3X-UI for Keenetic

[Tommi]

Собрал скрипт установочный и обслуживающий для 3X-UI. Тестировал работу на Keenetic Ultra KN-1811 и Keenetic Peac. Hа aarch64 (arm64)  точно работает! П.С. Изначально пересобрал программу под arm64, но потом копнул в код и понял что можно даже без пересборки завести.

 

Установка:

Спойлер

1. Установить Curl и Bash:

   opkg update && opkg install curl bash

2. Установка скрипта ( для установки сразу, добавьте в конце install )

   curl -O https://gitlab.com/own-open-source/x-ui-keenetic/-/raw/main/x-ui.sh && bash x-ui.sh

   Обновить скрипт и/или панель 3x-ui можно как вместе так и по отдельности через сам скрипт.

 

Проверка совместимости если не уверены: 

Спойлер

• Нужно убедиться что стоит Entware: 

  command -v opkg

• Проверить архитектуру:

  uname -m

Результат по  Entware должен быть: /opt/bin/opkg

Результат по архитектуре любой из списка ниже:

(x86_64 | x64 | amd64) = amd64,
(i*86 | x86) = 386,
(armv8* | armv8 | arm64 | aarch64) = arm64,
(armv7* | armv7 | arm) = armv7,
(armv6* | armv6) = armv6,
(armv5* | armv5) = armv5
(s390x) = s390x

Примеру ответа как у меня:

 

Пример настройки KeenDNS на панель:

Спойлер

1) В панельке берём IP главного Bridge0, у меня Bridge0 = 192.168.160.1

2) В KeenDNS прописываем всё на основание скрина ниже, в IP указать Bridge0, порт который будет в 3X-UI, протокол HTTPS и придумываем свой DNS.

3) Собираем как на скрине ниже, в главном меню скрипта выбираем "SSL Self-signed Certificate Generation", скрипт предложит установить сертификаты и установить IP панели, согласитесь установить SSL и IP поставьте свой Bridge0 в IP, про порт тоже не забудьте, домен прописывать в отличии от S-UI не обязательно.

Готово, теперь можно зайти по KeenDNS в панельку.

 

Исходный код скрипта: GitLab

Исходный код 3x-ui: GitHab 

Изменено 2 декабря, 2025 пользователем Tommi

[Wolkill]

Благодаря Вашему скрипту, установил на своём Keenetic Ultra KN-1811 версию 3X-UI 2.8.8
Завёл панельку, поигрался с ней в KeenDNS. Всё работает, радует глаз.

Ну и, имея в распоряжении белый IP от провайдера, простыми настройками  добился того, чтобы работали инбаунды и клиенты Reality.

В общем работает не хуже чем на далеких VPSках.

Мелочь, но дополнительный контур лишним не будет.

Если есть к этому интерес у сообщества, могу расписать подробно алгоритм настроек для белого IP.

[igorez]

В 24.01.2026 в 01:52, Wolkill сказал:

Благодаря Вашему скрипту, установил на своём Keenetic Ultra KN-1811 версию 3X-UI 2.8.8
Завёл панельку, поигрался с ней в KeenDNS. Всё работает, радует глаз.

Ну и, имея в распоряжении белый IP от провайдера, простыми настройками  добился того, чтобы работали инбаунды и клиенты Reality.

В общем работает не хуже чем на далеких VPSках.

Мелочь, но дополнительный контур лишним не будет.

Если есть к этому интерес у сообщества, могу расписать подробно алгоритм настроек для белого IP.

Здравствуйте!

Распишите пожалуйста настройки для белого ip.

Интереснa настройка vless tls reality 

SNI: ads.x5.ru

Изменено 26 января пользователем igorez

[Wolkill]

При первоначальной настройке, когда отработал скрипт я отказался от установки сертификатов ssl
Путь к панели изменил с /spub/ на /guano/, подойдет любое имя отличное от /spub/

В консоли настройка x-ui выглядит так:

Спойлер

In panel listen IP: 0.0.0.0

current panel settings as follows:
Warning: Panel is not secure with SSL
hasDefaultCredential: false
port: 2053
webBasePath: /guano/

cert:
key:

Access URL: http://whiteip:2053/guano/

Local Access URL: http://192.168.1.1:2053/guano/

Панель настраивал на порт 2053, доступ только из локалки.

Настройка в панели роутера:

Спойлер

 

Спойлер

~ # netstat -tulpn | grep
xray tcp 0 0 127.0.0.1:62789
0.0.0.0:* LISTEN 1347/xray-linux-arm tcp 0 0 127.0.0.1:11111
0.0.0.0:* LISTEN 1347/xray-linux-arm tcp 0 0
:::8443 :::* LISTEN 1347/xray-linux-arm

Клиенты будут работать только через порт 8443

Соответственно этот порт открыт наружу.

inbound в самой панели создал на 8443 порт

Дальше по классике, экспериментируйте по гайдам настройки панели x-ui, аналогично VPS, только порты открывайте, какие нужно.

Указанная Вами настройка завелась.

