TrustTunnel на Keenetic - скрипт установки и настройки

[ArtEvs]

TrustTunnel - это современный открытый VPN-протокол, изначально разработанный AdGuard VPN.

Клиент доступен для архитектур mips, mipsel, aarch64.

 

Что делает скрипт

Я подготовил набор shell-скриптов для автоматической установки и настройки TrustTunnel-клиента на роутерах Keenetic с установленным Entware: https://github.com/artemevsevev/TrustTunnel-Keenetic

Скрипт берёт на себя:

• Установку клиента TrustTunnel нужной архитектуры (mips, mipsel, aarch64)
• Создание интерфейса в Keenetic (Proxy или OpkgTun) через ndmc
• Установку init-скрипта автозапуска (S99trusttunnel)
• Установку WAN-хука для переподключения при смене WAN
• Watchdog с exponential backoff (до 10 попыток перезапуска)
• Health check — мониторинг реальной связности через туннель с автоматическим перезапуском при потере соединения
• Ротацию логов

 

Два режима работы

SOCKS5 - проще в настройке, работает на всех прошивках. Клиент поднимает SOCKS5-прокси на 127.0.0.1:1080, скрипт создаёт интерфейс Proxy в Keenetic, после чего можно направлять трафик нужных устройств/сайтов через это соединение.

TUN - полноценный туннель. Работает только на прошивке версии 5+. Клиент создаёт интерфейс tun0, init-скрипт переименовывает его в opkgtunN, после чего Keenetic видит его как стандартный интерфейс OpkgTun и позволяет настраивать маршрутизацию и файрвол через веб-интерфейс.

 

Предварительные требования

1. Установленный Entware https://help.keenetic.com/hc/ru/articles/360021214160 на роутере
2. Пакет curl (opkg update && opkg install curl)
3. Для SOCKS5: установленный компонент «Клиент прокси» в KeeneticOS
4. Настроенный TrustTunnel-сервер на VPS (https://github.com/TrustTunnel/TrustTunnel)

 

Установка

На роутере выполняется одна команда:

curl -fsSL https://raw.githubusercontent.com/artemevsevev/TrustTunnel-Keenetic/main/install.sh | sh

Интерактивный мастер предложит:

1. Выбрать режим работы (SOCKS5 или TUN)
2. Автоматически определит свободные индексы интерфейсов
3. Создаст интерфейс в Keenetic
4. Установит клиент TrustTunnel

После установки нужно положить конфигурацию клиента (экспортированную с сервера) в /opt/trusttunnel_client/trusttunnel_client.toml и запустить сервис:

/opt/etc/init.d/S99trusttunnel start

 

Управление сервисом

/opt/etc/init.d/S99trusttunnel start    # Запуск
/opt/etc/init.d/S99trusttunnel stop     # Остановка
/opt/etc/init.d/S99trusttunnel restart  # Перезапуск
/opt/etc/init.d/S99trusttunnel status   # Статус
/opt/etc/init.d/S99trusttunnel reload   # Мягкий перезапуск (watchdog перезапустит клиент)

Лог:

cat /opt/var/log/trusttunnel.log

 

Как это работает

• При загрузке роутера Entware автоматически запускает S99trusttunnel
• Watchdog следит за процессом клиента и перезапускает его при падении
• Health check периодически проверяет реальную связность через туннель (настраивается в mode.conf)
• WAN-хук автоматически переподключает клиент при смене WAN-соединения

Подробная документация и troubleshooting - в https://github.com/artemevsevev/TrustTunnel-Keenetic.
 

Изменено 8 февраля пользователем ArtEvs

[FLK]

А чем от vless-о-подобных сие чудо отличается?

[ArtEvs]

1 hour ago, FLK said:

А чем от vless-о-подобных сие чудо отличается?

На сайте пишут, что протокол работает быстрее. Каждое соединение получает отдельный стрим, в рамках которого несколько пакетов группируются для передачи. Так снижаются накладные расходы.

Я попробовал. В спидтесте скорость примерно такая же. Но по ощущениям тяжелые страницы в браузере быстрее прогружаются.

QUIC сразу завелся. На Xray QUIC не работал нормально.

[rkt1574]

Настраивал строго по инструкции. 
opkgtun0 вроде поднимается, но в веб интерфейсе keenetic траффика 0. Если направляю любое устройство через этот туннель инета нет.
ip link show opkgtun0 55: opkgtun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1280 qdisc fq_codel state UNKNOWN mode DEFAULT group default qlen 500 link/none 

# curl --interface opkgtun0 -4 ifconfig.me  выдает ip сервера

Что я делаю не так?

[zaknafein]

В 09.02.2026 в 17:10, ArtEvs сказал:

На сайте пишут, что протокол работает быстрее. Каждое соединение получает отдельный стрим, в рамках которого несколько пакетов группируются для передачи. Так снижаются накладные расходы.

