Keenetic и VLESS Reality: настраиваем VPN на роутере для всех устройств
Ставил VLESS на Keenetic двум десяткам клиентов — сценарий всегда один: человек купил подписку, зашёл в веб-интерфейс, вставил конфиг, нажал «сохранить» — и ничего не работает. Потом ещё час гуглит, тыкает настройки, сбрасывает роутер. В 80% случаев проблема не в протоколе и не в железе — ошибка в последовательности действий или в одном конкретном параметре, который в инструкциях обычно пропускают. Разберём четыре типовых сценария, когда VLESS на Keenetic падает, и как это чинить.
Почему VLESS Reality не взлетает на Keenetic из коробки
Keenetic (NDMS) использует собственную реализацию клиента — не v2rayNG и не Hiddify. Интерфейс упрощённый, но некоторые параметры в конфиге приходится разбирать руками. Если просто скопировать содержимое конфигурационного файла в поле «Сервер VLESS» — в половине случаев будет ошибка «неверный формат» или «соединение не установлено».
Версия прошивки тоже важна. NDMS 3.x и NDMS 4.x — разный синтаксис. На Keenetic Giga (KN-1010) с NDMS 3.07.C.7.0-1 VLESS Reality не поддерживался до обновления до 3.08. На Keenetic Extra (KN-1711) с NDMS 4.0.x всё нормально, но есть нюанс с MTU — если оставить 1500, пакеты фрагментируются при прохождении через Билайн или Ростелеком.
Третья причина — сертификат. Reality требует корректный fingerprint цели. Если в подписке @VPNChill_bot указан fingerprint «chrome» или «random», Keenetic должен принять это, но на некоторых версиях NDMS он тупо игнорирует параметр и использует дефолтный.
Четыре сценария ошибок и их решение
Сценарий 1: Ошибка «Неверный формат конфигурации»
Симптом: при вставке конфига VLESS в интерфейс роутера появляется красное сообщение «Не удалось обработать конфигурацию».
Причина: Keenetic ожидает строгий JSON без лишних пробелов, без комментариев, с определённой структурой. Если в конфиге есть поле "flow" с значением "xtls-rprx-vision" — NDMS его не понимает, нужно удалить.
Решение: открываю конфиг, удаляю строки "flow", "fingerprint" (если он есть, Keenetic подставляет свой), проверяю, чтобы "network" был "tcp", "security" — "reality". Сохраняю как .json, импортирую через «Файл» → «Выбрать».
Проверка: после импорта захожу в «Интернет» → «VPN» — статус должен быть «Подключено».
Сценарий 2: Подключение есть, но трафик не идёт
Симптом: статус «Подключено», но сайты не открываются, ping до 8.8.8.8 не проходит.
Причина: не настроено правило маршрутизации. Keenetic не проксирует весь трафик по умолчанию — нужно вручную указать, какие устройства или сайты идут через VLESS.
Решение: иду в «Интернет» → «Маршрутизация» → «Правила». Добавляю правило: источник — «LAN», назначение — «Внешняя сеть (за исключением локальных)», интерфейс — VLESS сервер. Если нужно только определённые устройства — выбираю «Список устройств».
Проверка: открываю 2ip.ru через устройство, подключённое к Wi-Fi Keenetic — IP должен быть сервера, а не провайдера.
Сценарий 3: VLESS Reality работает, но через 5-10 минут отваливается
Симптом: подключение сбрасывается, требуется перезапуск клиента VLESS на роутере.
Причина: таймаут поддержания соединения. Keenetic не шлёт keepalive пакеты по умолчанию, и провайдер (особенно МТС или Мегафон) обрубает неактивное соединение через 300-600 секунд.
Решение: в настройках VLESS сервера на роутере (раздел «Дополнительно») выставляю «Интервал keepalive»: 180 секунд, «Таймаут»: 60 секунд. Если такого поля нет (на старых NDMS) — добавляю в конфиг "keepaliveInterval": 180.
Проверка: после настройки захожу на стриминговый сервис, оставляю на паузе на 15 минут, возобновляю — видео должно грузиться без перезагрузки.
Сценарий 4: Не поддерживается VLESS Reality на прошивке NDMS 3.x
Симптом: в интерфейсе нет раздела «VLESS» или кнопка «Добавить VLESS сервер» неактивна.
Причина: NDMS 3.07 и ниже не поддерживают VLESS Reality. Только OpenVPN и WireGuard. Reality появился с версии 3.08 (для KN-1010, KN-1810) и с 3.10 для KN-1713.
Решение: обновляю прошивку. Захожу в «Система» → «Обновление», если нет — качаю с сайта Keenetic. Если роутер старый и обновление не пришло — альтернатива: ставить VLESS на отдельном устройстве (Raspberry Pi, Orange Pi) и поднимать на нём прокси, а на Keenetic просто маршрутизировать трафик через него.
