маршрутизация Xkeen

[blablamonster]

Доброго всем...

после УДАЛЕНИЯ xkeen в iptables роутера остается цепочка

особенно интересна последняя строка, которая редиректит весь UDP-трафик ВСЕХ клиентов на порт, который более никем не слушается. Буду рад инструкциям как это правильно удалить.

Chain xkeen (1 references)
 pkts bytes target     prot opt in     out     source               destination         
 314K   22M RETURN     all  --  *      *       0.0.0.0/0            333.333.333.333         
 2307  480K RETURN     all  --  *      *       0.0.0.0/0            255.255.255.255     
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/8           
.........
    0     0 RETURN     all  --  *      *       0.0.0.0/0            240.0.0.0/4         
35137   20M REDIRECT   udp  --  *      *       0.0.0.0/0            0.0.0.0/0              redir ports 40719

 

Вообще-то, я зворачивал только один порт в туннель, откуда родилось такое правило в iptables, неясно

{
    "inbounds": [
      {
        "tag": "wg-in",
        "listen": "127.0.0.1",
        "port": 51821,
        "protocol": "dokodemo-door",
        "settings": {
          "address": "127.0.0.1",
          "port": 51820,
          "network": "udp"
        }
      }

может нужна отдельная команда xkeen чтобы почистить iptables перед удалением?

Изменено 19 февраля пользователем blablamonster

[uriy]

On 2/12/2026 at 1:27 PM, PetrKeen said:

Здравствуйте, 

Во первых выражаю благодарность  автору и всем причастным за создание и поддержание такого проекта, так нужного нам всем в это непростое время.

Столкнулся с проблемой, имею kn-1012, ранее на 4й прошивке все было норм около года, далее при переходе на 5.0 все поломалось.Как я понял из последних обсуждений ветки решение обновить xkeen.

У меня такая же проблема на Hopper KN-3810. С 4-ой прошивкой пару лет все работало стабильно. После обновления на 5.0.4 пропало подключение роутера к моему VPS с VLESS. Тут https://github.com/Corvus-Malus/XKeen увидел что заявлена совместимость с роутерами 5 версии прошивки. Пока все работало как часы туда даже не залезал после первой настройки. Обновил xkeen роутер стал подключаться на несколько десятков секунд к серверу. В следующий раз он мог подключиться либо после ребута либо рестарта xkeen. Решил заново установить entware и xkeen по той же инструкции с гитхаба, настройки роутера не сбрасывал. Только удалил и добавил снова политику подключения XKeen. Теперь роутер вовсе не соединяется. xkeen -start ошибок не выдает. Устройства из локальной сети без проблем цепляются на сервер через приложение v2ray. Может быть где-то на роутере или сервере можно посмотреть логи?

[keenadmin]

Подскажите почему может не работать sniffing при использовании tproxy? Giga KN-1011 v5 + XKeen 1.1.3.9

{
  "inbounds": [

    {
      "tag": "tproxy",
      "port": 61219,
      "protocol": "dokodemo-door",
      "settings": {
        "network": "tcp,udp",
        "followRedirect": true
      },
      "streamSettings": {
        "sockopt": {
          "tproxy": "tproxy"
        }
      },
      "sniffing": {
        "enabled": true,
        "routeOnly": true,
        "destOverride": [
          "http",
          "tls",
          "quic"
        ]
      }
    }
  ]
}

{
  "routing": {
    "rules": [

      {
        "domain": [
          "2ip.ru"
        ],
        "type": "field",
        "network" : "tcp,udp",
        "inboundTag": ["tproxy"],
        "outboundTag": "proxy"
      },

      {
        "type": "field",
        "network": "tcp,udp",
        "inboundTag": ["tproxy"],
        "outboundTag": "direct"
      }
    ]
  }
}

Трафик на 2ip.ru не заворачивается на прокси, идет напрямую, в логе только

proxy/dokodemo: received request for xxxxx
app/dispatcher: taking detour [direct] for [tcp:xxxx:443]
transport/internet/tcp: dialing TCP to tcp:xxxxxxx:443
proxy/freedom:

Sniffing не фигурирует...

