маршрутизация Xkeen

[ortizgen]

  В 15.11.2023 в 14:25, jameszero сказал:

Клиента, который должен всегда подключаться через прокси, настройте через встроенный proxy Кинетика по socks5, а остальных, кому нужен выборочный обход, подключите через редирект. Разделить подключения можно с помощью inboundTag. Примерно так:

inbound

  Показать контент

{
  "inbounds": [
    {
      "listen": "192.168.1.1",
      "port": 1181,
      "protocol": "dokodemo-door",
      "settings": {
        "network": "tcp,udp",
        "followRedirect": true
      },
      "sniffing": {
        "enabled": true,
        "destOverride": [
           "http",
           "tls"
        ]
      },
      "tag": "redirect"
    },
    {
      "listen": "192.168.1.1",
      "port": 1080,
      "protocol": "socks",
      "sniffing": {
        "enabled": true,
        "destOverride": [
          "http",
          "tls"
        ]
      },
      "settings": {
        "udp": true
      },
      "tag": "socks"
    },
    {
      "listen": "192.168.1.1",
      "port": 1081,
      "protocol": "http",
      "sniffing": {
        "enabled": true,
        "destOverride": [
          "http",
          "tls"
        ]
      },
      "settings": {
        "udp": true
      },
      "tag": "http"
    }
  ]
}

 

routing

  Показать контент

{
  "routing": {
      "rules": [
      {
        "inboundTag": [
          "redirect"
        ],
        "domain": [
          "myip.tf",
          "nperf.com",
          "nperf.net"
        ],
        "type": "field",
        "outboundTag": "proxy"
      },
      {
        "inboundTag": [
          "redirect"
        ],
	"network": "tcp,udp",
        "type": "field",
        "outboundTag": "direct"
      },
      {
        "inboundTag": [
          "socks",
          "http"
        ],
	"network": "tcp,udp",
        "type": "field",
        "outboundTag": "proxy"
      }
    ]
  }
}

 

 

Показать  

Всем доброго времени суток, пытаюсь по данной конфигурации настроить раздельное подключение для определенных клиентов по прокси клиенту кинетика, а для остальных через редирект (т.к нужно udp), по редиректу на определенные адреса подключается, а через клиент кинетика подключение идет на прямую. Я так понимаю что в приведенном примере в клиенте кинетика нужно указать SOCKS v5, 192.168.1.1:1080, я так и сделал, но подключается напрямую, причем сторонние клиенты например Firefox, через SOCKS v5 работает нормально, а вот клиент в кинетике не работает, трафик идет напрямую, подскажите в чем проблема, может в конфигурационных файлах нужно что-то поменять?

Изменено 18 ноября, 2023 пользователем ortizgen

[jameszero]

@ortizgen, а политику доступа в интернет с socks5 подключением создаёте? Кстати, при редиректе тоже не работает udp.

[ortizgen]

Да все политики доступа настроены, но подключиться через клиент кинетика так и не удалось, решил подождать новую прошивку, в альфа версии вроде как добавили поддержку udp.

Изменено 19 ноября, 2023 пользователем ortizgen

[Alexey77]

  В 19.11.2023 в 16:13, ortizgen сказал:

подключиться через клиент кинетика так и не удалось

Показать  

Добрый день не могли бы вы выложить скриншоты настроек политик и самого прокси клиента? 

[mafia-cheb]

Подскажите пожалуйста, это все надо на флешку устанавливать или в память роутера? Я же могу до всех манипуляций сделать бэкап и если вдруг что то не получиться у меня вернуть все настройки назад?

[Alexey77]

  В 20.11.2023 в 20:32, mafia-cheb сказал:

Подскажите пожалуйста, это все надо на флешку устанавливать

Показать  

Доброе утро да это нужно установить на флешку и если что просто вынуть флешку и лучше на выключенным роутере. Можно в настройках роутера сохранить и прошивку и настройки для верности. 

[dima8421]

Добрый день!

Посоветуйте, пожалуйста, можно ли добавить какие-то правила iptables, чтобы трафик удаленных клиентов, подключенных к роутеру по VPN редиректился с помощью xkeen/xray? Т.е., в идеале, весь трафик по портам 80 и 443 из подсети VPN клиентов заворачивать на xray.

[Skrill0]

  В 21.11.2023 в 10:44, dima8421 сказал:

Добрый день!

