маршрутизация Xkeen

[bigpu]

2 минуты назад, Эрик Гималетдинов сказал:

но нужно сначала себе приобрести VPS

там есть голосовалка с пунктом "Как выбрать VPS-сервер" - выбирайте его, будет вам руководство)

[Alexey77]

8 минут назад, bigpu сказал:

куда этот домен надо добавить?

Так как домен заблокирован чтобы он шёл через VPS. 

[bigpu]

5 минут назад, Alexey77 сказал:

Так как домен заблокирован чтобы он шёл через VPS

"regexp:^([\\w\\-\\.]+\\.)ru$", // .ru"

эта строка говорит о том, что вся зона .ru идет напрямую - direct

Еще раз говорю, идите от обратного, настройте конфиг где все идет напрямую, а заблоченные ресурсы и нужные вам, идут через прокси, все)

ну и добавьте потом нужный вам ресурс в домены, что идут через VPS, гляньте в конфигах в шапке, синтаксис команд.

[Sercha]

4 часа назад, miksher07 сказал:

Добрый вечер. После выполнения команды PUTTY возвращает  Segmentation fault. Подскажите, пожалуйста, как починить.

curl -s -L https://github.com/Skrill0/XKeen/releases/latest/download/xkeen.tar --output xkeen.tar && tar -xvf xkeen.tar -C /opt/sbin --overwrite > /dev/null && rm xkeen.tar

Возможно проблема с entware/флешкой. Я сменил 3 - netac 64gb (единственная "мини" что была в продаже) - отваливалась после ребута роутера. Ноунейм "с красной лампочкой" 32GB - тормозила (аж консоль) и, в итоге, забила всё нулями, тоже как раз выдав Segmentation fault. И лишь сандиск ультрафит завершил эту часть мучений )). Netac кста спокойно используется далее, так что не склонен винить именно флешки.

[bigpu]

15 минут назад, Alexey77 сказал:

Так как домен заблокирован чтобы он шёл через VPS.

ну, и насколько я понимаю, если поменять местами правила где вначале будет идти то, что должно идти через прокси, а уж потом direct, то все тоже у вас заработает корректно, вот так:

Скрытый текст

// Настройка маршрутизации

{
  "routing": {
    "domainStrategy": "IPIfNonMatch",
    "rules": [      
      // Блокируем соединение по уязвимым UDP портам
      {
        "inboundTag": ["socks-in"],
        "network": "udp",
        "port": "135, 137, 138, 139",
        "outboundTag": "block",
        "type": "field"
      },
      
      // Настройка подключений через VPS с помощью доменных имен
      {
        "inboundTag": ["socks-in"],
        "domain": [
          "***.ru",
          "***.to",
          "whoer"
        ],
        "outboundTag": "proxy",
        "type": "field"
      },
  
      {
        "inboundTag": ["socks-in"],
        "outboundTag": "direct",
        "type": "field"
      }
    ]
  }
}

 

[jameszero]

9 часов назад, Alexey77 сказал:

добавить исключение например seasonvar.ru чтобы шло через xray

Скрытый текст

     // начало фрагмента кода

     // Блокируем соединение по уязвимым UDP портам
      {
        "inboundTag": ["socks-in"],
        "network": "udp",
        "port": "135, 137, 138, 139",
        "outboundTag": "block",
        "type": "field"
      },

      // Добавляем исключение в зоне ru
      {
        "inboundTag": ["socks-in"],
        "domain": [
          "seasonvar.ru"
        ],
        "outboundTag": "proxy",
        "type": "field"
      },
            
      // Настройка прямых подключений с помощью доменных имен
      {
        "inboundTag": ["socks-in"],
        "domain": [
          "regexp:^([\\w\\-\\.]+\\.)ru$",  // .ru
          "regexp:^([\\w\\-\\.]+\\.)su$",  // .su
          "regexp:^([\\w\\-\\.]+\\.)xn--p1ai$",  // .рф

     // конец фрагмента кода

 

[Alexey77]

Здравствуйте, bigpu и jameszero спасибо вам за помощь. Возникла проблема после перезагрузки роутера в режиме redirect полностью теряю доступ к роутеру. И пока на выключенным роутере не вытаскиваю флешку после включения получаю доступ. Файлы конфигурации брал из ленивого конфига. 

