3X-UI for Keenetic

[Tommi]

Собрал скрипт установочный и обслуживающий для 3X-UI. Тестировал работу на Keenetic Ultra KN-1811 и Keenetic Peac. Hа aarch64 (arm64)  точно работает! П.С. Изначально пересобрал программу под arm64, но потом копнул в код и понял что можно даже без пересборки завести.

 

Установка:

Спойлер

1. Установить Curl и Bash:

   opkg update && opkg install curl bash

2. Установка скрипта ( для установки сразу, добавьте в конце install )

   curl -O https://gitlab.com/own-open-source/x-ui-keenetic/-/raw/main/x-ui.sh && bash x-ui.sh

   Обновить скрипт и/или панель 3x-ui можно как вместе так и по отдельности через сам скрипт.

 

Проверка совместимости если не уверены: 

Спойлер

• Нужно убедиться что стоит Entware: 

  command -v opkg

• Проверить архитектуру:

  uname -m

Результат по  Entware должен быть: /opt/bin/opkg

Результат по архитектуре любой из списка ниже:

(x86_64 | x64 | amd64) = amd64,
(i*86 | x86) = 386,
(armv8* | armv8 | arm64 | aarch64) = arm64,
(armv7* | armv7 | arm) = armv7,
(armv6* | armv6) = armv6,
(armv5* | armv5) = armv5
(s390x) = s390x

Примеру ответа как у меня:

 

Пример настройки KeenDNS на панель:

Спойлер

1) В панельке берём IP главного Bridge0, у меня Bridge0 = 192.168.160.1

2) В KeenDNS прописываем всё на основание скрина ниже, в IP указать Bridge0, порт который будет в 3X-UI, протокол HTTPS и придумываем свой DNS.

3) Собираем как на скрине ниже, в главном меню скрипта выбираем "SSL Self-signed Certificate Generation", скрипт предложит установить сертификаты и установить IP панели, согласитесь установить SSL и IP поставьте свой Bridge0 в IP, про порт тоже не забудьте, домен прописывать в отличии от S-UI не обязательно.

Готово, теперь можно зайти по KeenDNS в панельку.

 

Cвязь 3X-UI с Keenetic и SOCKS5 с работой по TCP и донастройкой для работы UDP

Спойлер

Данная инструкция взята из моего поста про S-UI 

 

В настройке 3X-UI для открытия UDP всё аналогично, инструкция ниже.

 

1. Заходим в панель Keenetic и настраиваем proxy по SOCKS v5, жмём другие подключения и добавляем подключение в разделе прокси-подключения, протокол, адресс, тип аутентификации пишем как на скрине ниже, а подключаться через можно оставить любое, но предпочтительно выбрать свой Bridge0 

2. Теперь открываем у SOCKS5 пропуск UDP трафика иначе будет идти только TCP, для этого заходим в WEB CLI по адресу http://192.168.160.1/webcli/parse где 192.168.160.1 это ваш Bridge0 и вводим по порядку команды ниже.

• show interface    - и ищем через поиск браузера "id" вашего созданного прокси, у меня "id": "Proxy1"

 

• interface {ID} proxy socks5-udp    - эта команда откроет UDP у SOCKS5, нужно обязательно сделать!
• system configuration save    -  сохраняем настройки

На этом всё, настройки самого 3X-UI описывать не буду, в интернете их очень много. Если у кого-то есть инструкция, могу приложить её в шапку.

 

Исходный код скрипта: GitLab

Исходный код 3x-ui: GitHab 

Изменено 1 апреля пользователем Tommi
Инструкция UDP

[Wolkill]

Благодаря Вашему скрипту, установил на своём Keenetic Ultra KN-1811 версию 3X-UI 2.8.8
Завёл панельку, поигрался с ней в KeenDNS. Всё работает, радует глаз.

Ну и, имея в распоряжении белый IP от провайдера, простыми настройками  добился того, чтобы работали инбаунды и клиенты Reality.

В общем работает не хуже чем на далеких VPSках.

Мелочь, но дополнительный контур лишним не будет.

Если есть к этому интерес у сообщества, могу расписать подробно алгоритм настроек для белого IP.

[igorez]

В 24.01.2026 в 01:52, Wolkill сказал:

Благодаря Вашему скрипту, установил на своём Keenetic Ultra KN-1811 версию 3X-UI 2.8.8
Завёл панельку, поигрался с ней в KeenDNS. Всё работает, радует глаз.

Ну и, имея в распоряжении белый IP от провайдера, простыми настройками  добился того, чтобы работали инбаунды и клиенты Reality.

В общем работает не хуже чем на далеких VPSках.

Мелочь, но дополнительный контур лишним не будет.

Если есть к этому интерес у сообщества, могу расписать подробно алгоритм настроек для белого IP.

Здравствуйте!

Распишите пожалуйста настройки для белого ip.

Интереснa настройка vless tls reality 

SNI: ads.x5.ru

Изменено 26 января пользователем igorez

[Wolkill]

При первоначальной настройке, когда отработал скрипт я отказался от установки сертификатов ssl
Путь к панели изменил с /spub/ на /guano/, подойдет любое имя отличное от /spub/

В консоли настройка x-ui выглядит так:

Спойлер

In panel listen IP: 0.0.0.0

current panel settings as follows:
Warning: Panel is not secure with SSL
hasDefaultCredential: false
port: 2053
webBasePath: /guano/

cert:
key:

Access URL: http://whiteip:2053/guano/

Local Access URL: http://192.168.1.1:2053/guano/

Панель настраивал на порт 2053, доступ только из локалки.

Настройка в панели роутера:

Спойлер

 

Спойлер

~ # netstat -tulpn | grep
xray tcp 0 0 127.0.0.1:62789
0.0.0.0:* LISTEN 1347/xray-linux-arm tcp 0 0 127.0.0.1:11111
0.0.0.0:* LISTEN 1347/xray-linux-arm tcp 0 0
:::8443 :::* LISTEN 1347/xray-linux-arm

Клиенты будут работать только через порт 8443

Соответственно этот порт открыт наружу.

inbound в самой панели создал на 8443 порт

Дальше по классике, экспериментируйте по гайдам настройки панели x-ui, аналогично VPS, только порты открывайте, какие нужно.

Указанная Вами настройка завелась.

 

Изменено 27 января пользователем Wolkill

[andronidze]

Уважаемый Tommi, спасибо за Ваш скрипт, отработал прекрасно - смог установить подключение клиентом к роутеру, но интересует один момент - есть ли возможность производить перенаправление трафика, поступающего от клиента в локальную сеть, а не сразу в WAN? 

Опишу подробнее:
у меня есть старый сервер в домашней сети, который до этого выступал в роли сервера 3xui для клиентов (например, мой телефон), на роутере тем временем настроена маршрутизация по доменам (magitrickle), и в такой конфигурации трафик от клиента маршрутизируется согласно правилам. Но если подключить клиента к 3xui на роутере, то правила маршрутизации не работают или не задействованы. Были мысли, что предыдущая реализация magitrickle, также использовала singbox, но после установки 3xui, маршрутизация внутри сети не поменялась, а не маршрутизируется только трафик от клиента 3xui на роутере. 

конкретного и подробного ответа не прошу, если вдруг есть мысли куда копать - буду рад, если поделитесь! Заранее спасибо! 

[nickzakh]

Добрый день.
Спасибо за скрипт.
Очень не хватает для mips, т.к. даже на kn-2610 приходится дополнительно городить ещё одно доп.устройство

[pegakmop]

В 05.02.2026 в 23:32, nickzakh сказал:

Очень не хватает для mips

Есть собранная под все архитектуры кинетика, но только толку особо не много, даже мипсел тяжко ворочается, мипс наверное совсем повиснет

[byDG]

А как правильно настроить в роутере или в панели чтобы нормально шёл UDP трафик? А то Discord не работает на голосовые.

[mr.robot]

On 1/27/2026 at 4:07 PM, andronidze said:

у меня есть старый сервер в домашней сети, который до этого выступал в роли сервера 3xui для клиентов (например, мой телефон), на роутере тем временем настроена маршрутизация по доменам (magitrickle), и в такой конфигурации трафик от клиента маршрутизируется согласно правилам. Но если подключить клиента к 3xui на роутере, то правила маршрутизации не работают или не задействованы. Были мысли, что предыдущая реализация magitrickle, также использовала singbox, но после установки 3xui, маршрутизация внутри сети не поменялась, а не маршрутизируется только трафик от клиента 3xui на роутере. 

У меня получилось это реализовать следующим образом, но с продолжением инструкции @Wolkill. Идея была в том, что пакет nfqws2 не может работать с телегой и поэтому нужно этот трафик перенаправлять к другой забугорской панели 3x-ui (каскад).

Вот какая была идея:

• Клиент отправляет любой запрос (телега, ютуб, сайты).
• Keenetic видит, что клиент находится в политике Xray, и отправляет весь его трафик в SOCKS5 на локальный адрес 127.0.0.1.
• Локальный Xray (3x-ui) принимает этот трафик через Inbound mixed.
• Xray применяет правила маршрутизации (Routing): Telegram по geoip:telegram улетает забугор.
• Весь остальной трафик ноутбука (включая YouTube) Xray отправляет в канал direct, помечая его меткой 200.
• Скрипт в iptables ловит эту метку 200 и отправляет пакеты в nfqws2.

Сделал следующее:

1. Промаркировал этот трафик в 3x-ui, канал с тегом direct

Spoiler

{
  "protocol": "freedom",
  "settings": {},
  "tag": "direct",
  "streamSettings": {
    "sockopt": {
      "mark": 200
    }
  }
}

Сохранил и перезапустил панель

2 Проверил номер очереди через iptables-save | grep NFQUEUE. Чтобы пустить прямой трафик от Xray (которому мы задали метку 200) в движок nfqws, нам нужно направить этот трафик прямо в цепочку nfqws_post.

Spoiler

Создал файл /opt/etc/ndm/netfilter.d/100-xray-to-nfqws.sh

 

#!/bin/sh
[ "$type" == "ip6tables" ] && exit 0
[ "$table" != "mangle" ] && exit 0

# Отправляем промаркированный трафик Xray (mark 200) 
# в пользовательскую цепочку nfqws_post
iptables -t mangle -A OUTPUT -p tcp -m mark --mark 200 -j nfqws_post
iptables -t mangle -A OUTPUT -p udp -m mark --mark 200 -j nfqws_post

Сделал скрипт исполняемым chmod +x /opt/etc/ndm/netfilter.d/100-xray-to-nfqws.sh и применил правила

iptables -t mangle -A OUTPUT -p tcp -m mark --mark 200 -j nfqws_post
iptables -t mangle -A OUTPUT -p udp -m mark --mark 200 -j nfqws_post

3. Создание точки входа для клиента (Inbound). В панели 3x-ui в настройках вашего Inbound добавил подключения mixed. В поле Listen IP вместо 127.0.0.1 прописал 192.168.1.1. Порт: 1080

4. Создал подключение SOCKS в веб-интерфейсе Keenetic. Адрес сервера: 192.168.1.1, Порт: 1080, логин и пароль.

5. Добавить политику. В Приоритеты подключений добавил Xray, чтобы добавить отдельных клиентов для этого. Перетащил вверх и сделал его основным.

Все работает хотя бы на уровне чатов. Правда голос тормозит. Сейчас правда подумал, что возможно это же можно было бы реализовать и через квас. Как вариант

[Tommi]

В 19.03.2026 в 20:10, byDG сказал:

А как правильно настроить в роутере или в панели чтобы нормально шёл UDP трафик? А то Discord не работает на голосовые.

Добавил инструкцию в шапку "Cвязь 3X-UI с Keenetic и SOCKS5 с работой по TCP и донастройкой для работы UDP" 

[Tommi]

В 27.01.2026 в 12:07, andronidze сказал:

Уважаемый Tommi, спасибо за Ваш скрипт, отработал прекрасно - смог установить подключение клиентом к роутеру, но интересует один момент - есть ли возможность производить перенаправление трафика, поступающего от клиента в локальную сеть, а не сразу в WAN? 

Опишу подробнее:
у меня есть старый сервер в домашней сети, который до этого выступал в роли сервера 3xui для клиентов (например, мой телефон), на роутере тем временем настроена маршрутизация по доменам (magitrickle), и в такой конфигурации трафик от клиента маршрутизируется согласно правилам. Но если подключить клиента к 3xui на роутере, то правила маршрутизации не работают или не задействованы. Были мысли, что предыдущая реализация magitrickle, также использовала singbox, но после установки 3xui, маршрутизация внутри сети не поменялась, а не маршрутизируется только трафик от клиента 3xui на роутере. 

конкретного и подробного ответа не прошу, если вдруг есть мысли куда копать - буду рад, если поделитесь! Заранее спасибо! 

Спасибо за отзыв! 

Да в связке с magitrickle могут быть проблемы, но можно донастроить такое решение что бы работали оба, причём я пробовал magitrickle с S-UI так и с 3X-UI в целом работа данных программ в паре возможна, но все эти три программы ставить одновременно по большей части не имеет особого смысла, это почти как поставить S-UI и 3X-UI, это бессмысленно, все эти программы умеют маршрутизировать трафик на основание разных условий почти идентично, просто они это делают чуть по разному внутри себя и на основание трафика.

На счёт того как у 3X-UI сделать направление трафика через локальную сеть, а не сразу WAN не подскажу, но вот у S-UI такая возможность есть, думаю и у 3X-UI должна быть. Ниже скрин как это реализовано у S-UI.

Я лично пользуюсь замечательной программой magitrickle на роутерах где нет aarch64, она быстрая, удобная и шикарный UI, низкий поклон её автору Ponywka

А на aarch64 ставлю S-UI или 3X-UI и работает безотказно, как говориться - настрой и ЗАБУДЬ!

Причём я перестал вообще отдельно IP и DNS прописывать, их стало слишком много, я сделал условие где всё что с зонами ниже на скрине идёт через моего провайдера, а что нет идёт в следующее правило которое отправляет трафик через внешний сервер.  

Изменено 2 апреля пользователем Tommi

[Артемка]

Локально доступ есть, а вот через keendns не хочет по домену. хотя все сделал как по инструкции.

[byDG]

Странный будет вопрос, а можно ли как-то за счёт KeenDNS, подключаться к x-ui? Чтобы подключаться можно было к нему через мобильную сеть?
Уточню: Не для того чтобы заходить в саму панель (Это и так у меня получилось), а именно чтобы подключаться по vless.
Чтобы получилась цепочка: Мобильная связь -> KeenDNS(VLESS) -> VDS

[Tommi]

В 13.04.2026 в 23:18, byDG сказал:

Странный будет вопрос, а можно ли как-то за счёт KeenDNS, подключаться к x-ui? Чтобы подключаться можно было к нему через мобильную сеть?
Уточню: Не для того чтобы заходить в саму панель (Это и так у меня получилось), а именно чтобы подключаться по vless.
Чтобы получилась цепочка: Мобильная связь -> KeenDNS(VLESS) -> VDS

Если IP статичный (в keenetic режим прямой доступ) то да, только скорее всего будет работать на уровне домена 3го уровня, но не более. Рулить естество портами.

Изменено 16 апреля пользователем Tommi

[Tommi]

В 11.04.2026 в 14:27, Артемка сказал:

Локально доступ есть, а вот через keendns не хочет по домену. хотя все сделал как по инструкции.

Хорошо бы ошибку увидеть что именно не так?

Скорее всего просто не корректно внесены данные в саму панель. 

Так же можно поправить базу если что-то сделали не так через консоль выбрать пункт [Settings Management] -> [DB_management] -> [Save_db_to_json files], посмотреть в json что не так поправить и залить обратно [Settings Management] -> [DB_management] -> [Restore_db_from_json files]

Ну или просто поправить через sqllite сам файл x-ui.db 

[byDG]

При обновлении xray, выдаёт следующую ошибку:

[byDG]

В 02.04.2026 в 01:52, Tommi сказал:

Добавил инструкцию в шапку "Cвязь 3X-UI с Keenetic и SOCKS5 с работой по TCP и донастройкой для работы UDP" 

Заработали звонки в мессенджерах, но не Discord) 

[Tommi]

В 19.04.2026 в 01:51, byDG сказал:

При обновлении xray, выдаёт следующую ошибку:

Успешно обновлён, но красный крестик 😄 Я скоро обновлю скрипт и там обновлю рекомендованную версию до последней x-ui панели. В обновление будет возможность ограничить число ядер для панели и количество потребляемой оперативной памяти RAM, полезно что бы снизить нагрузку и что бы GO не забирал кучу RAM из-за проблем со сборщиком мусора. Это улучшить общею стабильность работы и решит проблему потребления скромных ресурсов keenetic.

 

В 19.04.2026 в 13:49, byDG сказал:

Заработали звонки в мессенджерах, но не Discord) 

Для DS уже нужен скорее всего не только TCP/UDP, а L3 уровень, для этого можно воспользоваться WG в Keenetic и прокинуть его в локальны WG 3X-UI, тогда будут всё работать, обязательно только SWAP настроить. Я подобную инструкцию писал в S-UI пункт "1.3. Подключение к S-UI через локальный Wireguard."

В 3X-UI всё примерно так же, даже проще настроить! Но могу если нужно под эту настройку инструкцию выложить, надо?

Изменено Вторник в 20:34 пользователем Tommi

[byDG]

В 21.04.2026 в 23:11, Tommi сказал:

В 3X-UI всё примерно так же, даже проще настроить! Но могу если нужно под эту настройку инструкцию выложить, надо?

Было бы неплохо)

[byDG]

В 13.04.2026 в 23:18, byDG сказал:

Странный будет вопрос, а можно ли как-то за счёт KeenDNS, подключаться к x-ui? Чтобы подключаться можно было к нему через мобильную сеть?
Уточню: Не для того чтобы заходить в саму панель (Это и так у меня получилось), а именно чтобы подключаться по vless.
Чтобы получилась цепочка: Мобильная связь -> KeenDNS(VLESS) -> VDS

Всё таки смог добиться чтобы была возможность подключаться именно через Keenetic с помощью сервиса noip.com! (Для серого IP, при условии что ethernet-кабель подключён напрямую в Keenetic)

1. Нужно поставить компонент DDNS:


2. Зарегистрироваться на сайте https://www.noip.com/
3. Создать Hostname и поставить галочку "Enable Dynamic DNS"
4. Вылезет окно где будет логин и пароль (Вылезть ровно 1 раз):


5. Заходим в "Доменное имя" -> "DDNS"
6. Заполняем Поля:
    6.1. В "Доменное имя" вставляем "Hostname"
    6.2. В "Имя пользователя" вставляем "Логин" 
    6.3. В "Пароль" вставляем "Пароль"
7. Ставим галочку: 
8. В "Для подключений" выбираем подключение куда воткнут наш ethernet-кабель
9. Подтверждаем
10. Справа от "Доменное имя" будет написано (При условии что всё сделали правильно):  
11. Заходим в межсетевой экран и выставляем правила для конкретной своей сети:


И в принципе всё, дальше можем заходить по нашему Hostname:{Порт 3x-ui}

Единственное что у меня не получилось,это настроить подписки так как нет сертификата для них. Если есть возможность объяснить как сделать для них, буду благодарен!

[Fable4470]

On 4/21/2026 at 11:11 PM, Tommi said:

Для DS уже нужен скорее всего не только TCP/UDP, а L3 уровень, для этого можно воспользоваться WG в Keenetic и прокинуть его в локальны WG 3X-UI, тогда будут всё работать, обязательно только SWAP настроить. Я подобную инструкцию писал в S-UI пункт "1.3. Подключение к S-UI через локальный Wireguard."

Со всем уважением, но не получится у вас L3 таким образом, в xray и sing-box своя урезанная реализация wg, например ICMP пинги не ходят или подделываются - весь вечер с нейронкой убил на эксперименты - все, что не TCP/UDP они просто игнорят, другое дело что discord у меня работает - подключается к голосовому чату, как раз через x-ui на роутере, проверял с socks/tproxy/wg, т.е. причина в чем-то другом.

Изменено вчера в 07:51 пользователем Fable4470

[byDG]

13 часов назад, Fable4470 сказал:

Со всем уважением, но не получится у вас L3 таким образом, в xray и sing-box своя урезанная реализация wg, например ICMP пинги не ходят или подделываются - весь вечер с нейронкой убил на эксперименты - все, что не TCP/UDP они просто игнорят, другое дело что discord у меня работает - подключается к голосовому чату, как раз через x-ui на роутере, проверял с socks/tproxy/wg, т.е. причина в чем-то другом.

На удивление у меня получилось сделать через WG и оно работает.
Сделал инбаунд в 3x-ui, скачал конфиг, вставил в "Другие подключения" в WG, создал отдельную политику и закинул туда своё устройство.