маршрутизация Xkeen

[stalker-dm]

Скиньте файлик /opt/etc/init.d/rc.unslung

Может у меня что-то не то в нём!

 

Может еще есть какие-то варианты автозапуска, мне достаточно xray запустить?

Изменено 28 декабря, 2023 пользователем stalker-dm

[Alexey77]

  В 28.12.2023 в 11:42, stalker-dm сказал:

Может еще есть какие-то варианты автозапуска, мне достаточно xray запустить?

Показать  

Попробуйте после редактирования файла выполнить chmod +x /opt/etc/init.d/S24xray

[stalker-dm]

  В 28.12.2023 в 12:08, Alexey77 сказал:

Попробуйте после редактирования файла выполнить chmod +x /opt/etc/init.d/S24xray

Показать  

Сделал, но не сработало!

Может быть можно xray запустить через cron как daemon?

[Alexey77]

  В 28.12.2023 в 12:38, stalker-dm сказал:

Сделал, но не сработало!

Показать  

Может у вас ошибка в конфигах? И как вы проверяете запуск xray? 

Изменено 28 декабря, 2023 пользователем Alexey77

[stalker-dm]

  В 28.12.2023 в 13:14, Alexey77 сказал:

Может у вас ошибка в конфигах? И как вы проверяете запуск xray? 

Показать  

С конфигом все в порядке, xray запускается, конфиг reverse proxy одним файлом. Запускал через xkeen и "вчистую" xray run

 

[Alexey77]

Попробуйте этот файл. Конфиг переименуйте в config.json и положите в /opt/etc/xray/ выставьте права 755 на файл S24xray

S24xrayПолучение информации...

[stalker-dm]

Спасибо! xray запустился, то что надо!!!

[LexxWin]

  В 25.12.2023 в 08:17, LexxWin сказал:

Здравствуйте!
Установил на Keenetic Hopper KN-3810. Работает через Redirect, "ленивая" конфигурация (пробовал 2 варианта).
Сайты открывает, всё хорошо. но вот в телеграмм при ответе на звонок, идёт переподключение, и не соединяет. Подскажите пожалуйста как это исправить.
 

Показать  

Если оба устройства в одной сети, тогда нормально. Но если связь между устройством из этой сети, и из другой сети, тогда не соединяет.

Изменено 6 февраля, 2024 пользователем LexxWin

[stalker-dm]

  В 28.12.2023 в 13:47, Alexey77 сказал:

Попробуйте этот файл. Конфиг переименуйте в config.json и положите в /opt/etc/xray/ выставьте права 755 на файл S24xray

S24xray 363 \u0431 · 6 downloads

Показать  

Подскажите, как проверить, запустился-ли xtay?
Сегодня перезагрузил роутер и минут 15 не мог зайти в локалку через реверс прокси. Может xray запускается не сразу после перезагрузки?

 

Изменено 29 декабря, 2023 пользователем stalker-dm

[Alexey77]

  В 29.12.2023 в 02:43, stalker-dm сказал:

Подскажите, как проверить, запустился-ли xtay?

Показать  

Добрый день. Попробуйте xkeen -tpx или netstat -ltunp | grep xray

[stalker-dm]

Reverse proxy настроил, все работает, но две проблемы.
После перезгарузки роутера попасть с удаленного клиента в локальную сеть не могу сразу, только по истечении некоторого времени, минут 15-20, нашел с чем это связано, уважаемый Alexey77 помог отсечь необоснованные подозрения на автозагрузку.
1. Дело вот в чем, в конфиге на VPS, при параметре "ip": ["192.168.5.1"], клиент быстро заходит в локалку на 192.168.5.1 если же я задаю значение "ip": ["192.168.5.0/24"], то после перезагрузки минут через 20 только можно зайти на 192.168.5.1.

2. Скорость доступа к локальной сети через реверс прокси не превышает 1,2 МБ/сек.

Куда копать по этим двум вопросам, подскажите!

Часть конфига на VPS:

"rules": [
            {
                "type": "field",
                "inboundTag": ["incoming"],
       			"user": ["client"],
        		"ip": ["192.168.5.1"],
        		"port": "0-65535",
                "outboundTag": "home_portal"
            },
            {
                "type": "field",
                "inboundTag": ["incoming"],
        		"user": ["home"],
                "outboundTag": "home_portal"
        }
        ]

 

Изменено 29 декабря, 2023 пользователем stalker-dm

[LexxWin]

  В 28.12.2023 в 18:58, LexxWin сказал:

Если оба устройства в одной сети, тогда нормально. Но если связь между устройством из этой сети, и из другой сети, тогда не соединяет.

