маршрутизация Xkeen

[dogoma]

16 минут назад, Artur Galavanov сказал:

1. Политику доступа XKeen создал:

А в "Применение политик" (вкладка) клиентов которых хотите пускать через XRay закинули в только что созданную политику?

З.Ы. До конца не уверен, но может регистр имеет значение, и политику надо назвать "XKeen", а не "xkeen".

[Gmarapet]

1 минуту назад, dogoma сказал:

До конца не уверен, но может регистр имеет значение

Я спрашивал: не имеет.

[Arturgal]

9 минут назад, dogoma сказал:

А в "Применение политик" (вкладка) клиентов которых хотите пускать через XRay закинули в только что созданную политику?

З.Ы. До конца не уверен, но может регистр имеет значение, и политику надо назвать "XKeen", а не "xkeen".

Политику переименовывал в XKeen тоже. Клиент зарегистрирован и в политике. Всю домашнюю сеть тоже пускал через политику xkeen - результат тот же(

[Skrill0]

3 часа назад, Arturgal сказал:

Подскажите, пожалуйста, что я делаю не так?  KN-2410, Пытаюсь настроить в режиме REDIRECT и пускать весь трафик на VPS. При текущих настройках все сайты определяют меня как из РФ.

Если напрямую с ПК или телефона, то соединение есть...

1. Политику доступа XKeen создал:

  Показать содержимое

2. Порты xkeen -ap 443,80  добавлял, потом вернул по всем портам

3. iptables -t nat -nL xkeen -v

  Показать содержимое

Chain xkeen (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 RETURN     all  --  *      *       0.0.0.0/0            100.64.105.16
    0     0 RETURN     all  --  *      *       0.0.0.0/0            255.255.255.255
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/8
    0     0 RETURN     all  --  *      *       0.0.0.0/0            10.0.0.0/8
    0     0 RETURN     all  --  *      *       0.0.0.0/0            100.64.0.0/10
    0     0 RETURN     all  --  *      *       0.0.0.0/0            127.0.0.0/8
    0     0 RETURN     all  --  *      *       0.0.0.0/0            169.254.0.0/16
    0     0 RETURN     all  --  *      *       0.0.0.0/0            172.16.0.0/12
    0     0 RETURN     all  --  *      *       0.0.0.0/0            192.0.0.0/24
    0     0 RETURN     all  --  *      *       0.0.0.0/0            192.0.2.0/24
    0     0 RETURN     all  --  *      *       0.0.0.0/0            198.18.0.0/15
    0     0 RETURN     all  --  *      *       0.0.0.0/0            198.51.100.0/24
    0     0 RETURN     all  --  *      *       0.0.0.0/0            203.0.113.0/24
    0     0 RETURN     all  --  *      *       0.0.0.0/0            224.0.0.0/4
    0     0 RETURN     all  --  *      *       0.0.0.0/0            240.0.0.0/4
    0     0 REDIRECT   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            redir ports 61219

4. iptables -t nat -nL PREROUTING -v

  Показать содержимое

Chain PREROUTING (policy ACCEPT 329 packets, 60638 bytes)
 pkts bytes target     prot opt in     out     source               destination
  594 85283 _NDM_DNAT  all  --  *      *       0.0.0.0/0            0.0.0.0/0
  594 85283 _NDM_DNS_REDIRECT  all  --  *      *       0.0.0.0/0            0.0.0.0/0
  436 76084 _NDM_EZ_BYPASS  all  --  *      *       0.0.0.0/0            0.0.0.0/0
  416 75524 _NDM_UPNP_REDIRECT_SYS  all  --  *      *       0.0.0.0/0            0.0.0.0/0
  416 75524 _NDM_UPNP_REDIRECT_0  all  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 xkeen      tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            connmark match  0xffffd00 ! ctstate INVALID multiport dports 80,433
 

5. inbounds

  Показать содержимое

// Настройка исходящих соединений

{
    "inbounds": [
        {
            "tag": "redirect",
            "listen": "192.168.1.1",
            "port": 61219,
            "protocol": "dokodemo-door",
            "settings": {
                "network": "tcp",
                "followRedirect": true
            },
            "sniffing": {
                "enabled": true,
                "destOverride": [
                    "http",
                    "tls",
                    "quic"
                ]
            }
        }
    ]
}

6. outbounds (вместо xxx - адрес сервера)

