маршрутизация Xkeen

[chapay10]

20 минут назад, jameszero сказал:

@chapay10, при редиректе в параметре listen нужно указывать не 127.0.0.1, а адрес роутера -  192.168.1.1.

Спасибо, заработало!

[Mikhail_YAR]

Добрый вечер.

У кого-нибудь получилось настроить роутинг чтоб был доступен chat.openai.com? openai.com при этом доступен. На сервере xray в правилах маршрутизации на текущий момент настроено geosite:openai -> warp... По идее должно работать, но нет.

[Skrill0]

9 минут назад, Mikhail_YAR сказал:

Добрый вечер.

У кого-нибудь получилось настроить роутинг чтоб был доступен chat.openai.com? openai.com при этом доступен. На сервере xray в правилах маршрутизации на текущий момент настроено geosite:openai -> warp... По идее должно работать, но нет.

Доброго Вам вечера!

Маршрутизация настраивается на стороне клиента. Не сервера.
В маршрутизацию с тегом outbound для VPS нужно добавить строку в доменную секцию:

"ext:geosite_v2fly.dat:openai"

 

Изменено 22 января, 2024 пользователем Skrill0

[Mikhail_YAR]

18 минут назад, Skrill0 сказал:

Маршрутизация настраивается на стороне клиента. Не сервера.

Добрый вечер!)

Всё верно, у меня в настройках роутинга клиента на VPS идёт всё кроме указанного для direct, openai в списки direct не попадает. Я так понимаю, что проблема возникает уже после VPS и вот там как раз важны настройки маршрутизации на сервере. Но могу ошибаться.

Изменено 22 января, 2024 пользователем Mikhail_YAR

[iandrew]

@beubasser со второго захода с помощью Вашей поддержки получилось, спасибо!

Проблема скорее всего была в выставлении статических настроек, сегодня решил все с нуля сделать, помогла эта ссылка https://serverfault.com/questions/1006634/nmcli-set-static-ip-address-without-the-dhcp

И в конфиге в inbounds я дописал блок

"streamSettings": {
  "sockopt": {
    "tproxy": "tproxy"
  }
}

без него тоже не работало (но вчера пробовал и с ним, и без него, и redirect, так что основная проблема была не здесь).

В 22.01.2024 в 13:25, beubasser сказал:

Я, конечно, ответил как типичный поверхностный гайд или чатгпт

Я бы сказал, что ответы были очень хорошими. Они помогли понять, в какую сторону копать))

Изменено 23 января, 2024 пользователем iandrew

[Yevrashka]

27 минут назад, Mikhail_YAR сказал:

Добрый вечер!)

Всё верно, у меня в настройках роутинга клиента на VPS идёт всё кроме указанного для direct, openai в списки direct не попадает. Я так понимаю, что проблема возникает уже после VPS и вот там как раз важны настройки маршрутизации на сервере. Но могу ошибаться.

Заходит спокойно с такими строками в роутинге:

"ext:geosite_antifilter.dat:antifilter-community"
"ext:geosite_zkeen.dat:domains"
"ext:geoip_antifilter.dat:antifilter-community"

Не смотрел в каком из этих списков прописан openai

[Mikhail_YAR]

4 минуты назад, Yevrashka сказал:

Заходит спокойно с такими строками в роутинге

У меня роутинг вот такой:

Скрытый текст

// Настройка маршрутизации

{
  "routing": {
    "domainStrategy": "IPIfNonMatch",
    "rules": [
      // Настройка черного списка
      {
        "inboundTag": ["inside"],
        "domain": [
          "ext:geosite_v2fly.dat:category-ads-all",
          "google-analytics",
          "analytics.yandex",
      "appcenter.ms",
      "app-measurement.com",
      "firebase.io",
      "crashlytics.com"
        ],
        "outboundTag": "block",
        "type": "field"
      },
      
      // Блокируем соединение по уязвимым UDP портам
      {
        "inboundTag": ["inside"],
        "network": "udp",
        "port": "135, 137, 138, 139",
        "outboundTag": "block",
        "type": "field"
      },
            
