маршрутизация Xkeen

[Gmarapet]

  В 30.12.2023 в 10:02, Alexey77 сказал:

Попробуйте выполнить xkeen -ap "80 443" может поможет.

Показать  

Скажите, а где посмотреть какие ключи есть у xkeen? Судя по вашему ответу, в шапке список не полный.

[Yevrashka]

у меня tar не понимает опцию --overwrite 

 # curl -s -L https://github.com/Skrill0/XKeen/releases/latest/download/xkeen.tar --output xkeen.tar && tar -xvf xkeen.tar -C /opt/sbin --overwrite >
 /dev/null && rm xkeen.tar
tar: unrecognized option '--overwrite'
BusyBox v1.36.1 (2023-09-01 19:09:45 UTC) multi-call binary.

Usage: tar c|x|t [-zahvokO] [-f TARFILE] [-C DIR] [-T FILE] [-X FILE] [FILE]...

Create, extract, or list files from a tar file

        c       Create
        x       Extract
        t       List
        -f FILE Name of TARFILE ('-' for stdin/out)
        -C DIR  Change to DIR before operation
        -v      Verbose
        -O      Extract to stdout
        -o      Don't restore user:group
        -k      Don't replace existing files
        -z      (De)compress using gzip
        -a      (De)compress based on extension
        -h      Follow symlinks
        -T FILE File with names to include
        -X FILE File with glob patterns to exclude

 

[Ризван Нухтаров]

  В 15.01.2024 в 06:14, Gmarapet сказал:

Скажите, а где посмотреть какие ключи есть у xkeen? Судя по вашему ответу, в шапке список не полный.

Показать  

Можно тут посмотреть https://github.com/Skrill0/XKeen/blob/main/xkeen#L81

[jameszero]

  В 15.01.2024 в 06:14, Gmarapet сказал:

где посмотреть какие ключи есть у xkeen?

Показать  

выполните xkeen -h

[Whishp]

Добрый день. В первую очередь хочу выразить благодарность за проект. И задать вопрос. При использовании troxy все так же надо создавать прокси соединение (например встроенный в keenetic) и создавать политику Xkeen и кидать туда клиентов?

[Gmarapet]

  В 30.12.2023 в 10:46, jameszero сказал:

приветствую! Попробуйте в 41 строке файла \etc\init.d\S24xray убрать протокол udp, вот так:

protocols="tcp" # Протоколы подключения | Можно убирать или добавлять через пробел

Показать  

В версии 1.0.0, видимо, сильно изменился S24xray, не могу там найти строчку с protocols, как в новой версии udp выключить?

Строка 59 network="tcp udp" — это оно?

[Gmarapet]

  В 15.01.2024 в 13:32, Skrill0 сказал:

В режимах TProxy и REDIRECT не нужно создавать прокси-соединение.

Важно создать только политику доступа.

Показать  

To be clear, для подключения типа TProxy и REDIRECT нужно создать политику с одним активным интерфейсом провайдера и добавить в неё клиентов, трафик которых нужно перенаправлять на xray. Так?

Имя политики обязательно должно быть Xkeen? Название к регистру чувствительно? 

Извините за дотошность, очень хочется разобраться.

[jameszero]

  В 15.01.2024 в 12:32, Gmarapet сказал:

Строка 59 network="tcp udp" — это оно?

Показать  

Оно

  В 15.01.2024 в 15:35, Gmarapet сказал:

Имя политики обязательно должно быть Xkeen? Название к регистру чувствительно? 

Показать  

Обязательно. Не чувствительно.

[bigpu]

  В 15.01.2024 в 15:35, Gmarapet сказал:

REDIRECT нужно создать политику с одним активным интерфейсом провайдера и добавить в неё клиентов

Показать  

Redirect работал и с несколькими WAN, в режиме резервирования и в многопутевом режиме. TProxy тоже должен работать с мульти WAN.

[Skrill0]

  В 15.01.2024 в 15:35, Gmarapet сказал:

одним активным интерфейсом провайдера

Показать  

Да, но если у Вас несколько провайдеров — можете включить несколько.
Поддержка Multi WAN реализована.
 

  В 15.01.2024 в 15:35, Gmarapet сказал:

добавить в неё клиентов, трафик которых нужно перенаправлять на xray

Показать  

Да, все верно
 

[Skrill0]

  В 15.01.2024 в 06:37, Yevrashka сказал:

у меня tar не понимает опцию --overwrite 

Показать  

Доброго Вам вечера!

Используйте tar из Entware, как указано в инструкции.
Аплет Busybox не поддерживает --overwrite

[Skrill0]

  В 15.01.2024 в 02:48, Sirex сказал:

Может кто-то подсказать, пожалуйста, на сервере можно в sni установить два разных сайта одновременно или два inbounds на порту 443?

