

После внесения всех изменений в конфигурацию перезапустите XKeen:

xkeen -restart

Проверьте работоспособность, открыв в браузере 2ip.ru — он должен показать IP-адрес вашего VPN-сервера (поскольку 2ip.ru добавлен в правила маршрутизации). Затем проверьте github.com, hub.docker.com и другие необходимые сервисы.

Для создания полного бэкапа всех настроек, конфигураций и установленных пакетов выполните:

opkg install tar && tar czvf /opt/entware_backup.tar.gz --exclude="/opt/entware_backup.tar.gz" -C /opt .

Эта команда создаст архив /opt/entware_backup.tar.gz, содержащий:

• Все конфигурационные файлы Xray (/opt/etc/xray/configs/)
• Базы GeoIP и GeoSite
• Установленные пакеты OPKG
• Все пользовательские настройки

Рекомендуем скопировать этот файл на компьютер или в облачное хранилище для надежности.

Если что-то пошло не так, или вы переносите настройки на другой роутер той же модели, распакуйте архив:

tar xzvf /opt/entware_backup.tar.gz -C /opt

После восстановления перезапустите XKeen:

xkeen -restart

Если требуется полная переустановка XKeen (например, после обновления прошивки роутера), используйте команду:

xkeen -i

Это запустит инсталлятор заново, но сохранит ваши конфигурационные файлы.

Если SSH-подключение зависает или отклоняется, попробуйте следующую последовательность:

1. Проверьте, включен ли SSH в настройках роутера.
2. Попробуйте альтернативный порт (22 или 222).
3. Если ничего не помогает, подключитесь через Telnet (порт 23) и выполните:

exec sh
rm -f /opt/var/run/dropbear.pid
/opt/etc/init.d/S51dropbear restart

Команда exec sh переключает Telnet-сессию в Unix-shell. Удаление PID-файла и перезапуск демона Dropbear (SSH-сервера) решает большинство проблем с SSH-подключением.

Убедитесь, что USB-накопитель подключен и примонтирован. Проверьте логи ошибок:

cat /opt/var/log/xray/error.log

Частая причина — некорректный JSON в конфигурационных файлах. Даже лишняя запятая может привести к тому, что Xray откажется запускаться. Проверьте синтаксис всех JSON-файлов.

Проверьте доступность VPN-сервера и скорость соединения с ним. Убедитесь, что параметры в 04_outbounds.json (address, id, publicKey, serverName, shortId) указаны корректно. Проверьте, что DNS работает через зашифрованный канал (DNS-over-TLS или DNS-over-HTTPS) — без этого DNS-запросы могут подменяться провайдером.

Откройте https://2ip.ru — если XKeen настроен правильно и 2ip.ru добавлен в правила маршрутизации, сайт покажет IP-адрес вашего VPN-сервера. Затем откройте любой сайт, не входящий в правила маршрутизации — он должен показать ваш реальный IP.

Для более детальной диагностики временно включите логирование (установите loglevel в "info" в файле 01_log.json) и перезапустите XKeen. В файле /opt/var/log/xray/access.log вы увидите, какие соединения куда направляются.

Для дальнейшей работы с XKeen рекомендуем следующие ресурсы:

• GitHub XKeen — основной репозиторий проекта (форк от Skrill0/XKeen)
• XKeen-docs — подробная документация, скрипты обновления, FAQ
• Xray Routing Generator — онлайн-генератор правил маршрутизации, позволяющий визуально создать конфигурацию
• Mihomo+Xray Generator — продвинутый генератор конфигураций от RockBlack
• Форум Keenetic — тема обсуждения XKeen на официальном форуме Keenetic, где можно задать вопросы сообществу
• Telegram-группа RockBlack VPN — оперативная поддержка и обсуждение, актуальные новости проекта

Для повседневной работы с XKeen вам понадобятся следующие команды: