маршрутизация Xkeen

[Gmarapet]

17 минут назад, Omich55 сказал:

Сначала Xray - прокси подключение, потом политику Keen.

Какой режим настраивали?

Прокси нужен только в режиме other.

Если настраиваете redirect или TProxy, то прокси кинетика можно смело удалять, достаточно только политики.

А, если настраиваете, чтобы Xkeen работал только по определённым портами, то не нужна даже политика.

[Alexey77]

1 час назад, k0steg сказал:

что через минутку после старта xkeen -tpx показывает десятки отслеживаемых UDP шлюзов?

Доброе утро. У меня так же работает. 

[Skrill0]

2 часа назад, k0steg сказал:

@Skrill0, все работает. Но это нормально, что через минутку после старта xkeen -tpx показывает десятки отслеживаемых UDP шлюзов?

Еще через минутку они исчезают и остаются только заданный в inbounds в UDP и TCP. А потом опять десятки. И так по кругу. В политике в этот момент только один айфон.

XKeen 1.0.7. TProxy. Роутинг маленький, антизапреты и геоайпи не используются - только несколько избранных геосайтов. Загрузка проца небольшая.

diagnostic.txt 19.95 \u041a\u0431 · 3 downloads 04_outbounds.json 993 \u0431 · 3 downloads xkeen-tpx.txt 1.96 \u041a\u0431 · 3 downloads error.log 39.95 \u041a\u0431 · 2 downloads access.log 4.06 \u041a\u0431 · 2 downloads 02_transport.json 661 \u0431 · 1 download 05_routing.json 2.39 \u041a\u0431 · 3 downloads 03_inbounds.json 470 \u0431 · 2 downloads

Доброго Вам утра)

В режимах TProxy и Mixed так и должно быть. Все корректно работает.
Эти соединения временные и происходят из-за пересылки трафика внутри сети.
После пересылки — соединение закрывается и порт тоже)

Если Вы посмотрите по журналу error, то именно с эти порты будут фигурировать там в качестве local endpoint)

[Skrill0]

Всем доброго утра)

У проекта появился телеграм чат.
Приглашаю всех заинтересованных присоединяться и общаться, задавать вопросы на темы XKeen, Keenetic и проксирования)
По возможности буду отвечать там тоже)

Вести обсуждение на форуме не всегда удобно и за большим количеством сообщений теряется полезная информация.

Изменено 29 января, 2024 пользователем Skrill0

[mr.robot]

@Skrill0 спасибо за офигенное решение, работает с 3x-ui идеально)

Подскажите, пару моментов, которые не смог найти в топике:
1. Как быть с ошибками днс в логах ("DoT "Policy0" proxy #0": unexpectedly stopped)? Пробовал и Cloudflare 1.1.1.1 все равно сыпятся 

Spoiler

[I] Jan 30 02:27:18 ndm: Dns::Secure::DotConfigurator: "System": using "77.88.8.1:853:77.88.8.1" as upstream. 
[I] Jan 30 02:27:18 ndm: Dns::Secure::DotConfigurator: "System": using "8.8.8.8:853:8.8.8.8" as upstream. 
[I] Jan 30 02:27:18 ndm: Dns::Secure::DotConfigurator: "Policy0": using "77.88.8.1:853:77.88.8.1" as upstream. 
[I] Jan 30 02:27:18 ndm: Dns::Secure::DotConfigurator: "Policy0": using "8.8.8.8:853:8.8.8.8" as upstream. 
[I] Jan 30 02:27:20 stubby: starting Stubby 0.4.0 
[I] Jan 30 02:27:20 stubby: Core::Syslog: last message repeated 3 times.
[E] Jan 30 02:29:56 stubby: "77.88.8.1": too many failed requests, try to reload process 
[E] Jan 30 02:29:56 ndm: Service: "DoT "Policy0" proxy #0": unexpectedly stopped. 
[I] Jan 30 02:29:59 stubby: starting Stubby 0.4.0 
[E] Jan 30 02:32:55 stubby: "77.88.8.1": too many failed requests, try to reload process 
[E] Jan 30 02:32:55 ndm: Service: "DoT "Policy0" proxy #0": unexpectedly stopped. 
[I] Jan 30 02:32:58 stubby: starting Stubby 0.4.0 

2. В чем разница между GeoSite и GeoIP? Для Redirect хватит только GeoSite?

[Skrill0]

11 час назад, mr.robot сказал:

@Skrill0 спасибо за офигенное решение, работает с 3x-ui идеально)

Подскажите, пару моментов, которые не смог найти в топике:
1. Как быть с ошибками днс в логах ("DoT "Policy0" proxy #0": unexpectedly stopped)? Пробовал и Cloudflare 1.1.1.1 все равно сыпятся 

  Показать содержимое

 

[I] Jan 30 02:27:18 ndm: Dns::Secure::DotConfigurator: "System": using "77.88.8.1:853:77.88.8.1" as upstream. 
[I] Jan 30 02:27:18 ndm: Dns::Secure::DotConfigurator: "System": using "8.8.8.8:853:8.8.8.8" as upstream. 
[I] Jan 30 02:27:18 ndm: Dns::Secure::DotConfigurator: "Policy0": using "77.88.8.1:853:77.88.8.1" as upstream. 
[I] Jan 30 02:27:18 ndm: Dns::Secure::DotConfigurator: "Policy0": using "8.8.8.8:853:8.8.8.8" as upstream. 
[I] Jan 30 02:27:20 stubby: starting Stubby 0.4.0 
[I] Jan 30 02:27:20 stubby: Core::Syslog: last message repeated 3 times.
[E] Jan 30 02:29:56 stubby: "77.88.8.1": too many failed requests, try to reload process 
[E] Jan 30 02:29:56 ndm: Service: "DoT "Policy0" proxy #0": unexpectedly stopped. 
[I] Jan 30 02:29:59 stubby: starting Stubby 0.4.0 
[E] Jan 30 02:32:55 stubby: "77.88.8.1": too many failed requests, try to reload process 
[E] Jan 30 02:32:55 ndm: Service: "DoT "Policy0" proxy #0": unexpectedly stopped. 
[I] Jan 30 02:32:58 stubby: starting Stubby 0.4.0 

 

2. В чем разница между GeoSite и GeoIP? Для Redirect хватит только GeoSite?

Доброго Вам утра)

1. В Redirect DNS используется прошивочный или, к примеру, ADH, если настроен.
То есть в ядро направляются уже разрешенные адреса. 
Вряд ли ошибка связана с XKeen, возможно, где-то в настройках DNS. Следует поискать там)

2. GeoIP на текущем этапе актуальны только если Вам нужно блокировать подсети, к примеру, Ирана.
В нашем общем случае можно обойтись только GeoSite.
GeoSite и GeoIP — это базы с разными списками.
GeoSite — база доменных имен.
GeoIP — база IP адресов и подсетей.

Есть разные сборки GeoSite.
К примеру, от @jameszero: ZKeen.
Содержит только список «domains» и включает в себя ресурсы РФ.

Есть также от проекта V2Fly.
Содержит много списков для разных ресурсов.
К примеру, список «instagram» содержит все доменные имена instagram и его сервисов, обеспечивая полный охват этого ресурса, которого не достичь парой ключевых слов.

Список instagram

Скрытый текст

achat-followers-instagram.com
acheter-followers-instagram.com
acheterdesfollowersinstagram.com
acheterfollowersinstagram.com
bookstagram.com
carstagram.com
cdninstagram.com
chickstagram.com
ig.me
igcdn.com
igsonar.com
igtv.com
imstagram.com
imtagram.com
instaadder.com
instachecker.com
instafallow.com
instafollower.com
instagainer.com
instagda.com
instagify.com
instagmania.com
instagor.com
instagram-brand.com
instagram-engineering.com
instagram-help.com
instagram-press.com
instagram-press.net
instagram.com
instagramci.com
instagramcn.com
instagramdi.com
instagramhashtags.net
instagramhilecim.com
instagramhilesi.org
instagramium.com
instagramizlenme.com
instagramkusu.com
instagramlogin.com
instagramm.com
instagramn.com
instagrampartners.com
instagramphoto.com
instagramq.com
instagramsepeti.com
instagramtakipcisatinal.net
instagramtakiphilesi.com
instagramtips.com
instagramtr.com
instagran.com
instagranm.com
instagrem.com
instagrm.com
instagtram.com
instagy.com
instamgram.com
instangram.com
instanttelegram.com
instaplayer.net
instastyle.tv
instgram.com
intagram.com
intagrm.com
intgram.com
kingstagram.com
lnstagram-help.com
theinstagramhack.com
oninstagram.com
online-instagram.com
onlineinstagram.com
web-instagram.net
wwwinstagram.com

 

Изменено 30 января, 2024 пользователем Skrill0

[jameszero]

12 часа назад, mr.robot сказал:

[E] Jan 30 02:32:55 stubby: "77.88.8.1": too many failed requests, try to reload process 
[E] Jan 30 02:32:55 ndm: Service: "DoT "Policy0" proxy #0": unexpectedly stopped.

Провайдер может блокировать DoT запросы по 853 порту.

Проверьте:

telnet 77.88.8.1 853

Если откроется пустое окно консоли с мигающим курсором, то порт ресурса доступен. Если будет написано "Подключение к 77.88.8.1...", то порт заблокирован. Клиент Telnet можно установить в "Компонентах Windows".

[mr.robot]

@jameszero вот, что выдается с разных устройств:

Spoiler

#ноут
m@macbook ~ % telnet 77.88.8.1 853
Trying 77.88.8.1...
Connected to secondary.dns.yandex.ru.
Escape character is '^]'.
Connection closed by foreign host.

#entware
~ # telnet 77.88.8.1 853
Connected to 77.88.8.1
Connection closed by foreign host

 

 

[jameszero]

Тест подключения происходит нормально, значит причина отвала DoT в чём-то другом. Хотя провайдера я бы всё таки не исключал, он может включать блокировку после нескольких отправленных/принятых пакетов.

[mr.robot]

Спасибо. Правильно понял, что смысла менять DNS-провайдера нет?

[jameszero]

У вас DoT-сервер отключается по какой-то причине, нет смысла сохранять нерабочий сервер в настройках роутера.  Можете попробовать сменить его на DoH-сервер, он более незаметен провайдеру, так как использует 443 порт, тот же порт, что и для веб-серфинга. А общая рекомендация, касаемо DoT/DoH-серверов, используйте малоизвестные, в идеале не публичные, сервера, так можно минимизировать вероятность их блокировки по доменному имени.

[NoAdO]

Ну что, попробовал я это чудо чудное диво дивное. По установке вопросов не возникло, а вот с конфигами пришлось повозиться и помощи в чате попросить. Пока непросто, надеюсь в будущем мы увидим мастер настройки что сам будет формировать json-ы да вот хотя бы на базе примеров из шапки под несколько типовых конфигураций. 

Задача: в Интернет ходим как обычно, список выбранных доменов ходит через VPS где развёрнут 3X-UI с Reality. Голосовая связь должна работать (Discord и т.п.) так что Mixed режим. На роутере установлен AdGuard Home ( далее AGH), который также используется как DoT сервер для телефона не из дома так что DNS мы не трогаем (так-то могли бы и DNS туда завернуть). Помним, что в этом варианте даже если AGH использует DoT/DoH или прочие защищённые протоколы, ему всё равно надо у кого-то сперва спросить, на каком IP находится домен с DoT у которого он потом всё спрашивать будет. Это в AGH называется bootstrap DNS и провайдер этот запрос увидит, хоть ничего незаконного в использовании защищённых DNS и нет.

Сразу оговорюсь: оказалось крайне полезно, что правила применяются на базе политик, задаваемых в роутере. Так что даже если мы "всё сломали", можно просто убрать политику и читать в интернете решение.

Чтобы понимать логику работы, проще всего представить себе чёрный ящик со входом и выходами. Мы должны настроить что он входом будет пылесосить, какими выходами он плюёт трафик и правила, по которым он будет плеваться тем что спылесосил на входе в определённый выход.

После установки по инструкции я залез в /opt/etc/xray/configs/ и (хоть и не сразу но) привёл их к вот такому виду. Это, скорее, пример реализации чем реальное руководство к действию. Конфиги сильно проще редактировать текстовым редактором на ПК, если хранилище роутера доступно из локальной сети. Тогда это путь вида \\Keenetic-9870\ext4\etc\xray\configs
В inbounds (на момент написания комментария 03_inbounds.json) по сути менять относительно образца из Mixed конфига особо нечего. Разве что IP роутера, если вы назначили другие цифры. То есть редактировать надо там где есть комментарий с двумя слешами, между двойными кавычками:

