маршрутизация Xkeen

[LDude]

1 hour ago, Alexey77 said:

Если билайн ваше основное интернет соединение опустите его в самый низ

Да ну, нафик, опустил. Всё отвалилось. Локалка отвалилась, потом ожила немного, потом отпять отвалилась. И так постоянно, пока назад не вернул еле-еле.

fi-hel (1) пошёл через mchost. Мне так показалось.

xkeen -tc тоже сеть потерял, терминал тоже тупил, ну, из-за локалки по ходу.

Изменено 27 ноября, 2023 пользователем LDude
пунктуация)

[Alexey77]

1 час назад, LDude сказал:

Да ну, нафик, опустил. Всё отвалилось. 

Сразу не обратил внимания что у вас столько политик. Вот у меня так настроено и работает. 

Изменено 27 ноября, 2023 пользователем Alexey77

[reyist]

Всем доброго дня.

Народ, то ли лыжи не едут... Вчера все было хорошо, в 9 вечера решил обновить keenetic на 4.0.7, все прошло штатно, потом проверяю доступ через xray - не работает. Смотрю в access.log а там последняя запись  "2023/11/27 18:15:20 192.168.1.62:44744 accepted tcp:8.26.56.26:443 [socks-in -> proxy]" и дальше пусто. Все проверки  по ключам -tc -tpx -tfx -tfk проходят успешно и конфигурация считывается без ошибок - использую redirect со стандартными конфигами из ленивой (но и до этого времени все это нормально работало), политика Xkeen активна. Подумал на провайдера... зашел на телефоне с МТС через v2rayNG - норм, потом подключил keenetic через него по WISP - так же не работает.
Т.е. вроде как получается, что не происходит маршрутизации клиентов кинетика через xkeen, которая вдруг перестала работать вчера после 18:15, если судить по access.log. Я до этого времени точно ничего не менял и не трогал ни в кинетике, на на впс.
Xkeen восстанавливал из бэкапа, понижал версию, откатывал кинетик обратно на 4.0.5 - все бесполезно.
Подскажите, куда еще можно копать или чтянт?

[jameszero]

@reyist , приветствую.

Перекиньте клиентов из политики xkeen в политику по умолчанию, а затем обратно в xkeen.

Изменено 28 ноября, 2023 пользователем jameszero

[reyist]

27 минут назад, jameszero сказал:

@reyist , приветствую.

Перекиньте клиентов из политики xkeen в политику по умолчанию, а затем обратно в xkeen.

не выходит, все так же.. xkeen перезапустил, в access.log тоже пусто

[jameszero]

А с DNS нет проблем? У меня вчера при обновлении на 4.0.7 отвалился DoH сервер четырёх девяток. В лог кинетика посыпались записи:

Цитата

 

ndnproxy: [EB52] unable to send request to 127.0.0.1 [0] from 50045: operation not permitted.

https-dns-proxy: 0495: "https://dns.quad9.net/dns-query": curl error message: Operation timed out after 3000 milliseconds with 0 bytes received

 

Не знаю, как это связано с обновлением, скорей всего совпало с блокировкой провайдера. Заменил DNS-сервер и клиентов перетасовал между политиками, всё заработало.

Посмотрите в лог кинетика, может есть за что зацепиться.

[Alexey77]

9 минут назад, reyist сказал:

в access.log тоже пусто

Добрый день. Похоже на то что не отрабатывает файл xray.sh. Команды как проверить правила iptables забыл может кто знает напишите. 

[Skrill0]

1 час назад, reyist сказал:

не выходит, все так же.. xkeen перезапустил, в access.log тоже пусто

Доброго Вам дня!

Покажите, пожалуйста, результат команды в терминале

iptables -t nat -nL XRAY_IPV4 -v

 

[reyist]

6 минут назад, Skrill0 сказал:

Доброго Вам дня!

Покажите, пожалуйста, результат команды в терминале

iptables -t nat -nL XRAY_IPV4 -v

 

[reyist]

1 час назад, jameszero сказал:

А с DNS нет проблем? У меня вчера при обновлении на 4.0.7 отвалился DoH сервер четырёх девяток. В лог кинетика посыпались записи:

Не знаю, как это связано с обновлением, скорей всего совпало с блокировкой провайдера. Заменил DNS-сервер и клиентов перетасовал между политиками, всё заработало.

Посмотрите в лог кинетика, может есть за что зацепиться.

