маршрутизация Xkeen

VT-i · 13 февраля, 2024

В 12.02.2024 в 22:00, Skrill0 сказал:

Как использовать общий режим

Показать

Добрый день!

Чем общий режим отличается от TProxy без добавления портов?

И как быть с DoT или DoH? Я так понимаю что xray сам будет разрешать имена и принимать решения об маршрутизации, но делать он это будет по UDP 53 что не мыслимо в наше время))

Skrill0 · 13 февраля, 2024

В 13.02.2024 в 04:40, Neytrino сказал:

А если оно вот так?

Показать

Доброго Вам дня!

Благодарю. В сегодняшнем фиксе будет исправлено.
Проблема только в регистрации, функции не нарушаются)

Skrill0 · 13 февраля, 2024

В 13.02.2024 в 12:17, VT-i сказал:

Добрый день!

Чем общий режим отличается от TProxy без добавления портов?

И как быть с DoT или DoH? Я так понимаю что xray сам будет разрешать имена и принимать решения об маршрутизации, но делать он это будет по UDP 53 что не мыслимо в наше время))

Показать

И Вам доброго дня!

Общий режим подразумевает отсутствие политики и выбранных портов.
То есть, абсолютно все соединение с роутера будет завернуто в прокси-клиент.

DoT и DoH из прошивки, как и другие средства разрешения DNS также работают без каких-либо ограничений.
Если нет наполненного файла конфигурации Xray DNS, то XKeen не строит правила для его перехвата.

Соответственно, DNS запросы разрешаются штатно.
Direct соединение — с помощью Роутера и его серверов.
VPS соединение — с помощью серверов указанных на VPS.

Skrill0 · 13 февраля, 2024

В 12.02.2024 в 22:23, Kirill1 сказал:

Не очень понял момент: возможно ли весь трафик определенных IP адресов прокинуть через xkeen (vless) без использования прокси в админке роутера?

Показать

Доброго Вам дня!

В инструкции нигде не упомянут «Прокси-клиент», в качестве компонента прошивки.
Если под определенными IP Вы имеете ввиду клиентов, то это возможно сделать переместив их в политику с названием «XKeen».

В таком случае все клиенты этой политики будут использовать подключение XKeen.
В качестве интерфейса для выхода в сеть можно указать тот же WG или OVPN.
В таком случае соединение до сервера VLESS будет идти через WG или OVPN на выбор.

Изменено 13 февраля, 2024 пользователем Skrill0

prokuror2 · 13 февраля, 2024

В 12.02.2024 в 22:00, Skrill0 сказал:

Какие изменения внесены в конфигурации

Показать контент

02_transport.json
domainStrategy заменена на AsIs для работы с routeOnly

03_inbounds.json
Добавлен параметр routeOnly.
Использовать, если есть уверенность, что DNS запрос будет разрешен корректно.
Выполняет маршрутизацию только по доменному имени, не сопоставляя параллельно IP адреса.
Иными словами при использовании нормальных DNS-провайдеров параметр рекомендован к использованию.
В связке с AsIs позволяет избежать избыточных разрешений экономя ресурсы системы.

Убран Sniffing из TProxy | Mixed для UDP.
С новыми правилами XKeen он не требуется и отнимает ресурсы системы.

Убраны listen за ненадобностью из всех режимов.

Показать

Добрый день!

После обновления файлы конфигураций остались прежними. Руками удалил блоки Sniffing и listen.

02_transport.json не трогал.

Пропал доступ через VPS. Режим MIXED через политику.

 // Настройка исходящих соединений

{
    "inbounds": [
        {
            "tag": "redirect",
        
            "port": 61219,
            "protocol": "dokodemo-door",
            "settings": {
                "network": "tcp",
                "followRedirect": true
            }
            
        },
        {
            "tag": "tproxy",
        
            "port": 61219,
            "protocol": "dokodemo-door",
            "settings": {
                "network": "udp",
                "followRedirect": true
            },
            
            "streamSettings": {
                "sockopt": {
                    "tproxy": "tproxy"
                }
            }
        }
    ]
}

Изменено 13 февраля, 2024 пользователем prokuror2

Skrill0 · 13 февраля, 2024

В 13.02.2024 в 12:59, prokuror2 сказал:

Добрый день!

После обновления файлы конфигураций остались прежними. Руками удалил блоки Sniffing и listen.

02_transport.json не трогал.

Пропал доступ через VPS. Режим MIXED через политику.

Показать

И Вам доброго дня!

Конфигурации пользователей не трогаются.
Обновлены конфигурации, поставляющиеся в комплекте с XKeen.