Скрытый текст

{
    "inbounds": [
        {
            "tag": "redirect",
            "listen": "192.168.0.1",    // IP адрес роутера, через который заходите в Web-интерфейс
            "port": 61219,
            "protocol": "dokodemo-door",
            "settings": {
                "network": "tcp",
                "followRedirect": true
            },
            "sniffing": {
                "enabled": true,
                "destOverride": [
                    "http",
                    "tls"
                ]
            }
        },
        {
            "tag": "tproxy",
            "listen": "127.0.0.1",
            "port": 61219,
            "protocol": "dokodemo-door",
            "settings": {
                "network": "udp",
                "followRedirect": true
            },
            "sniffing": {
                "enabled": true,
                "destOverride": [
                    "http",
                    "tls",
                    "quic"
                ]
            },
            "streamSettings": {
                "sockopt": {
                    "tproxy": "tproxy"
                }
            }
        }
    ]
}

Редактируется всего 1 значение в 1 строчке. 192.168.0.1 при необходимости меняется на ваш вариант. Всё.

Как читать json: В целом json это скобки, вложенные в скобки, вложенные в скобки. Поэтому используются отступы слева чтобы понимать глубину вложенности. Это значит, что если я хочу понять, что относится к блоку "sniffing": { то я читаю всё до закрытия фигурной скобки }. В примере это "enabled": true, "destOverride": [ "http", "tls" ] разнесённый по нескольким строчкам. Так уже и попонятней, что читать. Notepad++ умеет выделять закрывающую скобку при щелчке по открывающей, это тоже помогает с пониманием или если вы вдруг скобку удалили и не понимаете, где. Ну а всё что после // и до конца строки это комментарий.

Посмотрите, насколько удобней читать. 

В outbounds () уже сильно больше изменений. 

Скрытый текст

// Настройка исходящих соединений

{
    "outbounds": [
  
    // VPS соединение  |  Основное
    {
            "tag": "vless-reality",    // Название соединения
            "protocol": "vless",
            "settings": {
                "vnext": [
                    {
                        "address": "██.███.███.██",    // IP адрес или доменное имя сервера VPS
                        "port": 443,    // Порт Reality. 443 обязателен
                        "users": [
                            {
                                "encryption": "none",
                                "flow": "xtls-rprx-vision",
                                "id": "████████-████-████-████-████████████"    // ID, присвоенный пользователю на сервере
                            }
                        ]
                    }
                ]
            },
            "streamSettings": {
                "network": "tcp",
                "security": "reality",
                "realitySettings": {
                    "publicKey": "█████████████████████████████████████",    // Public Key, присвоенный пользователю на сервере
                    "fingerprint": "chrome",    // Finger Print, указанный на сервере
                    "serverName": "█████████.██",    // SNI, указанный на сервере
                    "shortId": "████████",    // Short ID, присвоенный пользователю на сервере
                    "spiderX": "/"
                }
            }
        },
           
        {
      "tag": "direct",
      "protocol": "freedom"
        },
        
        {
      "tag": "block",
      "protocol": "blackhole",
            "settings": {
        "response": {
          "type": "http"
        }
      }
        }
    ]
}

 

Сейчас мы редактируем "выходы" с чёрного ящика.

Блок с "tag": "vless-reality" это "выход" траффика, который отправится в VPS. Мы ему этот тег будем назначать и дальше опишем, куда трафик отправляется. address - публичный айпи VPS. Порт 443 не меняется потому что у нас Reality, наш сервер работает "зеркалом" какого-то домена, а стандартный порт https - 443. Flow - xtls-rprx-vision потому что так указано в настройках на стороне 3X-UI. Мы вообще оттуда всё копируем. ID - это идентификатор пользователя, он написан в окошке редактирования пользователя.

publicKey можно достать из окошка редактирования свойств Подключения в 3X-UI. Там же указан fingerprint (Поле uTLS), servername (поле Dest) и Short ID. Последнего, кстати, в X-UI я не нашёл вообще, потому и 3X-UI.

То есть надо понимать, что я вот тут подробно пишу но понятия не имею почему нужно писать например             "settings": { "vnext": [ { а не как-то ещё. Для этого в шапке и лежат примеры, но разобраться что с чем стыкуется всё равно надо. 

В целом же мой outbounds сообщает, что вот то что с тегом "vless-reality" идёт в VPS, что с тегом "direct" то идёт в "freedom" т.е. напрямую, а что с "block" то идёт в "blackhole" т.е. отбрасывается и никуда не идёт и вообще не тратим на это внимание и ресурсы, утруждая себя ответами.

