маршрутизация Xkeen

[avn]

Выборочный роутинг можно сделать через REDIRECT

Скрытый текст

 /opt/etc/ndm/netfilter.d/10n-ss4.sh

#!/bin/sh

[ "$type" != "iptables" ] && exit 0
[ "$table" != "nat" ] && exit 0

ip4t() {
	if ! iptables -C "$@" &>/dev/null; then
		iptables -A "$@" || exit 0
	fi
}

# V2Ray
ip4t PREROUTING -t nat -i br0 -p tcp -m set --match-set unblock4-ssp dst -j REDIRECT --to-port 9171
ip4t PREROUTING -t nat -i br0 -p udp -m set --match-set unblock4-ssp dst -j REDIRECT --to-port 9171

exit 0

/opt/etc/ndm/netfilter.d/10n-ss6.sh

#!/bin/sh

[ "$type" != "ip6tables" ] && exit 0
[ "$table" != "nat" ] && exit 0

ip6t() {
	if ! ip6tables -C "$@" &>/dev/null; then
		ip6tables -A "$@" || exit 0
	fi
}

# V2Ray
ip6t PREROUTING -t nat -i br0 -p tcp -m set --match-set unblock6-ssp dst -j REDIRECT --to-port 9171
ip6t PREROUTING -t nat -i br0 -p udp -m set --match-set unblock6-ssp dst -j REDIRECT --to-port 9171

exit 0

Конфиг /opt/etc/v2ray/common.json. Ключевые слова redirect и dokodemo-door

{

	"inbounds": [
		{
			"listen": "::",
			"port": 1082,
			"protocol": "socks",
			"settings": {
				"network": "tcp",
				"auth": "noauth"
			},
			"sniffing": {
				"enabled": true,
				"destOverride": [
					"http",
					"tls",
					"quic"
				]
			},
			"tag": "socks"
		},
		{
			"listen": "::",
			"port": 9171,
			"protocol": "dokodemo-door",
			"settings": {
				"network": "tcp,udp",
				"followRedirect": true
			},
			"sniffing": {
				"enabled": true,
				"destOverride": [
					"http",
					"tls",
					"quic"
				]
			},
			"tag": "redirect"
		}
	],
	"outbounds": [
		{
			"protocol": "freedom",
			"settings": {},
			"streamSettings": {},
			"tag": "direct"
		},
		{
			"protocol": "blackhole",
			"settings": {},
			"streamSettings": {},
			"tag": "blocked"
		}
	],
	"routing": {
		"domainStrategy": "IPIfNonMatch",
		"rules": [
			{
				"type": "field",
				"inboundTag": [
					"socks",
					"redirect"
				],
				"outboundTag": "proxy-vless-grpc-reality"
			}
		]
	}
}

 

 

[artem_annihilator]

17 часов назад, Skrill0 сказал:

Доброго Вам времени суток!

Попробуйте обновленную конфигурацию routing. 
В ней все соединения, что не указаны в direct — будут открываться через VPS.

Если необходимо, чтобы через VPS открывались только некоторые сайты, а остальные через direct можно использовать альтернативную конфигурацию

  Показать содержимое

// Настройка маршрутизации

{
  "routing": {
    "domainStrategy": "IPIfNonMatch",
    "rules": [
      // Настройка черного списка
      {
        "inboundTag": ["socks-in"],
        "domain": [
          "ext:geosite_v2fly.dat:category-ads-all",
          "google-analytics",  // Могут быть проблемы с сервисами Google. Нужны тесты
          "analytics.yandex"  // Могут быть проблемы с сервисами Yandex. Нужны тесты
        ],
        "outboundTag": "block",
        "type": "field"
      },
      
      // Блокируем соединение по уязвимым UDP портам
      {
        "inboundTag": ["socks-in"],
        "network": "udp",
        "port": "135, 137, 138, 139",
        "outboundTag": "block",
        "type": "field"
      },
	  
      // Настройка подключений через VPS с помощью доменных имен
      {
        "inboundTag": ["socks-in"],
        "domain": [
          "speedtest.net",
          "strava.com",
          "ext:geosite_antifilter.dat:antifilter-community",
          "ext:geosite_v2fly.dat:openai",
          "ext:geosite_v2fly.dat:paypal",
          "ext:geosite_v2fly.dat:ebay",
          "ext:geosite_v2fly.dat:facebook",
          "ext:geosite_v2fly.dat:instagram"
        ],
        "outboundTag": "proxy",
        "type": "field"
      },
	  