Их можно установить вручную командой

xkeen -rc

В таком случае, Ваши текущие конфигурации сохранятся в директорию «backups» и будут заменены на новые, в которых нужно будет заново указать параметры сервера, свой Routing и Inbounds под нужный режим.

Актуальная конфигурация для Mixed из шапки

Показать контент

{
    "inbounds": [
        {
            "tag": "redirect",
            "port": 61219,
            "protocol": "dokodemo-door",
            "settings": {
                "network": "tcp",
                "followRedirect": true
            },
            "sniffing": {
              "routeOnly": true,
              "enabled": true,
                "destOverride": [
                    "http",
                    "tls",
                    "quic"
                ]
            }
        },
        {
            "tag": "tproxy",
            "port": 61219,
            "protocol": "dokodemo-door",
            "settings": {
                "network": "udp",
                "followRedirect": true
            },
            "streamSettings": {
                "sockopt": {
                    "tproxy": "tproxy"
                }
            }
        }
    ]
}

Sniffing удаляется только в секции TProxy конфигурации inbounds.
Новые конфигурации inbounds можно забрать из шапки.

Изменено 13 февраля, 2024 пользователем Skrill0

VT-i · 13 февраля, 2024

Я для TProxy настраивал порты 80 и 443.

Но когда проверяешь, что слушает прокси, там вываливается список портов экранов на 20.

Что-то типа такого:

Показать контент

В чем может быть ошибка? На всякий случай прикладываю iptables:

Показать контент

Изменено 13 февраля, 2024 пользователем VT-i

Skrill0 · 13 февраля, 2024

В 13.02.2024 в 13:59, VT-i сказал:

Я для TProxy настраивал порты 80 и 443.

Но когда проверяешь, что слушает прокси, там вываливается список портов экранов на 20.

Что-то типа такого:

Показать контент

~ # xkeen -tpx
Проверка портов Xray
netstat: showing only processes with your user ID
Xray слушает

     Шлюз ::
     Порт 65432
     Протокол TCP

     Шлюз 24.50.234.204
     Порт 30184
     Протокол UDP

     Шлюз 49.12.86.202
     Порт 6888
     Протокол UDP

     Шлюз 89.23.150.116
     Порт 12008
     Протокол UDP

     Шлюз 217.121.143.169
     Порт 6889
     Протокол UDP

...

В чем может быть ошибка? На всякий случай прикладываю iptables:

Показать контент

~ # iptables-save |grep xkeen
:xkeen - [0:0]
-A PREROUTING -p tcp -m connmark --mark 0xffffd00 -m conntrack ! --ctstate INVALID -m multiport --dports 80,443 -j xkeen
-A PREROUTING -p udp -m connmark --mark 0xffffd00 -m conntrack ! --ctstate INVALID -m multiport --dports 80,443 -j xkeen
-A xkeen -d 95.165.163.10/32 -j RETURN
-A xkeen -d 255.255.255.255/32 -j RETURN
-A xkeen -d 0.0.0.0/8 -j RETURN
-A xkeen -d 10.0.0.0/8 -j RETURN
-A xkeen -d 100.64.0.0/10 -j RETURN
-A xkeen -d 127.0.0.0/8 -j RETURN
-A xkeen -d 169.254.0.0/16 -j RETURN
-A xkeen -d 172.16.0.0/12 -j RETURN
-A xkeen -d 192.0.0.0/24 -j RETURN
-A xkeen -d 192.0.2.0/24 -j RETURN
-A xkeen -d 192.168.0.0/16 -j RETURN
-A xkeen -d 198.18.0.0/15 -j RETURN
-A xkeen -d 198.51.100.0/24 -j RETURN
-A xkeen -d 203.0.113.0/24 -j RETURN
-A xkeen -d 224.0.0.0/4 -j RETURN
-A xkeen -d 240.0.0.0/4 -j RETURN
-A xkeen -p tcp -j TPROXY --on-port 65432 --on-ip 127.0.0.1 --tproxy-mark 0x111/0xffffffff
-A xkeen -p udp -j TPROXY --on-port 65432 --on-ip 127.0.0.1 --tproxy-mark 0x111/0xffffffff
~ #

Показать

Это не ошибка.
Все в полном порядке.

Так работает TProxy.
Соединение захватывается именно с портов 80 и 443.

VT-i · 13 февраля, 2024

В 13.02.2024 в 14:26, Skrill0 сказал:

Соединение захватывается именно с портов 80 и 443

Показать

Но там ведь даже близко нет портов 80 и 443) Причём хосты снаружи🙄

Я почему-то думал что трафик на прокси будет заворачивать только на те порты, которые указаны. Всё остальное обрабатывается кинетиком...