На сейчас мы разобрались, что мы ловим трафик, назначаем ему теги, запихиваем в чёрный ящик. И что из чёрного ящика может приходить траффик с другими тегами и его надо запульнуть в VPS, напрямую или в никуда. Осталось разобраться с правилами чёрного ящика.

Скрытый текст

// Настройка маршрутизации

{
  "routing": {
    "rules": [
      // Правило 1 Настройка черного списка
      {
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "block",
        "type": "field",
        "domain": [
          "ext:geosite_v2fly.dat:category-ads-all",
          "google-analytics",
          "analytics.yandex",
          "appcenter.ms",
          "app-measurement.com",
          "firebase.io",
          "crashlytics.com"
          ]
      },

      // Правило 2 Блокируем соединение по уязвимым UDP портам
      {
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "block",
        "type": "field",
        "network": "udp",
        "port": "135, 137, 138, 139"
      },

        // Правило 3 Настройка подключений с помощью доменных имен  |  Внутри РФ
      {
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "vless-reality",
        "type": "field",
        "domain": [
          //test
          "myip.com",
          // we are blocked
          "tmdb.org",
          "themoviedb.org",
          "radarr.video",
          "servarr.com",
          "tmdb-image-prod.b-cdn.net",
          "ext:geosite_v2fly.dat:facebook",
          "ext:geosite_v2fly.dat:instagram"
          ]
      },

        // Правило 4 Настройка остальных соединений  |  Вне РФ
        {
          "inboundTag": ["redirect", "tproxy"],
          "outboundTag": "direct",
          "type": "field"
        }
    ]
  }
}

 

Опять же, разбираем код по кускам, комментариями на русском отмечены отдельные правила. К примеру, Правило 1 это мы ищем траффик с тегами ["redirect", "tproxy"] и назначаем ему тег "block" для доменов из списка, например analytics.yandex. То есть это улетает вникуда.

Аналогично строится правило 3 для VPS - мы берём траффик с ["redirect", "tproxy"] и назначаем "vless-reality"  для доменов из списка. Обратите внимание, в списке есть английские комментарии. Я их просто для себя написал чтобы структурировать список. И да, вы тоже так можете.

Ну и  правило 4 это опять мы смотрим трафик с метками "redirect", "tproxy" и помечаем его как "direct" (напрямую) без дополнительных условий, то есть весь остальной трафик что не попал в предыдущие правила.

Момент с записями вида ext:geosite_v2fly.dat:facebook - как они составляются? Суть строки состоит в том что мы берём внешний (external) источник - аддон geosite_v2fly и оттуда спрашиваем список для facebook. Вот он: https://github.com/v2fly/domain-list-community/blob/master/data/facebook и там же рядом куча списков ещё. У facebook много адресов, можно аналогично поискать для себя другие крупные ресурсы. При редактировании списков не забудьте, что у каждой строки должна быть запятая в конце, кроме последней.

При диагностике проблем пробуйте достучаться до сайтов из разных фильтров. Иногда это помогает в диагностике. К примеру, если работает умолчание но не работает VPS-путь, возможно что-то с правилом туда или с самим выходом. Ну или вы забыли применить политику к этому ПК 😃 Мне на старте вот этого понимания не очень хватало чтобы разобраться, что я и куда пишу. А ещё есть 01_log.json где можно выставить логгирование побольше и почитать логи. Только не забудьте обратно отключить потом.

Ну, вот так как-то. Просили отзыв - вот отзыв =))

Изменено 31 января, 2024 пользователем NoAdO
изменён тестовый домен в примере на myip.com

[surfuser]

Отличный гайд, не хватет про маршрутизацию BitTorrent замолвить словечко, чтобы VPS не накалять ненужным трафиком. В routing конфиг можно докинуть в начало:

      // BitTorrent redirect
      {
        "inboundTag": ["redirect", "tproxy"],
        "protocol": ["bittorrent"],
        "outboundTag": "direct",
        "type": "field"
      },

 

[Alexey77]

В 31.01.2024 в 12:23, NoAdO сказал:

//test
          "myip.ru",

Добрый день. Домены .ru как и .рф лучше не пускать через VPS. 

Изменено 6 февраля, 2024 пользователем Alexey77

[NoAdO]

39 минут назад, Alexey77 сказал:

Добрый день. Домены .ru как и .рф лучше не пускать через VPS это деанонимизирует сервер и со временем его могут заблокировать. 

