sing box на keenetic

sing-box на keenetic

sing-box на keenetic — работает ли на самом деле?

Подробный гайд: sing-box на keenetic. Настройка, проверка утечек, сравнение протоколов и скрытые риски. Не повторяй чужих ошибок — читай до конца.

sing-box на keenetic — не просто модное словосочетание в телеграм-каналах про приватность. Это попытка заставить универсальный прокси-стек работать на ограниченном железе домашнего роутера от компании «Кинетик». Удастся ли? И главное — безопасно ли?

Почему Keenetic — особый случай

Большинство гайдов по VPN пишут под OpenWrt или AsusWRT. Там есть полноценный Linux, пакетный менеджер, поддержка iptables/nftables. Keenetic — другое дело. Его ОС (NDMS) — проприетарная, закрытая, с ограниченным CLI и странной логикой маршрутизации. Даже простой ping иногда требует магии.

Но именно поэтому sing-box на keenetic интересен. Если вы получите работающий стек с поддержкой Shadowsocks, VLESS, Trojan и WireGuard одновременно — это победа над архитектурой. Однако цена этой победы — постоянный риск утечек при перезагрузке, обновлении прошивки или даже смене Wi-Fi канала.

Какие угрозы реально решает VPN на роутере

Не все понимают разницу между «установил браузерный расширение» и «поднял шифрованный туннель на роутере». Вот что даёт именно sing-box на keenetic:

• Полная изоляция IoT-устройств: ваш умный чайник, камера и колонка больше не отправляют данные напрямую провайдеру. Весь их трафик идёт через зашифрованный канал.
• Защита от DPI Ростелекома/МТС: Deep Packet Inspection в России активно используется для блокировки Telegram, YouTube и торрент-трекеров. Sing-box умеет маскировать трафик под HTTPS или даже WebRTC.
• Единая точка контроля: не нужно настраивать клиент на каждом устройстве. Особенно актуально для гостей, детей или старых телефонов без поддержки современных протоколов.
• Обход geo-блокировок на уровне сети: Netflix, Spotify, даже некоторые игры — всё будет видеть IP вашего сервера, а не российский.

Но помни: если ты используешь бесплатный сервер в конфиге — ты уже в зоне риска. Об этом ниже.

Чего вам НЕ говорят в других гайдах

Большинство инструкций заканчиваются строкой «и всё заработало!». Реальность жестче.

Бесплатные конфиги = продажа твоего трафика

Sing-box — клиент. Он не предоставляет серверы. Люди скачивают .json-конфиги с форумов или Telegram-каналов. Многие из них указывают на «бесплатные» ноды. На деле такие ноды:
- Логируют весь трафик (IP, домены, объёмы).
- Продают данные рекламным сетям или аналитическим фирмам.
- Иногда внедряют JavaScript-трекеры прямо в HTTP-ответы.

В 2023 году исследователи обнаружили, что 68% «бесплатных» Shadowsocks-серверов передавали метаданные третьим лицам. Это не теория — это практика.

Kill switch — иллюзия на Keenetic

Даже если ты настроил политику «только через туннель», при перезагрузке роутера NDMS может на несколько секунд включить NAT без правил фильтрации. За это время:
- Смартфон отправит запрос к Google FCM.
- Windows-ПК зарегистрируется в домене Microsoft.
- Приставка обновит прошивку напрямую.

Это называется временной утечкой при старте. В настоящих enterprise-решениях её закрывают аппаратными firewall’ами. На Keenetic — почти невозможно.

Юрисдикция и «no-log policy» — бумажка

Даже если ты используешь платный провайдер с заявленной политикой «no logs», спроси:
- Где физически расположен сервер?
- Подчиняется ли он законам Five Eyes, Nine Eyes или Fourteen Eyes?

Если ответ — да, то при запросе ФСБ или Europol данные могут быть переданы без твоего ведома. Аудиты типа Cure53 проверяют код, но не юридические обязательства хостинга.

Fake-утечки и поддельные тесты

Многие пользователи проверяют работу через ipleak.net и радуются «чистому» результату. Но:
- WebRTC-утечки блокируются только в браузере, не на уровне ОС.
- DNS-запросы от Android могут уходить напрямую, если DHCP-сервер роутера не переопределён.
- IPv6 часто остаётся «открытым», так как sing-box по умолчанию работает только с IPv4.

Техническая реализация: что внутри sing-box

Sing-box — не просто обёртка. Это полноценный network stack с поддержкой:

Шифрование по умолчанию — AES-128-GCM или ChaCha20-Poly1305. Оба поддерживают Perfect Forward Secrecy (PFS): даже если ключ сессии украден, расшифровать прошлый трафик нельзя.

Но! На слабых CPU (Keenetic Lite, Air) ChaCha20 даёт на 30% больше скорости, чем AES, потому что не требует аппаратного ускорения.

Сравнение реальных провайдеров (2026)

Не все сервисы одинаково полезны. Вот объективное сравнение по данным независимых тестов (включая скорость, юрисдикцию и прозрачность):

Важно: даже «без логов» не означает «без метаданных». Некоторые провайдеры временно хранят IP для борьбы с DDoS — это тоже риск.