      // Настройка подключений через VPS с помощью IP
      {
        "inboundTag": ["socks-in"],
        "ip": [
          "ext:geoip_antifilter.dat:antifilter-community",
          "ext:geoip_antifilter.dat:antifilter",
          "ext:geoip_v2fly.dat:facebook",
          "ext:geoip_v2fly.dat:twitter"
        ],
        "outboundTag": "proxy",
        "type": "field"
      },
  
      {
        "inboundTag": ["socks-in"],
        "outboundTag": "direct",
        "type": "field"
      }
    ]
  }
}

 

Ещё раз добрый вечер

Конфиг роутинга к сожалению не помог, strava.com так же не открывается. Прокси подключение смогу протестить только в выходные 

 

[bigpu]

8 минут назад, artem_annihilator сказал:

strava.com так же не открывается.

добавил к себе в конфиг вручную - открывается без проблем, так же как и через GeoSite:

Скрытый текст

 

[artem_annihilator]

9 часов назад, bigpu сказал:

добавил к себе в конфиг вручную - открывается без проблем, так же как и через GeoSite:

  Показать содержимое

 

Хм, видимо я что-то неправильно делаю. Можете пожалуйста отправить ваши конфиги роутинга, можно тут или в личку 

[Marassa]

Задам ещё один тупой теоретический вопрос, чтоб пазл в голове окончательно сложился. Понятно, что Xray умеет гибко маршрутизировать трафик внутри себя. А как и почему этот трафик изначально попадает в Xray? Нужно в явном виде в настройках роутера назначить некий приоритет подключению Xray? Почему-то не вижу в документации явного указания на это.

[Skrill0]

1 час назад, Marassa сказал:

Задам ещё один тупой теоретический вопрос, чтоб пазл в голове окончательно сложился. Понятно, что Xray умеет гибко маршрутизировать трафик внутри себя. А как и почему этот трафик изначально попадает в Xray? Нужно в явном виде в настройках роутера назначить некий приоритет подключению Xray? Почему-то не вижу в документации явного указания на это.

Доброго Вам утра!

Есть несколько способов направить трафик на Xray. Самый простой — прокси-клиент от Keenetic.
Тогда схема подключения выглядит таким образом

Скрытый текст

Можно также направить соединение с помощью iptables, как в этом посте описывал @avn
Или использовать tproxy.

[Marassa]

9 минут назад, Skrill0 сказал:

Есть несколько способов направить трафик на Xray. Самый простой — прокси-клиент от Keenetic

То есть для работы Xray по самому простому способу необходимо поставить/включить компонент прошивки "Прокси-клиент", который по умолчанию выключен и который позволит создать новое подключение/интерфейс через Xray, и потом в явном виде в настройках кинетика направить трафик на это новое подключение? И тогда я могу использовать, например Static routes, чтобы какой-то трафик направлять в Xray, а какой-то пускать вообще мимо Xray сразу к провайдеру?

14 минуты назад, Skrill0 сказал:

Можно также направить соединение с помощью iptables, как в этом посте описывал @avn
Или использовать tproxy.

Тогда необходимо дополнительно ставить пакет iptables через entware?

А сам по себе Xray, получается, не использует iptables, а использует для маршрутизации какой-то свой встроенный проприетарный механизм?

[bigpu]

30 минут назад, Marassa сказал:

То есть для работы Xray по самому простому способу необходимо поставить/включить компонент прошивки "Прокси-клиент", который по умолчанию выключен и который позволит создать новое подключение/интерфейс через Xray, и потом в явном виде в настройках кинетика направить трафик на это новое подключение?

 

[Skrill0]

21 минуту назад, Marassa сказал:

То есть для работы Xray по самому простому способу необходимо поставить/включить компонент прошивки "Прокси-клиент", который по умолчанию выключен и который позволит создать новое подключение/интерфейс через Xray

Да, все правильно.
Если использовать метод с направлением через прокси-клиент — компонент должен быть установлен.
С его помощью можно создать новое прокси-подключение, которое будет направлять соединение на нужный адрес и порт. В нашем случае на те, по которым слушает Xray в конфигурации inbounds.

23 минуты назад, Marassa сказал:

И тогда я могу использовать, например Static routes, чтобы какой-то трафик направлять в Xray, а какой-то пускать вообще мимо Xray сразу к провайдеру?