[energist]

Я попробовал использовать xkeen с ядром mihomo, в котором настроем прокси сервер по протоколу amneziawg 2.0. Как ни странно, всё заработало сразу, но обнаружился досадный баг. Если соединение обрывается по любой причине (например, можно перезагрузить VPS принудительно), то обратно оно уже не поднимается ни при каких условиях и туннель, соответственно, не работает. Спасает только xkeen -restart. Опция persistent-keepalive тут не помогает. Баг, похоже, в самом mihomo, поскольку в AWG Manager у меня с тем же туннелем такой проблемы нет - соединение после обрыва восстанавливается и трафик ходит.

Но может быть есть какой-то вариант мониторить работу туннелю извне и принудительно перезапускать xkeen в случае его обрыва? Просто у меня тут уже настроена маршрутизация доменов, а AWG Manager её не умеет и придется прикручивать что-то другое, чего делать не хочется.

[Lendy]

Похожая проблема. KN-1010, 5.0.4, XKeen 1.1.3.9

Xkeen раньше не было, стоит wireguard.

Установил XKeen по инструкции с гитхаба, конфиги пока скопипастил оттуда же, генератором из ссылки vless сгенерил конфиг подключения. Стартую xkeen без ошибок, но соединение не устанавливается судя по панели сервера.

Удалил все правила роутинга от wireguard, потушил его подключение. ВПН с телефона внутри сети поднимается, т.е. провайдер не блокирует соединение.

Судя по всему маршрутизация как-то работает. Ru адреса открываются, com нет.

В консоли сервера этот клиент никогда не подключался. Что могу делать не так?

Лог из консоли:

Цитата

/tmp # xkeen -restart
  Прокси-клиент остановлен
Xray 26.2.6 (Xray, Penetrates Everything.) 12ee51e (go1.25.7 linux/mipsle)
A unified platform for anti-censorship.
2026/02/22 16:20:47.678795 Using confdir from env: /opt/etc/xray/configs
2026/02/22 16:20:47.685157 [Info] infra/conf/serial: Reading config: &{Name:/opt/etc/xray/configs/01_log.json Format:json}
2026/02/22 16:20:47.710379 [Info] infra/conf/serial: Reading config: &{Name:/opt/etc/xray/configs/02_dns.json Format:json}
2026/02/22 16:20:47.711616 [Info] infra/conf/serial: Reading config: &{Name:/opt/etc/xray/configs/03_inbounds.json Format:json}
2026/02/22 16:20:47.714068 [Info] infra/conf: [/opt/etc/xray/configs/03_inbounds.json] appended inbound with tag: redirect
2026/02/22 16:20:47.714418 [Info] infra/conf: [/opt/etc/xray/configs/03_inbounds.json] appended inbound with tag: tproxy
2026/02/22 16:20:47.714752 [Info] infra/conf/serial: Reading config: &{Name:/opt/etc/xray/configs/04_outbounds.json Format:json}
2026/02/22 16:20:47.717869 [Info] infra/conf: [/opt/etc/xray/configs/04_outbounds.json] prepend outbound with tag: vless-reality
2026/02/22 16:20:47.718141 [Info] infra/conf: [/opt/etc/xray/configs/04_outbounds.json] prepend outbound with tag: direct
2026/02/22 16:20:47.718394 [Info] infra/conf: [/opt/etc/xray/configs/04_outbounds.json] prepend outbound with tag: block
2026/02/22 16:20:47.718683 [Info] infra/conf/serial: Reading config: &{Name:/opt/etc/xray/configs/05_routing.json Format:json}
2026/02/22 16:20:47.721550 [Info] infra/conf/serial: Reading config: &{Name:/opt/etc/xray/configs/06_policy.json Format:json}
2026/02/22 16:20:48.117429 [Warning] common/errors: The feature VLESS (with no Flow, etc.) is deprecated, not recommended for using and might be removed. Please migrate to VLESS with Flow & Seed as soon as possible.
  Прокси-клиент запущен в режиме Mixed

 

В логах:

Цитата

2026/02/22 18:11:50.304885 [Debug] app/log: Logger started
2026/02/22 18:11:50.321999 [Debug] app/router: MphDomainMatcher is enabled for 1 domain rule(s)
2026/02/22 18:11:50.377302 [Debug] app/router: MphDomainMatcher is enabled for 1456 domain rule(s)
2026/02/22 18:11:50.420547 [Debug] app/proxyman/inbound: creating stream worker on 0.0.0.0:1181
2026/02/22 18:11:50.423564 [Info] transport/internet/tcp: listening TCP on 0.0.0.0:1181
2026/02/22 18:11:50.424401 [Info] transport/internet/udp: listening UDP on 0.0.0.0:1181
2026/02/22 18:11:50.428256 [Warning] core: Xray 26.2.6 started

Переустанавливал:

Цитата

 

~ # xkeen -uk
  Проверка доступности GitHub. Подождите, пожалуйста...
  GitHub доступен. Продолжаем...

  Проверка обновлений XKeen
  Нет доступных обновлений XKeen
~ # xkeen -k
  Переустановка XKeen

  Выберите вариант переустановки XKeen

     1. Загрузить дистрибутив XKeen из интернета
     0. Локальная переустановка XKeen

  Ваш выбор: 1
  Проверка доступности репозитория Entware. Подождите, пожалуйста...
  Репозиторий Entware доступен. Продолжаем...
  Проверка доступности GitHub. Подождите, пожалуйста...
  GitHub доступен. Продолжаем...
  Выполняется загрузка XKeen
  XKeen успешно загружен

  Выполняется отмена регистрации предыдущей версии XKeen
  Успешно: Файл xkeen.list не найден в директории '/opt/lib/opkg/info/'
  Успешно: Файл xkeen.control не найден в директории '/opt/lib/opkg/info/'
  Успешно: Регистрация пакета xkeen не обнаружена в '/opt/lib/opkg/status'
  Выполняется регистрация новой версии XKeen
  Успешно: Файл xkeen.list найден в директории '/opt/lib/opkg/info/'
  Успешно: Файл xkeen.control найден в директории '/opt/lib/opkg/info/'
  Успешно: Запись XKeen найдена в '/opt/lib/opkg/status'

  Очистка временных файлов выполнена

  Переустановка XKeen выполнена

 

 

Изменено Воскресенье в 19:14 пользователем Lendy
добавил версию xkeen, логи

[krek]

Jameszero,  добрый день, подскажите пожалуйста, стоит ваш форк, у меня Giga (KN-1012), вот мой 05_routing.json

{
  "routing": {
    "rules": [
    {
        "type": "field",
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "block",
        "network": "udp",
        "port": "135,137,138,139"
      },
    {
        "type": "field",
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "direct",
        "protocol": ["bittorrent"]
      },
      {
        "type": "field",
        "domain": [
          "xn--",
          "domain:su",
          "domain:ru",
          "domain:by",
          "domain:moscow",
          "yandex",
          "yastatic.net"
        ],
        "outboundTag": "direct"
      },
      {
        "type": "field",
        "ip": [
        "ext:geoip_zkeenip.dat:ru",
          "188.124.45.105/30"
        ],
        "outboundTag": "direct"
      },
      {
        "type": "field",
        "network": "tcp,udp",
        "outboundTag": "vless-reality"
      }
    ]
  }
}

Весь Российский трафики идет через провайдера, и при этом падает скорость примерно на 100 -150 Мбит/с, можно ли, это поправить?

[jameszero]

1 час назад, krek сказал:

падает скорость примерно на 100 -150 Мбит/с

Несущественного падения скорости не избежать, даже при direct направлении, т.к. трафик проходит по цепям маршрутизации через ядро xray в роутере.

[krek]

51 минуту назад, jameszero сказал:

Несущественного падения скорости не избежать, даже при direct направлении, т.к. трафик проходит по цепям маршрутизации через ядро xray в роутере.

Понял, спасибо.

[odysseus]

Добрый день!

