[Xkeen]

И Вам доброго утра!

Попробуйте, пожалуйста, команду

iptables -t nat -L PREROUTING -n -v

Включились ли правила redirect?

Также, в журнале роутера от имени Xkeen должен появиться режим, в котором запущен Xray.
Посмотрите, пожалуйста.

[Xkeen]

Всем доброй ночи!
Вышла версия 0.9.1

Журнал

Скрытый текст

1. Увеличена скорость запуска Xray
2. Исправлены ошибки для redirect mode
3. Изменена логика внесения правил iptables и ip6tables
4. Убран разрыв SSH при остановке Xray в redirect mode

Пожалуйста, тестируйте и отпишитесь о результатах.
* Inbounds для redirect вынесен в шапку темы.

Важная информация о обновлении

Скрытый текст

1. При наличии в inbounds протокола dokodemo-door будет использоваться режим redirect.
   * При его отсутствии — Xray будет работать как раньше.
2. Чтобы включить режим «redirect» в inbounds подключение с dokodemo-door должно обязательно находиться на 1-м месте. Только после него можно добавлять socks и любые другие, если нужны
3. Основной интерфейс должен быть br0 | по умолчанию в keenetic
   * Если изменяли его — замените в переменной скрипта init.
   ** Проверить можно командой ifconfig — интерфейс, у которого Ваш основной шлюз.
   К примеру, 192.168.1.1.
4. Для тестирования рекомендуется временно назначить клавишу перезагрузки на одну из физических на роутере. После перезагрузки правила redirect сбросятся.
5. Ваши резервные копии всегда сохраняются в директории /opt/backups
6. После запуска redirect подхватывается не всегда сразу. Иногда приходится подождать около минуты из-за особенностей netfilter (или моего незнания — советы по оптимизации с радостью принимаются).

Если вы использовали конфигурацию, направляющую все на Proxy и хотите использовать Redirect

Скрытый текст

Добавьте «ext:geoip_v2fly.dat:private» в direct подключение.
* В противном случае потеряете доступ по ssh и в интерфейс роутера до перезагрузки.

Пример записи

{
    "inboundTag": ["socks-in"],
    "ip": [
        "ext:geoip_v2fly.dat:private"
    ],
    "outboundTag": "direct",
    "type": "field"
}

Обновиться можно командой

xkeen -uk

 

[Xkeen]

18 минут назад, bigpu сказал:

@Skrill0 к вопросу о восстановлении мной тогда пустых конфигов:

  Показать содержимое

При переустановке Xkeen в данном вопросе имеется ввиду восстановление из резервной копии последней конфигурации, или все-таки имеется ввиду замена новыми пустыми файлами конфига старой рабочей конфигурации?

При использовании 

xkeen -i

добавляются именно идущие с xkeen пустые конфиги.
Ваши сохраняются в папку резервных копий.

[Xkeen]

13 минуты назад, bigpu сказал:

Доброго вечера и вам!

Хотите сказать, что на данный момент при восстановлении конфигурации восстанавливается лишь 07_inbounds, без 08_outbounds и 10_routing ? Тогда конечно, хотелось бы иметь возможность восстановить все файлы конфига сразу или на выбор. Ну и опять же, реализация выбора, какой именно конфиг (за какую дату) восстанавливать

Нет-нет. Как раз именно сейчас и восстанавливаются абсолютно все конфигурации.
И могу позже реализовать восстановление не последней, а выбранной папки (группы конфигов inbounds, outbounds..)

[Xkeen]

Всем доброго времени суток!

Относительно дискуссии DNS в теме.
DNS не имеет ничего общего с проблемой прохождения соединения до прокси-клиента Xray.

В «Ленивой» конфигурации сохраняется работа DNS из web keenetic.
Соединение выглядит следующим образом

Скрытый текст

Однако, с помощью Xray можно и более гибко настроить DNS, чтобы они разрешались на VPS. В том числе будет поддержка DNS over Quic.

В данный момент Xray оперирует уже разрешенными IP адресами на этапе роутера.

