маршрутизация Xkeen

[voxdan21]

Добрый день,

У меня есть конфиг NekoRay. От туда прописал конфиги в json файлы.

Установил X-keen, xray

Но включая в Keenetic Xray, интернет соединения нет. Оно пропадает. Что мне нужно скинуть, чтобы мне кто то помог.

 

[Leva_Krek]

8 часов назад, Alexey77 сказал:

Сначала вам нужно установить Entware на usb флешку.

Спасибо! Да, теперь все установил! Осталось конфиги настроить!

[Sirex]

В 13.10.2023 в 02:15, bigpu сказал:

там есть голосовалка с пунктом "Как выбрать VPS-сервер" - выбирайте его, будет вам руководство)

Все же есть разница при выборе VPS сервера? Пробывал на серверах разных хостеров, далеко не всегда Xray работал хорошо(Сайты долго загружаются, в мобильном приложение ютуба видео загрузилось, а рекомендации под видео ещё долго нужно ждать и тд.), но думал это от локации зависит больше. 

[Alexey77]

Здравствуйте возможно вы что-то намудрили с настройками сервера в шапке есть варианты настроек попробуйте Минималистичная, но более сложная настройка сервера на VPS. На этом сайте есть статьи по выбору VPS

Изменено 16 октября, 2023 пользователем Alexey77

[Alexey77]

В 26.09.2023 в 20:29, Skrill0 сказал:

Обновите init.d файл S24xray до следующего содержимого

  Показать содержимое

По поводу режима redirect мне больше подходит вот такая конфигурация на странице 10 и ещё этот режим сильно зависит от настроек в файле 10_routing.json

Изменено 16 октября, 2023 пользователем Alexey77

[voxdan21]

 

1 час назад, Alexey77 сказал:

Здравствуйте возможно вы что-то намудрили с настройками сервера в шапке есть варианты настроек попробуйте Минималистичная, но более сложная настройка сервера на VPS. На этом сайте есть статьи по выбору VPS

Добрый день,

Если вы мне, то на NekoRay работает конфиг, значит же сервер настроен верно.

Перенеся эти данные в конфиг в json, роутер просто отключает интернет. 

 

[Alexey77]

17 минут назад, voxdan21 сказал:

Перенеся эти данные в конфиг в json, роутер просто отключает интернет. 

Выходит вот здесь нужно искать ошибку. Возьмите файл 08_outbounds.json из ленивой конфигурации там есть подсказки заполнить легко если конечно сервер настроен у вас как по ссылке которую я давал XTLS-Reality. 

Изменено 16 октября, 2023 пользователем Alexey77

[voxdan21]

Сервер - Ubuntu 20.04

 

apt update && apt install curl -y
bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)

Установил веб интерфейс

Добавил подключение - 

протокол Reality и порт 443

 

Пока в самом клиенте Keenetic не включаю прокси и xkeen -tc выдает что интернет соединение работает

 

 

[The_Same]

21 час назад, voxdan21 сказал:

Сервер - Ubuntu 20.04

 

apt update && apt install curl -y
bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)

Установил веб интерфейс

Добавил подключение - 

протокол Reality и порт 443

 

Пока в самом клиенте Keenetic не включаю прокси и xkeen -tc выдает что интернет соединение работает

 

 

Добавьте хотя бы один днс сервер для Xray. 

 

[Alexey77]

3 часа назад, The_Same сказал:

Добавьте хотя бы один днс сервер для Xray. 

Ничего не добавлял всё так работает. 

[VladimirM]

Спасибо автору. На основе данного скрипта на другом роутере (не кинетик, там tomato) настроен XRAY, пользуюсь в режиме прокси настроен правильно, корректно все отрабатывает (заблокированные ресурсы идут через мой vps, остальные через провайдера). Возникла необходимость для всех клиентов сделать прозрачный прокси (схема как в кинетике в настройках отсутствует, но есть entware и доступен пакет tun2socks)

ip tuntap add mode tun dev tun0
ip addr add 10.0.0.1/24 dev tun0
ip link set dev tun0 up
badvpn-tun2socks --tundev tun0 --netif-ipaddr 10.0.0.2 --netif-netmask 255.255.255.0 --socks-server-addr 192.168.3.1:54837 --loglevel 3 &
ip route del default        
ip route add <vps-ip> via 192.168.1.1 dev vlan2 metric 1
ip route add default via 10.0.0.1 dev tun0 metric 1
ip route add default via 192.168.1.1 dev vlan2 metric 10

Почему-то в такой настройке заблокированные ресурсы открываются нормально, а незаблокированные - не открываются. Вроде если xray по адресу 192.168.3.1:54837 является socks5 прокси, то должно всё работать...

[Alexey77]

10 часов назад, VladimirM сказал:

Почему-то в такой настройке заблокированные ресурсы открываются нормально, а незаблокированные - не открываются.