Возможно пустить весь трафик через xray, в том числе служебный keenetic? Приложение не работает, так как интернета нет без xray 👉👈

Показать  

Доброго Вам вечера)

1. На данном этапе работы ядра нельзя указывать 2 разных сайта одновременно
2. Также нельзя создавать 2 inbounds на 443 порту
3. Технические возможно. Только производительность упадет кратно.
На некоторых моделях будет даже невозможно зайти в web.
Из-за этой причины из XKeen убрала эту опцию сейчас.
Но раз запросы подобные есть, верну в следующем обновлении. Можно будет включить при желании)

Изменено 15 января, 2024 пользователем Skrill0

[avn]

  В 15.01.2024 в 02:48, Sirex сказал:

Может кто-то подсказать, пожалуйста, на сервере можно в sni установить два разных сайта одновременно или два inbounds на порту 443?

Возможно пустить весь трафик через xray, в том числе служебный keenetic? Приложение не работает, так как интернета нет без xray 👉👈

Показать  

Можно с помощью nginx, хоть 100 sni

 

  Показать контент

stream {
	map_hash_bucket_size 128;
	map_hash_max_size 16384;

	upstream vless_grpc_reality_sock {
		server unix:/dev/shm/xray-vless-grpc-reality.socket; # xray-vless-grpc-reality
	}

	upstream web_sock {
		server unix:/dev/shm/nginx-ssl-web.socket; # nginx-ssl-web
	}

	map $ssl_preread_server_name $upstream {
		"www.youtube.com" vless_grpc_reality_sock;
		default           web_sock;
	}

	log_format log_stream '$remote_addr [$time_local] $protocol $ssl_preread_server_name $upstream $status $bytes_sent $bytes_received $session_time';
	access_log /var/log/nginx/stream.log log_stream;

	server {
		listen 443 reuseport so_keepalive=on backlog=131072 fastopen=256;
		listen [::]:443;
		proxy_protocol on;
		proxy_pass $upstream;
		ssl_preread on;
	}
}

{
	"listen": "/dev/shm/xray-vless-grpc-reality.socket,0666",
	"protocol": "vless",
	"settings": {
		"clients": [
			{
				"email": "...email...",
				"id": "...id...",
				"alterId": 0,
				"level": 0
			}
		],
		"decryption": "none"
	},
	"streamSettings": {
		"network": "grpc",
		"grpcSettings": {
			"serviceName": "...serviceName..."
		},
		"security": "reality",
		"realitySettings": {
			"dest": "www.youtube.com:443",
			"serverNames": [
				"www.youtube.com"
			],
			"privateKey": "...privateKey...",
			"shortIds": [
				"...shortIds..."
			]
		},
		"sockopt": {
			"acceptProxyProtocol": true
		}
	},
	"tag": "proxy-vless-grpc-reality"
}

 

 

Изменено 15 января, 2024 пользователем avn

[Yevrashka]

  В 15.01.2024 в 13:32, Skrill0 сказал:

В режимах TProxy и REDIRECT не нужно создавать прокси-соединение.

Важно создать только политику доступа. Для нее качестве способа выхода в интернет указать Ваше основное соединение.

Добавить в нее интересующих Вас клиентов. Больше ничего для режима REDIRECT не нужно. Для TProxy то же самое + инструкция из обновления 1.0.0.

Показать  

Ну наконец-то внятное объяснение. 2 дня бился пытаясь понять что я не так делаю.. Из инструкции в начале этот момент про редирект вообще не указан.

  Цитата

Используйте tar из Entware, как указано в инструкции.
Аплет Busybox не поддерживает --overwrite

Показать  

Да оно вроде и ставилось из Entware по инструкции.

  Показать контент

opkg install tar
Package xkeen version 1.0.0 has no valid architecture, ignoring.
Package xray version (null) has no valid architecture, ignoring.
Package tar (1.34-4) installed in root is up to date.

Огромная благодарность автору за проделанную работу с Xkeen!

Изменено 16 января, 2024 пользователем Yevrashka

[Whishp]

  В 15.01.2024 в 13:32, Skrill0 сказал:

Доброго Вам дня!

В режимах TProxy и REDIRECT не нужно создавать прокси-соединение.

Показать  

Огромное спасибо за пояснение. Все работает. только есть пару вопросов. Это нормально что задержка открытия сайта секунды три? Если через впн открывать - то почти мгновенно. Еще играл вчера в доту и вылетал каждые минут 5, пока не убрал компьютер с политики доступа. 

[eda100]

Прошу прощения,а настроить всё это возможно на Омни 2 с прошивкой 2.16.D.12.0-8 ? Так как там в репозитории нет Прокси клиента то надеялся на Редирект,но оказывается и Нетфильтра тоже нет.Это значит ни как? Хотел попытаться на месте с Омни поиграться,что бы потом удалённо Гига - 1011 насторить.Спасибо

[jameszero]

  В 16.01.2024 в 08:00, Whishp сказал:

Это нормально что задержка открытия сайта секунды три?

Показать  

На это могут влиять тяжелые dat-файлы, подключенные в 10_routing.json. Роутеру требуются значительные ресурсы, чтобы и их обрабатывать. Для Viva и аналогичных Кинетиков попробуйте zkeen.dat. Никаких задержек при его использовании не наблюдаю.