Возвращаясь к проблеме:
Не нужно разрешать никаких доменных имен в IP адреса, чтобы роутер установил связь с Xray или сервером — к нему мы тоже обращаемся по IP.
Ошибку следует искать в конфигурациях. Не в DNS.
 

[Xkeen]

19 часов назад, bigpu сказал:

Доброго времени, уважаемая девушка) socks udp у прокси Кинетика появился, активация/деактивация udp в конфиге xkeen не дает ровного счета ничего, касаемо скорости доступа. Это нормальное поведение или нет?

Во-вторых, слишком ли проблематично в xkeen реализовать восстановление конфига на выбор, а не только лишь последнего?

P.S. мой очередной респект за проект и вашу поддержку👍

Доброго Вам вечера!

1. Путем тестирования, благодаря @vasek00 обнаружилась новая проблема для всех *ray клиентов.
   Она упирается в SSH. UDP может немного улучшить ситуацию в целом, но, как оказалось, на многое рассчитывать не стоит.
   Более подробно описано в этом посте.
2. Могу реализовать восстановление группы конфигураций. То есть не конкретного 07_inbounds, а именно всей папки configs. Устроит ли Вас такой вариант?

[Xkeen]

4 часа назад, adk сказал:

Подскажите, пожалуйста, верно ли я понимаю, что тогда:
1 - Необходимо удалять XRay в "Прокси-подключения"

  Показать содержимое

2 - Заменить inbound на новую версию?

Если да, получается, что уже на стороне кинетика не получится настраивать применение политик точечным клиентам, а трафик будет идти согласно правилам роутинга по всем клиентам?

Не совсем. 

1. Нет необходимости удалять прокси-подключение.
   Просто оно не будет использоваться в случае с redirect. Но не помешает ему работать.
   * Если оставить прокси-подключение, то порты должны отличаться с dokodemo-door.
2. Если заменить inbounds на новую версию, то не получится настроить подключение для каждого клиента с помощью политик. Соединение будет идти согласно правилам роутинга по всем клиентам. Все правильно.

Пока что не рекомендуется использовать redirect до обновления. Будет сегодня, как и обещала.

 

[Xkeen]

20 часов назад, adk сказал:

Добрый вечер! Благодарю за очередной апдейт!
Подскажите недалеким, где именно br0 смотреть? Искал в rc.unslung - не нашёл...

Доброго Вам вечера!

Извиняюсь за поздний ответ. Была занята исправлением проблемы redirect с Xkeen в некоторых ситуациях.
Проверить br0 можно с помощью команды

ifconfig

Нужный Вам параметр имеет IP основного шлюза, к примеру, 192.168.1.1

Скрытый текст

[Xkeen]

Дополнительная информация по обновлению 0.9.

В некоторых случаях наблюдаются проблемы со внесением правил-исключений в iptables (ipv4) при автоматическом запуске, это значит, что адреса вида 192.168.1.1 не будут открываться при включенном Xray | В работе. Завтра должно быть исправлено.

[Xkeen]

Всем доброго вечера!
Вышла версия 0.9

Журнал

Скрытый текст

1. Улучшен автоматический запуск
2. Добавлен автоматический Redirect
3. Redirect исключает все LAN адреса
4. Доработана установка необходимых пакетов
5. Ключ -tpx теперь умеет работать с IPv6

Пожалуйста, тестируйте и отпишитесь о результатах.

В некоторых случаях наблюдаются проблемы со внесением правил-исключений в iptables (ipv4) при автоматическом запуске, это значит, что адреса вида 192.168.1.1 не будут открываться при включенном Xray | В работе. Завтра должно быть исправлено.

Важная информации о обновлении

Скрытый текст

1. При наличии в inbounds протокола dokodemo-door будет использоваться режим redirect.
   * При его отсутствии — Xray будет работать как раньше.
2. Чтобы включить режим «redirect» в inbounds подключение с dokodemo-door должно обязательно находиться на 1-м месте. Только после него можно добавлять socks и любые другие, если нужны
3. Основной интерфейс должен быть br0 | по умолчанию в keenetic
   * Если изменяли его — замените в переменной скрипта init.
4. Для тестирования рекомендуется временно назначить клавишу перезагрузки на одну из физических на роутере. После перезагрузки правила redirect сбросятся.
5. Ваши резервные копии всегда сохраняются в директории /opt/backups

Ленивый inbounds под redirect

Скрытый текст

// Настройка исходящих соединений

{
    "inbounds": [
        {
            "listen": "192.168.1.1",
            "port": 54836,
            "protocol": "dokodemo-door",
            "settings": {
                "network": "tcp,udp",
                "followRedirect": true
            },
            "sniffing": {
                "enabled": true,
                "destOverride": [
                    "http",
                    "tls"
                ]
            },
            "tag": "socks-in"
        }
    ]
}

Список LAN адресов, которые будут открываться как обычно.

Скрытый текст

# Подсеть для малых сетей
10.0.0.0/8

# Подсеть для крупных сетей
172.16.0.0/12

# Подсеть Carrier-Grade NAT
100.64.0.0/10

# Подсеть Loopback
127.0.0.0/8

# Подсеть Automatic Private IP Addressing
169.254.0.0/16

# Подсеть документации и тестирования
192.0.0.0/24

# Подсеть мультикастовых IPv4
224.0.0.0/4
240.0.0.0/4

# Широковещательный адрес IPv4
255.255.255.255/32

# Подсеть Unique Local Addresses
fc00::/8

# Подсеть Loopback
::1/128

# Подсеть Link-Local
fe80::/10

#Подсеть документации и тестирования
2001:db8::/32

# Подсеть мультикастовых IPv6
ff00::/8

Обновиться можно командой

xkeen -uk

 

[Xkeen]

Только что, The_Same сказал:

Все конфиги, которые я сегодня делал надо будет править?

Нет, только 1 правило в inbounds 

[Xkeen]

7 минут назад, The_Same сказал:

Снова добрый вечер, на устройствах, добавленных в политику прокси скорость доступа в интернет падает раза в два😔 Проверил на своем компьютере, если пускать через прокси, то скорость порядка 180-190 Мб/с, если напрямую - 350-400 Мб/с. Тариф 350 Мб/с. Может кто-то поподробнее расписать конфиги маршрутизации, которые писал @avn выше в теме? Чтобы не использовать встроенный медленный прокси

Добрый вечер!

Завтра будет обновление xkeen, которое позволит использовать redirect автоматически.

[Xkeen]

44 минуты назад, t0w80at сказал:

Попробуйте запустить без 09_policy.json.
С Xkeen он поставляется пустым. 
Также можете попробовать не добавлять отдельных DNS. В статье этого также не указывается.

Для полноценного запуска нужны только inbounds, outbounds, routing.
Если запустится, то нужно искать ошибки в других конфигурациях, которые настроили отдельно.
 

[Xkeen]

В 23.09.2023 в 10:22, VladimirM сказал:

Спасибо, хороший вариант. Кто на chrome - можно использовать расширение типа foxyproxy. Насчет установки прокси на уровне windows не проверял влияние на скорость, но тоже  как вариант (работать-то точно будет). 

И еще один вариант - остаться на более простых решениях, пока блокировки WireGuard, OpenVPN были какие-то очень точечные или тестовые. Для работы по этим протоколам есть отличный скрипт Bird4static, настройки минимальные и работает без потери скорости.

Доброго Вам утра!

Экспериментальным путем было выяснено, что Xray/v2ray используют ssh. | Отдельна благодарность @vasek00
Что для процессоров MT7621, к примеру, в Giga KN-1011, тяжело. 
Пока решение не готово.
Приблизительная максимальная скорость доступа через Xray:
MT7621 — Download 40-60мб/сек.
MT7622B — Download 350-400мб/сек.

* Под приблизительной подразумевается разница условий.
Благодаря технологии XTLS — шифруется только еще не зашифрованный трафик, то есть нет избыточного шифрования.
В тестах использовался метод с еще не шифрованным соединением. То есть, обозначена максимальная скорость в условиях постоянного требования к шифрованию.
В реальных условиях такого не будет и скорость будет выше.

Тест MT7621

Скрытый текст

Вот требуемая скорость под разные задачи

Скрытый текст

10-25 Мбит/с: Базовый серфинг. 
Чтение новостей, проверка почты и использования социальных сетей на одном устройстве.

25-50 Мбит/с: Базовый серфинг с нескольких устройств + видео.
Для нескольких устройств в сети или интенсивного просмотра потокового видео в разрешении SD.

50-100 Мбит/с
Для просмотра видео в разрешении HD, онлайн-игр и подключения множества устройств к сети.

100+ Мбит/с
Потоковая передача видео в 4K, большие загрузки файлов.

Иными словами, если не использовать проксирование через Xray для загрузок торрентов или стримов в 4k, то разница ощутимой не будет.

[Xkeen]

10 часов назад, VladimirM сказал:

Настроил по "ленивой конфигурации", с использованием встроенного прокси-клиента. Всё работает, но qbittorrent с десктопа качает теперь сильно медленнее (скажем, без xray скорость 60мб/с, с ним 7мб/с, проверено на одном и том же торренте). Подозреваю, что трафик через vps идет. Можно ли как-то побороть это ?

Здравствуйте!
Можно направить соединение по протоколу bittorrent на direct.

Для этого Вам нужно добавить следующую часть в routing.

Скрытый текст

{
  "inboundTag": ["socks-in"],
  "protocol": ["bittorrent"],
  "outboundTag": "direct",
  "type": "field"
}

Таким образом загрузка торрентов будет идти напрямую

[Xkeen]

6 часов назад, t0w80at сказал:

То есть я создал прокси, затем создал под него политику, включил там только этот прокси. При закидывании туда устройств, трафик на них полностью прекращается. 
В чем может быть причина, где копать? 

Доброго Вам утра!

Скажите, пожалуйста, а зачем Вам отдельная настройка Policy в Xray?
Под политикой доступа в инструкции подразумевалось именно политика в Web роутера.

То есть, мы создаем отдельную политику, в которой включаем Xray proxy, а затем перемещаем в нее нужных нам клиентов.

Вот пример созданной политики

Скрытый текст

А это пример помещенного в нее клиента

Скрытый текст

 

[Xkeen]

1 минуту назад, Marassa сказал:

Спасибо огромное, теперь архитектурный пазл в голове сложился окончательно

Спасибо, я это видел, но почему-то прочел как частный ответ на частный вопрос о каком-то специфическом случае, а не общее руководство по встройке Xray в кинетик. Возможно стоило бы вставить в документацию буквально пару строк в духе "для того, чтобы трафик маршрутизатора попал в Xray, нужно сделать одно из трёх:..."

Спасибо за рекомендацию. Обязательно добавлю)

[Xkeen]

2 часа назад, artem_annihilator сказал:

Хм, видимо я что-то неправильно делаю. Можете пожалуйста отправить ваши конфиги роутинга, можно тут или в личку 

Здравствуйте!

Отписала Вам в личные сообщения. Разберемся с Вашей проблемой)

[Xkeen]

21 минуту назад, Marassa сказал:

То есть для работы Xray по самому простому способу необходимо поставить/включить компонент прошивки "Прокси-клиент", который по умолчанию выключен и который позволит создать новое подключение/интерфейс через Xray

Да, все правильно.
Если использовать метод с направлением через прокси-клиент — компонент должен быть установлен.
С его помощью можно создать новое прокси-подключение, которое будет направлять соединение на нужный адрес и порт. В нашем случае на те, по которым слушает Xray в конфигурации inbounds.

23 минуты назад, Marassa сказал:

И тогда я могу использовать, например Static routes, чтобы какой-то трафик направлять в Xray, а какой-то пускать вообще мимо Xray сразу к провайдеру?

Да, можно сделать методом статической маршрутизации.
Но намного проще добавить клиента в созданную политику и проксировать все соединение этого клиента в Xray.
А в routing Xray гибко настроить соединение, в том числе обозначив, какой трафик пускать к провайдеру.

26 минут назад, Marassa сказал:

Тогда необходимо дополнительно ставить пакет iptables через entware?

Да, верно.
В случае использования метода прямого перенаправления — нужно будет установить iptables.
Если хотите использовать метод с tproxy — нужно будет дополнительно поднять и его.

28 минут назад, Marassa сказал:

А сам по себе Xray, получается, не использует iptables, а использует для маршрутизации какой-то свой встроенный проприетарный механизм?

Да, Xray не использует iptables. У него свой механизм.

[Xkeen]

1 час назад, Marassa сказал:

Задам ещё один тупой теоретический вопрос, чтоб пазл в голове окончательно сложился. Понятно, что Xray умеет гибко маршрутизировать трафик внутри себя. А как и почему этот трафик изначально попадает в Xray? Нужно в явном виде в настройках роутера назначить некий приоритет подключению Xray? Почему-то не вижу в документации явного указания на это.

Доброго Вам утра!

Есть несколько способов направить трафик на Xray. Самый простой — прокси-клиент от Keenetic.
Тогда схема подключения выглядит таким образом

Скрытый текст

Можно также направить соединение с помощью iptables, как в этом посте описывал @avn
Или использовать tproxy.

[Xkeen]

5 часов назад, Ризван Нухтаров сказал:

На KN-1011 заработало, огромное спасибо автору. 

К сожалению скорость пока проседает, но кто хочет может попробовать tproxy или подождать пока занесут udp в компонент

Доброго Вам утра!

Я рада, что у Вас все заработало)
Благодарю за отзыв)
Надеемся, решение со скоростью будет в ближайшее время)

[Xkeen]

7 часов назад, artem_annihilator сказал:

CDN инфраструктуре AWS

Доброго Вам времени суток!

Попробуйте обновленную конфигурацию routing. 
В ней все соединения, что не указаны в direct — будут открываться через VPS.

Скрытый текст

// Настройка маршрутизации

{
  "routing": {
    "domainStrategy": "IPIfNonMatch",
    "rules": [
      // Настройка черного списка
      {
        "inboundTag": ["socks-in"],
        "domain": [
          "ext:geosite_v2fly.dat:category-ads-all",
          "google-analytics",  // Могут быть проблемы с сервисами Google. Нужны тесты
          "analytics.yandex"  // Могут быть проблемы с сервисами Yandex. Нужны тесты
        ],
        "outboundTag": "block",
        "type": "field"
      },
      
      // Блокируем соединение по уязвимым UDP портам
      {
        "inboundTag": ["socks-in"],
        "network": "udp",
        "port": "135, 137, 138, 139",
        "outboundTag": "block",
        "type": "field"
      },
            
      // Настройка прямых подключений с помощью доменных имен
      {
        "inboundTag": ["socks-in"],
        "domain": [
          "regexp:^([\\w\\-\\.]+\\.)ru$",  // .ru
          "regexp:^([\\w\\-\\.]+\\.)su$",  // .su
          "regexp:^([\\w\\-\\.]+\\.)xn--p1ai$",  // .рф
          "regexp:^([\\w\\-\\.]+\\.)xn--p1acf$",  // .рус
          "regexp:^([\\w\\-\\.]+\\.)xn--80asehdb$",  // .онлайн
          "regexp:^([\\w\\-\\.]+\\.)xn--c1avg$", // .орг
          "regexp:^([\\w\\-\\.]+\\.)xn--80aswg$",  // .сайт
          "regexp:^([\\w\\-\\.]+\\.)xn--80adxhks$",  // .москва
          "regexp:^([\\w\\-\\.]+\\.)moscow$",  //  .moscow
          "regexp:^([\\w\\-\\.]+\\.)xn--d1acj3b$",  // .дети
          "ext:geosite_v2fly.dat:category-gov-ru",
          "ext:geosite_v2fly.dat:yandex",
          "ext:geosite_v2fly.dat:xbox",
          "ext:geosite_v2fly.dat:playstation",
          "ext:geosite_v2fly.dat:steam",
          "ext:geosite_v2fly.dat:rockstar",
          "ext:geosite_v2fly.dat:epicgames",
          "ext:geosite_v2fly.dat:gog",
          "ext:geosite_v2fly.dat:vk"
        ],
        "outboundTag": "direct",
        "type": "field"
      },
	  
