маршрутизация Xkeen

[Marassa]

2 часа назад, Alex453 сказал:

Настроил inbound по примеру ленивой конфигурации для подключения штатного keenetic proxy

Прокси-подключение xray на кинетике создано? Оно включено в политику по умолчанию перед основным подключением?

[Marassa]

Прошу прощения за очередной тупой вопрос: а как настроить outbounds чтобы xray гнал некоторый трафик на OpenVPN-подключение, созданное средствами Keenetic? В доках на xray вижу особый outbound protocol Wireguard, но это по видимому имеется в виду Wireguard, встроенный в сам xray? А на уже готовое VPN-подключение, созданное штатными средствами роутера как? Это же и не отдельный IPшник и не отдельный порт...

[Alexey77]

2 часа назад, Alex453 сказал:

2023/12/23 15:42:26 [Warning] core: Xray 1.7.5 started

Добрый вечер. У вас версия xray старая он с таким конфигом не будет работать обновите и лучше на 1.8.4.

Изменено 23 декабря, 2023 пользователем Alexey77
Дополнил

[Sallenrey]

Доброго времени суток. Нашлось решение, при котором Viva себя чувствует комфортно, если весь трафик гонять через vps? Сейчас ЦП под сотку грузит, когда скорость замеряю(проседает с 90 до 30). Пробовал и через прокси и редирект. Результат одинаковый. Фильтров нету, даже компоненты не ставил. Вбил данные сервера, закинул ленивый конфиг и больше ничего не делал.

upd. Чёт вообще не стабильно работает. Интернет то есть, то нет. По статусу, всё в норме. Порты слухает, инет есть. 

upd2. Ещё раз пролистал форум, нашёл совет с отключением службы связанной с трафиком, которого у меня отродясь не было. В спид тесте вообще глушняк, иногда проклевывются данные сервера, иногда даже начинает замеры, но чаще всего вообще спит. ЧЯДНТ? Через ПО на телефоне/компе/тетрисе всё летает через VPS, а тут неделю пытаюсь сделать стабильную работу. Скоро истерика будет. Хэлп ми.

Изменено 24 декабря, 2023 пользователем Sallenrey
Дополнил

[Alexey77]

Доброе утро. Вам для начала нужно попробовать поставить галочку ещё и на сибирские сети. 

Изменено 24 декабря, 2023 пользователем Alexey77

[Marassa]

4 часа назад, Sallenrey сказал:

Пробовал и через прокси и редирект

У Вас на скриншотах какой-то странный микс режимов прокси и редирект. Если xkeen настроен на редирект, то не надо прокси-соединение на первое место в политике xkeen ставить, его там по хорошему вообще быть не должно, да и вообще в режиме редирект само подключение по proxy избыточно.

PS inbounds.json покажите, чтоб понятнее было.

Изменено 24 декабря, 2023 пользователем Marassa

[Alexey77]

4 минуты назад, Marassa сказал:

У Вас на скриншотах какой-то странный микс режимов прокси и редирект.

Как Вы определили что у него микс режимов? И да нужно настраивать что то одно или прокси или редирект. 

[Sallenrey]

6 часов назад, Marassa сказал:

У Вас на скриншотах какой-то странный микс режимов прокси и редирект. Если xkeen настроен на редирект, то не надо прокси-соединение на первое место в политике xkeen ставить, его там по хорошему вообще быть не должно, да и вообще в режиме редирект само подключение по proxy избыточно.

PS inbounds.json покажите, чтоб понятнее было.

 

[Sallenrey]

7 часов назад, Alexey77 сказал:

Доброе утро. Вам для начала нужно попробовать поставить галочку ещё и на сибирские сети. 

Зачем? Если я правильно понимаю, то это лишнее,так как в настройках прокси стоит доступ в интернет, но на всякий случай включил. Результата не дало.