Да, можно сделать методом статической маршрутизации.
Но намного проще добавить клиента в созданную политику и проксировать все соединение этого клиента в Xray.
А в routing Xray гибко настроить соединение, в том числе обозначив, какой трафик пускать к провайдеру.

26 минут назад, Marassa сказал:

Тогда необходимо дополнительно ставить пакет iptables через entware?

Да, верно.
В случае использования метода прямого перенаправления — нужно будет установить iptables.
Если хотите использовать метод с tproxy — нужно будет дополнительно поднять и его.

28 минут назад, Marassa сказал:

А сам по себе Xray, получается, не использует iptables, а использует для маршрутизации какой-то свой встроенный проприетарный механизм?

Да, Xray не использует iptables. У него свой механизм.

[bigpu]

32 минуты назад, Marassa сказал:

И тогда я могу использовать, например Static routes, чтобы какой-то трафик направлять в Xray, а какой-то пускать вообще мимо Xray сразу к провайдеру?

так тоже можно, но менее удобно уже

[Skrill0]

2 часа назад, artem_annihilator сказал:

Хм, видимо я что-то неправильно делаю. Можете пожалуйста отправить ваши конфиги роутинга, можно тут или в личку 

Здравствуйте!

Отписала Вам в личные сообщения. Разберемся с Вашей проблемой)

[Marassa]

10 минут назад, Skrill0 сказал:

Да, все правильно.

Спасибо огромное, теперь архитектурный пазл в голове сложился окончательно

11 минуту назад, bigpu сказал:

 

Спасибо, я это видел, но почему-то прочел как частный ответ на частный вопрос о каком-то специфическом случае, а не общее руководство по встройке Xray в кинетик. Возможно стоило бы вставить в документацию буквально пару строк в духе "для того, чтобы трафик маршрутизатора попал в Xray, нужно сделать одно из трёх:..."

[Skrill0]

1 минуту назад, Marassa сказал:

Спасибо огромное, теперь архитектурный пазл в голове сложился окончательно

Спасибо, я это видел, но почему-то прочел как частный ответ на частный вопрос о каком-то специфическом случае, а не общее руководство по встройке Xray в кинетик. Возможно стоило бы вставить в документацию буквально пару строк в духе "для того, чтобы трафик маршрутизатора попал в Xray, нужно сделать одно из трёх:..."

Спасибо за рекомендацию. Обязательно добавлю)

[bigpu]

5 минут назад, Skrill0 сказал:

Спасибо за рекомендацию. Обязательно добавлю)

Доброго утра, раз дело зашло за рекомендации...можно было бы вставить еще одну в руководстве в пункт "Сохраняем комфорт даже при мобильной сети":

Для IKE подключения нужен белый IP-адрес, а с серым IP и SSTP скорость будет не ахти какая. Потому разумнее поставить на мобильное уст-во клиент v2rayNG для Android, или аналогичный для iOS, и внести туда настройки сервера с Xray, настроив и само приложение.

[Le ecureuil]

Добавлена команда
interface proxy socks5-udp

которая включает режим SOCKS5-UDP.

Будет в draft.

[VladimirM]

Настроил по "ленивой конфигурации", с использованием встроенного прокси-клиента. Всё работает, но qbittorrent с десктопа качает теперь сильно медленнее (скажем, без xray скорость 60мб/с, с ним 7мб/с, проверено на одном и том же торренте). Подозреваю, что трафик через vps идет. Можно ли как-то побороть это ?

[fijj]

45 минут назад, VladimirM сказал:

Настроил по "ленивой конфигурации", с использованием встроенного прокси-клиента. Всё работает, но qbittorrent с десктопа качает теперь сильно медленнее (скажем, без xray скорость 60мб/с, с ним 7мб/с, проверено на одном и том же торренте). Подозреваю, что трафик через vps идет. Можно ли как-то побороть это ?

Встроенный proxy достаточно медленный. Я решил вообще от него отказаться и использую прокси браузера firefox, достаточно удобно. (Скорость получается 200 мегабит, с proxy на роутере только 60) Достаточно просто указать 192.168.1.1:54836, если настраивали по ленивому конфигу. В итоге через vpn идёт только трафик браузера, торренты напрямую. Для каких то других устройств и сценариев можно я думаю поднять другие inbounds со своими конфигами роутинга. Можно проксировать весь трафик и через прокси самой os.

[t0w80at]

Здравствуйте, Skrill0. Благодарю за вашу разработку. Очень нужная в наше время штука 😎.