У меня стоит AGH паралельно на synology, и в сегменте домашней сети через dhcp он прилетает всем клиентам, апстримы там стоят как раз 9.9.9.9 и 1.1.1.1. Убрал его и в днс профиле всем клиентам вообще поставил базовый яндекс и перезагрузился. Ничего.
В логах криминала не нашел, все без ошибок, так и в access.log пусто.
Зашел с этой машины с тем же xray-профилем через виндовый клиент nekoray - все норм.

[Skrill0]

16 минут назад, reyist сказал:

Это полный скриншот выдачи?
Нет ли там правил REDIRECT?

[reyist]

8 минут назад, Skrill0 сказал:

Это полный скриншот выдачи?
Нет ли там правил REDIRECT?

Да, полный, больше ничего нет.

[Skrill0]

2 минуты назад, reyist сказал:

Да, полный, больше ничего нет.

По какой-то причине из всех правил не добавились основные, отвечающие за перенаправление соединения на Xray.
Пожалуйста, пришлите файл находящийся по пути

/opt/etc/ndm/netfilter.d/xray.sh

 

[reyist]

5 минут назад, Skrill0 сказал:

По какой-то причине из всех правил не добавились основные, отвечающие за перенаправление соединения на Xray.
Пожалуйста, пришлите файл находящийся по пути

/opt/etc/ndm/netfilter.d/xray.sh

 

 

xray.sh

[jameszero]

donor_port="80,443"

Запятую уберите)

donor_port="80 443"

[reyist]

8 минут назад, jameszero сказал:

donor_port="80,443"

Запятую уберите)

donor_port="80 443"

убрал, но все так же, через vps не перенапрявляет. При перезапуске xkeen запятая возвращается.

[Skrill0]

1 минуту назад, reyist сказал:

убрал, но все так же, через vps не перенапрявляет. При перезапуске xkeen запятая возвращается.

Да, она генерируется из файла init.d.
Нужно пройти по пути к файлу

/opt/etc/init.d/S24Xray

Открыть его и заменить 

donor_port="80,443"

на

donor_port="80 443"

 

[reyist]

23 минуты назад, Skrill0 сказал:

Да, она генерируется из файла init.d.
Нужно пройти по пути к файлу

/opt/etc/init.d/S24Xray

Открыть его и заменить 

donor_port="80,443"

на

donor_port="80 443"

 

Да, заработал)
Как она там затесалась, я в полном неведении...

/opt/etc/init.d/S24Xray

не трогал никогда и ничего там не менял.

UDP: я понял, на выходных я добавил командой xkeen -dp "80,443" порты для xray, по привычке разделив их запятой, а вчера случилась перезагрузка и они, видимо, прописались в S24Xray. Надо быть повнимательней, спасибо всем)

Изменено 28 ноября, 2023 пользователем reyist

[Skrill0]

1 минуту назад, reyist сказал:

Да, заработал)
Как она там затесалась, я в полном неведении...

/opt/etc/init.d/S24Xray

не трогал никогда и ничего там не менял.

Рада, что у Вас все заработало)

[LDude]

On 11/24/2023 at 11:33 AM, mafia-cheb said:

а почему тмдб из коробки не работает?

Вот почему, наверное, только что нашёл. Надо как-то прикрутить это сюда.

Изменено 30 ноября, 2023 пользователем LDude
линк забыл прикрутить

[jameszero]

@LDude с этим ресурсом ситуация более интересная. Он нормально резолвится только иностранными DNS-серверами. Российские или те, которые имеют сервера в России, возвращают 127.0.0.1 на его служебный поддомен api.tmdb.org (который используется в том числе в упомянутом вами kodi). Как в tmdb умудрились такое сделать, лично я не понимаю, но догадываюсь почему это происходит именно в России.

Скрытый текст

nslookup api.tmdb.org 77.88.8.8
╤хЁтхЁ:  dns.yandex.ru
Address:  77.88.8.8

Не заслуживающий доверия ответ:
╚ь :     api.tmdb.org
Addresses:  ::1
          127.0.0.1
--------------------------------------------------------------------------

nslookup api.tmdb.org 94.140.14.14
╤хЁтхЁ:  dns.adguard.com
Address:  94.140.14.14