Показать  

Даже с таким "10_routing" у меня не работает Telegram:

  Показать контент

{
  "routing": {
    "domainStrategy": "IPIfNonMatch",
    "rules": [
            
      // Настройка соединений на VPS с помощью доменных имен
      {
        "inboundTag": ["socks-in"],
        "domain": [
          "rutracker.org" 
        ],
        "outboundTag": "proxy",
        "type": "field"
      },
      
      // Направление остальных соединений на DIRECT
      {
        "inboundTag": ["socks-in"],
        "outboundTag": "direct",
        "type": "field"
      }
    ]
  }
}

Изменено 6 февраля, 2024 пользователем LexxWin

[Alexey77]

  В 30.12.2023 в 09:03, LexxWin сказал:

Даже с таким "10_routing" у меня не работает Telegram:

Показать  

Добрый день. Попробуйте выполнить xkeen -ap "80 443" может поможет. Это для режима redirect. 

Изменено 30 декабря, 2023 пользователем Alexey77

[jameszero]

@LexxWin, приветствую! Попробуйте в 41 строке файла \etc\init.d\S24xray убрать протокол udp, вот так:

protocols="tcp" # Протоколы подключения | Можно убирать или добавлять через пробел

 

Изменено 30 декабря, 2023 пользователем jameszero

[LexxWin]

  В 30.12.2023 в 10:46, jameszero сказал:

@LexxWin, приветствую! Попробуйте в 41 строке файла \etc\init.d\S24xray убрать протокол udp, вот так:

protocols="tcp" # Протоколы подключения | Можно убирать или добавлять через пробел

 

Показать  

Здравствуйте!

Спасибо большое за помощь, работает!

Изменено 30 декабря, 2023 пользователем LexxWin

[LexxWin]

  В 30.12.2023 в 10:02, Alexey77 сказал:

Добрый день. Попробуйте выполнить xkeen -ap "80 443" может поможет. Это для режима redirect. 

Показать  

Здравствуйте!

Спасибо большое за помощь, так тоже работает!

[LexxWin]

Спасибо @Alexeу77 и @jameszero

Теперь хотел бы выяснить, что будет лучше именно для моего случая, для режима Redirect, чтобы в дальнейшем было меньше ошибок, и лучше работало.

Подправить в строках файла \etc\init.d\S24Xray:

donor_port="80 443"

или 

protocols="tcp" ?

Или использовать сразу два метода?

Изменено 20 января, 2024 пользователем LexxWin

[jameszero]

Используйте оба твика. Для интернет серфинга достаточно портов 80 и 443, а протокол udp в текущей реализации xkeen не работает (звонки через интернет обычно используют этот протокол). Ожидаем новую версию xkeen, в ней должна появиться поддержка udp.

PS

donor_port="80 443"

Параметр не должен содержать -status, непонятно откуда он у вас появился.

 

[LexxWin]

  В 30.12.2023 в 13:30, jameszero сказал:

Используйте оба твика. Для интернет серфинга достаточно портов 80 и 443, а протокол udp в текущей реализации xkeen не работает (звонки через интернет обычно используют этот протокол). Ожидаем новую версию xkeen, в ней должна появиться поддержка udp.

PS

donor_port="80 443"

Параметр не должен содержать -status, непонятно откуда он у вас появился.

 

Показать  

Насчёт "-status", это я ошибся при наборе в сообщении, а в файле всё правильно.

Спасибо!

[AdamJensen]

Здравствуйте. Пытаюсь настроить конфиг для vps. Сделал все по  инстркуции из шапки. Использовал 07_s_inbounds.json, 08_outbounds.json, 10_p_routing.json. 
Прокси настроил под клиента. Xray слушает нужный порт. 
Проблема в том, что у меня не открывется ничего кроме моего сервера с vps. В access логах только соединения с vps появляются. По любым другим сайтам никуда не заходит. Могу только в панель vps попасть и все.

[Niyaz]

Проверял кто на KN-1811 прошивка 4.0.7?

[D@nge1]

  В 30.12.2023 в 16:42, Niyaz сказал:

Проверял кто на KN-1811 прошивка 4.0.7?

Показать  

Установлен и работает.