Skrill0 · 13 февраля, 2024

В 13.02.2024 в 14:33, VT-i сказал:

Но там ведь даже близко нет портов 80 и 443) Причём хосты снаружи🙄

Я почему-то думал что трафик на прокси будет заворачивать только на те порты, которые указаны. Всё остальное обрабатывается кинетиком...

Показать

Вы все правильно поняли.
Прокси-клиент все также работает исключительно на портах 80 и 443, а все остальное обрабатывается Keenetic.

Так выглядит работа TProxy технически, она может ввести в заблуждение.
Но работа клиента идет именно по указаным портам.

Proms · 13 февраля, 2024

В 12.02.2024 в 22:00, Skrill0 сказал:

03_inbounds.json
Добавлен параметр routeOnly.
Использовать, если есть уверенность, что DNS запрос будет разрешен корректно.

Показать

Можете подсказать, а как использовать? Заменил новый mixed из шапки, заменил domain strategy на AsIs, а еще что то нужно? Базы geoip не использую

Skrill0 · 13 февраля, 2024

В 13.02.2024 в 15:29, Proms сказал:

Можете подсказать, а как использовать? Заменил новый mixed из шапки, заменил domain strategy на AsIs, а еще что то нужно? Базы geoip не использую

Показать

Доброго Вам вечера)

Если Вы настроили эти параметры, то больше ничего не требуется)
DNS должны разрешаться со стороны проверенных сервисов (Cloudflare, google, quad9…)

bigpu · 13 февраля, 2024

В 12.02.2024 в 11:02, Arabezar сказал:

Делаем и помогаем все, - кто что может. Думаю, рано или поздно найдётся человек, который опишет процедуру более простым языком, и это будет реальной помощью обычным людям в приобщении к более глубоким знаниям, не так хорошо знакомым со специфическими знаниями. Мы обязательно научиммся, дайте нам шанс ))

Показать

Мы, взрослые, помогаем проекту уважаемой, некогда нам пилить инструкции для малышни, кому и Винду накатить проблемно) А человекам с инструкцией для малышни, в своем котле малышьем и вариться, все на их откуп)

Все бы вам на чужом горбу в рай заехать, малыши вы наши)

Proms · 13 февраля, 2024

В 13.02.2024 в 17:29, bigpu сказал:

Мы, взрослые, помогаем проекту уважаемой, некогда нам пилить инструкции для малышни, кому и Винду накатить проблемно) А человекам с инструкцией для малышни, в своем котле малышьем и вариться, все на их откуп)

Все бы вам на чужом горбу в рай заехать, малыши вы наши)

Показать

Ну кстати, моё ИМХО. Давно присматривался к этому проекту и на прошлой неделе решил потратить вечер, попробовать. И в итоге на всё про всё ушло максимум час. В основном были вопросы про Adgurad Home. В комплекте идут готовые конфиги, подставляй свои данные и всё. Конечно возникали некоторые вопросы уже после того как всё работало - добрые люди помогли. И даже не пришлось читать тему. Поэтому - было бы желание 😁

В 13.02.2024 в 16:14, Skrill0 сказал:

Если Вы настроили эти параметры, то больше ничего не требуется)

Показать

Спасибо!

Изменено 13 февраля, 2024 пользователем Proms

bigpu · 13 февраля, 2024

В 13.02.2024 в 18:03, Proms сказал:

про Adgurad Home

Показать

что та еще лажа, если чуть разобраться)

В 13.02.2024 в 18:03, Proms сказал:

было бы желание

Показать

золотые слова👍

Valery_S · 13 февраля, 2024

После обновления на версию 1.1.0 и перезагрузки роутера - перестали работать существующие VPN подключения через Wireguard. Трафик пошел через политику Xkeen. Пришлось откатиться на версию 1.0.8

Kirill1 · 13 февраля, 2024

В 13.02.2024 в 12:33, Skrill0 сказал:

Доброго Вам дня!

В инструкции нигде не упомянут «Прокси-клиент», в качестве компонента прошивки.
Если под определенными IP Вы имеете ввиду клиентов, то это возможно сделать переместив их в политику с названием «XKeen».

В таком случае все клиенты этой политики будут использовать подключение XKeen.
В качестве интерфейса для выхода в сеть можно указать тот же WG или OVPN.
В таком случае соединение до сервера VLESS будет идти через WG или OVPN на выбор.

Показать

Добрый день!

