[4.2 альфа 15 - 4.2 alpha 16 сломали проброс портов внутри туннелей]

8 часов назад, Mnior сказал:

И чем всё закончилось?
Проброс портов в другие интерфейсы всё?

Сильно не бейте (не сильно разбираюсь), но когда смотрю show ip nat то вобще не понимаю что происходит - In/Out не сходится, зеркально, в случае указания IP из другой сети. Для локальной всё норм. 

PS: Буду рад если в двух словах опишите почему In/Out в show ip nat  не всегда зеркален.

Долго объяснял поддержке что я не верблюд. Там мне предлагали удалить отключенные правила фаервола (видимо на всякий случай), это ожидаемо не принесло результата.

Понял что мою проблему далее 1 линии ТП не продвинут, хотя я предоставил все селфтесты (несколько раз на разных прошивках) и все данные для воспроизведения и просто переделал свою конфигу с проброса портов на чистую маршрутизацию между сетями без NAT.

Первая линия ТП опустила руки и сказала, что если им удастся воспроизвести у себя "на столе" то они обязательно передадут разрабам.

Пол года пытался решить на форуме, еще месяц с ТП.

Видимо кроме меня и вас никому port forwarding на других интерфейсах кроме WAN не нужен.

 

[4.2 альфа 15 - 4.2 alpha 16 сломали проброс портов внутри туннелей]

Только что, Leshiyart сказал:

а этот клиент куда проброшен порт использует для выхода в интернет основную политику или дополнительную?

Основная политика.

[4.2 альфа 15 - 4.2 alpha 16 сломали проброс портов внутри туннелей]

В поддержке долго тянули кота за хвост, задавая уточняющие вопросы, в итоге развели руками и сказали переделать на чистую маршрутизацию без NAT и проброса портов.

В моей конфиге это оказалось не так то просто т.к. используется VPN IKEv2 который не подразумевает обратный маршрут в силу специфики реализации.

Пришлось перекраивать пол конфиги, кроить no isolate private, настраивать закрытый фаерволл с запрещающими правилами и переделывать VPN туннели.

Считаю что оф техподдержка стала работать медленно (были обращения ранее, которые отрабатывали за несколько дней) и плохо, т.к. по сути сломанный и ранее заявленный работающим функционал отказались чинить и предлагают костыли вместо этого.

К разработчикам которые на форуме, в частности к вам уважаемый Le ecureuil  претензий нет.

[4.2 альфа 15 - 4.2 alpha 16 сломали проброс портов внутри туннелей]

К сожалению отключение conform для хоста не помогло.

Прикрепляю новый селф тест на 4.3 A5, по нему видно что если пробросить веб морду заббикса через  WAN то проброс работает, а если через VPN туннель, то не работает.

[4.2 альфа 15 - 4.2 alpha 16 сломали проброс портов внутри туннелей]

4.2.2 Beta так и не починили, проброс внутри туннелей не работает.

4.3. Альфа 4 тоже не работает проброс.

4.2.1 Stable не работает port forwarding так же

[4.2 альфа 15 - 4.2 alpha 16 сломали проброс портов внутри туннелей]

4.2 Beta 3 не починили.

Баг же критичный и тянется уже давно.

Приходится сидеть на старой альфе 4.2 А17, столько нового пропускаю.

[4.2 альфа 15 - 4.2 alpha 16 сломали проброс портов внутри туннелей]

4.2 Alpha 17 так же не работает, селф приложил.

[4.2 альфа 15 - 4.2 alpha 16 сломали проброс портов внутри туннелей]

Добрый день, долго сидел на 4.2 alpha 7, решил на днях обновить на 4.2 альфа 15, заметил что не идут бекапы с работы через IPIP туннель где сделан проброс портов, выяснил что проброс портов работает только для интерфейса провайдера, остальные подключения не пробрасывают порты внутрь себя.

Обновился до 4.2 16 альфа и там тоже самое, пришлось откатить до 4.2. альфа 7, там все работает.

[openconnect]

9 минут назад, Le ecureuil сказал:

Попробуйте с 
interface OpenConnect0 debug
снять self-test.

А подскажите полный список команд для коннекта клиента openconnect к серверу.

Сделал openconnect upstream ip port

openconnect authenticate identy username

openconnect authenticate password password 

 

Интерфейс поднимается, но Коннект Стейт down.

interface Openconnect1 up делал

Пробовал прописать ip для интерфейса, это тоже не помогло.

[openconnect]

А клиент скоро планируете сделать?

[Xkeen]

2 минуты назад, Skrill0 сказал:

Если Вы столкнулись с такими проблемами при использовании встроенного прокси-клиента, то может попробовать настроить соединение по tproxy. Это должно решить Вашу задачу)

Cпасибо, сейчас буду курить в эту сторону.

Если есть примеры, буду благодарен!

[Xkeen]

8 минут назад, jameszero сказал:

 

Dr.ZuLuS, через прокси пинги не ходят. Прокси работают на верхнем Прикладном уровне модели OSI, а пинги на третьем Сетевом уровне.

 

Значит вариант с прокси не полностью подходит на роль обхода блокировок для устройств.

Таким образом не будут работать многие устройства и сервисы в сети, получается проще остаться на любом VPN сервисе по желанию + ipset в любом виде + встроенные политики соединений кинетик. Так будет маршрутизироваться всё.

Иначе в этом варианте получается половина сервисов и служб не работают на устройствах.

Ну и имелось в виду, пусть не через прокси, а напрямую, так ведь они совсем перестают ходить.

[Xkeen]

Подскажите пожалуйста, это точно что пинги на хосте который идёт профилем через прокси не будут работать в принципе во вне?

И второй вопрос, если настраивать таким образом выход для всех клиентов на роутере, надо поместить в основном профиле подключение socks первым?

[Xkeen]

2 минуты назад, jameszero сказал:

Попробуйте в роутинге разделить правила для доменов и для ip. Примерно так:

  Скрыть содержимое

// Настройка маршрутизации

{
  "routing": {
    "domainStrategy": "IPIfNonMatch",
    "rules": [
      // Настройка черного списка
      {
        "inboundTag": ["socks-in"],
        "domain": [
          "ext:geosite_v2fly.dat:category-ads-all",
          "keyword:google-analytics",  // Могут быть проблемы с сервисами Google. Нужны тесты
          "keyword:analytics.yandex"  // Могут быть проблемы с сервисами Yandex. Нужны тесты
        ],
        "outboundTag": "block",
        "type": "field"
      },
      
      // Блокируем соединение по уязвимым UDP портам
      {
        "inboundTag": ["socks-in"],
        "network": "udp",
        "port": "135, 137, 138, 139",
        "outboundTag": "block",
        "type": "field"
      },
      
      // Настройка прямых подключений
      {
        "inboundTag": ["socks-in"],
        "domain": [
          "regexp:\\.ru$",
          "ext:geosite_v2fly.dat:category-gov-ru",
          "ext:geosite_v2fly.dat:yandex",
          "ext:geosite_v2fly.dat:xbox",
          "ext:geosite_v2fly.dat:playstation",
          "ext:geosite_v2fly.dat:steam",
          "ext:geosite_v2fly.dat:rockstar",
          "ext:geosite_v2fly.dat:epicgames",
          "ext:geosite_v2fly.dat:gog",
          "ext:geosite_v2fly.dat:vk"
        ],
        "outboundTag": "direct",
        "type": "field"
      },
      {
        "inboundTag": ["socks-in"],
        "ip": [
          "ext:geoip_v2fly.dat:ru",
          "ext:geoip_v2fly.dat:private"
        ],
        "outboundTag": "direct",
        "type": "field"
      },
      
      // Настройка подключений через VPS
      {
        "inboundTag": ["socks-in"],
        "domain": [
          "ext:geosite_antifilter.dat:antifilter-community",
          "ext:geosite_v2fly.dat:openai",
          "ext:geosite_v2fly.dat:paypal",
          "ext:geosite_v2fly.dat:ebay",
          "ext:geosite_v2fly.dat:facebook",
          "ext:geosite_v2fly.dat:instagram"
        ],
        "outboundTag": "proxy",
        "type": "field"
      },
      {
        "inboundTag": ["socks-in"],
        "ip": [
          "ext:geoip_antifilter.dat:antifilter-community",
          "ext:geoip_antifilter.dat:antifilter",
          "ext:geoip_v2fly.dat:facebook",
          "ext:geoip_v2fly.dat:twitter"
        ],
        "outboundTag": "proxy",
        "type": "field"
      }
    ]
  }
}

 

Спасибо, теперь ру сегмент идёт напрямую, но пинги всё равно не бегают.