[Alexey77]

Доброе утро. Поздравляю ВАС с наступающим новым новым! Мне 4.0.7 не понравилась откатился. Насколько помню были проблемы с dns. 

Изменено 31 декабря, 2023 пользователем Alexey77
Дополнил

[Niyaz]

Всех с наступающим!!!

Такой вопрос, каждый день автоматом делает бэкап, как это отключить?

[Skrill0]

Всем доброй ночи!

Поздравляю всех с новым годом, у кого уже наступил и с наступающим, у кого только наступает)
Надеюсь, что у всех вас все было хорошо в 2023 году.
Но в новом желаю, чтобы все было еще лучше)

Пусть все поставленные цели будут достигнуты, а также побольше положительных моментов, крепкого здоровья и общего благополучия вам и вашим близким)

 

Изменено 31 декабря, 2023 пользователем Skrill0

[madsen]

  В 26.12.2023 в 17:50, beubasser сказал:

 

Добрый день. Спасибо за советы, но к сожалению, это не помогает. Всё снова упирается в слабый процессор роутера, который еле тянет работу xray.

Конфиг на роутере:

• 07_inbounds.json:
    Показать контент

  {
    "inbounds": [
      {
        "listen": "192.168.1.1",
        "port": 54836,
        "protocol": "dokodemo-door",
        "settings": {
          "network": "tcp,udp",
          "followRedirect": true
        },
        "sniffing": {
          "enabled": true,
          "destOverride": [
            "http",
            "tls"
          ]
        },
        "tag": "socks-in"
      }
    ]
  }
  

• 08_outbounds.json:
    Показать контент

  {
    "outbounds": [
      {
        "domainStrategy": "UseIPv4",
        "protocol": "vless",
        "settings": {
          "vnext": [
            {
              "address": "***",
              "port": 443,
              "users": [
                {
                  "encryption": "none",
                  "flow": "xtls-rprx-vision",
                  "id": "***"
                }
              ]
            }
          ]
        },
        "streamSettings": {
          "network": "tcp",
          "security": "reality",
          "realitySettings": {
            "publicKey": "***",
            "fingerprint": "firefox",
            "serverName": "google.com",
            "shortId": "***",
            "spiderX": "/"
          }
        },
        "tag": "proxy"
      },
      {
        "protocol": "freedom",
        "tag": "direct"
      },
      {
        "protocol": "blackhole",
        "tag": "block"
      }
    ]
  }

 

Конфиг на VPS:

• Inbound:
    Показать контент

  

• Клиент - роутер:
    Показать контент

  

 

Твики на VPS:

  Показать контент

root@inexpensive-pen:~# cat /etc/sysctl.conf
...
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_congestion_control = bbr
net.core.default_qdisc=fq
net.ipv4.tcp_congestion_control=bbr
net.core.rmem_max = 67108864
net.core.wmem_max = 67108864
net.core.netdev_max_backlog = 10000
net.core.somaxconn = 4096
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_keepalive_time = 1200
net.ipv4.tcp_keepalive_probes = 5
net.ipv4.tcp_keepalive_intvl = 30
net.ipv4.tcp_max_syn_backlog = 8192
net.ipv4.tcp_max_tw_buckets = 5000
net.ipv4.tcp_fastopen = 3
net.ipv4.tcp_mem = 25600 51200 102400
net.ipv4.udp_mem = 25600 51200 102400
net.ipv4.tcp_rmem = 4096 87380 67108864
net.ipv4.tcp_wmem = 4096 65536 67108864
net.ipv4.tcp_mtu_probing = 1
net.ipv4.tcp_slow_start_after_idle=0

Neofetch на VPS:

  Показать контент

Лог запуска/остановки xkeen:

  Показать контент

Со всем этим, результаты получились такие (все тесты с xray без правил маршрутизации, весь трафик идёт через VPS без исключений):

• Htop во время бездействия:
    Показать контент

  На роутере:
  

  На raspberry:
  

• Прямой тест без xray, скорость провайдера:
    Показать контент

  

  Htop на роутере при тесте скачивания:

  

• Тест с xray через NekoBox Android, прямое подключение к VPS по его IP:
    Показать контент

  

  Htop на роутере при тесте скачивания:

  

• Тест с xray через NekoBox Android, подключение к raspberry pi в локальной сети по SOCKS, на которой стоит xray клиент с outbound на мою VPS:
    Показать контент

  

  Htop на роутере при тесте скачивания:
  

  Htop на raspberry при тесте скачивания:

  

• Тест с xray через NekoBox Android, подключение к raspberry pi в локальной сети по WireGuard inbound (MTU 1400), на которой стоит xray клиент с outbound на мою VPS:
    Показать контент

  

  И я только тут понял, что WireGuard inbound в xray как раз и является ботлнеком, а не роутер. Фикса пока не нашёл.

