маршрутизация Xkeen

[activio]

Не понял, только привык к старой инструкции, все поменялось. Куда дели ленивую конфигурацию?(

[jameszero]

@hohla

Добрый день!

Похоже, что у ваc 443 порт закрыт провайдером.

Попробуйте настроить не Tproxy, а Redirect.

Изменено 25 января, 2024 пользователем jameszero

[Alexey77]

6 минут назад, jameszero сказал:

Похоже, что у ваc 443 порт закрыт провайдером.

Не знаете как проверить закрыт 443 порт или нет? 

[dogoma]

В 06.01.2024 в 23:34, yovgen сказал:

Привет!

Вопрос 1

Роутер Keenetic Ultra, создан работающий профиль Xray.

Настроено подключение мобильных устройств через IKEv2, как по ссылке

https://help.keenetic.com/hc/ru/articles/360017022999-VPN-сервер-IKEv2

 

Сейчас при подключении мобильного устройства для него не работают правила Xray. Как сделать так, чтобы IKEv2 клиенты впн также заворачивались в xray?

 

 

Добрый день.

Спасибо за отличный софт.

Не нашёл кейса по подобной ситуации.

То же по WG и SSTP серверам, настроенных на роутере стандартными средствами системы.

 

Можно ли как-то настроить, чтобы клиенты VPN тоже шли через XRay?

[activio]

Пытаюсь настроить на старенькой Extra 2. Все поставил по мануалу (вроде бы). Скопировал конфиги с kn-1011, там все работает! На экстре в логах пишет

Янв 25 14:27:13

 

xkeen

Инициирован запуск прокси-клиента

Янв 25 14:27:13

 

xkeen

Найден «dokodemo-door» в inbounds

Янв 25 14:27:13

 

xkeen

xray запущен в режиме Redirect

Янв 25 14:27:15

 

xkeen

Прокси-клиент запущен

 

 

Политику xkeen назначаю как на гиге какому нибудь устройству, на гиге работает, на экстре нет!

Сразу скажу, гига в это время не в сети.

xkeen запущен. 

 

 

Порты слушает

 

Интернет видит

 

 

Что я делаю не так? Даже пробовал с прошивки на прошивку попереключаться (тщетно).

 

Изменено 25 января, 2024 пользователем activio

[Sirex]

Спасибо за помощь @jameszero, в решение проблемы с автозапуском xkeen!
Необходимо было установить opkg на флешку, а не встроенную память роутера, хотя это и странно

[Skrill0]

Всем доброго дня!

Вышло обновление 1.0.1

Журнал

Скрытый текст

Обновлена основная часть иснструкции в шапке темы

Добавлено

1. Режим Mixed_1
2. Исключение портов
3. Автоматическое исключение портов  |  Порты из переадресации Web-интерфейса 
4. Автоматическое исключение IP  |  Адреса провайдера
5. Автоматическое получение сетей  |  Считывается прямо из конфигурации Xray
6. Соединение вне политки  |  Только по выборочным портам
7. Заготовка конфигурации vless-reality в режиме redirect теперь добавляется вместо заглушек в директорию /opt/etc/xray/configs/
8. Добавлены общие настройки в 06_transport.json

Улучшено

1. Генерация правил
2. Очистка правил
3. Автозапуск
4. Изоляция DNS запросов для политики

Исправлено

1. Выдача прав после добавления | удаления портов
2. Теперь устанавливается последняя стабильная версия, а не последняя вышедшая

Как использовать Mixed_1

Скрытый текст

Mixed_1 является гибридом двух режимов:
Redirect и TProxy

1. Выполнить «Предварительные настройки» для TProxy 
2. Заменить конфигурацию inbounds на «Конфигурации Xray» > «Inbounds» > «Mixed»
3. Проверить свои теги в Routing и Outbounds, должны совпадать

Как использовать исключение портов

Скрытый текст

Исключение портов — порты, на которых прокси-клиент работать не будет.
Является противоположностью выбранных для работы портов.

Если указаны порты для исключения и для работы, приоритет отдается портам для работы.
Для добавления портов-исключений добавлены следующие ключи:
     -ape         |   Добавить
     -dpe         |   Удалить
     -сpe         |   Текущие порты

Пример использования
xkeen -ape 22,8080,8083

Прокси клиент не будет работать на портах:
22,8080,8083

Как использовать соединение вне политики

Скрытый текст

Соединение вне политики подразумевает отсутствие политики «XKeen» в Web-роутера.
В таком случае будет автоматически выбран «общий режим».
Для его работы необходимо указать порты работы прокси-клиента ключом -ap.