 

Изменено 27 января пользователем Wolkill

[andronidze]

Уважаемый Tommi, спасибо за Ваш скрипт, отработал прекрасно - смог установить подключение клиентом к роутеру, но интересует один момент - есть ли возможность производить перенаправление трафика, поступающего от клиента в локальную сеть, а не сразу в WAN? 

Опишу подробнее:
у меня есть старый сервер в домашней сети, который до этого выступал в роли сервера 3xui для клиентов (например, мой телефон), на роутере тем временем настроена маршрутизация по доменам (magitrickle), и в такой конфигурации трафик от клиента маршрутизируется согласно правилам. Но если подключить клиента к 3xui на роутере, то правила маршрутизации не работают или не задействованы. Были мысли, что предыдущая реализация magitrickle, также использовала singbox, но после установки 3xui, маршрутизация внутри сети не поменялась, а не маршрутизируется только трафик от клиента 3xui на роутере. 

конкретного и подробного ответа не прошу, если вдруг есть мысли куда копать - буду рад, если поделитесь! Заранее спасибо! 

[nickzakh]

Добрый день.
Спасибо за скрипт.
Очень не хватает для mips, т.к. даже на kn-2610 приходится дополнительно городить ещё одно доп.устройство

[pegakmop]

В 05.02.2026 в 23:32, nickzakh сказал:

Очень не хватает для mips

Есть собранная под все архитектуры кинетика, но только толку особо не много, даже мипсел тяжко ворочается, мипс наверное совсем повиснет

[byDG]

А как правильно настроить в роутере или в панели чтобы нормально шёл UDP трафик? А то Discord не работает на голосовые.

[mr.robot]

On 1/27/2026 at 4:07 PM, andronidze said:

у меня есть старый сервер в домашней сети, который до этого выступал в роли сервера 3xui для клиентов (например, мой телефон), на роутере тем временем настроена маршрутизация по доменам (magitrickle), и в такой конфигурации трафик от клиента маршрутизируется согласно правилам. Но если подключить клиента к 3xui на роутере, то правила маршрутизации не работают или не задействованы. Были мысли, что предыдущая реализация magitrickle, также использовала singbox, но после установки 3xui, маршрутизация внутри сети не поменялась, а не маршрутизируется только трафик от клиента 3xui на роутере. 

У меня получилось это реализовать следующим образом, но с продолжением инструкции @Wolkill. Идея была в том, что пакет nfqws2 не может работать с телегой и поэтому нужно этот трафик перенаправлять к другой забугорской панели 3x-ui (каскад).

Вот какая была идея:

• Клиент отправляет любой запрос (телега, ютуб, сайты).
• Keenetic видит, что клиент находится в политике Xray, и отправляет весь его трафик в SOCKS5 на локальный адрес 127.0.0.1.
• Локальный Xray (3x-ui) принимает этот трафик через Inbound mixed.
• Xray применяет правила маршрутизации (Routing): Telegram по geoip:telegram улетает забугор.
• Весь остальной трафик ноутбука (включая YouTube) Xray отправляет в канал direct, помечая его меткой 200.
• Скрипт в iptables ловит эту метку 200 и отправляет пакеты в nfqws2.

Сделал следующее:

1. Промаркировал этот трафик в 3x-ui, канал с тегом direct

Spoiler

{
  "protocol": "freedom",
  "settings": {},
  "tag": "direct",
  "streamSettings": {
    "sockopt": {
      "mark": 200
    }
  }
}

Сохранил и перезапустил панель

2 Проверил номер очереди через iptables-save | grep NFQUEUE. Чтобы пустить прямой трафик от Xray (которому мы задали метку 200) в движок nfqws, нам нужно направить этот трафик прямо в цепочку nfqws_post.

Spoiler

Создал файл /opt/etc/ndm/netfilter.d/100-xray-to-nfqws.sh

 

#!/bin/sh
[ "$type" == "ip6tables" ] && exit 0
[ "$table" != "mangle" ] && exit 0

# Отправляем промаркированный трафик Xray (mark 200) 
# в пользовательскую цепочку nfqws_post
iptables -t mangle -A OUTPUT -p tcp -m mark --mark 200 -j nfqws_post
iptables -t mangle -A OUTPUT -p udp -m mark --mark 200 -j nfqws_post

Сделал скрипт исполняемым chmod +x /opt/etc/ndm/netfilter.d/100-xray-to-nfqws.sh и применил правила

iptables -t mangle -A OUTPUT -p tcp -m mark --mark 200 -j nfqws_post
iptables -t mangle -A OUTPUT -p udp -m mark --mark 200 -j nfqws_post

3. Создание точки входа для клиента (Inbound). В панели 3x-ui в настройках вашего Inbound добавил подключения mixed. В поле Listen IP вместо 127.0.0.1 прописал 192.168.1.1. Порт: 1080

4. Создал подключение SOCKS в веб-интерфейсе Keenetic. Адрес сервера: 192.168.1.1, Порт: 1080, логин и пароль.

5. Добавить политику. В Приоритеты подключений добавил Xray, чтобы добавить отдельных клиентов для этого. Перетащил вверх и сделал его основным.

Все работает хотя бы на уровне чатов. Правда голос тормозит. Сейчас правда подумал, что возможно это же можно было бы реализовать и через квас. Как вариант