Спасибо. Конкретно это - "тест", поменяю на myip.com 

[Skrill0]

6 минут назад, k0steg сказал:

К сожалению, это вообще не работает ни в каких xray-клиентах - торренты продолжают качаться. И это прям проблема. Ладно трафик - он может быть безлимитный. Но всего один клиент, запустивший качаться торрент - грузит впсный проц на 50-60%. Что с этим делать - не оч понятно.

Доброго Вам дня)

Попробуйте использовать направление BitTorrent в начале файла маршрутизации.
Пример можно посмотреть в шапке темы
Конфигурации Xray > Routing > Собранные примеры >  Block + VPS | Выбранные ресурсы + Direct | Все остальное

[mr.robot]

4 hours ago, NoAdO said:

На роутере установлен AdGuard Home ( далее AGH), который также используется как DoT сервер для телефона не из дома так что DNS мы не трогаем (так-то могли бы и DNS туда завернуть). Помним, что в этом варианте даже если AGH использует DoT/DoH или прочие защищённые протоколы, ему всё равно надо у кого-то сперва спросить, на каком IP находится домен с DoT у которого он потом всё спрашивать будет. Это в AGH называется bootstrap DNS и провайдер этот запрос увидит, хоть ничего незаконного в использовании защищённых DNS и нет.

Подскажите, как настраивали AdGuard Home для DoT/DoH на кинетике и телефоне?

[surfuser]

1 hour ago, k0steg said:

К сожалению, это вообще не работает ни в каких xray-клиентах - торренты продолжают качаться. И это прям проблема. Ладно трафик - он может быть безлимитный. Но всего один клиент, запустивший качаться торрент - грузит впсный проц на 50-60%. Что с этим делать - не оч понятно.

Возможно, ваш routing настроен так что все соединения идут через VPS, а RU-айпишники напрямую. Посмотрите пример конфига в первом посте ( Собранные примеры -> "Block + VPS | Выбранные ресурсы + Direct | Все остальное"). В режиме Mixed трафик с торрентов идёт напрямую.

Изменено 31 января, 2024 пользователем surfuser

[Proms]

В 28.01.2024 в 11:07, vasek00 сказал:

 

 

Например для зоны RU который в AGH например - https://easylist-downloads.adblockplus.org/ruadlist.txt

 

 

Извините за оффтоп, разве этот лист будет работать с AGH? Посмотрел и сравнил с листами, которые "из коробки", там лишь домены в отличии от этого.

[Arabezar]

Спасибо большое за труды! Титаническая работа!

На самом деле,… ничё не понял, но очень интересно!

К сожалению, не нашёл простой инструкции, как всё это завести на своём Кинетике. Монументальный труд требует такого же монументального понимания и кучу времени для изучения.

Остаётся надеяться, что всё-таки не скоро придётся разбираться в тонкостях настройки… хотя, время покажет… а пока продолжить пользоваться Квасом,… хоть и потребовалось минимально разобраться во всяких установках Entware и пакетов под него, но он работает практически из коробки и конфигурируется значительно проще.

[Skrill0]

4 часа назад, Arabezar сказал:

Спасибо большое за труды! Титаническая работа!

На самом деле,… ничё не понял, но очень интересно!

К сожалению, не нашёл простой инструкции, как всё это завести на своём Кинетике. Монументальный труд требует такого же монументального понимания и кучу времени для изучения.

Остаётся надеяться, что всё-таки не скоро придётся разбираться в тонкостях настройки… хотя, время покажет… а пока продолжить пользоваться Квасом,… хоть и потребовалось минимально разобраться во всяких установках Entware и пакетов под него, но он работает практически из коробки и конфигурируется значительно проще.

Доброго Вам дня)

Нужно просто подставить данные своего сервера в конфиг outbounds.
Заготовки конфигураций идут в стандартном пакете XKeen)

[NoAdO]

18 часов назад, mr.robot сказал:

Подскажите, как настраивали AdGuard Home для DoT/DoH на кинетике и телефоне?

Логика работы в том, что AGH заменяет родной DNS сервер, то есть клиенты локальной сети всё так же работают с *.1 и внутри локалки это нешифрованные запросы. Сам AGH же имеет в основном списке серверов исключительно DoT, DoH вышестоящие серверы, нешифрованный DNS запрос идёт только к bootstrap серверам чтобы выяснить на каких IP живут DoH/DoT. Это, конечно, не очень хорошо, запрос может быть перехвачен, предоставлен неверный ответ, но в отзыве именно про это оговорка и есть. Таким образом единственный DNS для всех клиентов локалки это AGH, AGH не использует сервера провайдера, роутер не использует сервера провайдера а все запросы идут к списку с DoT/DoH серверами.