Нет-нет, как раз наоборот. Я хочу, чтобы было так:

Wireguard (тот, что в прошивке) -> xkeen (opkg) -> ISP

То есть без использования политик и прочего в админке роутера. Чтобы xkeen вообще никаким образом не взаимодействовал ни с чем из админки роутера, был только на уровне opkg, и пробрасывал конкретные IP адреса.

Проблема в том, что Wireguard последнее время просто не работает напрямую и его нужно пробрасывать через что-то еще, например, PPTP, L2TP, xkeen и пр.

PPTP, L2TP тоже иногда отваливаются, а вот VLESS стабильно работает на телефоне и других устройствах.

Сейчас, если добавлять xkeen в политики, доступны только такие варианты:

xkeen -> ISP

wireguard -> ISP

А мне нужно wireguard->xkeen->ISP.

Отказываться от Wireguard нельзя, т.к. на нем все настроено крайне сильно.

А xkeen должен быть лишь транспортом для wireguard, поскольку wireguard напрямую блокируется иногда.

Самое главное - не добавлять xkeen в Политики на роутере, потому что иначе нельзя сделать каскад wg->xkeen->isp.

IP адреса всех Wireguard серверов известны, соответственно, я хочу сделать так, чтоб xkeen следил за ними на уровне opkg и как только такое подключение есть, направлял трафик этих IP (не клиентов, а именно IP) через себя.

Так можно сделать на Android, Linux и Windows через NekoBox, а вот тут не срабатывает что-то...

Спасибо!

__________

UPD:

Получил ответ в Телеграме:

Quote

Возможно Вам подойдет вариант с захватом source IP в XKeen.
То есть, если исходящий IP, к примеру, относится к подсети WG, то маршрутизировать его до нужного сервера.

Делается это с помощью параметра source в routing.

Вот ссылка (https://xtls.github.io/en/config/routing.html#ruleobject) на документацию.

Также, можно сделать Routing через IP, если целевые адреса серверов известны.
Таким образом, при подключении к ресурсу с адресом {Ваш WG сервер}, XKeen будет захватывать соединение и пропускать через соответствующий маршрут.
Это делается с помощью секции «IP».

Показать

Изменено 13 февраля, 2024 пользователем Kirill1

dogoma · 13 февраля, 2024

Все привет.

Обновился (1.1.0), адаптировал настройки под общий режим (политики и так не было, сделал xkeen -dp 80,443).

inbounds тоже подправил:

Показать контент

Пропал интернет на клиентах которые подсоединены по схеме клиент - WG -роутер - xkeen - интерент, подскажите, может кто знает в чём дело?

Так же заработал интернет по такой же схеме, только вместо WG - SSTP.

Кстати, мы же пренесли сервисы keenetic ну другой порт, освободив 443 для xray, и для SSTP сервера он теперь тоже изменён, получается, правильно понимаю?

Изменено 13 февраля, 2024 пользователем dogoma

Neytrino · 14 февраля, 2024

Такой вопрос: есть два сервера - вбитых в outbound с тегами: proxy1 и proxy2. Задача - выходить в интернет через proxy2, когда proxy1 не доступен/не пускает.

routing:

Показать контент

Проблема точно не в данных для подключения к серверам, ибо если поменять теги местами - всё прекрасно работает через proxy2...

Skrill0 · 14 февраля, 2024

Всем доброго вечера!

Вышли обновления 1.1.0 — 1.1.2

Журнал

Показать контент

Обновиться можно командой

xkeen -uk

Откатиться на предыдущую версию можно командой

xkeen -kbr

В случае возникновения проблем, пожалуйста, присылайте файл диагностики

xkeen -diag

Внимание
В файле содержится Ваш IP адрес. Можно присылать в личные сообщения.

Пожалуйста, тестируйте, и отпишитесь о результатах)

Изменено 14 февраля, 2024 пользователем Skrill0
Пост обовлен под 1.1.2 | Hot fix интерфейсов не включенных в политику XKeen

LDude · 14 февраля, 2024

В 03.02.2024 в 15:46, LDude сказал:

И решил я обновиться UDP ради. Обновился - писец, скорость упала, проц загружен (разные режимы пробовал). Откатил всё обратно (-xb, -kb, -cb). Не особо помогло. Конфиги копировал на ноут перед обновлением, вернул все обратно поверх - неа.

И непонятно, что за ххх. Причём ранее было с ноута 200-300 мбит, через телефон до 500, и проц до 30%. А сейчас с ноута до 150, с телефона до 25!!! (правда телефон сейчас другой, но не в этом дело, думаю), и проц под сотку при тесте скорости, даже когда 25 на телефоне, в проц типа упирается. И пинг в speedtest.net был 80 с чем-то, а сейчас меньше 100 не бывает.