Здравствуйте по моему мнению дело в маршрутах а именно в замене маршрута default. Заблокированные сайты уходят через tun2socks а не заблокированные теряются в роутере. Может команда traceroute поможет найти неправильный маршрут. 

[VladimirM]

9 часов назад, Alexey77 сказал:

Здравствуйте по моему мнению дело в маршрутах а именно в замене маршрута default. Заблокированные сайты уходят через tun2socks а не заблокированные теряются в роутере. Может команда traceroute поможет найти неправильный маршрут. 

Думаю вы правы. Тот трафик, что xray пытается пустить напрямую, мимо VPS, видимо попадает в маршрут по умолчанию, который ведёт опять в tun2socks, который опять попадает в xray и видимо получается цикл.  Интересно можно ли маршрутизацию внутри xray настроить как-то, или маркировать может трафик, чтобы потом правила маршрутизации сделать?

[Alexey77]

1 час назад, VladimirM сказал:

можно ли маршрутизацию внутри xray настроить как-то, или маркировать может трафик, чтобы потом правила маршрутизации сделать?

Тоже пришёл к тому что трафик как-то нужно разделять так сказать на внешний и tun0. Скажите где вы прописали заблокированные сайты? И я так понял что вы тестирует на роутере подключённому по Wi-Fi? Всё чего я добился это прописал tun0 metric 11 иначе интернет совсем пропадает. Прописал 

ip route add 34.160.111.0/24 dev tun0

wget -qO- http://ipecho.net/plain | xargs echo

Если всё работает, команда вернёт IP вашего прокси. Выдаёт адрес моего VDS.

Возможно в разделении трафика поможет policy-routing. 

Изменено 18 октября, 2023 пользователем Alexey77
Дополнил

[VladimirM]

14 минуты назад, Alexey77 сказал:

Тоже пришёл к тому что трафик как-то нужно разделять так сказать на внешний и tun0. Скажите где вы прописали заблокированные сайты? И я так понял что вы тестирует на роутере подключённому по Wi-Fi?

Да, для целей тестов у меня роутер Huawei с FreshTomato подключен проводом к основному роутеру (keenetic ultra, в нем локальная сеть 192.168.1.0, в huawei интерфейс "интернета" vlan2) и тестирую с ноутбука, подключенного по wifi к нему. 192.168.3.0 локальная сеть huawei, на интерфейсе br0. Заблокированные сайты в xray я описал с использованием "ленивой конфигурации" в шапке темы, сделал скрипт в crond для обновления этих файлов раз в сутки.

Если вместо xray использовать туннель ssh:

/opt/libexec/ssh-openssh -D 192.168.3.1:1080 root@<VPS_IP> -i /opt/home/id_rsa -f -N -4
badvpn-tun2socks --tundev tun0 --netif-ipaddr 10.0.0.2 --netif-netmask 255.255.255.0 --socks-server-addr 192.168.3.1:1080 --loglevel 3 &

то всё отлично работает. только мне так не надо, весь трафик идет через vps и конечно это сильно медленнее. Да и сам ssh-туннель заметно тормознее работает на этом huawei, который хоть и 2-ядерный,  но уже не очень быстрый.

На keenetic схема с клиентом прокси очень даже работает, и используется там именно badvpn-tun2socks, когда делается подключение прокси и потом настраивается политика доступа для подключения. Просто скилла не хватает перенести настройки оттуда правильно, нужна помощь умных людей.

Изменено 18 октября, 2023 пользователем VladimirM

[Alexey77]

41 минуту назад, VladimirM сказал:

На keenetic схема с клиентом прокси очень даже работает

Да работает но скорость очень сильно падает. Сайты прописали в файл 10_routing.json? 

Изменено 18 октября, 2023 пользователем Alexey77

[Alexey77]

Нативные политики keenos, которые уже являются таблицами маршрутизации.
Просто создаем политику и включаем в нее прокси

Далее с помощью команды cli show ip policy смотрим связанный с политикой номер таблицы маршрутизации:

  Скрыть содержимое
(config)> show ip policy

           policy, name = Policy1, description = VPN:
                 mark: ffffd00
               table4: 42

Вот вывод прокси (config)> show ip policy
           policy, name = Policy0, description = xray:
                 mark: ffffaaa
               table4: 10

Видимо трафик маркируется и отправляется в таблицу 10.

[VladimirM]

30 минут назад, Alexey77 сказал:

Видимо трафик маркируется и отправляется в таблицу 10.