Я попробовал. В спидтесте скорость примерно такая же. Но по ощущениям тяжелые страницы в браузере быстрее прогружаются.

QUIC сразу завелся. На Xray QUIC не работал нормально.

добрый вечер. ставлю и ошибка

Скачиваю скрипт конфигурации...
Выберите режим работы TrustTunnel:
  1) SOCKS5 — проксирование через интерфейс Proxy (по умолчанию)
  2) TUN    — туннель через интерфейс OpkgTun (только для прошивки 5.x)
Режим [1]: 1
Выбран режим: socks5

Индекс интерфейса Proxy (по умолчанию 0):
Интерфейс: Proxy0

Создаю директории...
Скачиваю S99trusttunnel...
Скачиваю 010-trusttunnel.sh...
Сохраняю режим в /opt/trusttunnel_client/mode.conf...
mode.conf сохранён (TT_MODE=socks5).
Создать интерфейс TrustTunnel? (y/n) y
Создаю интерфейс Proxy0...
Network::Interface::Repository error[6553602]: unsupported interface type: "Proxy".

!!! Установка прервана из-за ошибки (код: 122) !!!
Для повторной установки запустите скрипт заново.

keenetik giga 5.0.4

[hoaxisr]

В 09.02.2026 в 11:58, FLK сказал:

А чем от vless-о-подобных сие чудо отличается?

Это тоже vless-о-подобное чудо  мимикрия под https.

[hoaxisr]

15 минут назад, zaknafein сказал:

keenetik giga 5.0.4

установите компонент системы "Клиент прокси". Или используйте opkgtun в 5.0.4 он как раз доступен.

[zaknafein]

помогло. а в конфиге в листенере какой логин пасс писать?не запускается чет впн клиент

 ERROR [6109] TRUSTTUNNEL_CLIENT_APP main: Failed parsing configuration: Error while parsing key-value pair: cannot redefine existing string 'username'

как понять что до сервера достучался клиент?

Изменено 10 февраля пользователем zaknafein

[ArtEvs]

 Для режима Proxy (socks5)

[listener]

[listener.socks]
address = "127.0.0.1:1080"
username = ""
password = ""

Не нужно указывать логин и пароль.

Для проверки можно выполнить команду:

cd /opt/trusttunnel_client/
./trusttunnel_client -c trusttunnel_client.toml

Должно в конце вывестись, если подключится:

08.02.2026 23:31:22.083803 INFO  [12442] TRUSTTUNNEL_CLIENT_APP operator(): Successfully connected to endpoint

 

 

[ArtEvs]

3 hours ago, rkt1574 said:

Настраивал строго по инструкции. 
opkgtun0 вроде поднимается, но в веб интерфейсе keenetic траффика 0. Если направляю любое устройство через этот туннель инета нет.
ip link show opkgtun0 55: opkgtun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1280 qdisc fq_codel state UNKNOWN mode DEFAULT group default qlen 500 link/none 

# curl --interface opkgtun0 -4 ifconfig.me  выдает ip сервера

Что я делаю не так?

А если устройство не добавлять в политику, но настроить dns-маршрутизацию на интерфейс? У меня так работает.

Посмотрю, что не так с политиками.

[rkt1574]

~ # ip rule show
0:      from all lookup local 
100:    from all fwmark 0xffffaaa lookup 4096 
101:    from all fwmark 0xffffaaa blackhole
102:    from all fwmark 0xffffaab lookup 4097 
103:    from all fwmark 0xffffaab blackhole
104:    from all fwmark 0xffffaac lookup 4099 
105:    from all fwmark 0xffffaac blackhole
106:    from all fwmark 0xffffaad lookup 4100 
107:    from all fwmark 0xffffaad blackhole
108:    from all fwmark 0xffffaae lookup 4102 
109:    from all fwmark 0xffffaae blackhole
110:    from all fwmark 0xffffaaf lookup 4104 
111:    from all fwmark 0xffffaaf blackhole
112:    from all fwmark 0xffffab0 lookup 4106 
114:    from all fwmark 0xffffab1 lookup 4107 
116:    from all fwmark 0xffffab2 lookup 4108 
118:    from all fwmark 0xffffab3 lookup 4109 
122:    from all fwmark 0xffffaba lookup 4111 
123:    from all fwmark 0xffffaba blackhole
124:    from all fwmark 0xffffabb lookup 4112 
125:    from all fwmark 0xffffabb blackhole
126:    from all fwmark 0xffffabc lookup 4113 
127:    from all fwmark 0xffffabc blackhole
128:    from all fwmark 0xffffabd lookup 4114 
130:    from all fwmark 0xffffabe lookup 4115 
1154:   from 1----------- lookup 16386 
1174:   from 172.20.12.2 lookup 16396 
1176:   from 172.20.12.3 lookup 16397 
1178:   from 10.8.1.2 lookup 16398 
1182:   from 10.8.193.2 lookup 16400 
32766:  from all lookup main 
32767:  from all lookup default 