Посоветуйте, пожалуйста, можно ли добавить какие-то правила iptables, чтобы трафик удаленных клиентов, подключенных к роутеру по VPN редиректился с помощью xkeen/xray? Т.е., в идеале, весь трафик по портам 80 и 443 из подсети VPN клиентов заворачивать на xray.

Показать  

Доброго Вам времени суток!
Если клиенты помещены в политику Xkeen, то они будут заворачиваться на Xray.

Далее можно добавить заворот только конкретных портов, к примеру, 443 и 80, как Вы говорите.

xkeen -ap "80 443"

Итого все клиенты из политики Xkeen будут работать с Xray только на 443 и 80 портах.

[Pawant]

Многоуважаемые автор и сообщество! Подскажите, пожалуйста, почему при подключении через xkeen практически ни один VPN-сервис не может подключиться? Настроен режим redirect, если это важно.

[Alexey77]

  В 22.11.2023 в 07:46, Pawant сказал:

практически ни один VPN-сервис не может подключиться?

Показать  

Добрый день. Как это понимать? 

[Atercat]

  В 22.11.2023 в 07:46, Pawant сказал:

Многоуважаемые автор и сообщество! Подскажите, пожалуйста, почему при подключении через xkeen практически ни один VPN-сервис не может подключиться? Настроен режим redirect, если это важно.

Показать  

За все сервисы не скажу, но пару дней назад успешно подключался к Proton. Наверное стоит уточнить, что я весь трафик с компа редиректил на xray.

[jameszero]

  В 22.11.2023 в 07:46, Pawant сказал:

при подключении через xkeen практически ни один VPN-сервис не может подключиться? Настроен режим redirect

Показать  

Доброго дня! Вероятно эти VPN-сервисы используют UDP-протокол, который при редиректе не работает. Если VPN приложение поддерживает прокси сервер socks5 (например OpenVPN), то подключиться к VPN можно.

[Alexey77]

  В 22.11.2023 в 08:55, Atercat сказал:

За все сервисы не скажу, но пару дней назад успешно подключался к Proton. Наверное стоит уточнить, что я весь трафик с компа редиректил на xray.

Показать  

А зачем это нужно подключаться через xray к другому vpn? Для смены ip? 

[Atercat]

  В 22.11.2023 в 09:20, Alexey77 сказал:

А зачем это нужно подключаться через xray к другому vpn? Для смены ip? 

Показать  

Да. Сэкономил... Купил на Аезе шведский VPS по промо тарифу (1EUR/мес). А IP оказался не совсем шведский. На некоторых сервисах определяется как российский. В частности ChatGPT не хотела со мной разговаривать. Пришлось маслить масленое 🙂

Изменено 22 ноября, 2023 пользователем Atercat
Опечатка

[jameszero]

  В 22.11.2023 в 09:20, Alexey77 сказал:

зачем это нужно подключаться через xray к другому vpn?

Показать  

Еще таким образом можно попробовать завернуть весь трафик клиентов, включая UDP-протокол. Поднять, например, на сервере с xray wireguard и Кинетиком подключаться к нему внутри трафика xray. Для клиентов создать политику доступа в интернет через wireguard. Это всё теория, на практике я не пробовал, но вполне может взлететь и при такой схеме можно обойти ограничения redirect-а.

[jameszero]

@Skrill0, приветствую!

В /etc/ndm/xray.sh значение gateway_interfaces задвоено. Так задумано?

  Цитата

...
policy_mark="0xffffd01"
dokodemo_port="1181"
donor_port="80 443"
gateway_interfaces="br0 br0"
...

Показать  

В S24xray я этот параметр не задавал, определяется автоматически.

 

[Skrill0]

  В 22.11.2023 в 17:37, jameszero сказал:

@Skrill0, приветствую!

В /etc/ndm/xray.sh значение gateway_interfaces задвоено. Так задумано?

В S24xray я этот параметр не задавал, определяется автоматически.

Показать  

Доброго Вам времени суток!

Нет, должен был определиться только 1 интерфейс.
В ближайшем обновлении будет исправлено множество ошибок. Благодарю Вас)
Но для спокойствия, ничего страшного в дубликате нет. На производительность не влияет)

Изменено 22 ноября, 2023 пользователем Skrill0

[NGaGe39]

  В 22.11.2023 в 09:32, Atercat сказал:

 В частности ChatGPT не хотела со мной разговаривать. Пришлось маслить масленое 🙂

Показать  

Быть может не секрет, но ChatGPT успешно работает через WARP, так что вам ничего не мешает на сервере в него заворачивать запросы к openai

[doc_bravn]

Доброго дня!