Есть проблема, скорее всего связанная с VPN. Помогите, пожалуйста, разобраться. При запущенном Xkeen пропадает поcтоянно пропадает звук от меня в Яндекс.Телемосте, MS Teams, Max, при этом я прекрасно слышу и вижу собеседников. Помогает выключение XKeen, звук перестает пропадать. Пробовал в роутинге прописывать адреса Яндекс.Телемоста в direct, пытался отправить udp трафик в direct, пока ничего не помогло. При этом если запустить клиента не на роутере, а на компьютере (Nekobox), то все прекрасно работает.

 

[Alex2025]

Добрый всем вечер. Стоит xkeen последней версии, версия прошивки на ультре 5.0.4 Все работает отлично, за исключением авито. Часто бывает, что не прогружаются картинки, какие-то грузятся, какие-то не могут загрузится - рандомно. Ф5, ктрл+ф5 не помогает. ОТ браузера не зависит.

 

стоит перенести хост вне политики xkeen, сразу все нормализуется.

такое поведения наблюдаю на двух разных роутерах. апи avito внесены в ip_exclude. Роутинг настроен так: все, что в РФ напрямую, остальное через VPS.

куда еще можно глянуть, чтобы исправить это?

настройки роутинга ниже

{
  "routing": {
  	    "balancers": [
      {
        "tag": "balancer",
        "selector": ["vless-reality"],
        "fallbackTag": "direct"
      }
    ],
    "rules": [
      {
        "outboundTag": "direct",
        "domain": [
          "microsoft.com",
          "xn--",
          "domain:ru",
          "domain:su",
          "domain:moscow",
          "ext:geosite_v2fly.dat:category-gov-ru",
          "ext:geosite_v2fly.dat:yandex",
          "ext:geosite_v2fly.dat:vk",
          "ext:geosite_v2fly.dat:steam"
        ]
      },
      {
        "outboundTag": "direct",
        "ip": [
          "ext:geoip_zkeenip.dat:ru"
        ]
      },
      {
        "balancerTag": "balancer",
        "network": "tcp,udp"
      }
    ]
  }
}

 

[frontend.test]

14 часов назад, Alex2025 сказал:

куда еще можно глянуть, чтобы исправить это?

 

открываешь в браузер по F12 или другое сочетание клавиш Инструменты веб-разработке, Dev-tools, переходишь в кладку network добавляешь столбец "протокол" и смотришь, что идет, что нет QUIC(h3) не работает в vless писали тысячу раз, думаю браузер пытается подключиться по протоколу H3, запрети udp в routing: { "rules": [

            {
                "network": "udp",
                "outboundTag": "block",
                "port": "443",
                "type": "field"
            },

 
 

Изменено вчера в 09:23 пользователем frontend.test

[MosK]

Giga 1012

Пользуюсь XKeen больше года и все работало как часы. Ежемесячно обновлял ядро Xray.

Сразу после обновления роутера с 4.хх на 5.0.4, начались проблемы в работе XKeen. При РУЧНОЙ перезапуске XKeen - выходит ошибка (ниже приложил), и ВСЕ устройства подключенные к роутеру - имеют данную политику, а не должны, так как выбрано стандартное соединение по Ethernet.

Если просто перезагрузить роутер. То все работает нормально, как задумано. Но если произвести обновление ядра Xray, обновление XKeen, само перезагрузится неожиданно или просто перезагрузить, будет такая ошибка (ниже приложил) и ВСЕ устройства подключены к данной политике, распространяется IP сервера.

Полностью переставлял XKeen, даже заново поставил на флешку OPKG.

Все так же…..

Заметил, что о проблеме не я один пишу, они разные, но есть схожести:

- проблема при ручной перезагрузки прокси

- на роутерах Giga 1012

- после обновления на 5.хх прошивку

 

root@Giga-1012:/opt/etc/init.d$ ./S99xkeen start
Предупреждение:
  Политика 'xkeen' не найдена в веб-интерфейсе роутера
  Не определены целевые порты для XKeen
  Прокси будет запущен для всех клиентов на всех портах