Показать

Ну, вообще непонятно. Сегодня решил на новую флэху всё заново накатить. Накатил, настроил 04_outbounds.json, работает как раньше - нагрузка на проц не более 30, пинг в speedtest 80 с чем-то, скорость с ноута 150-200, с телефона до 500. Решил попробовать mixed режим, вставил настройки отсюда в inbounds - опять пипец, загрузка под 100, скорость на телефоне до 25. Вставил redirect в inbounds - пофиг.

Форматнул флэху, сделал опять всё сначала - эээ, проц под 100, пинг за сотку, скорость режется. Вообще не понимаю.

ЗЫ: И непонятно, почему с телефона проц уже при 25 мегабитах под 100 уходит и всё.

Изменено 14 февраля, 2024 пользователем LDude

jameszero · 15 февраля, 2024

@LDude, приветствую.

Есть небольшое наблюдение. Speedtest не проверял, а вот nperf для Android позволяет выбрать по какому протоколу тестировать, http или https. По https вопросов нет, всё так же, как на PC, а вот по http скорость упирается в процессор Кинетика и режется до 30-40. Такое впечатление, что xray видит не шифрованный трафик и шифрует его, нагружая камень, хотя не должен это делать при Reality. В общем, пока не могу объяснить природу явления.

Alexey77 · 15 февраля, 2024

В 15.02.2024 в 04:56, jameszero сказал:

nperf для Android позволяет выбрать по какому протоколу тестировать, http или https.

Показать

Добрый день. Подскажите где это можно выбирать?

jameszero · 15 февраля, 2024

@Alexey77 добрый день! Это я немного напутал, старый уже) В приложении для Windows можно выбирать протокол и это влияет на скорость и на процессор роутера. Для полноценного тестирования нужно завернуть роутингом на VPS два домена nperf.com и nperf.net или использовать zkeen.

Skrill0 · 15 февраля, 2024

В 15.02.2024 в 04:56, jameszero сказал:

@LDude, приветствую.

Есть небольшое наблюдение. Speedtest не проверял, а вот nperf для Android позволяет выбрать по какому протоколу тестировать, http или https. По https вопросов нет, всё так же, как на PC, а вот по http скорость упирается в процессор Кинетика и режется до 30-40. Такое впечатление, что xray видит не шифрованный трафик и шифрует его, нагружая камень, хотя не должен это делать при Reality. В общем, пока не могу объяснить природу явления.

Показать

Доброго Вам дня)

Полностью связка с Reality выглядит так:
VLESS + uTLS + XTLS + Reality.

XTLS является обязательной его частью. Он же отвечает за выборочное шифрование не зашифрованного трафика.
Поэтому описанное поведение имеет место быть)

Alexey77 · 15 февраля, 2024

В 15.02.2024 в 08:02, jameszero сказал:

Для полноценного тестирования нужно завернуть роутингом на VPS два домена nperf.com и nperf.net или использовать zkeen.

Показать

Домены добавлены сейчас проверил загрузка процессора около 50-60 процентов а nperf показывает только 20 Mb хотя speedtest показывает правильно.

jameszero · 15 февраля, 2024

Сравните показания скорости по http и по https. Загрузка процессора может отображаться с задержкой, особенно если процессор задумался не успевает её отобразить)

Изменено 15 февраля, 2024 пользователем jameszero

LDude · 15 февраля, 2024

Т.е. приложения на телефоне (speedtest и nperf) используют http, тесты через web - https? Хм, а в кинетике аппаратного шифрования http нет по ходу. В 6 раз разница примерно по нагрузке и, соответственно, скорости.

Но не пойму, как оно иногда получается (и раньше так было), что фигачит намного больше скорость и без нагрузки до упора.

LDude · 15 февраля, 2024

Вот, последний пост одного из пользователей, например.

prokuror2 · 15 февраля, 2024

Добрый день!

Опять у меня в браузере Мозилла на Андроиде chat.openai.com определяет реальный IP, а на сайте browserleaks.com определяется реальный IP в тесте WebRCT. Возможно ли такое из-за халявного конфига Shadowsocks или дело в неправильных настройках?

v. 1.1.2, режим Mixed через политику.

Изменено 15 февраля, 2024 пользователем prokuror2

маршрутизация Xkeen

Рекомендуемые сообщения

Топ авторов темы

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Skrill0

Skrill0

Skrill0

Изображения в теме

Присоединяйтесь к обсуждению

Последние посетители 0 пользователей онлайн

Важная информация