Переустановить Xray на стабильную версию можно удалив предыдущую командой

rm /opt/sbin/xray

И выполнив заново

xkeen -i

Обновиться можно командой

xkeen -stop
xkeen -uk

Откатиться на предыдущую версию можно командой

xkeen -kbr

Пожалуйста, тестируйте, и отпишитесь о результатах)

 

Изменено 25 января, 2024 пользователем Skrill0

[Sirex]

27 минут назад, Skrill0 сказал:

Как использовать соединение вне политики

Добрый вечер! Правильно ли я понял, что тогда будет весь трафик идти через xkeen, в том числе служебный трафик роутера? 
Возможно сделать пинг, хотя бы фейковый, некоторые программы не работают без него?

Изменено 25 января, 2024 пользователем Sirex

[Skrill0]

1 минуту назад, Sirex сказал:

Добрый вечер! Правильно ли я понял, что тогда будет весь трафик идти через xkeen, в том числе служебный трафик роутера? 

Если Вы хотите использовать XKeen вне политики, то этого нельзя сделать без указания конкретных портов.
Если Вы не укажите порты служебного трафика, все будет хорошо)

[LexxWin]

22 минуты назад, Skrill0 сказал:

Всем доброго дня!

Вышло обновление 1.0.1

Журнал

  Показать содержимое

Обновлена основная часть иснструкции в шапке темы

Добавлено

1. Режим Mixed_1
2. Исключение портов
3. Автоматическое исключение портов  |  Порты из переадресации Web-интерфейса 
4. Автоматическое исключение IP  |  Адреса провайдера
5. Автоматическое получение сетей  |  Считывается прямо из конфигурации Xray
6. Соединение вне политки  |  Только по выборочным портам
7. Заготовка конфигурации vless-reality в режиме redirect теперь добавляется вместо заглушек в директорию /opt/etc/xray/configs/
8. Добавлены общие настройки в 06_transport.json

Улучшено

1. Генерация правил
2. Очистка правил
3. Автозапуск
4. Изоляция DNS запросов для политики

Исправлено

1. Выдача прав после добавления | удаления портов
2. Теперь устанавливается последняя стабильная версия, а не последняя вышедшая

Как использовать Mixed_1

  Показать содержимое

Mixed_1 является гибридом двух режимов:
Redirect и TProxy

1. Выполнить «Предварительные настройки» для TProxy 
2. Заменить конфигурацию inbounds на «Конфигурации Xray» > «Inbounds» > «Mixed»
3. Проверить свои теги в Routing и Outbounds, должны совпадать

Как использовать исключение портов

  Показать содержимое

Исключение портов — порты, на которых прокси-клиент работать не будет.
Является противоположностью выбранных для работы портов.

Если указаны порты для исключения и для работы, приоритет отдается портам для работы.
Для добавления портов-исключений добавлены следующие ключи:
     -ape         |   Добавить
     -dpe         |   Удалить
     -сpe         |   Текущие порты

Пример использования
xkeen -ape 22,8080,8083

Прокси клиент не будет работать на портах:
22,8080,8083

Как использовать соединение вне политики

  Показать содержимое

Соединение вне политики подразумевает отсутствие политики «XKeen» в Web-роутера.
В таком случае будет автоматически выбран «общий режим».
Для его работы необходимо указать порты работы прокси-клиента ключом -ap.

Переустановить Xray на стабильную версию можно удалив предыдущую командой

rm /opt/sbin/xray

И выполнив заново

xkeen -i

Обновиться можно командой

xkeen -stop
xkeen -uk

Откатиться на предыдущую версию можно командой

xkeen -kbr

Пожалуйста, тестируйте, и отпишитесь о результатах)

 

Добрый день!

Обновился, спасибо!
После запуска Xkeen, в консоли выскакивают эти строки:

Для доступа на сайты это не мешает.
Может у меня так только, но на предыдущих версиях этого не было.

[Skrill0]

3 минуты назад, LexxWin сказал:

Добрый день!

Обновился, спасибо!
После запуска Xkeen, в консоли выскакивают эти строки:

Для доступа на сайты это не мешает.
Может у меня так только, но на предыдущих версиях этого не было.

Благодарю Вас)
Сегодня или завтра исправлю.
Да, доступу это действительно не помешает)

[dogoma]

Добрый день, обновился, спасибо!

После запуска такая строчка есть:

/opt/etc/ndm/netfilter.d/proxy.sh: line 198: syntax error: unexpected "(" (expecting "fi")

 

upd: не сразу после обновления, а когда сменил в /opt/etc/xray/configs/07_inbounds.json поле "listen". А теперь хоть возвращаю такое значение, всё-равно такая строчка после запуска.