Изменено 13 октября, 2023 пользователем Alexey77
Дополнил

[Alexey77]

Попался вот такой топик так как тоже использую adguard home и список нужных мне сайтов не большой сделал как там написано  всё работает и потеря скорости примерно 20-30 процентов точнее сказать не могу интернет 4g и скорость всегда разная. Если нужно могу написать процесс настроек. 

Изменено 13 октября, 2023 пользователем Alexey77

[adk]

20 часов назад, Alexey77 сказал:

полностью теряю доступ к роутеру

через web или МП Keenetic? Если второе, то ситуация аналогична.

 

Коллеги, а никто не сталкивался, при использовании Xkeen в режиме redirect, с периодическими падениями основного интернет-соединения?
У меня стабильно оно отваливается пару раз в сутки (3 строки ошибок спамят каждую секунду в лог и нагружают память к 90%) и возобновляется только тогда, когда я выключаю и заново включаю настроенное прокси-подключение.

Скрытый текст

 

Изменено 14 октября, 2023 пользователем adk

[Alexey77]

Здравствуйте полностью теряю доступ это пропадает интернет не могу зайти в Web кеенетик не могу зайти в entware. 

[jameszero]

В 11.10.2023 в 09:44, Sercha сказал:

не идёт подключение TCP:443! Открываются сайты http (http://lib.ru), открываются сайты https на нестандартном порту

Тоже получил такой результат при настройке в режиме TPROXY - не идет https-трафик на 443 порту. Решение пока не придумал, разве что попробовать пустить TCP через REDIRECT, а UDP через TPROXY.

[Sirex]

 

Не могу настроить прокси клиент на роутере, можете пожалуйста подсказать в чем дело?
Прокси настроил, если использовать на компе все работает а вот через роутер нет

inbounds

Скрытый текст

{
    "inbounds": [
        {
            "listen": "192.168.1.1",    // Адрес Вашего шлюза
            "port": 54836,  
            "protocol": "socks",
            "settings": {
                "auth": "noauth",
                        "udp": false,    
                    "ip": "192.168.1.1"
            },
            "sniffing": {
                "enabled": true,
                "destOverride": [
                    "http",
                    "tls"
                ],
                "metadataOnly": false
            },
            "tag": "socks-in"
        }
    ]
}

Настройки роутера

Скрытый текст

 

 

[miksher07]

В 12.10.2023 в 18:48, miksher07 сказал:

Добрый вечер. После выполнения команды PUTTY возвращает  Segmentation fault. Подскажите, пожалуйста, как починить.

curl -s -L https://github.com/Skrill0/XKeen/releases/latest/download/xkeen.tar --output xkeen.tar && tar -xvf xkeen.tar -C /opt/sbin --overwrite > /dev/null && rm xkeen.tar

Всем привет. Спасибо за развитие темы.

Цитирую свою проблему, удалось решить - сбросил роутер до заводских и заработало, только кажется, что работает неправильно. 

Скачал из ленивой конфигурации конфиги. Запускаю xkeen, все работает хорошо, сайты заблокированные открывает. Но

1.нет доступа по SMB к ресурсами локальной сети. Ноут не видит папки с общим доступом. Отключаю xkeen и папки эти вижу.

2. Иногда на ноуте не открываются вообще никакие сайты. Приходится делать рестарт и отключать xkeen. 

Если местами работает правильно, значит как минимум файл конфигурации 08_outbounds я настроил правильно.

Помогите, пожалуйста, настроить 07_inbounds и 10_routing. 

Мне нужно, чтобы через мою VPS ходили только те сайты, который я внесу в routing. Все остальное должно соединяться напрямую через моего провайдера. Также нужно, чтобы отдельные устройства ходили в интернет всегда через VPS. Например, ноут через VPS работал только по моему списку сайтов, планшет всегда на все сайты подключался через VPS. Такое возможно организовать?

Самостоятельно удалял правила из ленивой конфигурации черного списка, портов, geo, но тогда вообше все переставало работать. Буду очень благодарен, если поделитесь настройками

[adk]

1 час назад, Sirex сказал:

 

Не могу настроить прокси клиент на роутере, можете пожалуйста подсказать в чем дело?
Прокси настроил, если использовать на компе все работает а вот через роутер нет

inbounds

  Скрыть содержимое

{
    "inbounds": [
        {
            "listen": "192.168.1.1",    // Адрес Вашего шлюза
            "port": 54836,  
            "protocol": "socks",
            "settings": {
                "auth": "noauth",
                        "udp": false,    
                    "ip": "192.168.1.1"
            },
            "sniffing": {
                "enabled": true,
                "destOverride": [
                    "http",
                    "tls"
                ],
                "metadataOnly": false
            },
            "tag": "socks-in"
        }
    ]
}

Настройки роутера

  Скрыть содержимое

 

 

inbounds такой же как и у Вас. Возможно что-то в outbounds не внесено?

В логах кинетика никаких ошибок нет, случаем?

Единственное отличие: у меня в статических маршрутах ничего с xray не добавлено.

 

1 час назад, miksher07 сказал:

Например, ноут через VPS работал только по моему списку сайтов, планшет всегда на все сайты подключался через VPS. Такое возможно организовать?

Если я правильно понимаю, в рамках xray такое организовать нельзя.

[Alexey77]

В 13.10.2023 в 12:17, Alexey77 сказал:

Возникла проблема после перезагрузки роутера в режиме redirect полностью теряю доступ к роутеру.

Установил на другом роутере entware и xkeen в режиме redirect тоже теряю доступ из локальной сети. Через keendns могу зайти. Через консоль роутера узнал правила iptables отрабатывают xray не запускается. В логе роутера Найден «dokodemo-door» в inbounds. Xray запущен в режиме Redirect. И Opkg::Manager: /opt/etc/init.d/rc.unslung: exit code 127. Это красным

Изменено 14 октября, 2023 пользователем Alexey77

[Skrill0]

6 часов назад, jameszero сказал:

Тоже получил такой результат при настройке в режиме TPROXY - не идет https-трафик на 443 порту. Решение пока не придумал, разве что попробовать пустить TCP через REDIRECT, а UDP через TPROXY.

Доброго Вам вечера!

TProxy не заработает, так как для маркировки в iptables нужно отключить hw_nat | Спасибо @avn.

Ищу способы сохранить пользователям hw_nat, но организовать tproxy. Поэтому обновление задерживается.

Есть несколько решений, которые тестирую. 

1. Использовать таблицу raw

2. Маркировать соединения через connmark.

Если используете вариант с Divert и socket — нужно дополнительно поднять этот модуль.

[Skrill0]

46 минут назад, Alexey77 сказал:

Установил на другом роутере entware и xkeen в режиме redirect тоже теряю доступ из локальной сети. Через keendns могу зайти. Через консоль роутера узнал правила iptables отрабатывают xray не запускается. В логе роутера Найден «dokodemo-door» в inbounds. Xray запущен в режиме Redirect. И Opkg::Manager: /opt/etc/init.d/rc.unslung: exit code 127. Это красным

Здравствуйте)

Такое может произойти, если не отрабатывает geoip_v2fly:private в списке Direct. 

Также можно вручную внести в nat таблицу правило return тили accept с адресом 192.168.0.0/16

[vasek00]

17 минут назад, Skrill0 сказал:

TProxy не заработает, так как для маркировки в iptables нужно отключить hw_nat | Спасибо @avn.

А какже тогда маркировка в прошивке, которая практически везде используется, например клиент который помещен в профиль.

Изменено 14 октября, 2023 пользователем vasek00

[Alexey77]

11 минуту назад, Skrill0 сказал:

Такое может произойти, если не отрабатывает geoip_v2fly:private в списке Direct. 

Это вообще не используется конфигурация ленивая. Почему то не стартует xray. S24xray 05 версии стартует но не работает редирект 08 версия не стартует правило iptables создаётся. 

[Sercha]

7 часов назад, jameszero сказал:

Тоже получил такой результат при настройке в режиме TPROXY - не идет https-трафик на 443 порту. Решение пока не придумал, разве что попробовать пустить TCP через REDIRECT, а UDP через TPROXY.

Я так и сделал! Работает! ) Ну - не совсем так - я через редирект пустил только TCP 443. Как сказала @Skrill0 - гибридный режим )).

[Skrill0]

1 час назад, vasek00 сказал:

А какже тогда маркировка в прошивке, которая практически везде используется, например клиент который помещен в профиль.

Доброго Вам вечера!

Из того, что вижу, в основном все маркируется с помощью CONNNDMMARK, кроме 1 клиента, которого поместила в профиль.

Но при рабоче через Mark никак не получается правильно пустить соединение на Tproxy.
Может, я чего-то не понимаю или не замечаю?

Скрытый текст

# Вывод маркированных соединений из таблицы mangle
iptables -t mangle -L -v -n --line-numbers | grep MARK

# Правило 1: Маркировка соединений на основе состояния
1    23147   44M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED CONNNDMMARK match  0x20/0x0

# Правило 2: NDMMARK для всех соединений
1        7   364 NDMMARK    all  --  *      *       0.0.0.0/0            0.0.0.0/0            NDMMARK xor 0x4

# Цепочка _IPSEC_L2TPSERVER_MARK
# Правило 1: NDMMARK для соединений, проходящих через l2tp+
1        0     0 NDMMARK    all  --  l2tp+  *       0.0.0.0/0            0.0.0.0/0            NDMMARK xor 0x10

# Правило 2: CONNNDMMARK для соединений, прошедших через DNAT
1        0     0 CONNNDMMARK  all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate DNAT CONNNDMMARK xor 0x80

# Правило 3: NDMMARK для соединений, прошедших через DNAT
2        0     0 NDMMARK    all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate DNAT NDMMARK xor 0x80

# Правило 4: CONNNDMMARK для соединений с определенной маркировкой и ctstate DNAT
1        0     0 CONNNDMMARK  all  --  *      *       0.0.0.0/0            0.0.0.0/0            CONNNDMMARK match  0x80/0x0 CONNNDMMARK xor 0x80

# Правило 5: RETURN для соединений с определенной маркировкой
2        0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            CONNNDMMARK match  0x80/0x0

# Правило 6: CONNNDMMARK для адреса 192.168.1.65
1     2222  383K CONNNDMMARK  all  --  br0    *       192.168.1.65         0.0.0.0/0            CONNNDMMARK match  0x0/0x0 CONNNDMMARK and 0xff

# Правило 7: MARK для адреса 192.168.1.60 
6     2274  396K MARK       all  --  br0    *       192.168.1.60         0.0.0.0/0            MARK set 0xffffd00

# Правило 8: CONNMARK для адреса 192.168.1.60
7     2274  396K CONNMARK   all  --  br0    *       192.168.1.60         0.0.0.0/0            CONNMARK save

# Правило 9: CONNNDMMARK для TCP соединений на порту 443 с флагами SYN
1        0     0 CONNNDMMARK  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 flags:0x02/0x02 CONNNDMMARK xor 0x20

# Правило 10: CONNNDMMARK для TCP соединений на порту 443 с флагами ACK
3        0     0 CONNNDMMARK  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 flags:0x10/0x10 CONNNDMMARK xor 0x20

# Правило 11: CONNNDMMARK для TLS соединений с определенным серверным именем
1        0     0 CONNNDMMARK  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0             tls "*skrill.keenetic.link" CONNNDMMARK and 0xff