[Marassa]

1 час назад, Sallenrey сказал:

 

Значит всё-таки proxy. Насколько я здесь читал, именно в режиме прокси потребляется максимальное количество ресурсов, а от этого все что угодно может быть. Лично я бы пробовал добиться успеха в режиме редирект, так шансов больше. На мой дилетантский взгляд.

[Sallenrey]

1 час назад, Marassa сказал:

Значит всё-таки proxy. Насколько я здесь читал, именно в режиме прокси потребляется максимальное количество ресурсов, а от этого все что угодно может быть. Лично я бы пробовал добиться успеха в режиме редирект, так шансов больше. На мой дилетантский взгляд.

Увы, не помогло. Кстати, какой порт слушает xkeen при редирект? В конфиге порт есть, а на кине где его указывать?

[Alexey77]

С прокси режимом вообще проблем быть не должно просто приоритет правильно в политиках выставите и клиенты которые должны в нет ходить добавьте в политику. 

[Marassa]

3 минуты назад, Sallenrey сказал:

Увы, не помогло

В политике xkeen прокси убрали ниже основного провайдера?

4 минуты назад, Sallenrey сказал:

какой порт слушает xkeen при редирект? В конфиге порт есть, а на кине где его указывать?

У меня всё точно как в ленивой конфигурации и так же как и для прокси - 54836. Насколько я понимаю, в режиме редирект скрипты xkeen настраивают нужную маршрутизацию через iptables, в веб-морде ничего настраивать не нужно. Важно только, чтобы нужные устройства были в политике xkeen, и чтоб на первом месте в ней стояло основное подключение к интернету. По крайней мере у меня так.

[Alexey77]

32 минуты назад, Marassa сказал:

В политике xkeen прокси убрали ниже основного провайдера?

Опять эта запутанная ситуация зачем прокси убирать ниже? Если редирект то прокси лучше отключить совсем. А двигать ниже основного провайдера это надо знать зачем двигать иначе в будущем возникнут проблемы. 

[Sallenrey]

6 часов назад, Alexey77 сказал:

 

7 часов назад, Marassa сказал:

В политике xkeen прокси убрали ниже основного провайдера?

 

Я просто прокси удаляю, чтобы проблем не возникало

[Alexey77]

7 часов назад, Sallenrey сказал:

Я просто прокси удаляю, чтобы проблем не возникало

Добрый день. Вам сначала нужно настроить прокси режим по моему мнению его проще настроить. Что у вас в логах xray? 

[Sallenrey]

15 минут назад, Alexey77 сказал:

Добрый день. Вам сначала нужно настроить прокси режим по моему мнению его проще настроить. Что у вас в логах xray? 

Какой командой их посмотреть? Через прокси пробовал, точно так же себя ведёт.

[Alexey77]

Логи находится в файлах где находятся эти файлы посмотрите в /opt/etc/xray/configs/01_log.json

[Sallenrey]

15 минут назад, Alexey77 сказал:

Логи находится в файлах где находятся эти файлы посмотрите в /opt/etc/xray/configs/01_log.json

[LexxWin]

Здравствуйте!
Установил на Keenetic Hopper KN-3810. Работает через Redirect, "ленивая" конфигурация (пробовал 2 варианта).
Сайты открывает, всё хорошо, но вот в телеграм при ответе на звонок, идёт переподключение, и не соединяет. Подскажите пожалуйста как это исправить.
 

Изменено 6 февраля, 2024 пользователем LexxWin

[Alexey77]

А что выдаёт команда xray version 

[stalker-dm]

Здравствуйте!

Есть готовый конфиг для поднятия reverse proxy (реверс прокси).
Его надо раскидывать по фалам конфигурации, или можно одним файлом подгрузить?

[Marassa]

18 минут назад, Sallenrey сказал:

Это access.log, в нём всё просто замечательно. Xray получает траффик и честно посылает его на proxy, стало быть на входе и с маршрутизацией всё хорошо.  А что в error.log и в outbounds.json?

Изменено 25 декабря, 2023 пользователем Marassa

[Alexey77]

8 минут назад, stalker-dm сказал:

Здравствуйте!