  Показать содержимое

{
    "outbounds": [
        {
            "tag": "vless-reality",
            "protocol": "vless",
            "settings": {
                "vnext": [
                    {
                        "address": "xxx.xx.xx.xxx",
                        "port": 443,
                        "users": [
                            {
                                "encryption": "none",
                                "flow": "xtls-rprx-vision",
                                "id": "76c7029f-1b77-4158-bd39-318d3ed14664"
                            }
                        ]
                    }
                ]
            },
            "streamSettings": {
                "network": "tcp",
                "security": "reality",
                "realitySettings": {
                    "publicKey": "WiMCEa2IcI-G0x0O0KY8TAMCuoZDKp6MSbE3gxXZ_U4",
                    "fingerprint": "chrome",
                    "serverName": "yahoo.com",
                    "shortId": "754ee21a",
                    "spiderX": "/"
                },
                "sockopt": {
                    "tcpFastOpen": true,
                    "tcpMptcp": true,
                    "tcpNoDelay": true
                }
            }
        }
    ]
}

7. Routing {}

Доброго Вам утра!

Похоже, что Вы не добавили клиентов в политику XKeen.
Политика определилась, правила создались.
Но пакеты в правила не идут.

Изменено 27 января пользователем Skrill0

[Mikhail_YAR]

Доброе утро!

Ни с того ни с сего xkeen перестал подключаться к VPS, ресурсы недоступны.

Подскажите, пожалуйста, что глянуть можно?

xkeen запущен, клиент в политике. В общем, ничего не делал до того как клиент перестал соединяться. Сервер живой, клиент на телефоне соединяется нормально.

Похоже, что и роутинг не осуществляется. хуер показывается мой внешний IP, а не IP VPS.

В логах роутера время от времени фиксируется:

 

Скрытый текст

ndnproxy

[0000] unable to extract domain from request.

 

xkeen v1.0.4

Логи /opt/var/log пустые.

[Alexey77]

Добрый день. Можно через xkeen обновить xray с версии 1.8.4 на более новую? Или нужно ставить с github ? 

[Mikhail_YAR]

11 час назад, Konstantin Rezvykh сказал:

После сегодняшних обновлений все сломалось, пришлось поставить все заново. Нормально, что сейчас всего 5 файлов конфига и их номера поменялись?

Такая же история. Я даже начисто переустановил xkeen, подсунул старый outbounds, переименовал под новую структуру даже. Роутинг вроде бы теперь пытается работать, т.е. ресурсы, которые прописаны через VPS недоступны)) Но нет подключения к серверу XRAY.

[Alexey77]

5 минут назад, Mikhail_YAR сказал:

Такая же история. Я даже начисто переустановил xkeen, подсунул старый outbounds, переименовал под новую структуру даже. Роутинг вроде бы теперь пытается работать, т.е. ресурсы, которые прописаны через VPS недоступны)) Но нет подключения к серверу 

А какие файлы сейчас у вас в папке configs? 

[Mikhail_YAR]

5 минут назад, Alexey77 сказал:

А какие файлы сейчас у вас в папке configs? 

В целом оказалось, что система работоспособна, проблема в том, что я развернул VPS на другом хостинге и клиент почему-то не может подключиться с нему. Если подсовываю старый outbounds (для старого сервера), то всё работает. Буду пытаться решить это, для начала.

[Gmarapet]

2 часа назад, Mikhail_YAR сказал:

Такая же история. Я даже начисто переустановил xkeen

Попробуйте остановить xkeen, удалить файл запуска xkeen /opt/etc/init.d/S24xray и выполнить xkeen -ri

У меня после апдейта на 1.0.3 S24xray сильно перекорёжило, когда апнулся на 1.0.4, перекорёжило повторно. Слетают значения многих параметров и заменяются на "xkeen".

Например

ipv4_proxy="xkeen"

ipv4_exclude="xkeen"

ipv6_proxy="xkeen"

pv6_exclude="xkeen"

 

Удаление файла с последующим xkeen -ri спасает ситуацию. Правда, кастомные настройки (порты, исключения) сбрасываются и надо их прописывать заново.

 

Изменено 27 января пользователем Gmarapet

[Mikhail_YAR]

On 1/27/2024 at 11:39 AM, Gmarapet said:

Посмотрите попробуйте остановить xkeen

У меня всё взлетело, в общем. Начистую переустановил entware и xkeen.

И, что самое главное: на новом хостинге (timeweb.cloud) хуер стал корректно определять страну, chat.openai наконец таки заработал.