Не заслуживающий доверия ответ:
╚ь :     api.tmdb.org
Addresses:  ::1
          127.0.0.1
--------------------------------------------------------------------------

nslookup api.tmdb.org 1.1.1.1
╤хЁтхЁ:  one.one.one.one
Address:  1.1.1.1

Не заслуживающий доверия ответ:
╚ь :     api.tmdb.org
Addresses:  ::1
          127.0.0.1
--------------------------------------------------------------------------

nslookup api.tmdb.org 8.8.8.8
╤хЁтхЁ:  dns.google
Address:  8.8.8.8

Не заслуживающий доверия ответ:
╚ь :     api.tmdb.org
Addresses:  ::1
          127.0.0.1
--------------------------------------------------------------------------

nslookup api.tmdb.org 9.9.9.9
╤хЁтхЁ:  dns9.quad9.net
Address:  9.9.9.9

Не заслуживающий доверия ответ:
╚ь :     api.tmdb.org
Addresses:  2600:9000:223c:fa00:10:fb02:4000:93a1
          2600:9000:223c:7c00:10:fb02:4000:93a1
          2600:9000:223c:4600:10:fb02:4000:93a1
          2600:9000:223c:3a00:10:fb02:4000:93a1
          2600:9000:223c:3600:10:fb02:4000:93a1
          2600:9000:223c:3e00:10:fb02:4000:93a1
          2600:9000:223c:d000:10:fb02:4000:93a1
          2600:9000:223c:b000:10:fb02:4000:93a1
          18.66.97.86
          18.66.97.35
          18.66.97.54
          18.66.97.105

 

"Нормальный" DNS-сервер направляет на правильный адрес, а если и "нормальный" DNS-сервер возвращает локалхост, то это верный признак того, что провайдер перехватывает ваши DNS-запросы и направляет их по своим маршрутам.  В этом случае поможет DoH, DoT, DoQ.

Изменено 1 декабря, 2023 пользователем jameszero

[doc_bravn]

Добрый день!

Если я правильно помню, то можно настроить так чтобы весь трафик одного из устройств домашней сети шел через VPS, а все остальные устройства через VPS ходили только на заблокированные сайты?

Если это возможно, то можете подсказать что и как настроить?

[jameszero]

@doc_bravn, добрый день!

Например, так.

[LDude]

On 12/1/2023 at 8:05 AM, jameszero said:

В этом случае поможет DoH, DoT, DoQ.

Что-то пихал, пихал вручную разные DoH и DoT- никак не помогало. Взял, готовый кинетиковый пресет включил (Neustar UltraDNS Public - Unfiltered Resolution) и заработало!

Изменено 2 декабря, 2023 пользователем LDude

[LDude]

On 11/23/2023 at 9:31 PM, jameszero said:

Вы видимо направляете в redirect все порты, не рекомендую так делать. VoWiFi работает по протоколу IPsec и использует UDP порты 500 и 4500.

Настройте перенаправление только для 80 и 443 портов, запустив команду:

xkeen -ap "80 443"

А есть команда убрать это? Или только руками убирать?

Нашёл, -dp.

Изменено 1 декабря, 2023 пользователем LDude

[LPA]

Здравствуйте! Подскажите, есть решение с торрентами? Может быть я что-то пропустил. На данный момент настроено в режиме Redirect с перенаправлением портов 80 и 443. 

[jameszero]

6 часов назад, LPA сказал:

есть решение с торрентами?

Добрый день! Подобный вопрос обсуждали на 23-26 страницах этой темы. Если коротко, то используйте торрент-клиент, который позволяет пустить трафик через socks5-прокси. Через Redirect торренты не работают.

[LPA]

5 часов назад, jameszero сказал:

Если коротко, то используйте торрент-клиент, который позволяет пустить трафик через socks5-прокси.

Нужно ли прописывать дополнительно:

{
        "inboundTag": ["socks-in"],
        "protocol": "bittorrent",
        "outboundTag": "proxy",
        "type": "field"
       },

И как правильно указать подключение? Какой порт?

Socks5 192.168.1.1:1080

[doc_bravn]

Добрый день!

Автозапуск xray вместе с роутером включен, но в реальности после перезагрузки роутера xray не запускается.

После перезагрузки роутера нужно вручную запускать xray командой xkeen -start. Роутер Ultra KN-1811.

Изменено 4 декабря, 2023 пользователем doc_bravn

[jameszero]

19 минут назад, LPA сказал:

Нужно ли прописывать дополнительно

Не нужно. Несколькими постами выше в моём сообщении ссылка на пример конфига, он полностью подходит для торрент-клиента с socks5-прокси. Порт 1080 является стандартным для socks, но можете использовать и любой другой.

Изменено 4 декабря, 2023 пользователем jameszero