Есть готовый конфиг для поднятия reverse proxy (реверс прокси).
Его надо раскидывать по фалам конфигурации, или можно одним файлом подгрузить?

Можете попробовать переместить все файлы из папки configs и положить туда свой файл. Если не заработает то придётся раскидывать. По моему мнению лучше раскидать так удобнее будет управлять настройками в будущем

[Alexey77]

Возник вопрос кто проверял xray версии 1.8.6 как вы оцениваете его? У меня не стабильно работал.

[jameszero]

@Alexey77, нормально работает версия 1.8.6. Создайте ишью с описанием проблемы, пусть автор проверит.

[LDude]

On 12/21/2023 at 5:28 PM, Alexey77 said:

попробуйте поставить версию 1.8.4 вместо 1.8.6 

Хм, причём на сервере 1.8.6. Только сейчас глянул ))

[beubasser]

Товарищи, кто-то настраивал xray клиент на другой машине и перенаправлял трафик на неё с минимальными потерями в скорости?

У меня есть KN-1011, прошивка 4.1 Beta 2

• Ставил xkeen на роутер и проц долбится в сотку уже на ~30 мбит/с, как с использованием встроенного SOCKS в вебе, так и через REDIRECT правила (dokodemo-door в конфиге). Судя по htop, скорость упирается в сам xray клиент.
• Поставил xray клиент на 4-ую Raspberry, перенаправлял трафик с помощью встроенных клиентов SOCKS и WireGuard. На SOCKS получилось максимум 40 мбит/с, а через WireGuard, на удивление, максимум 70 мбит/с.

• Выполнял команду

  interface Proxy0 proxy socks5-udp

  Скорость так же режется.

Такие скорости меня не устраивают, тариф-то у меня 300 мбит/с, и прямое подключение к моему VPS через NekoBox тоже даёт 300 мбит/с. Скорость теряется даже если в правилах xray трафик идёт напрямую, не через VPS. Проблема исключительно в перенаправлении трафика с роутера на Raspberry. И это перенаправление ест много скорости.

Я ознакомился с TPROXY, но так и не понял, как правильно перенаправить. Получилось лишь полностью грохнуть интернет и доступ к роутеру, когда попробовал правила отсюда.

Мои вопросы таковы:

• Как перенаправить трафик с помощью TPROXY на Raspberry? Есть ли примеры команд?
• Обрежет ли TPROXY скорости так же, как делают встроенные SOCKS и WireGuard клиенты на кинетике?
• Как использовать TPROXY вместе с политиками подключений? Имею в виду эти:
  Spoiler

  

• Есть какие-то альтернативные варианты перенаправления? Какие-нибудь сторонние прокси клиенты на кинетик, которые так не обрезают скорость?

 

Вот мой xray конфиг на Raspberry для референса:

Spoiler

{
  "dns": {
    "disableFallback": true,
    "servers": [
      {
        "address": "https://8.8.8.8/dns-query",
        "domains": [],
        "queryStrategy": ""
      },
      {
        "address": "localhost",
        "domains": [],
        "queryStrategy": ""
      }
    ],
    "tag": "dns"
  },
  "inbounds": [
    {
      "listen": "0.0.0.0",
      "port": 2080,
      "protocol": "socks",
      "settings": {
        "udp": true
      },
      "sniffing": {
        "destOverride": [
          "http",
          "tls",
          "quic"
        ],
        "enabled": true,
        "metadataOnly": false,
        "routeOnly": true
      },
      "tag": "socks-in"
    },
    {
      "listen": "0.0.0.0",
      "port": 2081,
      "protocol": "http",
      "sniffing": {
        "destOverride": [
          "http",
          "tls",
          "quic"
        ],
        "enabled": true,
        "metadataOnly": false,
        "routeOnly": true
      },
      "tag": "http-in"
    },
    {
      "tag": "dokodemo-door",
      "port": 2082,
      "listen": "0.0.0.0",
      "protocol": "dokodemo-door",
      "settings": {
        "network": "tcp,udp",
        "followRedirect": true
      },
      "sniffing": {
        "enabled": true,
        "destOverride": [
          "http",
          "tls"
        ]
      },
      "streamSettings": {
        "sockopt": {
          "tproxy": "tproxy"
        }
      }
    },
    {
      "tag": "wgserver",
      "listen": "0.0.0.0",
      "port": 8888,
      "protocol": "wireguard",
      "settings": {
        "secretKey": "***",
        "peers": [
          {
            "publicKey": "***",
            "allowedIPs": [
              "192.168.6.0/24"
            ]
          }
        ],
        "kernelMode": false,
        "mtu": 1400
      }
    }
  ],
  "log": {
    "access": "/home/pi/Documents/xray/log/access.log",
    "error": "/home/pi/Documents/xray/log/error.log",
    "loglevel": "debug"
  },
  "outbounds": [
    {
      "tag": "proxy",
      "protocol": "vless",
      "domainStrategy": "AsIs",
      "flow": null,
      "settings": {
        "vnext": [
          {
            "address": "***",
            "port": 443,
            "users": [
              {
                "encryption": "none",
                "flow": "",
                "id": "***"
              }
            ]
          }
        ]
      },
      "streamSettings": {
        "network": "tcp",
        "security": "reality",
        "realitySettings": {
          "fingerprint": "firefox",
          "publicKey": "***",
          "serverName": "google.com",
          "shortId": "***",
          "spiderX": "/"
        },
        "sockopt": {
          "mark": 2
        }
      }
    },
    {
      "tag": "direct",
      "protocol": "freedom",
      "domainStrategy": "",
      "streamSettings": {
        "sockopt": {
          "mark": 2
        }
      }
    },
    {
      "tag": "block",
      "protocol": "blackhole",
      "streamSettings": {
        "sockopt": {
          "mark": 2
        }
      }
    },
    {
      "tag": "dns-out",
      "protocol": "dns",
      "proxySettings": {
        "tag": "proxy",
        "transportLayer": true
      },
      "settings": {
        "address": "8.8.8.8",
        "network": "tcp",
        "port": 53,
        "userLevel": 1
      },
      "streamSettings": {
        "sockopt": {
          "mark": 2
        }
      }
    }
  ],
  "policy": {
    "levels": {
      "1": {
        "connIdle": 30
      }
    },
    "system": {
      "statsOutboundDownlink": true,
      "statsOutboundUplink": true
    }
  },
  "routing": {
    "domainStrategy": "AsIs",
    "rules": [
      {
        "inboundTag": [
          "socks-in",
          "http-in"
        ],
        "outboundTag": "dns-out",
        "port": "53",
        "type": "field"
      },
      {
        "outboundTag": "proxy",
        "port": "0-65535",
        "type": "field"
      }
    ]
  },
  "stats": {}
}

Изменено 25 декабря, 2023 пользователем beubasser

[Skrill0]

20 часов назад, beubasser сказал:

Товарищи, кто-то настраивал xray клиент на другой машине и перенаправлял трафик на неё с минимальными потерями в скорости?

У меня есть KN-1011, прошивка 4.1 Beta 2

• Ставил xkeen на роутер и проц долбится в сотку уже на ~30 мбит/с, как с использованием встроенного SOCKS в вебе, так и через REDIRECT правила (dokodemo-door в конфиге). Судя по htop, скорость упирается в сам xray клиент.
• Поставил xray клиент на 4-ую Raspberry, перенаправлял трафик с помощью встроенных клиентов SOCKS и WireGuard. На SOCKS получилось максимум 40 мбит/с, а через WireGuard, на удивление, максимум 70 мбит/с.

• Выполнял команду

  interface Proxy0 proxy socks5-udp

  Скорость так же режется.