# Правило 13: CONNNDMMARK для соединений с определенной NDMMARK маркировкой
3        0     0 CONNNDMMARK  all  --  *      *       0.0.0.0/0            0.0.0.0/0            ndmmark match 0x1/0x0 CONNNDMMARK xor 0x1

# Правило 14: CONNNDMMARK для соединений с другой NDMMARK маркировкой
2        0     0 CONNNDMMARK  all  --  *      *       0.0.0.0/0            0.0.0.0/0            ndmmark match 0x2/0x0 CONNNDMMARK xor 0x2

# Последнее правило: NDMMARK для всех соединений
1    23949   44M NDMMARK    all  --  *      *       0.0.0.0/0            0.0.0.0/0            NDMMARK and 0xff

 

[miksher07]

6 часов назад, adk сказал:

Если я правильно понимаю, в рамках xray такое организовать нельзя.

Понял, жаль. Значит продолжу пытаться настроить через 10_d_routing.json.

 

Есть раздел  в 10_d_routing.json. // Настройка подключений через VPS с помощью доменных имен. Как я понял сюда надо прописать сайты, на которые роутер должен ходить через VPS

А за что отвечает этот раздел?

Скрытый текст

 // Направление остальныех соединений на VPS
      {
        "inboundTag": ["socks-in"],
        "outboundTag": "direct",
        "type": "field"
      }

Каких остальных соединений на VPS? Я хочу, чтобы на VPS шло только то, что укажу в настройке доменных имен.

Изменено 14 октября, 2023 пользователем miksher07

[Skrill0]

6 часов назад, miksher07 сказал:

Есть раздел  в 10_d_routing.json. // Настройка подключений через VPS с помощью доменных имен. Как я понял сюда надо прописать сайты, на которые роутер должен ходить через VPS

А за что отвечает этот раздел?

  Показать содержимое

 // Направление остальныех соединений на VPS
      {
        "inboundTag": ["socks-in"],
        "outboundTag": "direct",
        "type": "field"
      }

Каких остальных соединений на VPS? Я хочу, чтобы на VPS шло только то, что укажу в настройке доменных имен.

Доброго Вам утра.

Извиняюсь, это опечатка. Исправила.
Соединение с тегом direct — прямое соединение.
Открываться будут только домены из секции с тегом proxy.

[Alexey77]

Здравствуйте скажите почему с файлом S24xray xray стартует после перезагрузки а с файлом S24xray_redirect нет? 

S24xray S24xray_redirect

[vasek00]

12 часа назад, Skrill0 сказал:

Доброго Вам вечера!

Из того, что вижу, в основном все маркируется с помощью CONNNDMMARK, кроме 1 клиента, которого поместила в профиль.

Но при рабоче через Mark никак не получается правильно пустить соединение на Tproxy.
Может, я чего-то не понимаю или не замечаю?

  Скрыть содержимое

# Вывод маркированных соединений из таблицы mangle
iptables -t mangle -L -v -n --line-numbers | grep MARK

# Правило 1: Маркировка соединений на основе состояния
1    23147   44M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED CONNNDMMARK match  0x20/0x0

# Правило 2: NDMMARK для всех соединений
1        7   364 NDMMARK    all  --  *      *       0.0.0.0/0            0.0.0.0/0            NDMMARK xor 0x4

# Цепочка _IPSEC_L2TPSERVER_MARK
# Правило 1: NDMMARK для соединений, проходящих через l2tp+
1        0     0 NDMMARK    all  --  l2tp+  *       0.0.0.0/0            0.0.0.0/0            NDMMARK xor 0x10

# Правило 2: CONNNDMMARK для соединений, прошедших через DNAT
1        0     0 CONNNDMMARK  all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate DNAT CONNNDMMARK xor 0x80

# Правило 3: NDMMARK для соединений, прошедших через DNAT
2        0     0 NDMMARK    all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate DNAT NDMMARK xor 0x80