  Htop на роутере при тесте скачивания:
  

  Htop на raspberry при тесте скачивания:

• Тест с xkeen на роутере, REDIRECT, политика "xkeen" есть, клиент в неё занесён:
    Показать контент

  

  Htop на роутере при тесте скачивания:
  

• Тест с xray на raspberry, роутер подключается к raspberry по стоковому SOCKS5 из веб-интерфейса, предварительно выполнена команда interface Proxy0 proxy socks5-udp, создана политика "VPN" с приоритетом подключения к прокси, клиент в неё занесён:
    Показать контент

  

  Htop на роутере при тесте скачивания:
  

  (клиент SOCKS кинетика даже не утилизирует процессор полностью)

  Htop на raspberry при тесте скачивания:
  

• Тест с xray на raspberry, роутер подключается к raspberry по стоковому WireGuard из веб-интерфейса, создана политика "VPN" с приоритетом подключения к WG-туннелю, клиент в неё занесён:
    Показать контент

  

  Htop на роутере при тесте скачивания:
  

  Htop на raspberry при тесте скачивания:
  

 

В общем, выглядит печально. Но в документации v2fly я увидел какую-то конфигурацию, когда IP raspberry ставится как основной шлюз на клиентах. В нашем случае можно перевести кинетик в режим Relay и вписать туда IP raspberry, которая и будет заниматься маршрутизацией. Пока буду копать в эту сторону.

  Показать контент

Показать  

а вам удалось продвинуться в этом вопросе? Конечно расстроен, что скорость сильно режется(

[LDude]

  В 01.01.2024 в 20:35, madsen сказал:

а вам удалось продвинуться в этом вопросе? Конечно расстроен, что скорость сильно режется(

Показать  

ХЗ, что у него не так, но у меня на том же проце (KN-1910) и с меньшей оперативой около 300 мбит в среднем, зависит от доступа до VPS. Бывает и до 500 доходит.

Да, ещё у меня Wireguard и OVPN подняты для других устройств на этом роутере.

И MESH ещё, ХЗ, влияет ли на проц.

Изменено 2 января, 2024 пользователем LDude
добавил

[beubasser]

  В 01.01.2024 в 20:35, madsen сказал:

а вам удалось продвинуться в этом вопросе? Конечно расстроен, что скорость сильно режется(

Показать  

Вообще, костыльно получилось, но не работают интернет-звонки. Всё ещё не понимаю почему.

  Показать контент

В Gateway IP пишется IP другого локального сервака типа распберри. На нём не нужно подрубать DHCP сервер, он останется на роутере, просто роутер будет давать всем клиентам другой IP шлюза вместо 192.168.1.1. Потом клиенты переподключаются или можно перезагрузить роутер.

Важно на этом локальном серваке отключить DHCP клиент и назначить IP шлюза вручную, т.е. 192.168.1.1, а то при перезапуске он будет ссылаться на самого себя и подключиться к нему не получится, а у других не будет интернета.

На этом сервере включается IP forwarding:

  Показать контент

net.ipv4.ip_forward=1

И выполняются команды из xkeen:

  Показать контент

iptables -t nat -N "XRAY_IPV4"
iptables -t nat -A "XRAY_IPV4" -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 0.0.0.0/8 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 10.0.0.0/8 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 127.0.0.0/8 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 169.254.0.0/16 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 172.16.0.0/12 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 192.168.0.0/16 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 224.0.0.0/4 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 240.0.0.0/4 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 255.255.255.255/32 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -p tcp -j REDIRECT --to-port 10810
iptables -t nat -A XRAY_IPV4 -p udp -j REDIRECT --to-port 10810
iptables -t nat -A PREROUTING -i eth0 -j "XRAY_IPV4"

Можно сделать iptables-persistent или добавлять правила скриптом при запуске.

Правила буквально перенаправляют любой трафик, приходящий на сервер с интерфейса eth0 и не адресованый самому серверу на порт 10810. На этом порту запущен xray с режимом dokodemo-door.