[Xkeen]

14 минуты назад, Skrill0 сказал:

Да, в начале подумала, что у Вас могла быть первая версия конфигурации.
Ошибка закрылась где-то в routing, еще раз все детально проверю и оповещу Вас, как устраню проблему!
Спасибо за информацию.

И еще момент такой, есть подозрение, что связано с прошивкой самого кинетика, у меня трафик на тестовое устройство не бегает если в профиль помимо подключения прокси не добавить ниже основное подключение провайдера.

[Xkeen]

23 минуты назад, Skrill0 сказал:

Доброго Вам утра!

Для решения Вашей проблемы попробуйте удалить из 10_routing.json

,

// Правило «по умолчанию»
{
  "inboundTag": ["socks-in"],
  "outboundTag": "proxy", // Отправляем все не указанные в списках выше домены в «proxy»
  "type": "field"
}

Обращаю внимание, что запятая в начале — не опечатка. Ее тоже нужно удалить.

В привёденном вами ленивом конфиге его и нет, так у меня сейчас выглядит 10_routing.json:

Скрытый текст

// Настройка маршрутизации

{
  "routing": {
    "domainStrategy": "IPIfNonMatch",
    "rules": [
      // Настройка черного списка
      {
        "inboundTag": ["socks-in"],
        "domain": [
          "ext:geosite_v2fly.dat:category-ads-all",
          "keyword:google-analytics",  // Могут быть проблемы с сервисами Google. Нужны тесты
          "keyword:analytics.yandex"  // Могут быть проблемы с сервисами Yandex. Нужны тесты
        ],
        "outboundTag": "block",
        "type": "field"
      },
      
      // Блокируем соединение по уязвимым UDP портам
      {
        "inboundTag": ["socks-in"],
        "network": "udp",
        "port": "135, 137, 138, 139",
        "outboundTag": "block",
        "type": "field"
      },
      
      // Настройка прямых подключений
      {
        "inboundTag": ["socks-in"],
        "domain": [
          "regexp:\\.ru$",
          "ext:geosite_v2fly.dat:category-gov-ru",
          "ext:geosite_v2fly.dat:yandex",
          "ext:geosite_v2fly.dat:xbox",
          "ext:geosite_v2fly.dat:playstation",
          "ext:geosite_v2fly.dat:steam",
          "ext:geosite_v2fly.dat:rockstar",
          "ext:geosite_v2fly.dat:epicgames",
          "ext:geosite_v2fly.dat:gog",
          "ext:geosite_v2fly.dat:vk"
        ],
        "ip": [
          "ext:geoip_v2fly.dat:ru",
          "ext:geoip_v2fly.dat:private"
        ],
        "outboundTag": "direct",
        "type": "field"
      },
      
      // Настройка подключений через VPS
      {
        "inboundTag": ["socks-in"],
        "domain": [
          "ext:geosite_antifilter.dat:antifilter-community",
          "ext:geosite_v2fly.dat:openai",
          "ext:geosite_v2fly.dat:paypal",
          "ext:geosite_v2fly.dat:ebay",
          "ext:geosite_v2fly.dat:facebook",
          "ext:geosite_v2fly.dat:instagram"
        ],              
        "ip": [
          "ext:geoip_antifilter.dat:antifilter-community",
          "ext:geoip_antifilter.dat:antifilter",
          "ext:geoip_v2fly.dat:facebook",
          "ext:geoip_v2fly.dat:twitter"
        ],
        "outboundTag": "proxy",
        "type": "field"
      }
    ]
  }
}

 

[Xkeen]

Господа, спасибо всем за тему, особенно топикстартеру за разработку и ленивую конфигу.