[activio]

Периодически слетает /opt/etc/init.d/S24xray 

Не пойму закономерности, то перезагрузишь, выключишь, на месте, то приходится 755 права давать. Иначе автозапуск не работает.

[Whishp]

  В 16.01.2024 в 10:15, jameszero сказал:

На это могут влиять тяжелые dat-файлы, подключенные в 10_routing.json. Роутеру требуются значительные ресурсы, чтобы и их обрабатывать. Для Viva и аналогичных Кинетиков попробуйте zkeen.dat. Никаких задержек при его использовании не наблюдаю.

Показать  

В профиле старая информация, у меня Giga. Долгий доступ только к сайтам идущим через прокси. Так же хотел еще спросить. Раньше я использовал профили DNS keenetic, но если сейчас включить их то не одна станицы не открываться. Как я понимаю надо вручную DoH server прописывать?

Изменено 16 января, 2024 пользователем Whishp

[prokuror2]

Добрый вечер!

Вопрос по файлам логирования.

"access": "/opt/tmp/xray/access.log",     // Запись доступа
"error": "/opt/tmp/xray/error.log",       // Запись ошибок
"loglevel": "debug",    // Уровень журнала: от минимального до максимального: "none", "error", "warning", "info", "debug"
"dnsLog": false        // Включить / Выключить отслеживание DNS запросов: false, true

Файл access.log за два дня вырос до 5 Mb.

Можно ли его аппетит поумерить?

 

Изменено 17 января, 2024 пользователем prokuror2

[jameszero]

  В 16.01.2024 в 15:31, Whishp сказал:

у меня Giga

Показать  

На Giga тот же процессор, что и на Viva, только памяти больше. Вы всё таки попробуйте zkeen, не понравится, вернётесь к своему списку обхода. Кстати, вы оптимизацию сервера выполнили?

[jameszero]

@prokuror2

Добрый вечер!

Зачем вам логирование уровня "debug"? Его используют когда что-то не работает, чтобы узнать причину. Debug и раздувает ваши логи. Когда всё настроено и работает, достаточно "loglevel": "error" или даже "loglevel": "none".

Изменено 16 января, 2024 пользователем jameszero

[prokuror2]

@jameszero

Обнаружил, что при "loglevel":"warning" файл error.log перестает расти, а access.log  - продолжает. 

access.log прекращает обновляться только при "loglevel":"none"

Спасибо!

[Gmarapet]

  В 16.01.2024 в 15:52, jameszero сказал:

Кстати, вы оптимизацию сервера выполнили?

Показать  

У меня почему-то не получается: говорит, что нашёл модуль bbr, просит перезагрузиться и снова запустить оптимизацию. Делаю: результат тот же.

[Skrill0]

  В 16.01.2024 в 18:23, Gmarapet сказал:

У меня почему-то не получается: говорит, что нашёл модуль bbr, просит перезагрузиться и снова запустить оптимизацию. Делаю: результат тот же.

Показать  

Доброго Вам вечера)

А какой у Вас результат, если выполнить команду:

sysctl net.ipv4.tcp_available_congestion_control

Также, обращаю внимание, что оптимизации именно для сервера.

[Gmarapet]

  В 16.01.2024 в 18:40, Skrill0 сказал:

Также, обращаю внимание, что оптимизации именно для сервера.

Показать  

Добрый вечер. )

На роутере:

net.ipv4.tcp_available_congestion_control = cubic reno

То есть, не на роутере, а на удаленном хосте, чёрез который трафик идёт в мир?

Изменено 16 января, 2024 пользователем Gmarapet

[Skrill0]

  В 16.01.2024 в 19:06, Gmarapet сказал:

Добрый вечер. )

На роутере: net.ipv4.tcp_available_congestion_control = cubic reno

То есть, не на роутере, а на удаленном хосте, чёрез который трафик идёт в мир?

Показать  

Да. Как и указано — это оптимизация сервера) То есть оптимизация VPS.

[eda100]

А так и должно быть, что когда сменил порт на 8443 отвалился KeenDNS через телефон программой могу к роутору подключиться, а через доменное имя нет?

Изменено 16 января, 2024 пользователем eda100

[Skrill0]

  В 16.01.2024 в 23:35, eda100 сказал:

А так и должно быть, что когда сменил порт на 8443 отвалился KeenDNS через телефон программой могу к роутору подключиться, а через доменное имя нет?

Показать  

Доброго Вам утра!

Да, после того, как сменили порт доступ с доменным именем требует указания на новый.

Если раньше было keeneticname.link то теперь keeneticname.link:8443

[jameszero]

Доброе утро!

Для оптимизации подключения с клиентской стороны, можно добавить следующие параметры в outbound на роутере:

  Цитата

...
      "streamSettings": {
        "sockopt": {
          "tcpMptcp": true,
          "tcpFastOpen": true,
          "tcpNoDelay": true
        },
        "network": "tcp",
        "security": "reality",
        "realitySettings": {
...

Показать