Сделал все по инструкции, вроде все верно. Но есть проблема, не могу разобраться в чем дело, не достаточно скила. Суть: не идет никакой трафик вообще у меня в созданном профиле политики Xray на роутере. То есть я создал прокси, затем создал под него политику, включил там только этот прокси. При закидывании туда устройств, трафик на них полностью прекращается. 
В чем может быть причина, где копать? Скриншоты прилагаю.

access.log

[VladimirM]

8 часов назад, Филиппов Александр сказал:

Встроенный proxy достаточно медленный. Я решил вообще от него отказаться и использую прокси браузера firefox, достаточно удобно. (Скорость получается 200 мегабит, с proxy на роутере только 60) Достаточно просто указать 192.168.1.1:54836, если настраивали по ленивому конфигу. В итоге через vpn идёт только трафик браузера, торренты напрямую. Для каких то других устройств и сценариев можно я думаю поднять другие inbounds со своими конфигами роутинга. Можно проксировать весь трафик и через прокси самой os.

 

Спасибо, хороший вариант. Кто на chrome - можно использовать расширение типа foxyproxy. Насчет установки прокси на уровне windows не проверял влияние на скорость, но тоже  как вариант (работать-то точно будет). 

И еще один вариант - остаться на более простых решениях, пока блокировки WireGuard, OpenVPN были какие-то очень точечные или тестовые. Для работы по этим протоколам есть отличный скрипт Bird4static, настройки минимальные и работает без потери скорости.

Изменено 23 сентября, 2023 пользователем VladimirM

[Skrill0]

6 часов назад, t0w80at сказал:

То есть я создал прокси, затем создал под него политику, включил там только этот прокси. При закидывании туда устройств, трафик на них полностью прекращается. 
В чем может быть причина, где копать? 

Доброго Вам утра!

Скажите, пожалуйста, а зачем Вам отдельная настройка Policy в Xray?
Под политикой доступа в инструкции подразумевалось именно политика в Web роутера.

То есть, мы создаем отдельную политику, в которой включаем Xray proxy, а затем перемещаем в нее нужных нам клиентов.

Вот пример созданной политики

Скрытый текст

А это пример помещенного в нее клиента

Скрытый текст

 

[Skrill0]

10 часов назад, VladimirM сказал:

Настроил по "ленивой конфигурации", с использованием встроенного прокси-клиента. Всё работает, но qbittorrent с десктопа качает теперь сильно медленнее (скажем, без xray скорость 60мб/с, с ним 7мб/с, проверено на одном и том же торренте). Подозреваю, что трафик через vps идет. Можно ли как-то побороть это ?

Здравствуйте!
Можно направить соединение по протоколу bittorrent на direct.

Для этого Вам нужно добавить следующую часть в routing.

Скрытый текст

{
  "inboundTag": ["socks-in"],
  "protocol": ["bittorrent"],
  "outboundTag": "direct",
  "type": "field"
}

Таким образом загрузка торрентов будет идти напрямую

[Skrill0]

В 23.09.2023 в 10:22, VladimirM сказал:

Спасибо, хороший вариант. Кто на chrome - можно использовать расширение типа foxyproxy. Насчет установки прокси на уровне windows не проверял влияние на скорость, но тоже  как вариант (работать-то точно будет). 

И еще один вариант - остаться на более простых решениях, пока блокировки WireGuard, OpenVPN были какие-то очень точечные или тестовые. Для работы по этим протоколам есть отличный скрипт Bird4static, настройки минимальные и работает без потери скорости.

Доброго Вам утра!

Экспериментальным путем было выяснено, что Xray/v2ray используют ssh. | Отдельна благодарность @vasek00
Что для процессоров MT7621, к примеру, в Giga KN-1011, тяжело. 
Пока решение не готово.
Приблизительная максимальная скорость доступа через Xray:
MT7621 — Download 40-60мб/сек.
MT7622B — Download 350-400мб/сек.

* Под приблизительной подразумевается разница условий.
Благодаря технологии XTLS — шифруется только еще не зашифрованный трафик, то есть нет избыточного шифрования.
В тестах использовался метод с еще не шифрованным соединением. То есть, обозначена максимальная скорость в условиях постоянного требования к шифрованию.
В реальных условиях такого не будет и скорость будет выше.

Тест MT7621

Скрытый текст

Вот требуемая скорость под разные задачи

Скрытый текст

10-25 Мбит/с: Базовый серфинг. 
Чтение новостей, проверка почты и использования социальных сетей на одном устройстве.