Прошу прощения за вопросы. Уже несколько раз прочитал первую страницу с описанием и пока никак не пойму как настроить под мои нужды. Требуется мне следующее:

1. весь трафик ко всем основным ресурсам пускать напрямую через канал провайдера.

2. через VPN пускать трафик только до определенных заблокированных ресурсов(таких как инстаграм и сайты торрент трекеров)

Пытаюсь понять как настроить редирект в роутере, что нужно делать чтобы настроить? Нет ли какого-то более подробного руководства?

[bigpu]

  В 23.11.2023 в 11:53, doc_bravn сказал:

Нет ли какого-то более подробного руководства?

Показать  

куда уж подробнее, тем более все есть в шапке:

 

[doc_bravn]

  В 23.11.2023 в 12:01, bigpu сказал:

куда уж подробнее, тем более все есть в шапке:

Показать  

Добрый день!

Настроил с использованием редиректа. Создал политику, добавил в нее устройство которое должно через нее работать. Вопрос нужно ли в политике устанавливать галку?

Изменено 23 ноября, 2023 пользователем doc_bravn

[Skrill0]

  В 23.11.2023 в 12:41, doc_bravn сказал:

Добрый день!

Настроил с использованием редиректа. Создал политику, добавил в нее устройство которое должно через нее работать. Вопрос нужно ли в политике устанавливать галку?

Показать  

Доброго Вам дня!
Да, галку на подключение нужно установить.

[doc_bravn]

  В 23.11.2023 в 12:56, Skrill0 сказал:

Доброго Вам дня!
Да, галку на подключение нужно установить.

Показать  

И вам доброго дня!

Спасибо!

Т.е. должна стоять галка также как и на политике по умолчанию?

[bigpu]

  В 23.11.2023 в 13:23, doc_bravn сказал:

Т.е. должна стоять галка также как и на политике по умолчанию?

Показать  

ну логично же, что должна стоять галка на подключении, которое требуется использовать для политики!

[Skrill0]

  В 23.11.2023 в 13:23, doc_bravn сказал:

И вам доброго дня!

Спасибо!

Т.е. должна стоять галка также как и на политике по умолчанию?

Показать  

Да, все правильно.
По-сути, этой галкой Вы даете доступ к интернету.
Галка на политике Xkeen позволяет ей доступ в сеть и обеспечивает работоспособность Xray.

Политика Xkeen изолирована от других)

Изменено 23 ноября, 2023 пользователем Skrill0

[doc_bravn]

  В 23.11.2023 в 13:46, Skrill0 сказал:

Да, все правильно.
По-сути, этой галкой Вы даете доступ к интернету.
Галка на политике Xkeen позволяет ей доступ в сеть и обеспечивает работоспособность Xray.

Политика Xkeen изолирована от других)

Показать  

Благодарю!

В роутинге я настроил так:

{
  "routing": {
    "domainStrategy": "IPIfNonMatch",
    "rules": [
       {
        "inboundTag": ["socks-in"],
        "domain": [
          "speedtest.net",
          "ext:geosite_antifilter.dat:antifilter-community",
          "ext:geosite_v2fly.dat:openai",
          "ext:geosite_v2fly.dat:paypal",
          "ext:geosite_v2fly.dat:ebay",
          "ext:geosite_v2fly.dat:facebook",
          "ext:geosite_v2fly.dat:instagram"
        ],
        "outboundTag": "proxy",
        "type": "field"
      },
      

    {
        "inboundTag": ["socks-in"],
        "ip": [
          "ext:geoip_antifilter.dat:antifilter",
          "ext:geoip_antifilter.dat:antifilter-community",
          "ext:geoip_v2fly.dat:facebook",
          "ext:geoip_v2fly.dat:netflix",
          "ext:geoip_v2fly.dat:twitter"
        ],
        "outboundTag": "proxy",
        "type": "field"
      },

      
      {
        "inboundTag": ["socks-in"],
        "outboundTag": "direct",
        "type": "field"
      }
    ]
  }
}

Пытался добиться чтобы трафик до заблокированных ресурсов пошел через VPS, а все остальное шло напрямую через канал провайдера. Верные настройки?