🔐Защити свои данные

Пошаговая настройка sing-box на Keenetic

Шаг 1. Подготовка

• Убедись, что у тебя Keenetic с поддержкой Entware (Giga, Ultra, Expert). На Start/Air — не заведётся.
• Установи Entware через официальный скрипт:
  sh wget http://bin.entware.net/mipselsf-k3.4/installer/generic.sh -O - | sh
• Обнови пакеты: opkg update && opkg upgrade

Шаг 2. Установка sing-box

opkg install ca-certificates
wget https://github.com/SagerNet/sing-box/releases/latest/download/sing-box-*-linux-mipsle.tar.gz
tar -xzf sing-box-*-linux-mipsle.tar.gz
cp sing-box /opt/bin/
chmod +x /opt/bin/sing-box

Шаг 3. Конфигурация

Создай /opt/etc/sing-box/config.json. Пример для Shadowsocks:

{
  "log": { "level": "warn" },
  "inbounds": [{
    "type": "tun",
    "tag": "tun-in",
    "address": "172.19.0.1/30",
    "auto_route": true,
    "strict_route": true,
    "sniff": true
  }],
  "outbounds": [{
    "type": "shadowsocks",
    "tag": "ss-out",
    "server": "your-server.com",
    "server_port": 443,
    "method": "chacha20-ietf-poly1305",
    "password": "your_password"
  }],
  "route": {
    "rules": [
      { "ip_is_private": true, "outbound": "direct" },
      { "domain_suffix": ["google.com", "youtube.com"], "outbound": "ss-out" }
    ],
    "final": "ss-out"
  }
}

Split tunneling: правило "ip_is_private": true исключает локальный трафик (роутер, принтеры) из туннеля.

🔐Защити свои данные

Шаг 4. Автозапуск

Создай скрипт /opt/etc/init.d/S99singbox:

#!/bin/sh
/opt/bin/sing-box run -c /opt/etc/sing-box/config.json &

Сделай исполняемым: chmod +x /opt/etc/init.d/S99singbox

Шаг 5. Проверка утечек

• Зайди на ipleak.net — должен показывать IP сервера.
• Проверь WebRTC: browserleaks.com/webrtc — IP должен совпадать.
• Отключи Wi-Fi на телефоне и включи мобильный интернет — убедись, что трафик не уходит напрямую.

Сценарии использования в реальной жизни

Журналист в командировке

Подключается к общественному Wi-Fi в аэропорту Домодедово. Без VPN его трафик виден провайдеру и возможным MITM-атакующим. С sing-box на keenetic весь трафик шифруется ещё до выхода из роутера. Даже если ноутбук заражён трояном, тот не увидит реальные домены.

Айтишник в кофейне

Работает в «Кофемании» на Арбате. Его SSH-сессии, Git-пуши и Jira-запросы идут через корпоративный туннель. Но личные устройства (iPad, телефон) тоже защищены — потому что роутер сам является VPN-клиентом.

Пользователь торрентов

Хочет качать без риска писем от правообладателей. Важно: только если провайдер не логирует и сервер поддерживает P2P. Mullvad разрешает торренты на всех серверах. Hidemy.name — только на выделенных.

Обход блокировки Telegram

В 2024 году Роскомнадзор снова начал массовые блокировки по IP. Sing-box с VLESS+TLS маскирует трафик под обычный HTTPS к cloudflare.com. DPI не различает — соединение проходит.

FAQ

VPN замедляет интернет на сколько реально?

Зависит от протокола и сервера. WireGuard добавляет 5–15 мс пинга и снижает скорость на 3–8%. Shadowsocks — до 12% из-за двойного шифрования. На Keenetic с медленным CPU потеря может достигать 25%, особенно при AES.

Технологии будущего🤖

Меня найдёт спецслужба при использовании VPN?

Если ты используешь бесплатный или российский провайдер — да, легко. Если же выбран audited-сервис вне 14 Eyes (например, Mullvad в Швеции), то для получения данных нужен международный запрос, который занимает месяцы. Но учти: если ты авторизован в аккаунтах (Google, VK), они сами передают твой IP.

WireGuard или OpenVPN — что безопаснее?

WireGuard современнее: меньше кода (≈4000 строк против 100 000 у OpenVPN), быстрее, поддерживает PFS «из коробки». OpenVPN надёжнее в сетях с частыми обрывами (лучше восстанавливает сессию). Для Keenetic предпочтителен WireGuard — если железо поддерживает.

Можно ли использовать sing-box без root или прошивки?

На Keenetic — только через Entware, который требует включения компонента «Командная строка» в веб-интерфейсе. Это не root, но даёт доступ к файловой системе. Без этого — никак.

🛠️Инструмент для работы

Что делать, если после обновления Keenetic всё сломалось?

Entware и кастомные бинарники удаляются при сбросе до заводских. Всегда делай бэкап /opt/etc/sing-box/config.json. После обновления переустанавливай Entware и sing-box — конфиг можно вернуть.

Будет ли работать IPv6?

По умолчанию — нет. Sing-box пока плохо поддерживает IPv6 в TUN-режиме на MIPS. Рекомендуется отключить IPv6 в настройках Keenetic, чтобы избежать утечек.

Вывод

sing-box на keenetic — это мощный, но хрупкий инструмент. Он даёт контроль над всем сетевым трафиком в доме, маскирует соединения от DPI и защищает даже «глупые» устройства. Но цена — постоянное внимание к деталям: проверка утечек, ручное восстановление после обновлений, выбор доверенного сервера.

Если ты готов потратить 2–3 часа на настройку и тестирование — результат того стоит. Если же ищешь «установил и забыл» — лучше взять коммерческий роутер с предустановленным WireGuard (например, от GL.iNet).

Главное: не верь «бесплатным» конфигам, не считай kill switch абсолютной защитой и всегда проверяй результат через сторонние сервисы. Потому что sing-box на keenetic — не волшебная таблетка, а инструмент в руках осознанного пользователя.