25-50 Мбит/с: Базовый серфинг с нескольких устройств + видео.
Для нескольких устройств в сети или интенсивного просмотра потокового видео в разрешении SD.

50-100 Мбит/с
Для просмотра видео в разрешении HD, онлайн-игр и подключения множества устройств к сети.

100+ Мбит/с
Потоковая передача видео в 4K, большие загрузки файлов.

Иными словами, если не использовать проксирование через Xray для загрузок торрентов или стримов в 4k, то разница ощутимой не будет.

Изменено 25 сентября, 2023 пользователем Skrill0

[t0w80at]

5 часов назад, Skrill0 сказал:

Доброго Вам утра!

Скажите, пожалуйста, а зачем Вам отдельная настройка Policy в Xray?
Под политикой доступа в инструкции подразумевалось именно политика в Web роутера.

То есть, мы создаем отдельную политику, в которой включаем Xray proxy, а затем перемещаем в нее нужных нам клиентов.

Вот пример созданной политики

  Скрыть содержимое

А это пример помещенного в нее клиента

  Скрыть содержимое

 

Да, я именно так и понял и так и сделал. Прилагаю скриншоты. А политика в самом Xkeen я ничего не настраивал и не менял там ничего, просто файл по умолчанию который был.

[Skrill0]

44 минуты назад, t0w80at сказал:

Попробуйте запустить без 09_policy.json.
С Xkeen он поставляется пустым. 
Также можете попробовать не добавлять отдельных DNS. В статье этого также не указывается.

Для полноценного запуска нужны только inbounds, outbounds, routing.
Если запустится, то нужно искать ошибки в других конфигурациях, которые настроили отдельно.
 

[The_Same]

49 минут назад, t0w80at сказал:

Да, я именно так и понял и так и сделал. Прилагаю скриншоты. А политика в самом Xkeen я ничего не настраивал и не менял там ничего, просто файл по умолчанию который был.

Я для прокси добавил DNS сервера, потому что без них проксируемые сайты открывались долго и не с первого раза. Например, intel.com с этими DNS открывается стабильно и быстро.

[The_Same]

Снова добрый вечер, на устройствах, добавленных в политику прокси скорость доступа в интернет падает раза в два😔 Проверил на своем компьютере, если пускать через прокси, то скорость порядка 180-190 Мб/с, если напрямую - 350-400 Мб/с. Тариф 350 Мб/с. Может кто-то поподробнее расписать конфиги маршрутизации, которые писал @avn выше в теме? Чтобы не использовать встроенный медленный прокси

[Skrill0]

7 минут назад, The_Same сказал:

Снова добрый вечер, на устройствах, добавленных в политику прокси скорость доступа в интернет падает раза в два😔 Проверил на своем компьютере, если пускать через прокси, то скорость порядка 180-190 Мб/с, если напрямую - 350-400 Мб/с. Тариф 350 Мб/с. Может кто-то поподробнее расписать конфиги маршрутизации, которые писал @avn выше в теме? Чтобы не использовать встроенный медленный прокси

Добрый вечер!

Завтра будет обновление xkeen, которое позволит использовать redirect автоматически.

[The_Same]

3 минуты назад, Skrill0 сказал:

Добрый вечер!

Завтра будет обновление xkeen, которое позволит использовать redirect автоматически.

Все конфиги, которые я сегодня делал, надо будет править?

Изменено 23 сентября, 2023 пользователем The_Same

[Skrill0]

Только что, The_Same сказал:

Все конфиги, которые я сегодня делал надо будет править?

Нет, только 1 правило в inbounds 

[t0w80at]

7 часов назад, Skrill0 сказал:

Попробуйте запустить без 09_policy.json.
С Xkeen он поставляется пустым. 
Также можете попробовать не добавлять отдельных DNS. В статье этого также не указывается.

Для полноценного запуска нужны только inbounds, outbounds, routing.
Если запустится, то нужно искать ошибки в других конфигурациях, которые настроили отдельно.
 

Итак, попробовал все переустановить и с чистого листа, начать. У меня получилось пропустить трафик но только на не запрещенные ресурсы использовал конфиг 10_routing_p.json так как мне больше подходит история где все идет через VPN и лишь некоторые напрямую. Что-то по видимому у меня не так... файл конфига не правил, поэтому его не прикладываю. 
Так же попробовал конфиг 10_routing_d.json но в этой конфигурации не конектятся Telegram и Discord и там тоже запрещенные не конектятся.