Настроил по ней встроенный прокси и создал отдельный профиль в который включил тестовое устройство, трафик пошёл но вот routing видимо не отрабатывает, т.к. сайты 2ip.ru видит айпиху впски в германии, а ya.ru ругается на подозрительный трафик. То есть ru домены не идут напрямую, а всё идёт через vps в германии.

А еще на тестовой машине не работают пинги на выход, например 8.8.8.8 или ping ya.ru, он резолвит имя, но такое ощущение что маршрутизирует только http, https протоколы в этом профиле.

Трейсерт отваливается на шлюзе (кинетик).

ЧЯДНТ?

 

 

[Xkeen]

2 минуты назад, Alexey77 сказал:

Вот теперь откройте другое окно терминала и вставьте netstat -ltunp | grep xray что выдает? 

Первое окно не закрывайте. 

# netstat -ltunp | grep xray
tcp        0      0 :::1080                 :::*                    LISTEN      14306/xray
tcp        0      0 :::2489                 :::*                    LISTEN      14306/xray
tcp        0      0 :::10809                :::*                    LISTEN      14306/xray
udp        0      0 :::1080                 :::*                                14306/xray
udp        0      0 :::2489                 :::*                                14306/xray
~ # 

[Xkeen]

Спасибо, подправил секции под себя, стартует, но всё так же:

 

# xray run -c /opt/etc/xray/file.json
Xray 1.8.4 (Xray, Penetrates Everything.) Custom (go1.21.0 linux/arm64)
A unified platform for anti-censorship.
2023/09/15 11:10:56 [Info] infra/conf/serial: Reading config: /opt/etc/xray/file.json
 

[Xkeen]

Запущен:

 

/opt/etc/xray/configs # top | grep xray
 6456     1 root     S    1221m249.1   0  0.0 /opt/sbin/xray -confdir /opt/etc/x
 6653  6413 root     S     5972  1.1   0  0.0 grep xray
 6456     1 root     S    1221m249.1   0  0.0 /opt/sbin/xray -confdir /opt/etc/x
 6456     1 root     S    1221m249.1   0  0.0 /opt/sbin/xray -confdir /opt/etc/x
 6456     1 root     S    1221m249.1   0  0.0 /opt/sbin/xray -confdir /opt/etc/x
 6456     1 root     S    1221m249.1   0  0.0 /opt/sbin/xray -confdir /opt/etc/x
 6456     1 root     S    1221m249.1   0  0.0 /opt/sbin/xray -confdir /opt/etc/x
 6456     1 root     S    1221m249.1   0  0.0 /opt/sbin/xray -confdir /opt/etc/x
 6456     1 root     S    1221m249.1   0  0.0 /opt/sbin/xray -confdir /opt/etc/x
 6653  6413 root     S     5972  1.1   1  0.0 grep xray
 6456     1 root     S    1221m249.1   0  0.0 /opt/sbin/xray -confdir /opt/etc/x
 6456     1 root     S    1221m249.1   0  0.0 /opt/sbin/xray -confdir /opt/etc/x
^C
/opt/etc/xray/configs # 

 

 

/opt/etc/xray/configs # cat /opt/var/log/xray/error.log 
2023/09/15 10:38:32 [Debug] app/log: Logger started
2023/09/15 10:38:32 [Info] app/dns: DNS: created localhost client
2023/09/15 10:38:32 [Warning] core: Xray 1.8.4 started
2023/09/15 10:41:47 [Debug] app/log: Logger started
2023/09/15 10:41:47 [Info] app/dns: DNS: created localhost client
2023/09/15 10:41:47 [Warning] core: Xray 1.8.4 started

[Xkeen]

1 минуту назад, Alexey77 сказал:

Вот так что выдаёт 

netstat -ltunp | grep xray

/opt/etc/xray/configs # netstat -ltunp | grep xray
/opt/etc/xray/configs # 

[Xkeen]

 

telnet 192.168.5.1 2489
telnet: can't connect to remote host (192.168.5.1): Connection refused

/opt/etc/xray/configs # netstat -tuln | grep LISTEN | grep 2489
/opt/etc/xray/configs # 

/opt/etc/xray/configs # netstat -tuln | grep 2489
/opt/etc/xray/configs # 

 

[Xkeen]

2 минуты назад, dmc сказал:

В listen надо указывать ip адрес кинетика, например 192.168.1.1

Ага, а можно по разному, в любом случае порт не слушает процесс xray, хотя запускается

[Xkeen]

В 13.09.2023 в 20:55, Skrill0 сказал:

Здравствуйте!

