маршрутизация Xkeen

[ZBX]

2 часа назад, Neytrino сказал:

ZBX, а торрент у вас не запуущен (случайно) при всей этой ситуации?

Параллельно не было закачки, а я так понимаю по процессору не вывезет (KN-1011)? 

[Neytrino]

ZBX, а раздачи? У меня роутер так себя вёл при постановке на закачку 2-3 торрентов. По этому я сделал всё это через прокси в инбаунде (через прокси направляется весь трафик браузера, дальше Xkeen - фильтрует: что на VPS а что напрямую), а торренты качаются напрямую (вне прокси и вне политик), как и все остальные проги кроме браузера. Так, нагрузка на проц роутера - получается существенно ниже (у меня, по крайней мере)...

Изменено 12 августа, 2024 пользователем Neytrino

[v0vas]

Доброго дня!

Модель Giant (KN-2610), настроен Xray+политика+DoH+DoT и прокси socks5 с портом 2080. Все работает почти отлично, но есть пара проблем.

1. Не синхронизируется время в винде через принудительную кнопку "Синхронизировать"(служба времени работает).
2. При попытке тестирования через speedtest.net, когда жмешь go, статус connecting не меняется и ничего не происходит. 
3. Не проходит пинг ни до одного адреса, кроме роутера. DNS сервера гугла не пингуются даже по ip.

Скрытый текст

{
 "inbounds": [
    {
        "listen": "192.168.0.1",
        "port": 2080,
        "protocol": "socks",
        "settings": {
            "udp": false
        },
        "sniffing": {
            "destOverride": ["http", "tls"],
            "enabled": true,
            "metadataOnly": false
        },
        "tag": "socks-in"
    }
        ]
}

Скрытый текст

{
    "outbounds": [
        {
            "domainStrategy": "UseIPv4",
            "protocol": "vless",
            "settings": {
                "vnext": [
                    {
                        "address": "193",
                        "port": 443,
                        "users": [
                            {
                                "id": "5ba9",
                                "flow": "xtls-rprx-vision",
                                "encryption": "none",
                                "level": 0
                            }
                        ]
                    }
                ]
            },
            "streamSettings": {
                "network": "tcp",
                "security": "reality",
                "realitySettings": {
                    "publicKey": "LZ",
                    "fingerprint": "chrome",
                    "serverName": "www",
                    "shortId": "ae"
                }
            },
            "tag": "vless_tls"
        },
        {
            "protocol": "freedom",
            "tag": "direct"
        },
        {
            "protocol": "blackhole",
            "tag": "block"
        }
    ]
}

Скрытый текст

{
    "routing": {
        "domainStrategy": "IPIfNonMatch",
        "rules": [
            {
                "inboundTag": "socks-in",
                "network": "udp",
                "outboundTag": "block",
                "port": "135, 137, 138, 139",
                "type": "field"
            },
            {
                "domain": [
                    "regexp:^([\\w\\-\\.]+\\.)ru$",
                    "regexp:^([\\w\\-\\.]+\\.)su$",
                    "regexp:^([\\w\\-\\.]+\\.)xn--p1ai$",
                    "regexp:^([\\w\\-\\.]+\\.)xn--p1acf$",
                    "regexp:^([\\w\\-\\.]+\\.)xn--80asehdb$",
                    "regexp:^([\\w\\-\\.]+\\.)xn--c1avg$",
                    "regexp:^([\\w\\-\\.]+\\.)xn--80aswg$",
                    "regexp:^([\\w\\-\\.]+\\.)xn--80adxhks$",
                    "regexp:^([\\w\\-\\.]+\\.)moscow$",
                    "regexp:^([\\w\\-\\.]+\\.)xn--d1acj3b$",
                    "ext:geosite_v2fly.dat:category-gov-ru",
                    "ext:geosite_v2fly.dat:private",
                    "ext:geosite_v2fly.dat:yandex",
                    "ext:geosite_v2fly.dat:steam",
                    "ext:geosite_v2fly.dat:vk"
                ],
                "inboundTag": "socks-in",
                "outboundTag": "direct",
                "type": "field"
            },
            {
                "inboundTag": "socks-in",
                "outboundTag": "vless_tls",
                "type": "field"
            }
        ]
    }
}

 

Изменено 12 августа, 2024 пользователем v0vas
Дополнение

[aip02624]

Всем привет. Спасибо за подробные инструкции и помощь.