Вот надо перенести все эти настройки на другой роутер, чтобы также работало, только без cli, обычными командами. На ваш вопрос про настройки роутинга - практически неизменная версия из шапки:

Скрытый текст

{
  "routing": {
    "domainStrategy": "IPIfNonMatch",
    "rules": [
      // Настройка черного списка
      {
        "inboundTag": ["socks-in"],
        "domain": [
          "ext:geosite_v2fly.dat:category-ads-all",
          "google-analytics",  // Могут быть проблемы с сервисами Google. Нужны тесты
          "analytics.yandex"  // Могут быть проблемы с сервисами Yandex. Нужны тесты
        ],
        "outboundTag": "block",
        "type": "field"
      },
      
      // Блокируем соединение по уязвимым UDP портам
      {
        "inboundTag": ["socks-in"],
        "network": "udp",
        "port": "135, 137, 138, 139",
        "outboundTag": "block",
        "type": "field"
      },
      {
      "inboundTag": ["socks-in"],
      "protocol": ["bittorrent"],
      "outboundTag": "direct",
      "type": "field"
      },
      // Настройка подключений через VPS с помощью доменных имен
      {
        "inboundTag": ["socks-in"],
        "domain": [
          "speedtest.net",
           "wikidot.com",
          "ext:geosite_antifilter.dat:antifilter-community",
          "ext:geosite_v2fly.dat:openai",
          "ext:geosite_v2fly.dat:paypal",
          "ext:geosite_v2fly.dat:ebay",
          "ext:geosite_v2fly.dat:facebook",
          "ext:geosite_v2fly.dat:instagram"
        ],
        "outboundTag": "proxy",
        "type": "field"
      },
      
      // Настройка подключений через VPS с помощью IP
      {
        "inboundTag": ["socks-in"],
        "ip": [
      "ext:geoip_antifilter.dat:antifilter",
          "ext:geoip_antifilter.dat:antifilter-community",
          "ext:geoip_v2fly.dat:facebook",
      "ext:geoip_v2fly.dat:netflix",
          "ext:geoip_v2fly.dat:twitter"
        ],
        "outboundTag": "proxy",
        "type": "field"
      },
  
      {
        "inboundTag": ["socks-in"],
        "outboundTag": "direct",
        "type": "field"
      }
    ]
  }
}

 

Изменено 18 октября, 2023 пользователем VladimirM

[Alexey77]

Прокси на кеенетике как я понял работает так в политику добавляется клиент и весь его трафик идёт через прокси а xray уже маршрутизирует трафик. 

[Roman Balaev]

А как бороться с резанием скорости когда рабоатет через сокет? от 300м\бит остается 20м\бит.

[bigpu]

2 минуты назад, Roman Balaev сказал:

от 300м\бит остается 20м\бит.

На 7621 выдает 50Мбит +- . А так, ждать реализации tproxy или брать Кинетик на ARM.

[Roman Balaev]

4 часа назад, bigpu сказал:

На 7621 выдает 50Мбит +- . А так, ждать реализации tproxy или брать Кинетик на ARM.

это что за модели?

[bigpu]

30 минут назад, Roman Balaev сказал:

это что за модели?

да та же Ультра 2, что у вас))

https://keenetic.ru/ru/zyxel-keenetic-ultra-2

[bigpu]

4 часа назад, Roman Balaev сказал:

А как бороться с резанием скорости когда рабоатет через сокет? от 300м\бит остается 20м\бит.

 

[Roman Balaev]

3 часа назад, bigpu сказал:

да та же Ультра 2, что у вас))

https://keenetic.ru/ru/zyxel-keenetic-ultra-2

Я имел ввиду какие модели на ARM сейчас у меня KN-1810 MT7621A как раз максималка 50 мегабит, что очень печально.  я так понял меня спасет только MT7622B пик или последняя ультра...

[bigpu]

3 минуты назад, Roman Balaev сказал:

я так понял меня спасет только MT7622B

именно

[Alexey77]

В 08.09.2023 в 23:22, vasek00 сказал:

Ремарка по Proxy серверу.

По работе proxy и им подобных - нужен все время доступ до адреса самого сервера, это делается стат маршрутом нужного адреса сервера через нужный интерфейс провайдера.

Здравствуйте скажите а зачем tun2socks нужен маршрут до прокси сервера через интерфейс провайдера если например у xray он находится в локальной сети?

Из Badvpn-tun2socks wiki  ПРИМЕЧАНИЕ: Использовать tun2socks с Tor на одном хостинге без виртуальной машины сложно, но не невозможно, поскольку операционной системе пришлось бы маршрутизировать исходящие соединения tun2socks иначе, чем другим программам. Этого можно достичь с помощью политики маршрутизации, но в этом руководстве не приводится никакой дополнительной информации. Socks tor можно заменить на socks xray. 

Изменено 21 октября, 2023 пользователем Alexey77
Дополнил

[Sirex]

Для работы UDP через redirect кроме конфига 07_r_inbounds.json что еще требуется? Никак не могу его заставить работать, TCP отлично работает

[Alexey77]

48 минут назад, Sirex сказал:

Никак не могу его заставить работать

А как вы проверяете работу udp трафика? 

[Sirex]

20 минут назад, Alexey77 сказал:

А как вы проверяете работу udp трафика? 

Ntp синхронизация не работает, вацап звонки и игра lol