# Правило 4: CONNNDMMARK для соединений с определенной маркировкой и ctstate DNAT
1        0     0 CONNNDMMARK  all  --  *      *       0.0.0.0/0            0.0.0.0/0            CONNNDMMARK match  0x80/0x0 CONNNDMMARK xor 0x80

# Правило 5: RETURN для соединений с определенной маркировкой
2        0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            CONNNDMMARK match  0x80/0x0

# Правило 6: CONNNDMMARK для адреса 192.168.1.65
1     2222  383K CONNNDMMARK  all  --  br0    *       192.168.1.65         0.0.0.0/0            CONNNDMMARK match  0x0/0x0 CONNNDMMARK and 0xff

# Правило 7: MARK для адреса 192.168.1.60 
6     2274  396K MARK       all  --  br0    *       192.168.1.60         0.0.0.0/0            MARK set 0xffffd00

# Правило 8: CONNMARK для адреса 192.168.1.60
7     2274  396K CONNMARK   all  --  br0    *       192.168.1.60         0.0.0.0/0            CONNMARK save

# Правило 9: CONNNDMMARK для TCP соединений на порту 443 с флагами SYN
1        0     0 CONNNDMMARK  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 flags:0x02/0x02 CONNNDMMARK xor 0x20

# Правило 10: CONNNDMMARK для TCP соединений на порту 443 с флагами ACK
3        0     0 CONNNDMMARK  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 flags:0x10/0x10 CONNNDMMARK xor 0x20

# Правило 11: CONNNDMMARK для TLS соединений с определенным серверным именем
1        0     0 CONNNDMMARK  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0             tls "*skrill.keenetic.link" CONNNDMMARK and 0xff

# Правило 13: CONNNDMMARK для соединений с определенной NDMMARK маркировкой
3        0     0 CONNNDMMARK  all  --  *      *       0.0.0.0/0            0.0.0.0/0            ndmmark match 0x1/0x0 CONNNDMMARK xor 0x1

# Правило 14: CONNNDMMARK для соединений с другой NDMMARK маркировкой
2        0     0 CONNNDMMARK  all  --  *      *       0.0.0.0/0            0.0.0.0/0            ndmmark match 0x2/0x0 CONNNDMMARK xor 0x2

# Последнее правило: NDMMARK для всех соединений
1    23949   44M NDMMARK    all  --  *      *       0.0.0.0/0            0.0.0.0/0            NDMMARK and 0xff

 

TProxy не заработает, так как для маркировки в iptables нужно отключить hw_nat

Берем например provixy чисто для пробы

listen-address  127.0.0.1:8118

/opt/etc/init.d # netstat -ntulp | grep 8118
tcp        0      0 127.0.0.1:8118          0.0.0.0:*               LISTEN      1880/privoxy
/opt/etc/init.d #


iptables -t mangle -A PREROUTING -i br0 -p tcp --dport 80 -j TPROXY --tproxy-mark 0x1/0x1 --on-port 8118 --on-ip 127.0.0.1
ip rule add fwmark 1 lookup 100
ip route add local 0.0.0.0/0 dev lo table 100

После этого перестает работат WEB 80 порт роутера, ну как бы так и должно быть. Клиент из лок сети просматривает сайты которые открываются.

   71  3692 TPROXY     tcp  --  br0    *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 TPROXY redirect 127.0.0.1:8118 mark 0x1/0x1

-t mangle ... --tproxy-mark 0x1/0x1 --on-port 8118  изменяется пакет, устанавливает mark перед маршрутизацией  "ip rule add fwmark 1 ..." где все по умолчанию 0/0 идет в dev lo => помеченные пакеты идут в localhost на порт 8118 => тут просто смена маршрута. Проверял на скорую руку, но все работало, база 4.1.А.9 проц 7621

 