Изменено 25 января, 2024 пользователем dogoma

[Skrill0]

4 минуты назад, dogoma сказал:

Добрый день, обновился, спасибо!

После запуска такая строчка есть:

/opt/etc/ndm/netfilter.d/proxy.sh: line 198: syntax error: unexpected "(" (expecting "fi")

upd: не сразу после обновления, а когда сменил в /opt/etc/xray/configs/07_inbounds.json поле "listen". А теперь хоть возвращаю такое значение, всё-равно такая строчка после запуска.

И Вам доброго дня)
Приложите, пожалуйста, файл по пути /opt/etc/ndm/netfilter.d/proxy.sh

[dogoma]

15 минут назад, Skrill0 сказал:

И Вам доброго дня)
Приложите, пожалуйста, файл по пути /opt/etc/ndm/netfilter.d/proxy.sh

 

proxy.sh

[Skrill0]

Вышло обновление 1.0.2

Журнал

Скрытый текст

Hot fixes

1. Определение серого IP
2. Ошибки запуска
3. Обработчик DNS

Обновиться можно командой

xkeen -uk

Откатиться на предыдущую версию можно командой

xkeen -kbr

 

[dogoma]

4 часа назад, dogoma сказал:

Добрый день.

Спасибо за отличный софт.

Не нашёл кейса по подобной ситуации.

То же по WG и SSTP серверам, настроенных на роутере стандартными средствами системы.

 

Можно ли как-то настроить, чтобы клиенты VPN тоже шли через XRay?

Поменял в inbounds "listen" c 127.0.0.1 на 0.0.0.0 — вроде приложения (запрещёнограм, например) на клиентах VPN'a как-то начало крутится (но не полноценно). Сайты открываются не через XRay (добавил чтобы http://ipinfo.io/ шёл через XRay).

Помню на какой-то версии начального поста как раз говорилось, что роутер можно будет использовать как портал в интернет со всех устройств, даже находясь не дома (у меня, в общем, так раньше и было, только "клиент WG -> WG (сервер и клиент) на роутере -> WG (сервер) на VPS"), но сейчас такого упоминания нет. Хочется реализовать схему "клиент WG (или любой другой VPN) -> WG (клиент или любой другой VPN) на роутере, XRay клиент на роутере -> XRay на VPS"

Изменено 25 января, 2024 пользователем dogoma

[Alexey77]

5 часов назад, jameszero сказал:

@hohla

Добрый день!

Похоже, что у ваc 443 порт закрыт провайдером.

Попробуйте настроить не Tproxy, а Redirect.

Проверил у меня закрыт порт 443 ( ip серый) на работу tproxy не влияет. 

[Starpact]

Добрый день!
Я попробовал поискать по топику, но скажу честно, поиск по OpenVPN показывает совсем не то что мне нужно, поэтому прошу не бить если такое уже обсуждали.

У меня получилось все настроить:
- Свой сервер с vless-reality - работает
- Xkeen с конфигом через прокси - работает

На самом деле у меня почти все работает, траффик идет туда куда я указал в конфигах. Есть только одна проблема - если я пускаю свой ноут через прокси, у меня перестает подключаться мой рабочий OpenVPN (рабочий от слова работа, мне его выдали на работе). Если я ставлю ноуту политику по умолчанию, то все работает.
Подключение к рабочему vpn настроено на самом ноуте, роутер про него ничего не знает. Я использую tunnelblick на маке, но думаю что это никак не зависит от open vpn клиента.

Вот мой 10_routing.json:

Spoiler

{
  "routing": [
      {
        "inboundTag": ["socks-in"],
        "domain": [
          "whatismyipaddress.com",
          "ext:geosite_antifilter.dat:antifilter-community",
          "ext:geosite_v2fly.dat:openai",
          "ext:geosite_v2fly.dat:paypal",
          "ext:geosite_v2fly.dat:ebay",
          "ext:geosite_v2fly.dat:facebook",
          "ext:geosite_v2fly.dat:instagram",
          "kino.pub"
        ],
        "outboundTag": "reality-nl",
        "type": "field"
      },

      {
        "inboundTag": ["socks-in"],
        "ip": [
          "ext:geoip_v2fly.dat:facebook",
          "ext:geoip_v2fly.dat:netflix",
          "ext:geoip_v2fly.dat:twitter"
        ],
        "outboundTag": "reality-nl",
        "type": "field"
      },

      {
        "inboundTag": ["socks-in"],
        "outboundTag": "direct",
        "type": "field"
      }
    ]
  }
}

 

Изменено 25 января, 2024 пользователем Starpact

[Mikhail_YAR]

Здравствуйте!)