      // Настройка прямых подключений с помощью доменных имен
      {
        "inboundTag": ["inside"],
        "domain": [
      "regexp:^([\\w\\-\\.]+\\.)ru$",  // .ru
          "regexp:^([\\w\\-\\.]+\\.)su$",  // .su
          "regexp:^([\\w\\-\\.]+\\.)xn--p1ai$",  // .рф
          "regexp:^([\\w\\-\\.]+\\.)xn--p1acf$",  // .рус
          "regexp:^([\\w\\-\\.]+\\.)xn--80asehdb$",  // .онлайн
          "regexp:^([\\w\\-\\.]+\\.)xn--c1avg$", // .орг
          "regexp:^([\\w\\-\\.]+\\.)xn--80aswg$",  // .сайт
          "regexp:^([\\w\\-\\.]+\\.)xn--80adxhks$",  // .москва
          "regexp:^([\\w\\-\\.]+\\.)moscow$",  //  .moscow
          "regexp:^([\\w\\-\\.]+\\.)xn--d1acj3b$",  // .дети
      "ext:geosite_v2fly.dat:youtube",
          "ext:geosite_v2fly.dat:category-gov-ru",
          "ext:geosite_v2fly.dat:yandex",
          "ext:geosite_v2fly.dat:xbox",
          "ext:geosite_v2fly.dat:playstation",
          "ext:geosite_v2fly.dat:steam",
          "ext:geosite_v2fly.dat:rockstar",
          "ext:geosite_v2fly.dat:gog",
          "ext:geosite_v2fly.dat:vk",
      "ext:geosite_v2fly.dat:private",
      "keenetic"
        ],
        "outboundTag": "direct",
        "type": "field"
      },
      
      // Настойка прямых подключений с помощью IP
      {
        "inboundTag": ["inside"],
        "ip": [
          "ext:geoip_v2fly.dat:ru",
          "ext:geoip_v2fly.dat:private"
        ],
        "outboundTag": "direct",
        "type": "field"
      },
      
      // Направление остальныех соединений на VPS
      {
        "inboundTag": ["inside"],
        "outboundTag": "proxy",
        "type": "field"
      }
    ]
  }
}

В директе не вижу openai нигде.

[Gmarapet]

1 час назад, Mikhail_YAR сказал:

настроить роутинг чтоб был доступен chat.openai.com?

Немного выше писали, что для авторизации на chat.openai.com нужно, чтобы работал не только tcp, но и udp.

Следовательно — метод настройки нужно выбирать TProxy.

С redirect и other авторизоваться не удастся.

И да, строка "ext:geosite_v2fly.dat:openai" должна присутствовать в списке проксируемых доменов. Если, конечно не весь трафик целиком заворачивается в прокси.

[Mikhail_YAR]

1 минуту назад, Gmarapet сказал:

Следовательно — метод настройки нужно выбирать TProxy.

Так и настроено.

1 минуту назад, Gmarapet сказал:

Если, конечно не весь трафик целиком заворачивается в прокси.

Весь, кроме ресурсов, указанных в direct. Выше конфиг привёл свой.

[NGaGe39]

46 минут назад, Gmarapet сказал:

С redirect и other авторизоваться не удастся.

Неправда ведь

Всё прекрасно работает через Redirect и Reality

Надеюсь, не нужно вставлять скриншоты trace у openai и работающий ChatGPT?

Правильно заворачивать в WARP как раз на сервере, потому что по неизвестной причине OpenAi не забанил некоторые регионы WARPa, а как всем известно, WARPу присваивается самый близкий сервер CF того места, откуда выход происходит

Изменено 22 января, 2024 пользователем NGaGe39

[NGaGe39]

1 час назад, Mikhail_YAR сказал:

На сервере xray в правилах маршрутизации на текущий момент настроено geosite:openai -> warp... По идее должно работать, но нет.

У вас мало вводных, локация сервера, что показывает https://chat.openai.com/cdn-cgi/trace

[Mikhail_YAR]

8 минут назад, NGaGe39 сказал:

что показывает https://chat.openai.com/cdn-cgi/trace

Хм, прикольно. По факту VPS в штатах и сервисы типа 2ip это подтверждают.