Что касается телефона вне локальной сети, у меня белый IP и есть доменное имя, так что полученный сертификат добавлен в AGH и порт 853 открыт на роутер, что позволяет вписать доменное имя в строку "частный DNS сервер" прямо в настройках Android и получать данные так. Это нужно не столько для приватности, сколько для блокировки рекламы, которая реализована в AGH как списки доменов, для которых резолвится недействительный IP. В том числе поэтому я и не хочу от AGH избавляться.

[Alexey77]

4 часа назад, Arabezar сказал:

На самом деле,… ничё не понял, но очень интересно!

Добрый день. Возможно найдётся кто-то на форуме у кого есть возможность сделать видео по настройкам xkeen и xray на сервере новичкам станет проще. 

[Skrill0]

1 минуту назад, Alexey77 сказал:

Добрый день. Возможно найдётся кто-то на форуме у кого есть возможность сделать видео по настройкам xkeen и xray на сервере новичкам станет проще. 

Доброго Вам дня)

Видео уже есть от Skride. 
Только смонтировать надо)

Скоро будет)

[mr.robot]

7 hours ago, NoAdO said:

Логика работы в том, что AGH заменяет родной DNS сервер, то есть клиенты локальной сети всё так же работают с *.1 и внутри локалки это нешифрованные запросы. Сам AGH же имеет в основном списке серверов исключительно DoT, DoH вышестоящие серверы, нешифрованный DNS запрос идёт только к bootstrap серверам чтобы выяснить на каких IP живут DoH/DoT.

Спасибо за разъяснение))

Задача, как раз чтобы провайдер в рамках домашней сети, как раз не перехватывал. Я поставил AGH в Entware, есть ли смысл в настройках роутера отключать:
1. Отключать ДНС сервер от провайдера в интернет-фильтрах? 
2. Игнорировать ДНС в настройках подключения активировать?

Насколько я понимаю он автоматически уже переадресовывает все запросы на AGH, так как при настройке штатный отключается.

7 hours ago, NoAdO said:

Что касается телефона вне локальной сети, у меня белый IP и есть доменное имя, так что полученный сертификат добавлен в AGH и порт 853 открыт на роутер

В топике про AGH пишут, что нет смысла шифровать и так мол никаких проблем не будет. Но я тут неуверен, так как слабо разбираюсь в теме. Буду рад вашему комментарию.

Правильно ли я понял, что домен у вас не сервисный от кинетика прикручен к роутеру?

[NoAdO]

1 час назад, mr.robot сказал:

Я поставил AGH в Entware, есть ли смысл в настройках роутера отключать

По идее это не важно. Если все клиенты получают по параметрам сети IP роутера как DNS сервера, DNS сервером работает AGH а у него свой список куда стучаться, кто будет использовать эти неотключённые провайдерские сервера? Ради интереса отключил DNS провайдера в интернет-фильтрах - не изменилось вообще ничего. Если нет ни одного DNS там то AGH не резолвит ничего. Непонятно, как это связано, как будто транспорт запросов запрещается, но если есть хоть одна запись то резолвится по моим спискам вышестоящим, проверял на тех ресурсах которые у себя РФ забанили через DNS.

E билайна при смене оборудования нужно зайти по адресу internet.beeline.ru который провайдерский DNS раздаёт из внутренних. Придётся позвонить и IP спросить при смене роутера. 🙃

Но я не профессионал, могу ошибаться.

1 час назад, mr.robot сказал:

В топике про AGH пишут, что нет смысла шифровать и так мол никаких проблем не будет. Но я тут неуверен, так как слабо разбираюсь в теме. Буду рад вашему комментарию.

Внутри локалки - конечно нет смысла шифровать, мы её считаем достаточно доверенной сетью. А вот снаружи.. в AGH я не нашёл функционала бана клиентов по mac, только по IP. То есть мало того что нешифрованный DNS мне андроид скорее всего не даст прописать, проблема ещё и в том что если кто-то решит использовать мой сервер DNS (в обоих случаях) избавиться я от него могу только сменой моего IP потому что динамику и сотовые сети по айпи банить бесполезно. В общем это какая-то своеобразная паранойя, даже если и подцепится то в DNS сервере ничего нет кроме блокировок, но у меня открыт только 853, через это я вроде как не попадаюсь на поиск DNS серверов по порту..  и меня это устраивает.