Прошивка классификация интернет-трафика + профиль по клиенту

Скрытый текст

  404 25945 CONNNDMMARK  all  --  br0    *       192.168.130.7        0.0.0.0/0            CONNNDMMARK match  0x0/0x0 CONNNDMMARK xor 0x10
 5886  780K RETURN     all  --  br0    *       192.168.130.7        0.0.0.0/0           
  869  186K CONNNDMMARK  all  --  br0    *       192.168.130.2        0.0.0.0/0            CONNNDMMARK match  0x0/0x0 CONNNDMMARK and 0xff
  869  186K MARK       all  --  br0    *       192.168.130.2        0.0.0.0/0            MARK set 0xffffaaa
  869  186K CONNMARK   all  --  br0    *       192.168.130.2        0.0.0.0/0            CONNMARK save
  869  186K RETURN     all  --  br0    *       192.168.130.2        0.0.0.0/0      

Это классификация интернет-трафика (4 - CONNNDMMARK match  0x0/0x0 CONNNDMMARK xor 0x10) по клиенту

Второй клиент классификация интернет по умолчанию и он сам клиент в профиле у которого MARK set 0xffffaaa

Делал еще хитрее

Скрытый текст

 iptables -t mangle -I _NDM_HOTSPOT_PRERT -i br0 -s 192.168.130.2/32 -j RETURN
 iptables -t mangle -I _NDM_HOTSPOT_PRERT -i br0 -s 192.168.130.2/32 -j CONNMARK --save-mark 
 iptables -t mangle -I _NDM_HOTSPOT_PRERT -i br0 -s 192.168.130.2/32 -m dscp --dscp 63 -j MARK --set-mark 0xffffd01
 iptables -t mangle -I _NDM_HOTSPOT_PRERT -i br0 -s 192.168.130.2/32 -j MARK --set-mark 0xffffd00

где --dscp 63 для сервиса торрента клинта ПК (windows) и для него профиль -set-mark 0xffffd01 в котором канал Инте2, а сам клиент ПК в профиле --set-mark 0xffffd00 в котором канал Инет1

HWNAT вообще не трогал не выше ни тут (включен по умолчанию и hard и soft).

Ремарка в 4.1 сменена нумерация table на 10,11,12 c 42,43 и т.д. и маркировка на 0xffffaaa с 0xffffd00

 

По RAY там как то хитро

https://gist.github.com/tossmilestone/b8ae168ae029e0a66da125b71979f5a2

https://dongdongbh.github.io/blog/tproxy/

 

 

Изменено 15 октября, 2023 пользователем vasek00

[Leva_Krek]

Доброго времени суток, уважаемые форумчане!

Прошу помощи в первоначальной подготовке роутера, какие компоненты необходимо установить? Обязательно ли использовать usb-флешку, если да, какого объема, какая файловая система?

Имею роутер Keenetic Giga (KN-1011) RU, ОС 4.0.4, usb-флешку не использую

После подключения к роутеру через Putty и выполнения первой команды, получаю ошибки.

(config)> opkg install curl tar
Command::Base error[7405600]: no such command: opkg.

Дополнительно установил компонент системы "Поддержка открытых пакетов. Система управления пакетами на основе opkg."
Теперь ошибка следующая:

(config)> opkg install curl tar
Command::Base error[7405600]: no such command: install.

После установки OPKG появились доп.компоненты, возможно необходимо еще что то установить?

[Alexey77]

Сначала вам нужно установить Entware на usb флешку. И нужен xray сервер. И ещё на вашем скриншоте модули ядра для поддержки файловых систем остальное не нужно хоть в инструкции и написано

Изменено 15 октября, 2023 пользователем Alexey77

[bigpu]

1 час назад, Leva_Krek сказал:

Прошу помощи

В справку Кинетика, в справку, потом в шапку этой темы, в шапку...

[Alexey77]

11 час назад, Alexey77 сказал:

S24xray_redirect нет

Нашёл причину в строке 184 нужно поменять sleep $delay на sleep 10 и запуск работает. Скажите на что влияет такая замена? 

[Stenly]

несколько раз начинал читать тему, но так и не понял. какой протокол на vps нужен?
у меня сейчас kvas + wireguard - пока работает