      // Настойка прямых подключений с помощью IP
      {
        "inboundTag": ["socks-in"],
        "ip": [
          "ext:geoip_v2fly.dat:ru",
          "ext:geoip_v2fly.dat:private"
        ],
        "outboundTag": "direct",
        "type": "field"
      },
	  
      // Направление остальныех соединений на VPS
      {
        "inboundTag": ["socks-in"],
        "outboundTag": "proxy",
        "type": "field"
      }
    ]
  }
}

Если необходимо, чтобы через VPS открывались только некоторые сайты, а остальные через direct можно использовать альтернативную конфигурацию

Скрытый текст

// Настройка маршрутизации

{
  "routing": {
    "domainStrategy": "IPIfNonMatch",
    "rules": [
      // Настройка черного списка
      {
        "inboundTag": ["socks-in"],
        "domain": [
          "ext:geosite_v2fly.dat:category-ads-all",
          "google-analytics",  // Могут быть проблемы с сервисами Google. Нужны тесты
          "analytics.yandex"  // Могут быть проблемы с сервисами Yandex. Нужны тесты
        ],
        "outboundTag": "block",
        "type": "field"
      },
      
      // Блокируем соединение по уязвимым UDP портам
      {
        "inboundTag": ["socks-in"],
        "network": "udp",
        "port": "135, 137, 138, 139",
        "outboundTag": "block",
        "type": "field"
      },
	  
      // Настройка подключений через VPS с помощью доменных имен
      {
        "inboundTag": ["socks-in"],
        "domain": [
          "speedtest.net",
          "strava.com",
          "ext:geosite_antifilter.dat:antifilter-community",
          "ext:geosite_v2fly.dat:openai",
          "ext:geosite_v2fly.dat:paypal",
          "ext:geosite_v2fly.dat:ebay",
          "ext:geosite_v2fly.dat:facebook",
          "ext:geosite_v2fly.dat:instagram"
        ],
        "outboundTag": "proxy",
        "type": "field"
      },
	  
      // Настройка подключений через VPS с помощью IP
      {
        "inboundTag": ["socks-in"],
        "ip": [
          "ext:geoip_antifilter.dat:antifilter-community",
          "ext:geoip_antifilter.dat:antifilter",
          "ext:geoip_v2fly.dat:facebook",
          "ext:geoip_v2fly.dat:twitter"
        ],
        "outboundTag": "proxy",
        "type": "field"
      },
  
      {
        "inboundTag": ["socks-in"],
        "outboundTag": "direct",
        "type": "field"
      }
    ]
  }
}

 

Если Вы уверены, что дело в CloudFront, то попробуйте использовать в proxy подключении 

ext:geoip_v2fly.dat:cloudfront

При условии, что у Вас установлена GeoIP v2fly от Xkeen.
 

[Xkeen]

Доброго Вам дня!
Извиняюсь за поздний ответ. Как-то проглядела. Не стесняйтесь писать и в личные сообщения тоже, если не получили ответа)

В 15.09.2023 в 04:35, Yoh сказал:

Да, именно так. Пробовал аналогичное провернуть на Ultra II, не хватает даже 256 мегабайт оперативной памяти. В итоге поднял xray с указанными списками на Debian в локальной сети, там использование памяти процессом около 350 мегабайт. В сети видел варианты оптимизации этих списков (например, объединение подсетей по маске), но не знаю, до каких значений сократится использование памяти.