Политикой я выбрал те устройства которые будут к xkeen обращаться. Выбранное политикой устройство весь свой трафик будет отправлять через VPS или используя настройки роутинга xkeen пойдет к заблокированным через VPS, а к остальным напрямую в канал провайдера?

 

Изменено 23 ноября, 2023 пользователем doc_bravn

[Skrill0]

  В 23.11.2023 в 13:57, doc_bravn сказал:

Благодарю!

В роутинге я настроил так:

{
  "routing": {
    "domainStrategy": "IPIfNonMatch",
    "rules": [
       {
        "inboundTag": ["socks-in"],
        "domain": [
          "speedtest.net",
          "ext:geosite_antifilter.dat:antifilter-community",
          "ext:geosite_v2fly.dat:openai",
          "ext:geosite_v2fly.dat:paypal",
          "ext:geosite_v2fly.dat:ebay",
          "ext:geosite_v2fly.dat:facebook",
          "ext:geosite_v2fly.dat:instagram"
        ],
        "outboundTag": "proxy",
        "type": "field"
      },
      

    {
        "inboundTag": ["socks-in"],
        "ip": [
          "ext:geoip_antifilter.dat:antifilter",
          "ext:geoip_antifilter.dat:antifilter-community",
          "ext:geoip_v2fly.dat:facebook",
          "ext:geoip_v2fly.dat:netflix",
          "ext:geoip_v2fly.dat:twitter"
        ],
        "outboundTag": "proxy",
        "type": "field"
      },

      
      {
        "inboundTag": ["socks-in"],
        "outboundTag": "direct",
        "type": "field"
      }
    ]
  }
}

Пытался добиться чтобы трафик до заблокированных ресурсов пошел через VPS, а все остальное шло напрямую через канал провайдера. Верные настройки?

Политикой я выбрал те устройства которые будут к xkeen обращаться. Выбранное политикой устройство весь свой трафик будет отправлять через VPS или используя настройки роутинга xkeen пойдет к заблокированным через VPS, а к остальным напрямую в канал провайдера?

Показать  

Да, все правильно.
Но antifilter-community может не содержать всех нужных доменов. 
Если Вам такие не встретятся, то рекомендую оставить его.

Если появятся, то используйте просто antifilter)

[doc_bravn]

  В 23.11.2023 в 14:05, Skrill0 сказал:

Да, все правильно.
Но antifilter-community может не содержать всех нужных доменов. 
Если Вам такие не встретятся, то рекомендую оставить его.

Если появятся, то используйте просто antifilter)

Показать  

Благодарю!

Проверю. По сути мне нужны домены инстаграма, рутрекера и кинозала да и все. Они есть в antifilter-community?

Политикой я выбрал те устройства которые будут к xkeen обращаться. Выбранное политикой устройство весь свой трафик будет отправлять через VPS или используя настройки роутинга xkeen пойдет к заблокированным через VPS, а к остальным напрямую в канал провайдера?

[Skrill0]

  В 23.11.2023 в 14:10, doc_bravn сказал:

Благодарю!

Проверю. По сути мне нужны домены инстаграма, рутрекера и кинозала да и все. Они есть в antifilter-community?

Показать  

Насколько я помню, должны быть
 

  В 23.11.2023 в 14:10, doc_bravn сказал:

Политикой я выбрал те устройства которые будут к xkeen обращаться. Выбранное политикой устройство весь свой трафик будет отправлять через VPS или используя настройки роутинга xkeen пойдет к заблокированным через VPS, а к остальным напрямую в канал провайдера?

Показать  

Добавленное в политиику устройство будет направлять все соединение локально на Xray.
А Xray уже выполнит маршрутизацию, согласно 10_routing, отправить через провайдера запрос или через VPS.

К примеру, если Xray увидит, что доменное имя, допустим, instagram есть в списке antifilter-community — он отправит запрос через VPS.

[doc_bravn]

  В 23.11.2023 в 14:15, Skrill0 сказал:

Добавленное в политиику устройство будет направлять все соединение локально на Xray.
А Xray уже выполнит маршрутизацию, согласно 10_routing, отправить через провайдера запрос или через VPS.

К примеру, если Xray увидит, что доменное имя, допустим, instagram есть в списке antifilter-community — он отправит запрос через VPS.

Показать  

Огромное вам спасибо за помощь!

А почему xkeen пишет в своих логах время по UTC и не учитывает реальное время кинетика?