Скрытый текст

visit_scheme=https
uag=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
colo=EWR
sliver=none
http=http/2
loc=RU
tls=TLSv1.3
sni=plaintext
warp=on
gateway=off
rbi=off
kex=X25519

 

[Gmarapet]

26 минут назад, Mikhail_YAR сказал:

По факту VPS в штатах и сервисы типа 2ip это подтверждают.

А whoer что говорит?

Можно ещё на browserleaks посмотреть.

[Hellheym]

Друзья/братцы/коллеги по кинетику, помогите пожалуйста разобраться, что не так с конфигурацией.

 

Преамбула:

Есть Keenetic Giga (KN-1011), есть оплаченный VPN-провайдер, есть конфиг Shadowsocks.

Сопсна установил Entware, установил Xkeen/Xray, обновил GeoSite/GeoIP, настроил прокси-соединение на роутере, настроил политики, добавил клиентов в политики, поднял Xray на роутере, по статусу всё ок.

 

Суть:

В целом прокси работает, через 2ip айпишник отображается как должен (настраивал Польшу), работает инста, рутрекер, твиттер и т.д., но есть пара нюансов:

1. Не работают некоторые сайты (особенно интересует meta.com и всё что с ней связано), не грузят с ошибкой DNS_PROBE_FINISHED_NXDOMAIN

2. На одном из клиентов очень плохо работает инет в принципе (не работает гугл, инста очень медленно грузит). Клиент - iPhone, возможно там какие то настройки есть особенные, но не нашёл.

Устанавливал на комп v2rayN и NekoRay, подключался через тот же самый конфиг (собственно конфиг для Xray был выгружен из NekoRay и вставлен кусками в файлы), всё работает отлично, открывается абсолютно всё что хотелось.

 

Конфигурация на Xray сейчас такая (данные от впн заменены на русские заглушки):

inbounds:

Скрытый текст

// Настройка исходящих соединений

// Если Вы используете redirect или tproxy — соединение по протоколу dokodemo-door должно быть первым.

{
    "inbounds": [
        {
            "listen": "127.0.0.1",
            "port": 61219,
            "protocol": "dokodemo-door",
            "settings": {
                "followRedirect": true,
                "network": "tcp,udp"
            },
            "sniffing": {
                "destOverride": [
                    "http",
                    "tls",
                    "quic"
                ],
                "enabled": true
            },
            "streamSettings": {
                "sockopt": {
                    "tproxy": "tproxy"
                }
            },
            "tag": "tproxy"
        },
        {
            "listen": "127.0.0.1",
            "port": 2080,
            "protocol": "socks",
            "settings": {
                "udp": true
            },
            "sniffing": {
                "destOverride": [
                    "http",
                    "tls",
                    "quic"
                ],
                "enabled": true,
                "metadataOnly": false,
                "routeOnly": true
            },
            "tag": "socks-in"
        },
        {
            "listen": "127.0.0.1",
            "port": 2081,
            "protocol": "http",
            "sniffing": {
                "destOverride": [
                    "http",
                    "tls",
                    "quic"
                ],
                "enabled": true,
                "metadataOnly": false,
                "routeOnly": true
            },
            "tag": "http-in"
        }
    ]
}

outbounds:

Скрытый текст

// Настройка входящих соединений

{
    "outbounds": [
        {
            "domainStrategy": "AsIs",
            "protocol": "shadowsocks",
            "settings": {
                "servers": [
                    {
                        "address": "адрес_впн_сервера",
                        "method": "chacha20-ietf-poly1305",
                        "password": "пароль",
                        "port": 9000,
                        "uot": false
                    }
                ]
            },
            "sockopt": {
                "tcpFastOpen": true,
                "tcpMptcp": true,
                "tcpNoDelay": true
            },
            "streamSettings": {
                "network": "tcp"
            },
            "tag": "proxy"
        },
        {
            "domainStrategy": "",
            "protocol": "freedom",
            "tag": "direct"
        },
        {
            "domainStrategy": "",
            "protocol": "freedom",
            "tag": "bypass"
        },
        {
            "protocol": "blackhole",
            "tag": "block"
        },
        {
            "protocol": "dns",
            "proxySettings": {
                "tag": "proxy",
                "transportLayer": true
            },
            "settings": {
                "address": "8.8.8.8",
                "network": "tcp",
                "port": 53,
                "userLevel": 1
            },
            "tag": "dns-out"
        }
    ]
}

routing:

Скрытый текст

// Настройка маршрутизации 

{
    "routing": {
        "domainStrategy": "AsIs",
        "rules": [
            {
                "inboundTag": [
                    "socks-in",
                    "http-in"
                ],
                "outboundTag": "dns-out",
                "port": "53",
                "type": "field"
            },
            {
                "outboundTag": "proxy",
                "port": "0-65535",
                "type": "field"
            }
        ]
    }
}

dns (если вдруг важно, учитывая ошибку):

Скрытый текст

// Настройки DNS
{
            "dns": {
        "disableFallback": true,
        "servers": [
            {
                "address": "https://8.8.8.8/dns-query",
                "domains": [
                ],
                "queryStrategy": ""
            },
            {
                "address": "localhost",
                "domains": [
                    "full:домен_от_впн"
                ],
                "queryStrategy": ""
            }
        ],
        "tag": "dns"
    }
}
 

 

Подскажите пожалуйста, что мне поменять/подправить/куда вообще копать, чтобы всё открывалось корректно?

[Alexey77]

6 часов назад, Hellheym сказал:

routing": {
        "domainStrategy": "AsIs",
        "rules": [
            {
                "inboundTag": [
                    "socks-in",
                    "http-in"

Доброе утро. Вот здесь нужно удалить socks-in и http-in и написать "tproxy" и лучше вам взять файлы из шапки темы а ваши удалить. 

[Mikhail_YAR]

8 часов назад, Gmarapet сказал:

А whoer что говорит?

Можно ещё на browserleaks посмотреть.

whoer говорит RU, а browserleaks - USA.

[jameszero]

11 час назад, Gmarapet сказал:

Немного выше писали, что для авторизации на chat.openai.com нужно, чтобы работал не только tcp, но и udp.

Немного не так. Openai для определения IP-адреса использует QUIC протокол по udp, но только если QUIC работает (не заблокирован и правильно перенаправлен), иначе для определения IP используется HTTP/2 по tcp.

@Mikhail_YAR попробуйте отключить QUIC в браузере и проверьте авторизацию на openai и геолокацию на whoer. В Firefox QUIC отключается параметром "network.http.http3.enable" -  false, а в Chrome перейдите в chrome://flags/ и отключите "Experimental QUIC protocol"

Изменено 23 января, 2024 пользователем jameszero

[jameszero]

@k0steg

Добрый день! Добавьте IP-адрес сервера с 32 маской в переменную ipv4_exclude файла /opt/etc/init.d/S24xray

Изменено 6 сентября, 2024 пользователем jameszero

[jameszero]

52 минуты назад, k0steg сказал:

/opt/etc/init.d/S24xray

Это и есть нужный файл, только он у вас какой-то неполный.

Между

# Цвета

и

            fi

пропущен кусок кода.

 

[Gmarapet]

1 час назад, k0steg сказал:

Есть /opt/etc/init.d/S24xray, но там нет 66 строк

А версия xkeen у вас какая?

xkeen -v

[Gmarapet]

26 минут назад, k0steg сказал:

1.0.0

Попробуйте удалить /opt/etc/init.d/S24xray и сделать xkeen -ri

[k0steg]

2 hours ago, jameszero said:

Добрый день! Попробуйте добавить IP-адрес сервера с 32 маской в параметр ipv4_exclude (66 срока файла /opt/etc/init.d/S24xray)

@Gmarapet, @jameszero Спасибо. Это сработало. Проблема скорее всего была в том, что ставил Entware на внутреннюю память, и при установке XKeen в какой-то момент видимо не хватило. Удивительно, что вообще работало. Переустановил все на флешку, поправил S24xray - теперь все работает идеально.

[Sirex]

Здравствуйте. При перезагрузки роутера xkeen не стартует, как можно это исправить?
Модель роутера: kn-1811

Cценарий initrc: /opt/etc/init.d/rc.unslung

Выполнял xkeen -ri

start_delay=20

Логи при старте xkeen:

Скрытый текст

~ # xkeen -status

  Прокси-клиент не запущен

~ # xkeen -start

Xray 1.8.7 (Xray, Penetrates Everything.) 3f0bc13 (go1.21.5 linux/arm64)

A unified platform for anti-censorship.