Сейчас в шапке темы висит «ленивая» конфигурация, которая опирается на фильтры AntiFilter, полезные категории v2fly и регулярные выражения.
Это не должно так загружать устройство. Можно еще сильнее упростить, убрав основной фильтр AntiFilter, оставив только community.
На Viva отписывались о исправной работе)

В 15.09.2023 в 04:35, Yoh сказал:

Спасибо большое за утилиту. Могли бы подкинуть идеи, как сделать маршрутизацию на старых роутерах без встроенного прокси-клиента?

Да, конечно. Одним постом выше я бегло описала настройку варианта tproxy. Думаю, это хороший вариант в Вашем случае)

В 15.09.2023 в 04:35, Yoh сказал:

В xray записи вида

Возможно, у Вас есть проблема в конфигурации outbounds / inbounds.
Как у Вас настроено соединение direct?

Судя по журналу, Ваш socks направляет запросы правильно на Xray, а он в свою очередь захватывает запрос и направляет на direct.
Но, кажется, устройство не может получить ответ ответ, который получает Xray.
То есть мы имеем соединение Клиент>Xray>Сервер, а в обратной цепочке получается Сервер>Xray × Клиент. Копать нужно входящее соединение Xray > Клиент.

Если уверены, что проблем в конфигурации нет, то рекомендую все же попробовать настроить tproxy.

[Xkeen]

9 минут назад, bigpu сказал:

с этим конфигом теперь все заработало, спасибо вам за помощь!

Рада, что у Вас все заработало)
Не за что)

[Xkeen]

33 минуты назад, Dr.ZuLuS сказал:

Cпасибо, сейчас буду курить в эту сторону.

Если есть примеры, буду благодарен!

Пока не тестировала, но гипотетически должно подняться по следующей схеме:

1. Устанавливаем компонент Keenetic «Модули ядра подсистемы Netfilter»
2. Поднимаем tproxy 

   insmod /lib/modules/$(uname -r)/xt_TPROXY.ko

3. Проверяем, что Tproxy поднят

   lsmod | grep xt_

4. Маркируем TCP

   iptables -t mangle -N MARK_TCP
   iptables -t mangle -A MARK_TCP -j MARK --set-mark xray_mark_tcp
   iptables -t mangle -A PREROUTING -p tcp -j MARK_TCP

5. Маркируем UDP

   iptables -t mangle -N MARK_UDP
   iptables -t mangle -A MARK_UDP -j MARK --set-mark xray_mark_udp
   iptables -t mangle -A PREROUTING -p udp -j MARK_UDP

6. Создаем правило для TCP

   ip rule add fwmark xray_mark_tcp table 100

7. Создаем правило для UDP

   ip rule add fwmark xray_mark_udp table 101

8. Создаем правило iptables для TCP

   iptables -t mangle -A PREROUTING -i br0 -p tcp -m mark --mark xray_mark_tcp -j TPROXY --tproxy-mark 0x1/0x1 --on-ip <IP Xray из inbounds> --on-port <IP Xray из inbounds>

9. Создаем правило iptables для UDP

   iptables -t mangle -A PREROUTING -i br0 -p udp -m mark --mark xray_mark_udp -j TPROXY --tproxy-mark 0x2/0x2 --on-ip <IP Xray из inbounds> --on-port <порт Xray из inbounds>

    

«xray_mark_*» - это маркировка, которую Вы использовали для пакетов
«порт Xray из inbounds» — порт, на котором слушает Xray
«IP Xray из inbounds» – IP, на котором слушает Xray
«br0» — локальный шлюз

В Inbounds протокол Dokodemo-door

Материал для изучения
https://xtls.github.io/en/document/level-2/tproxy.html#开始之前
https://xtls.github.io/en/document/level-2/tproxy_ipv4_and_ipv6.html#xray-配置
https://xtls.github.io/en/document/level-2/iptables_gid.html

Дополнительно можно почитать
https://guide.v2fly.org/app/transparent_proxy.html#优点

Обращаю внимание, что это написано «по памяти» и без тестов, скорее, как отправной пункт. 
Пожалуйста, поделитесь результатами и конкретным методом, с которым у Вас получится поднять. Обязательно будет вынесено в шапку темы)