Подскажите, пожалуйста, как вот в такой роутинг

Скрытый текст

// Настройка маршрутизации

{
  "routing": {
    "domainStrategy": "IPIfNonMatch",
    "rules": [
      // Настройка черного списка
      {
        "inboundTag": ["inside"],
        "domain": [
          "ext:geosite_v2fly.dat:category-ads-all",
          "google-analytics",
          "analytics.yandex",
      "appcenter.ms",
      "app-measurement.com",
      "firebase.io",
      "crashlytics.com"
        ],
        "outboundTag": "block",
        "type": "field"
      },
      
      // Блокируем соединение по уязвимым UDP портам
      {
        "inboundTag": ["inside"],
        "network": "udp",
        "port": "135, 137, 138, 139",
        "outboundTag": "block",
        "type": "field"
      },
            
      // Настройка прямых подключений с помощью доменных имен
      {
        "inboundTag": ["inside"],
        "domain": [
      "regexp:^([\\w\\-\\.]+\\.)ru$",  // .ru
          "regexp:^([\\w\\-\\.]+\\.)su$",  // .su
          "regexp:^([\\w\\-\\.]+\\.)xn--p1ai$",  // .рф
          "regexp:^([\\w\\-\\.]+\\.)xn--p1acf$",  // .рус
          "regexp:^([\\w\\-\\.]+\\.)xn--80asehdb$",  // .онлайн
          "regexp:^([\\w\\-\\.]+\\.)xn--c1avg$", // .орг
          "regexp:^([\\w\\-\\.]+\\.)xn--80aswg$",  // .сайт
          "regexp:^([\\w\\-\\.]+\\.)xn--80adxhks$",  // .москва
          "regexp:^([\\w\\-\\.]+\\.)moscow$",  //  .moscow
          "regexp:^([\\w\\-\\.]+\\.)xn--d1acj3b$",  // .дети
      "ext:geosite_v2fly.dat:youtube",
          "ext:geosite_v2fly.dat:category-gov-ru",
          "ext:geosite_v2fly.dat:yandex",
          "ext:geosite_v2fly.dat:xbox",
          "ext:geosite_v2fly.dat:playstation",
          "ext:geosite_v2fly.dat:steam",
          "ext:geosite_v2fly.dat:rockstar",
          "ext:geosite_v2fly.dat:gog",
          "ext:geosite_v2fly.dat:vk",
      "ext:geosite_v2fly.dat:private",
      "keenetic"
        ],
        "outboundTag": "direct",
        "type": "field"
      },
      
      // Настойка прямых подключений с помощью IP
      {
        "inboundTag": ["inside"],
        "ip": [
          "ext:geoip_v2fly.dat:ru",
          "ext:geoip_v2fly.dat:private"
        ],
        "outboundTag": "direct",
        "type": "field"
      },
      
      // Направление остальных соединений на VPS
      {
        "inboundTag": ["inside"],
        "outboundTag": "proxy",
        "type": "field"
      }
    ]
  }
}

добавить отдельный домен (который входит в общие списки для direct) или его маску, которые требуется пустить через proxy?

Например, нужно пустить туда отдельный сайт зоны .ru. Правильно ли я понимаю, что это будет выглядеть как-то вот так?

Скрытый текст

{
        "inboundTag": ["inside"],
        "domain": [
          "2ip.ru"
        ],
        "outboundTag": "proxy",
        "type": "field"
      }

В такой конструкции смущает то, что в том числе этот же домен определён выше регуляркой для direct. Как оно будет сосуществовать?

Спасибо.

Изменено 25 января, 2024 пользователем Mikhail_YAR

[jameszero]

@Mikhail_YAR, добрый вечер! Файл routing.json обрабатывается сверху вниз. Правило, которое встретится раньше, будет иметь преимущество. Разместите ваше правило для 2ip.ru выше правила ru>>direct и всё получится.

 

2 часа назад, Alexey77 сказал:

Проверил у меня закрыт порт 443 ( ip серый) на работу tproxy не влияет. 

Белый IP не требуется для tproxy, нужно чтобы порт не был закрыт фаирволом провайдера, это сложно проверить.

[Mikhail_YAR]

5 часов назад, Skrill0 сказал:

Пожалуйста, тестируйте, и отпишитесь о результатах)

Добрый вечер.