1 час назад, mr.robot сказал:

Правильно ли я понял, что домен у вас не сервисный от кинетика прикручен к роутеру?

Верно, и это важно. 853 это DoT или QUIC и для установки шифрованного соединения нужен и домен и сертификат к нему. Но у меня белый IP и A-запись так что всё в порядке.

 

Попутно поделюсь грустью: на моем KN-3810 фактически получается разогнаться только до 150/250 Мбит, при чём как в freedom так и в VPS, дело в скорострельности на этапе роутинга, получается. То есть любой клиент, к которому применена политика в роутере подлежит разбору трафика на предмет того куда его слать дальше и это ограничивает скорость, если я правильно понимаю.

Изменено 1 февраля, 2024 пользователем NoAdO

[mr.robot]

12 hours ago, NoAdO said:

Верно, и это важно. 853 это DoT или QUIC и для установки шифрованного соединения нужен и домен и сертификат к нему. Но у меня белый IP и A-запись так что всё в порядке.

Извиняюсь за оффтоп. Финализирую обсуждение по AGH. Если я правильно получается примерно следующее: 

Spoiler

Настройка домена

Добавляем A запись dns.site.ru и указываем белый IP адрес роутера

Entware
— Ставим ca-bundle и ca-certificates 
— Настраиваем Nginx для домена dns.site.ru
— Настраиваем Let's Encrypt по инструкции

AdguardHome

— Имя сервера → dns.site.ru
— Добавляем Сертификаты и приватный ключ из Enware

Подскажите, есть ли разница именного для мобильно устройства, где стоит AGH на роутере и vps? 

Изменено 2 февраля, 2024 пользователем mr.robot
доп.вопрос

[NoAdO]

3 часа назад, mr.robot сказал:

есть ли разница именного для мобильно устройства, где стоит AGH на роутере и vps? 

А чем ваш DNS сервер на роутере или на VPS отличается от любого другого DoT/DoH сервера?) По мне разницы особо нет.

[Fixxxer]

Доброго времени суток! 
Спасибо за проект!
Только знакомлюсь с XRay и есть вопрос. Ограничение по скорости у всех присутствует или только моя проблема? Подскажите куда копать, пожалуйста.
Для теста имеется впн у Fornex. На любом устройстве все ок, спидтест дотягивается до показателей 250-300мб, на Кинетике 25, с трудом 30.
Железка Hopper KN3610
Настроен Redirect через политику доступа.
inbounds взят из мануала в шапке.
outbounds

Скрытый текст

{
    "outbounds": [

        // VPS снаружи РФ
        {
            "tag": "Fornex",    // Название соединения
            "protocol": "vless",
            "settings": {
                "vnext": [
                    {
                        "address": "из настроек",    // IP адрес или доменное имя сервера
                        "port": 143,    // Порт Reality. 443 обязателен
                        "users": [
                            {
                                "encryption": "none",
                                "id": "из настроек"    // ID, присвоенный пользователю на сервере
                            }
                        ]
                    }
                ]
            },
            "streamSettings": {
                "network": "tcp",
                "security": "reality",
                "realitySettings": {
                    "publicKey": "из настроек",    // Public Key, присвоенный пользователю на сервере
                    "fingerprint": "chrome",    // Finger Point, указанный на сервере
                    "serverName": "www.microsoft.com",    // SNI, указанный на сервере
                    "shortId": "из настроек",    // Short ID, присвоенный пользователю на сервере
                    "spiderX": "/"
                },
                "sockopt": {
                    "tcpFastOpen": false,
                    "tcpMptcp": false,
                    "tcpNoDelay": false
                }
            }
        },
    ]
}

 

[jameszero]

@Fixxxer, добрый день! На сайте Fornex, написано, что они предлагают скорость 100Мбс, так что 250-300 у них не утилизируете.

Особой просадки скорости не наблюдаю, провайдер даёт честные 200Мбс, VPS тоже заявлено 200Мбс, но обычно ниже. Скорость через xray 180 загрузка, 160 отдача. Сейчас подключён через tproxy, но и на redirect было +- так же. Роутер Keenetic Viva, примерно аналогичен вашему по производительности.

Выполните оптимизацию сервера по рекомендации @Skrill0

Замерьте скорость интернета на VPS

Почему у вас в outbound три последних параметра false?