Такие скорости меня не устраивают, тариф-то у меня 300 мбит/с, и прямое подключение к моему VPS через NekoBox тоже даёт 300 мбит/с. Скорость теряется даже если в правилах xray трафик идёт напрямую, не через VPS. Проблема исключительно в перенаправлении трафика с роутера на Raspberry. И это перенаправление ест много скорости.

Я ознакомился с TPROXY, но так и не понял, как правильно перенаправить. Получилось лишь полностью грохнуть интернет и доступ к роутеру, когда попробовал правила отсюда.

Мои вопросы таковы:

• Как перенаправить трафик с помощью TPROXY на Raspberry? Есть ли примеры команд?
• Обрежет ли TPROXY скорости так же, как делают встроенные SOCKS и WireGuard клиенты на кинетике?
• Как использовать TPROXY вместе с политиками подключений? Имею в виду эти:
    Показать содержимое

  

• Есть какие-то альтернативные варианты перенаправления? Какие-нибудь сторонние прокси клиенты на кинетик, которые так не обрезают скорость?

 

Вот мой xray конфиг на Raspberry для референса:

  Показать содержимое

{
  "dns": {
    "disableFallback": true,
    "servers": [
      {
        "address": "https://8.8.8.8/dns-query",
        "domains": [],
        "queryStrategy": ""
      },
      {
        "address": "localhost",
        "domains": [],
        "queryStrategy": ""
      }
    ],
    "tag": "dns"
  },
  "inbounds": [
    {
      "listen": "0.0.0.0",
      "port": 2080,
      "protocol": "socks",
      "settings": {
        "udp": true
      },
      "sniffing": {
        "destOverride": [
          "http",
          "tls",
          "quic"
        ],
        "enabled": true,
        "metadataOnly": false,
        "routeOnly": true
      },
      "tag": "socks-in"
    },
    {
      "listen": "0.0.0.0",
      "port": 2081,
      "protocol": "http",
      "sniffing": {
        "destOverride": [
          "http",
          "tls",
          "quic"
        ],
        "enabled": true,
        "metadataOnly": false,
        "routeOnly": true
      },
      "tag": "http-in"
    },
    {
      "tag": "dokodemo-door",
      "port": 2082,
      "listen": "0.0.0.0",
      "protocol": "dokodemo-door",
      "settings": {
        "network": "tcp,udp",
        "followRedirect": true
      },
      "sniffing": {
        "enabled": true,
        "destOverride": [
          "http",
          "tls"
        ]
      },
      "streamSettings": {
        "sockopt": {
          "tproxy": "tproxy"
        }
      }
    },
    {
      "tag": "wgserver",
      "listen": "0.0.0.0",
      "port": 8888,
      "protocol": "wireguard",
      "settings": {
        "secretKey": "***",
        "peers": [
          {
            "publicKey": "***",
            "allowedIPs": [
              "192.168.6.0/24"
            ]
          }
        ],
        "kernelMode": false,
        "mtu": 1400
      }
    }
  ],
  "log": {
    "access": "/home/pi/Documents/xray/log/access.log",
    "error": "/home/pi/Documents/xray/log/error.log",
    "loglevel": "debug"
  },
  "outbounds": [
    {
      "tag": "proxy",
      "protocol": "vless",
      "domainStrategy": "AsIs",
      "flow": null,
      "settings": {
        "vnext": [
          {
            "address": "***",
            "port": 443,
            "users": [
              {
                "encryption": "none",
                "flow": "",
                "id": "***"
              }
            ]
          }
        ]
      },
      "streamSettings": {
        "network": "tcp",
        "security": "reality",
        "realitySettings": {
          "fingerprint": "firefox",
          "publicKey": "***",
          "serverName": "google.com",
          "shortId": "***",
          "spiderX": "/"
        },
        "sockopt": {
          "mark": 2
        }
      }
    },
    {
      "tag": "direct",
      "protocol": "freedom",
      "domainStrategy": "",
      "streamSettings": {
        "sockopt": {
          "mark": 2
        }
      }
    },
    {
      "tag": "block",
      "protocol": "blackhole",
      "streamSettings": {
        "sockopt": {
          "mark": 2
        }
      }
    },
    {
      "tag": "dns-out",
      "protocol": "dns",
      "proxySettings": {
        "tag": "proxy",
        "transportLayer": true
      },
      "settings": {
        "address": "8.8.8.8",
        "network": "tcp",
        "port": 53,
        "userLevel": 1
      },
      "streamSettings": {
        "sockopt": {
          "mark": 2
        }
      }
    }
  ],
  "policy": {
    "levels": {
      "1": {
        "connIdle": 30
      }
    },
    "system": {
      "statsOutboundDownlink": true,
      "statsOutboundUplink": true
    }
  },
  "routing": {
    "domainStrategy": "AsIs",
    "rules": [
      {
        "inboundTag": [
          "socks-in",
          "http-in"
        ],
        "outboundTag": "dns-out",
        "port": "53",
        "type": "field"
      },
      {
        "outboundTag": "proxy",
        "port": "0-65535",
        "type": "field"
      }
    ]
  },
  "stats": {}
}