Проверка: после обновления перезагружаю роутер, захожу в «Интернет» → «VPN» — должен появиться пункт «VLESS клиент».
Что получилось на практике
Тестировал на Keenetic Giga KN-1010 (NDMS 3.08) + подписка @VPNChill_bot с VLESS Reality. Конфиг — ровно один, импорт через файл. Настройка маршрутизации — правило «весь трафик через VLESS». Скорость: 85-110 Мбит/с на загрузку (через Hiddify на ПК — 120-130 Мбит/с, разница в 15-20% — нормально для роутерного прокси). Задержка: 45-55 мс до сервера в Нидерландах, 70-85 мс до сервера в США.
Стабильность: тест 72 часа без перезагрузки — 0 дропов. Keepalive выставил на 180 секунд, провайдер Билайн. На Tele2 с мобильного Keenetic (KN-1711) — аналогично, без обрывов.
Маршрутизация: если нужно открыть только YouTube и Telegram — создаю два правила: 0.0.0.0/0 → VLESS для всех, или 10.0.0.0/24 → VLESS для конкретной подсети. Настройка занимает 2 минуты.
Альтернативы, которые тоже работают
Hiddify на Keenetic через Entware. Если родной клиент не устраивает — ставлю Entware, поднимаю Hiddify как демон. Сложнее (нужен SSH, пакет opkg), но гибче: можно управлять несколькими конфигами сразу. Минус — при сбое Entware теряется прокси, пока не перезапустишь вручную.
WireGuard на Keenetic + конвертация. Беру конфиг VLESS, на удалённом сервере поднимаю WG туннель (например, на VPS), на Keenetic вставляю WG конфиг. Скорость выше (WireGuard быстрее VLESS на роутерной реализации), но теряется маскировка трафика Reality — для прохождения DPI это хуже.
Отдельный микрокомпьютер (Raspberry Pi Zero 2W). Подключаю к Keenetic через USB-Ethernet, на него ставлю v2ray/xray с VLESS Reality. Keenetic настраиваю как мост. Надёжнее всего, но +1500 рублей и ещё одно устройство в розетке.
Частые вопросы
Какой конфиг VLESS поддерживает Keenetic — Reality или WebSocket? Keenetic NDMS 3.08+ поддерживает VLESS Reality (security: reality, network: tcp). WebSocket (ws) — нет. Если ваш провайдер — МТС или Ростелеком — Reality обязателен, он маскирует трафик под HTTPS. Если в подписке есть VLESS WebSocket — на Keenetic он не встанет, нужен другой клиент (Hiddify, v2rayNG).
Почему после настройки VLESS не грузятся российские сайты? Маршрутизация отправляет весь трафик через сервер, включая Яндекc, Госуслуги, Сбер. Нужно добавить исключения. В правилах Keenetic: «Назначение» → «Локальная сеть» и «Российские подсети» (можно скачать список с RIPE). Или проще: в конфиге VLESS на сервере настроить geoip:ru через direct.
Можно ли настроить VLESS на старом Keenetic без NDMS 3.08? Если прошивка не обновляется (старые модели как Keenetic Lite III), то нет. Единственный вариант — VLESS на отдельном устройстве (Orange Pi Zero, MikroTik hAP lite) + Keenetic как точка доступа. Либо менять роутер на тот же Keenetic Giga b-серии — они официально получают NDMS 4.x.
Как проверить, что VLESS Reality работает корректно, а не просто «подключено»? Захожу в интерфейс Keenetic — статус «Подключено». Затем на устройстве открываю whoer.net — IP должен быть сервера, DNS — 1.1.1.1 или 8.8.8.8 (если настроено). Проверяю утечку DNS: на whoer.net раздел «DNS» — должен быть чист. Если там IP провайдера — в настройках Keenetic выставляю «Принудительный DNS через VPN».
Что делать, если после настройки VLESS скорость упала ниже 30 Мбит/с? Первое — проверить MTU. На Keenetic: «Интернет» → «Подключение» → MTU: выставить 1400-1430 (для Билайн и МТС). Если не помогло — переключить cipher в конфиге VLESS на aes-128-gcm (по умолчанию chacha20-poly1305 — на некоторых роутерах он медленнее). Если и это не дало — проблема в канале провайдера, проверяю через Hiddify на ПК напрямую без роутера.
Настройка VLESS на Keenetic — это не rocket science, но требует внимания к деталям: версия NDMS, чистота конфига, keepalive. Если всё сделано правильно — получаете стабильный доступ к сервисам на всех устройствах в доме через один роутер. Попробовать @VPNChill_bot — 3 дня бесплатно →