Вот такая ещё штука стрельнула при обновлении. Выглядит вроде не особо смертельно.

Скрытый текст

 

[Keokuk]

Здравствуйте! Хотелось поблагодарить @Skrill0 за помощь в настройке и пожелать проекту долгой жизни!

Отдельно выражаю огромную благодарность @jameszero за его великолепный Zkeen. Прекрасно работает и идеально подходит в нынешних реалиях. Все просто и понятно. Спасибо большое!

[Gmarapet]

5 часов назад, Starpact сказал:

у меня перестает подключаться мой рабочий OpenVPN

Попробуйте добавить c маской /32 ip адрес(а) VPN сервера с работы в параметр "ipv4_exclude=". Это 66 строка файла /opt/etc/init.d/S24xray

Изменено 25 января, 2024 пользователем Gmarapet

[Starpact]

54 minutes ago, Gmarapet said:

Попробуйте добавить ip адрес(а) VPN сервера с работы в параметр "ipv4_exclude=". Это 66 строка файла /opt/etc/init.d/S24xray

Не помогло. Я правда вижу что там остальные указаны не совсем адреса, а скорее диапозоны типа 198.51.100.0/24. Я не очень в этом разбираюсь, но просто добавить айпишники в список и перезапустить xkeen не помогло.

UPD: Однако помогло прописать маршруты до айпишников рабочего впн в админке роутера, просто указал адреса и чтобы шли всегда напрямую в интерфейс.

Спасибо за наводку!

Изменено 25 января, 2024 пользователем Starpact
Дополнил

[Varodero]

Товарищи, недели две назад настроил и всё работало (трафик распределялся как указано в routing), но ровно один день, с утра вся схема перестала работать (отвалился vps и ещё неделю лагал.. просто безбожно - тупо не работал)

Сейчас (после обновления xkeen -uk), кстати vps настроился (сам). ВЕСЬ трафик заворачивается на VPS, что бы я не делал, как не менял routing, не помогает.

2) В outbounds настройки согласно старой версии, где указана настройка на VPS и внизу: // Прямое соединение
        {
            "protocol": "freedom",
            "tag": "direct"
        }, 

Подскажите, куда копать или что ещё можно приложить

[Gmarapet]

6 минут назад, Starpact сказал:

Я правда вижу что там остальные указаны не совсем адреса

Я исправил, нужно указывать ip/32

[dogoma]

6 часов назад, dogoma сказал:

Поменял в inbounds "listen" c 127.0.0.1 на 0.0.0.0 — вроде приложения (запрещёнограм, например) на клиентах VPN'a как-то начало крутится (но не полноценно). Сайты открываются не через XRay (добавил чтобы http://ipinfo.io/ шёл через XRay).

Помню на какой-то версии начального поста как раз говорилось, что роутер можно будет использовать как портал в интернет со всех устройств, даже находясь не дома (у меня, в общем, так раньше и было, только "клиент WG -> WG (сервер и клиент) на роутере -> WG (сервер) на VPS"), но сейчас такого упоминания нет. Хочется реализовать схему "клиент WG (или любой другой VPN) -> WG (клиент или любой другой VPN) на роутере, XRay клиент на роутере -> XRay на VPS"

Рассмотрел внимательнее заглавное сообщение в теме, раздел Предварительные настройки -> TProxy -> Варианты работы и сделал 3 вариант работы - По выбранным портам (порты такие, как в примере xkeen -ap 443,80). Теперь клиенты по WG нормально ходят через прокси по правилам роутинга.

[Alexey77]

10 часов назад, jameszero сказал:

нужно чтобы порт не был закрыт фаирволом провайдера, это сложно проверить.

Доброе утро. Поэтому и спрашивал как проверить. Сервисы по проверке портов показывают что порт закрыт. При подключении через xray сервисы уже показывают что 443 порт открыт. 

[jameszero]

12 часа назад, Starpact сказал:

перестает подключаться мой рабочий OpenVPN

Добрый день! Вы не написали, каким методом настроили подключение xkeen. OpenVPN по умолчанию использует udp-протокол и при подключении, например, по методу Redirect он работать не будет. Решение есть, но оно зависит от того, используете вы Redirect или нет.

 

 

[jameszero]

33 минуты назад, Alexey77 сказал:

При подключении через xray сервисы уже показывают что 443 порт открыт. 

Значит у вас провайдер не фильтрует порты. В анонсе версии xkeen с поддержкой Tproxy @Skrill0 указала, что некоторые провайдеры могут закрывать этот порт, а у Beeline, например, пользователи сами могут отключить фильтрацию в личном кабинете.