Доброго Вам дня!

Поддержки TProxy пока что нет в релизной версии Xkeen. В настоящий момент ведется работа над обновлением.
Для увеличения скорости рекомендую использовать метод Redirect + bbr на сервере.
Или можно выполнить полную оптимизацию именно сервера

Скрытый текст

echo "tcp_bbr" > /etc/modules-load.d/modules.conf
echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf
echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf
echo "net.core.rmem_max = 67108864" >> /etc/sysctl.conf
echo "net.core.wmem_max = 67108864" >> /etc/sysctl.conf
echo "net.core.netdev_max_backlog = 10000" >> /etc/sysctl.conf
echo "net.core.somaxconn = 4096" >> /etc/sysctl.conf
echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf
echo "net.ipv4.tcp_tw_reuse = 1" >> /etc/sysctl.conf
echo "net.ipv4.tcp_fin_timeout = 30" >> /etc/sysctl.conf
echo "net.ipv4.tcp_keepalive_time = 1200" >> /etc/sysctl.conf
echo "net.ipv4.tcp_keepalive_probes = 5" >> /etc/sysctl.conf
echo "net.ipv4.tcp_keepalive_intvl = 30" >> /etc/sysctl.conf
echo "net.ipv4.tcp_max_syn_backlog = 8192" >> /etc/sysctl.conf
echo "net.ipv4.tcp_max_tw_buckets = 5000" >> /etc/sysctl.conf
echo "net.ipv4.tcp_fastopen = 3" >> /etc/sysctl.conf
echo "net.ipv4.tcp_mem = 25600 51200 102400" >> /etc/sysctl.conf
echo "net.ipv4.udp_mem = 25600 51200 102400" >> /etc/sysctl.conf
echo "net.ipv4.tcp_rmem = 4096 87380 67108864" >> /etc/sysctl.conf
echo "net.ipv4.tcp_wmem = 4096 65536 67108864" >> /etc/sysctl.conf
echo "net.ipv4.tcp_mtu_probing = 1" >> /etc/sysctl.conf
echo "net.ipv4.tcp_slow_start_after_idle=0" >> /etc/sysctl.conf

Так же с самим конфигом тоже много проблем. 
Используйте просто ленивый конфиг для Redirect, наполнив своими данными от сервера.

Он как раз сделан для Reality.

Изменено 26 декабря, 2023 пользователем Skrill0

[jameszero]

@Skrill0, приветствую!

А это точно надо?

2 часа назад, Skrill0 сказал:

echo "tcp_bbr" > /etc/modules-load.d/modules.conf

Современные ядра линукса, если не ошибаюсь, поддерживают модуль bbr из коробки.

Я использую почти такой же, как вашем сообщении твик sysctl.conf в Ubuntu 20, только без добавления tcp_bbr в modules.conf. Производительность сети отличная.