~ # ip route show table 200
~ # 

 

Тут у меня провайдер, 2 прокси и 2 awg. Маршрутизация не поднимается. Как допустим в awg-go. Через socks5 все работает, да. Но хотелось бы opkgtun настроить так, чтобы можно было через dns маршруты рулить

Изменено 10 февраля пользователем rkt1574

[ArtEvs]

16 hours ago, rkt1574 said:

Тут у меня провайдер, 2 прокси и 2 awg. Маршрутизация не поднимается. Как допустим в awg-go. Через socks5 все работает, да. Но хотелось бы opkgtun настроить так, чтобы можно было через dns маршруты рулить

Поправил.

Нужно внести изменения в toml файл:

[listener]

[listener.tun]
bound_if = ""
included_routes = []
excluded_routes = []
change_system_dns = false
mtu_size = 1280

Здесь не должно быть ip-адресов. Они конфликтовали с настройками роутера.

Далее обновить скрипты:

curl -fsSL https://raw.githubusercontent.com/artemevsevev/TrustTunnel-Keenetic/main/install.sh | sh

Там выбрать опцию пересоздания интерфейса:

Создать интерфейс TrustTunnel? (y/n) y
Интерфейс OpkgTun3 уже настроен, пропускаю создание.
Network::RoutingTable: Added static route: 0.0.0.0/0 via OpkgTun3.
Core::System::StartupConfig: Saving (cli).
Конфигурация сохранена.

Скриптом выполнится команда:

ip route default OpkgTun0

Изменено 11 февраля пользователем ArtEvs

[snark]

Network::Ip6::RoutingTable: unable to resolve 'tun0' '' 'fd01::2/128' '::'.

Не успевает из-за переименования?

 

[rkt1574]

3 часа назад, ArtEvs сказал:

Поправил.

Да, заработало). Только что-то в сис мониторе траффик не отображается. interface OpkgTun0 ip global auto - не помогло. Хотя это так мелочь.

[zaknafein]

здравствуйте. так и не получается запустить. вроде при ручной проверке пишет что подключен. но при включении интерфейса на кинетике через него трафик не идет. и еще вопрос в файле mode что за ip?

 

в логах пишет что все ОК. я может на роутере что то не так делаю?

 

 

Изменено 15 февраля пользователем zaknafein

[ArtEvs]

7 hours ago, zaknafein said:

здравствуйте. так и не получается запустить. вроде при ручной проверке пишет что подключен. но при включении интерфейса на кинетике через него трафик не идет. и еще вопрос в файле mode что за ip?

Добрый день. IP в mode используется для режима TUN. На этом IP TrustTunnel поднимает интерфейс. Не используется в варианте Proxy.

Можно попробовать удалить Proxy-подключение в интерфейсе роутера и добавить вручную:

Еще посмотреть логи TrustTunnel в /opt/var/log/trusttunnel.log. И сообщения в интерфейсе роутера в Диагностике.

Нужно проверить, что в trusttunnel_client.toml настроено так (для режима Proxy):

[listener]

[listener.socks]
address = "127.0.0.1:1080"
username = ""
password = ""

По умолчанию там это закомментировано.

Изменено 15 февраля пользователем ArtEvs

[zaknafein]

1 час назад, ArtEvs сказал:

Добрый день. IP в mode используется для режима TUN. На этом IP TrustTunnel поднимает интерфейс. Не используется в варианте Proxy.

Можно попробовать удалить Proxy-подключение в интерфейсе роутера и добавить вручную:

Еще посмотреть логи TrustTunnel в /opt/var/log/trusttunnel.log. И сообщения в интерфейсе роутера в Диагностике.

Нужно проверить, что в trusttunnel_client.toml настроено так (для режима Proxy):

[listener]

[listener.socks]
address = "127.0.0.1:1080"
username = ""
password = ""

По умолчанию там это закомментировано.

создал вручную и как будто заработало. какой то трафик начал ходить. но все равно инета на устройстве нет. я же правильно сделал группу и назначил туда прк4сти?

[zaknafein]

такая картина в логах роутера. еще смущает что принятого трафика в сотни раз меньше отпревленного

Изменено 15 февраля пользователем zaknafein

[Maxi08pa]

вот такая ошибка при установке возникает(

/ # curl -fsSL https://raw.githubusercontent.com/artemevsevev/TrustTunnel-Keenet
ic/main/install.sh | sh
curl: (35) Send failure: Connection reset by peer