Давайте рассмотрим на примере связки VLess+XTLS+Reality

Пример настройки Прокси-клиента
1. Вам нужен компонент на роутере «Прокси-клиент»
2. Нужно создать в разделе «Другие подключения» новое подключение в Прокси-клиентах.
3. Настроить его можно так

  Показать содержимое

Пример настройки inbounds

  Скрыть содержимое

"inbounds": [
    {
        "listen": "192.168.1.1",
        "port": 2082,
        "protocol": "socks",
        "settings": {
            "udp": true
        },
        "sniffing": {
            "destOverride": ["http", "tls"],
            "enabled": true,
            "metadataOnly": false
        },
        "tag": "socks-in"
    }
]

 

Пример настройки outbounds

  Показать содержимое

"outbounds": [
    {
        "domainStrategy": "UseIPv4",
        "protocol": "vless",
        "settings": {
            "vnext": [
                {
                    "address": "IP / Доменное имя  сервера ",
                    "port": 443,
                    "users": [
                        {
                            "encryption": "none",
                            "flow": "xtls-rprx-vision",
                            "id": "Ваш ID"
                        }
                    ]
                }
            ]
        },
        "streamSettings": {
            "network": "tcp",
            "security": "reality",
            "realitySettings": {
                "publicKey": "Ваш Public Key",
                "fingerprint": "chrome",
                "serverName": "amd.com",
                "shortId": "Ваш Short Id",
                "spiderX": "/"
            }
        },
        "tag": "proxy"
    },
    {
        "protocol": "freedom",
        "tag": "direct"
    },
    {
        "protocol": "blackhole",
        "tag": "block"
    }
]

 

Пример настройки routing.json

  Показать содержимое

"routing": {
    "domainStrategy": "IPIfNonMatch",
    "rules": [
        {
            "inboundTag": ["socks-in"],
            "domain": ["domain:google-analytics.com"],
            "outboundTag": "block",
            "type": "field"
        },
        {
            "inboundTag": ["socks-in"],
            "domain": [".ru", "whoer.net"],
            "outboundTag": "direct",
            "type": "field"
        },
        {
            "inboundTag": ["socks-in"],
            "outboundTag": "proxy",
            "type": "field"
        }
    ]
}

В нем мы говорим в 1-й секции:
1. Захватывай соединение Inbound c тегом ["socks-in"]
2. Если захваченный запрос соответствует "domain": ["domain:google-analytics.com"]
3. Направляй его на outbounds с тегом ["block"]

Теперь все соединения, кроме .ru и «whoer.net» будут открываться через тег «proxy».
А «google-analytics.com» будет блокироваться.

Базовая конфигурация готова.

Осталось добавить подключение в политику.
Приоритеты подключений > Добавить новую политику > Даем названием. Отмечаем наш Xray.

Применяем политику к конкретным клиентам
Приоритеты подключений > Применение политик > Созданная политика > Показать все объекты > Выбираем нужных клиентов, на которых будет работать Xray.

Прошу протестировать подобную конфигурацию и дать обратную связь.
Более подробная статья будет сразу, как выполню основные bug fixed для Xkeen (для процессоров на mips24ke — на стадии тестирования)

Спасибо за рыбу конфига, поменял outbounds на свой VPS с Xray vmess Reality, но не стартует Xray, вернее стартует и висит в процессах, но вот порт указанный в inbounds не открывает и не слушает, уже менял listen на 127.0.0.1 и на 0.0.0.0 и порты разные (свободные).

Так же заметил, что в секции inbounds параметр udp = true, тогда как в описании xkeen написано что прошивочный socks клиент в него не умеет.

Что может быть?

Устройство 1811

[Доступ к VPN клиентам из любого VLAN сегмента]

Я могу ошибаться, но вроде no isolate private