[Skrill0]

Всем доброго дня)

Вышло обновление 1.0.5

Журнал

Скрытый текст

Hot fixes

Исправлено

1. Выдача прав на файл автозапуска
2. Перезагрузка XKeen при выключенном автозапуске
3. Генерация правил NAT
4. Миграция переменных автозапуска v2
5. Генерация цепей для DNS режима Mixed_1
6. Конфигурации XKeen больше не добавлются без спроса при обновлении и не конфликтуют с существующими
7. Обновление Cron файла
8. Режим TProxy | Без DNS от Xray
9. Отлажены установщик и функции обновлений

Добавлено

1. Ключ установки времени старта автозапуска «-d»
2. Ключ создания файла диагностики «-diag»
3. Теперь можно не открывать 443 порт в Web роутера для TProxy. Только перенос SSL

Улучшено

1. Очистка правил iptables
2. Ключи -rx и -ri
3. Резервное копирование файла автозапуска при обновлении
4. Регистрация Xray и всех связанных с ним файлов
5. Регистрация XKeen и всех связанных с ним файлов

Обновиться можно командой

xkeen -uk

Откатиться на предыдущую версию можно командой

xkeen -kbr

Пожалуйста, тестируйте, и отпишитесь о результатах)

[Skrill0]

1 час назад, Alexey77 сказал:

Добрый день. Можно через xkeen обновить xray с версии 1.8.4 на более новую? Или нужно ставить с github ? 

И Вам доброго дня!
Теперь в XKeen только стабильное ядро.

С последними версиями очень много проблем, включая регулярные разрывы соединения.
Поэтому было принято решение устанавливать именно последнюю стабильную версию.

Более новые — Beta.

[UnFear TARANTULA]

Коллеги, нид хэлп. Походу в конфигах дело, но не уверен. Задача - определенные устройства пускать тупо в интернет через xray, весь трафик, пока хотя бы так.

Модель - Хоппер. Есть зарубежный рабочий сервер Xray:

Поставил Хkeen, все вроде норм. Запускается, не ругается, на статус пишет, что запущен, интернет-подключение работает, netstat -ltunp | grep xray отвечает, что  LISTEN      8917/xray. Прокси-клиент на Кинетике установлен, настроен на тот же порт, что указан в inbounds. Политика доступа в интернет создана и там одна галочка стоит на прокси подключении через xray порт которое.

Вроде бы по инструкции все сделано, но не работает. Проверяю через 2ip - нифига не через xray в интернет идет, все как через обычное соединение. Какие должны быть конфиги в моем случае?

Всем заранее огромное спасибо!

PS: вроде бы заработало, но как-то криво. Пинг до 8.8.8.8 идет, а по имени не пингует, какая-то фигня с DNS походу. В шапке написано добавить outbounds так и пртокол dns, но как именно, не понятно - как отдельный раздел или как? Или это вообще не про это?

Изменено 27 января пользователем UnFear TARANTULA
Заработало, но криво

[Gmarapet]

39 минут назад, UnFear TARANTULA сказал:

Пинг до 8.8.8.8 идет, а по имени не пингует, какая-то фигня с DNS походу.

Попробуйте для начала создать отдельный профиль DNS (интернет фильтры/профили DNS) с одним или несколькими серверами и назначить этот новый профиль клиенту, который включен в политику Xkeen.

[Alexey77]

50 минут назад, UnFear TARANTULA сказал:

Какие должны быть конфиги в моем случае?

Вам бы в начале нужно написать подробнее какой режим настраиваете какие конфигурации используется. 

[UnFear TARANTULA]

24 минуты назад, Gmarapet сказал:

Попробуйте для начала создать отдельный профиль DNS (интернет фильтры/профили DNS) с одним или несколькими серверами и назначить этот новый профиль клиенту, который включен в политику Xkeen.

Если это то, что на картинке, то не помогает.

Может что-то другое вообще там. По IP пингует, 8.8.8.8 к примеру, а если я пишу пинг ya.ru, то он его адрес определяет, но ответа нет.

PS: поставил тут не 1.1.1.1, а провайдерски1 5.3.3.3 и заработало. Фиг знает, почему не работало с гугл и клауд днс.

Изменено 27 января пользователем UnFear TARANTULA

[UnFear TARANTULA]

2 минуты назад, Alexey77 сказал:

Вам бы в начале нужно написать подробнее какой режим настраиваете какие конфигурации используется. 

Поставил xkeen, уже забыл, что при установке выбирал, xray точно, вроде чет такое было. Конфиги во вложении. Менял только эти два.