Xray 26.2.6 (Xray, Penetrates Everything.) 12ee51e (go1.25.7 linux/arm64)
A unified platform for anti-censorship.
2026/02/12 08:13:30.451500 Using confdir from env: /opt/etc/xray/configs
2026/02/12 08:13:30.452633 [Info] infra/conf/serial: Reading config: &{Name:/opt/etc/xray/configs/01_log.json Format:json}
2026/02/12 08:13:30.459887 [Info] infra/conf/serial: Reading config: &{Name:/opt/etc/xray/configs/03_inbounds.json Format:json}
2026/02/12 08:13:30.463131 [Info] infra/conf: [/opt/etc/xray/configs/03_inbounds.json] appended inbound with tag: redirect
2026/02/12 08:13:30.463457 [Info] infra/conf/serial: Reading config: &{Name:/opt/etc/xray/configs/04_outbounds.json Format:json}
2026/02/12 08:13:30.463641 [Info] infra/conf: [/opt/etc/xray/configs/04_outbounds.json] prepend outbound with tag: vless-reality
2026/02/12 08:13:30.463764 [Info] infra/conf: [/opt/etc/xray/configs/04_outbounds.json] prepend outbound with tag: direct
2026/02/12 08:13:30.463867 [Info] infra/conf: [/opt/etc/xray/configs/04_outbounds.json] prepend outbound with tag: block
2026/02/12 08:13:30.463994 [Info] infra/conf/serial: Reading config: &{Name:/opt/etc/xray/configs/05_routing.json Format:json}
2026/02/12 08:13:30.464121 [Info] infra/conf/serial: Reading config: &{Name:/opt/etc/xray/configs/06_policy.json Format:json}
  Прокси-клиент запущен в режиме Mixed

[Alex2025]

12 часов назад, frontend.test сказал:

открываешь в браузер по F12 или другое сочетание клавиш Инструменты веб-разработке, Dev-tools, переходишь в кладку network добавляешь столбец "протокол" и смотришь, что идет, что нет QUIC(h3) не работает в vless писали тысячу раз, думаю браузер пытается подключиться по протоколу H3, запрети udp в routing: { "rules": [

            {
                "network": "udp",
                "outboundTag": "block",
                "port": "443",
                "type": "field"
            },

 
 

Добрый вечер, спасибо за ответ.

Нет, протокола h3 там нет, более того, на одном из роутеров он был забанен, но ситуация была той, что описал выше.

Но с помощью консоли, которую вы подсветили, увидел, что авито тянет с кучи других хостов ресурсы: и метрики, и статику, и какие-то импортные JS скрипты, много было ресурсов с домена avito.st

Под секцию domain она не подходила, в geoip не знаю есть или нет, но может оказывалось так, что при открытии страницы браузер тянул часть логики и ресурсов с direct, а часть из vps и сходил с ума. Плюс много было ошибок при загрузке ресурсов, типо err_network_addr

что пока сделал, в секцию domain внес просто "avito", чтобы пропускало в директ все, что в url содержит это слово, в том числе st.avito.ru, static.avito.ru, avito.st

как внес, перезапустил xkeen - проблема ушла и ошибок загрузки ресурсов стало на порядок меньше. Визуально, страница авито выглядит отлично и подгружаются все картинки и по ощущениям она сама по себе отрисовывается быстрее начала, клиентская логика не тупит.

пол дня тестировал вначале на одном компе и роутере (офис), сейчас все сделал тоже самое дома, пока все норм.

понимаю, что говорить о решении пока рано, буду еще наблюдать, но посчитал не вежливым оставить ваш ответ без обратной связи.

[Semihal]

Подскажите, а в routings можно использовать что-то кроме v2fly и zkeen?

Не совсем понятно как прописать antizapret/re:filter или что-то подобное - пишет ошибки

Изменено 8 часов назад пользователем Semihal

[jameszero]

2 часа назад, Semihal сказал:

как прописать antizapret/re:filter или что-то подобное

XKeen при установке предлагает на выбор базы Re:filter, думаю, это значит, что их можно использовать) Любую геобазу в формате dat можно использовать в роутинге xray. Узнайте какие категории содержатся в этих файлах и добавьте их, все будет работать. Например, ext:geosite_refilter.dat:refilter