  Показать контент

{
  "inbounds": [
    {
      "listen": "192.168.1.127",
      "port": 10810,
      "protocol": "dokodemo-door",
      "settings": {
        "network": "tcp,udp",
        "followRedirect": true
      },
      "sniffing": {
        "enabled": true,
        "destOverride": [
          "http",
          "tls"
        ]
      },
      "tag": "doko-in"
    }
  ]
}

Скорость нормальная, распберри загружена на 2/4, 3/4 при тесте скорости.

Но, опять же, звонки в том же дискорде не работают. Я не знаю почему. Поэтому ищу другие варианты, типа попробовать поднять другой tun2socks клиент на роутере. "По-простому" пока не получается. Стоковый SOCKS5 прокси на кинетике использует badvpn-tun2socks. Он медленный и даже не полностью нагружает роутер при тесте скорости.

[beubasser]

  В 02.01.2024 в 07:30, LDude сказал:

ХЗ, что у него не так, но у меня на том же проце (KN-1910) и с меньшей оперативой около 300 мбит в среднем, зависит от доступа до VPS. Бывает и до 500 доходит.

Да, ещё у меня Wireguard и OVPN подняты для других устройств на этом роутере.

И MESH ещё, ХЗ, влияет ли на проц.

Показать  

А тесты точно идут через xray? Или идут только порты 80 и 443? Какая конфигурация?

[Skrill0]

  В 03.01.2024 в 04:30, beubasser сказал:

Вообще, костыльно получилось, но не работают интернет-звонки. Всё ещё не понимаю почему.

  Показать контент

В Gateway IP пишется IP другого локального сервака типа распберри. На нём не нужно подрубать DHCP сервер, он останется на роутере, просто роутер будет давать всем клиентам другой IP шлюза вместо 192.168.1.1. Потом клиенты переподключаются или можно перезагрузить роутер.

Важно на этом локальном серваке отключить DHCP клиент и назначить IP шлюза вручную, т.е. 192.168.1.1, а то при перезапуске он будет ссылаться на самого себя и подключиться к нему не получится, а у других не будет интернета.

На этом сервере включается IP forwarding:

  Показать контент

net.ipv4.ip_forward=1

И выполняются команды из xkeen:

  Показать контент

iptables -t nat -N "XRAY_IPV4"
iptables -t nat -A "XRAY_IPV4" -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 0.0.0.0/8 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 10.0.0.0/8 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 127.0.0.0/8 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 169.254.0.0/16 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 172.16.0.0/12 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 192.168.0.0/16 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 224.0.0.0/4 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 240.0.0.0/4 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 255.255.255.255/32 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -p tcp -j REDIRECT --to-port 10810
iptables -t nat -A XRAY_IPV4 -p udp -j REDIRECT --to-port 10810
iptables -t nat -A PREROUTING -i eth0 -j "XRAY_IPV4"

Можно сделать iptables-persistent или добавлять правила скриптом при запуске.

Правила буквально перенаправляют любой трафик, приходящий на сервер с интерфейса eth0 и не адресованый самому серверу на порт 10810. На этом порту запущен xray с режимом dokodemo-door.

  Показать контент

{
  "inbounds": [
    {
      "listen": "192.168.1.127",
      "port": 10810,
      "protocol": "dokodemo-door",
      "settings": {
        "network": "tcp,udp",
        "followRedirect": true
      },
      "sniffing": {
        "enabled": true,
        "destOverride": [
          "http",
          "tls"
        ]
      },
      "tag": "doko-in"
    }
  ]
}

Скорость нормальная, распберри загружена на 2/4, 3/4 при тесте скорости.

Но, опять же, звонки в том же дискорде не работают. Я не знаю почему. Поэтому ищу другие варианты, типа попробовать поднять другой tun2socks клиент на роутере. "По-простому" пока не получается. Стоковый SOCKS5 прокси на кинетике использует badvpn-tun2socks. Он медленный и даже не полностью нагружает роутер при тесте скорости.

Показать  

Доброго Вам утра!

Да, звонки не работают, так как Redirect не поддерживает UDP.
В текущей версии 0.9.9 есть только 2 режима.
Other и Redirect.

Для решения проблемы нужно подождать обновления.
На данном этапе я сделала TPROXY для клиентов Xray и Sing-box.
Также полноценный TUN для sing-box.

Сейчас переписываю код. Пришлось очень много переделать)
С обновлением все заработает. Включая DoQ, при желании)