Еще вопрос - почему в outbounds обязательно написано использовать 443 порт, хотя у меня у xray сервера порт другой, пятизначный.

03_inbounds.json 04_outbounds.json

[Gmarapet]

1 час назад, Skrill0 сказал:

Вышло обновление 1.0.5

Добрый день.

Встало без проблем. Большое спасибо!

А это он на что ругнулся?

Скрытый текст

 

Изменено 27 января пользователем Gmarapet

[Alexey77]

12 минуты назад, UnFear TARANTULA сказал:

Еще вопрос - почему в outbounds обязательно написано использовать 443 порт, хотя у меня у xray сервера порт другой, пятизначный.

Вам лучше на сервере поменять порт на 443.

[Gmarapet]

9 минут назад, UnFear TARANTULA сказал:

Если это то, что на картинке, то не помогает.

Не то.

Это — системный профиль. Создайте новый.

Вот так, например.

Скрытый текст

И назначить этот новый профиль клиенту.

Скрытый текст

 

[UnFear TARANTULA]

8 минут назад, Gmarapet сказал:

Не то.

Это — системный профиль. Создайте новый.

Вот так, например.

И назначить этот новый профиль клиенту.

Работает. Спасибо!

ЗЫ: порт на xray сервере сменил на 443.

[Alexey77]

1 час назад, UnFear TARANTULA сказал:

LISTEN      8917/xray. Прокси-клиент на Кинетике установлен, настроен на тот же порт, что указан в inbounds. Политика доступа в интернет создана и там одна галочка стоит на прокси подключении через xray порт которое.

У вас в inbounds 61219 порт а не 8917. Прокси-клиент для режима redirect не нужен. 

[doc_bravn]

Доброго дня.

После последних обновлений перестал работать выборочный роутинг. Использую redirect и в политике только два смартфона для использования instagram. Показывает, что прокси клиент запущен, но требуемый ресурс не открывается. Такие ресурсы как rutracker и  kinozal тоже перестали открываться.

Как проверить в чем дело и выявить из-за чего перестал работать обход?

[Gmarapet]

18 минут назад, doc_bravn сказал:

Показывает, что прокси клиент запущен, но требуемый ресурс не открывается. Такие ресурсы как rutracker и  kinozal тоже перестали открываться.

Попробуйте назначить клиентам отдельный профиль DNS. Выше на этой странице писал, как это делается.

[dogoma]

В 26.01.2024 в 01:14, dogoma сказал:

Рассмотрел внимательнее заглавное сообщение в теме, раздел Предварительные настройки -> TProxy -> Варианты работы и сделал 3 вариант работы - По выбранным портам (порты такие, как в примере xkeen -ap 443,80). Теперь клиенты по WG нормально ходят через прокси по правилам роутинга.

С этой конфигурацией (никакого дополнительного json конфига для dns нет, я его просто удалил из папки с конфигами) поставил AdGuardHome. Отлично работает. Правда много запросов от 127.0.0.1, но это, я так понимаю, XRay разрешает адреса сайтов.

 

Версия 1.0.2 – работает, пока не трогаю...

 

UPD: До установки AdGuardHome все адреса разрешались системным резолвером.

Изменено 27 января пользователем dogoma

[doc_bravn]

В 27.01.2024 в 14:03, Gmarapet сказал:

Попробуйте назначить клиентам отдельный профиль DNS. Выше на этой странице писал, как это делается.

Сделал. Совершенно ничего не дало. Как не работало так и не работает. Как откатиться на последнюю стабильную версию 0.9.9 где все работало корректно?

диагностика выдает такое:

iptables: No chain/target/match by that name.

 

Полностью переустанавливал xray и xkeen, ничего не помогает. Не работает редирект и обход. Как-то можно починить не переустанавливая entware полностью?

[Alexey77]

2 часа назад, doc_bravn сказал:

Полностью переустанавливал

Посмотрите на флешке у вас осталась папка backups а в ней папка вида дата_xkeen_0.9.9  ? 

[doc_bravn]

2 минуты назад, Alexey77 сказал:

Посмотрите на флешке у вас осталась папка backups а в ней папка вида дата_xkeen_0.9.9  ? 

Я смог установить версию 0.9.9, но это не помогает. Похоже что-то поломалось и выдает сообщение

iptables: No chain/target/match by that name

при проверке и на версии 0.9.9. 

[Alexey77]

А что у вас находится в /opt/etc/ndm/netfilter.d/  ? 

И после какой команды выйдет iptables: No chain/target/match by that name

Изменено 27 января пользователем Alexey77