2024/01/23 15:07:31 Using confdir from env: /opt/etc/xray/configs

2024/01/23 15:07:31 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/01_log.json

2024/01/23 15:07:31 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/02_stats.json

2024/01/23 15:07:31 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/03_dns.json

2024/01/23 15:07:31 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/04_reverse.json

2024/01/23 15:07:31 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/05_fake-dns.json

2024/01/23 15:07:31 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/06_transport.json

2024/01/23 15:07:31 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/07_inbounds.json

2024/01/23 15:07:31 [Info] infra/conf: [/opt/etc/xray/configs/07_inbounds.json] prepend outbound with tag: out-russia

2024/01/23 15:07:31 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/08_outbounds.json

2024/01/23 15:07:32 [Info] infra/conf: [/opt/etc/xray/configs/08_outbounds.json] appended inbound with tag: tproxy

2024/01/23 15:07:32 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/09_policy.json

2024/01/23 15:07:32 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/10_routing.json

2024/01/23 15:07:32 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/11_fallbacks.json

  Прокси-клиент запущен

 

[Konstantin Rezvykh]

5 минут назад, Sirex сказал:

Здравствуйте. При перезагрузки роутера xkeen не стартует, как можно это исправить?
Модель роутера: kn-1811

Cценарий initrc: /opt/etc/init.d/rc.unslung

Выполнял xkeen -ri

start_delay=20

Логи при старте xkeen:

  Скрыть содержимое

~ # xkeen -status

  Прокси-клиент не запущен

~ # xkeen -start

Xray 1.8.7 (Xray, Penetrates Everything.) 3f0bc13 (go1.21.5 linux/arm64)

A unified platform for anti-censorship.

2024/01/23 15:07:31 Using confdir from env: /opt/etc/xray/configs

2024/01/23 15:07:31 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/01_log.json

2024/01/23 15:07:31 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/02_stats.json

2024/01/23 15:07:31 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/03_dns.json

2024/01/23 15:07:31 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/04_reverse.json

2024/01/23 15:07:31 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/05_fake-dns.json

2024/01/23 15:07:31 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/06_transport.json

2024/01/23 15:07:31 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/07_inbounds.json

2024/01/23 15:07:31 [Info] infra/conf: [/opt/etc/xray/configs/07_inbounds.json] prepend outbound with tag: out-russia

2024/01/23 15:07:31 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/08_outbounds.json

2024/01/23 15:07:32 [Info] infra/conf: [/opt/etc/xray/configs/08_outbounds.json] appended inbound with tag: tproxy

2024/01/23 15:07:32 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/09_policy.json

2024/01/23 15:07:32 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/10_routing.json

2024/01/23 15:07:32 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/11_fallbacks.json

  Прокси-клиент запущен

 

Проверьте права файла S24xray.

Изменено 23 января, 2024 пользователем Konstantin Rezvykh

[jameszero]

4 минуты назад, Sirex сказал:

как можно это исправить?

Добрый день. Уменьшайте количество dat-файлов, подключенных в 10_routing.json

[Sirex]

5 минут назад, jameszero сказал:

Уменьшайте количество dat-файлов, подключенных в 10_routing.json

У меня этот файл пустой, весь трафик идет через xray

[jameszero]

Тогда, можно попробовать откатить версию xray на 1.8.4, с ней меньше всего было проблем.

[Mikhail_YAR]

9 часов назад, jameszero сказал:

попробуйте отключить QUIC в браузере и проверьте авторизацию на openai и геолокацию на whoer

Попробовал. К сожалению, ничего не изменилось.

[jameszero]

22 часа назад, Mikhail_YAR сказал:

На сервере xray в правилах маршрутизации на текущий момент настроено geosite:openai -> warp

Для чего warp? Отключите и проверьте доступ через xray сервер без костылей.

[Gmarapet]

22 минуты назад, Sirex сказал:

При перезагрузки роутера xkeen не стартует, как можно это исправить?

А start_delay какой стоит?

/opt/etc/init.d/S24xray строка 75