Все настроил и работает. Но у меня в Firefox стоит плагин FoxyProxy для доступа к сайтам через http-proxy, который работает на порту 50100. Роутинг настроил самый простой, прописал порт, чтобы он игнорировался, но сайты в Firefox не открываются. Как настроить, чтобы запросы к определенному порту пропускались напрямую, а не через vps?

Роутинг:

Spoiler

{
  "routing": {
    "rules": [
	{
	  "inboundTag": ["redirect", "tproxy"],
	  "outboundTag": "direct",
	  "type": "field",
	  //порт прокси
	  "port": "50100" 
        },
       {
        "inboundTag": ["redirect", "tproxy"],
        "domain": ["ext:geosite_v2fly.dat:youtube"],
        "outboundTag": "vless-reality",
        "type": "field"
      },
      {
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "direct",
        "type": "field"
		}
    ]
  }
}

 

 

[jameszero]

@aip02624 добрый день!

Это не в роутинге нужно делать. Xkeen позволяет исключить определённые порты из проксирования.

Выполните команду

xkeen -ape 50100

Консоль подвиснет, не пугайтесь, прервите команду нажатием Ctrl+С, а затем выполните

xkeen -restart

Чтобы проверить, что порт добавлен в исключения выполните

xkeen -cpe

 

[aip02624]

25 minutes ago, jameszero said:

@aip02624 добрый день!

Это не в роутинге нужно делать. Xkeen позволяет исключить определённые порты из проксирования.

@jameszero Спасибо. Сделал, но не работает, хотя вывод команды верный: "Xray  не работает на портах 50100". 50100 - это порт прокси сервера. Т.е. в настройках Firefox в FoxyProxy у меня прописан прокси 133.XX.XX.XX:50100. 

Изменено 12 августа, 2024 пользователем aip02624

[jameszero]

@aip02624 вы случайно xkeen не по инструкции с хабра настраивали? Тогда здесь вам не помогут, спрашивайте на хабре. Информация по правильной настройке xkeen в первом сообщении этой темы. Рекомендую рассмотреть режим Mixed, в нём вы сможете добавлять и удалять порты в исключения.

Если настраивали по инструкции из первого сообщения, то попробуйте ещё исключить 133.XX.XX.XX из проксирования. Это можно сделать добавив этот IP-адрес c 32 маской в параметр ipv4_exclude файла /opt/etc/init.d/S24xray

Изменено 13 августа, 2024 пользователем jameszero

[tkukushkin]

Добрый день! Подскажите, добавленные в политику устройства не могут подключиться к другим VPN. Например к Microsoft VPN (нужно по работе). Убираю устройство из политики – всё ок. А в остальном всё работает отлично.

[jameszero]

@tkukushkin, добрый день. Исключите IP-адрес сервера к которому подключаетесь из проксирования (см. сообщение выше)

[tkukushkin]

3 минуты назад, jameszero сказал:

@tkukushkin, добрый день. Исключите IP-адрес сервера к которому подключаетесь из проксирования (см. сообщение выше)

Спасибо, попробую. А можете подсказать, почему вообще так происходит? Может ссылки есть что почитать?

[jameszero]

28 минут назад, tkukushkin сказал:

почему вообще так происходит?

Причин много. Например, вы пытаетесь подключиться к рабочему месту через зарубежный IP, не факт что системный администратор разрешил подключения из этой подсети. Плюс вы не написали какой режим работы xkeen используете. Если Redirect, то в нём совсем не работает udp-протокол, а он может применяться для подключении к рабочему месту. Остальные причины так же можно назвать только зная, как настроено у вас и, как настроено на рабочем месте.

[tkukushkin]

@jameszero да, у меня Redirect, не обратил внимание, что в инструкции написано, что только TCP работает для Redirect.

Трафик до VPN у меня должен идти напрямую (только antifilter+youtube через vless).

Получается если использовать Mixed конфигурацию, должно быть всё ок, попробую, спасибо!

UPD: Получилось, еще раз спасибо!

Изменено 13 августа, 2024 пользователем tkukushkin

[Owner]

Привет! В целом все работает как и ожидалось: весь трафик напрямую, а ютуб на VPS c vless.

Но после xkeen -start скорость режется пополам до 40-45 мбит. После отключения xkeen -stop в ту же секунду скорость возвращается к 90-95 мбит. Измеряю яндексметром. Особенно ощущается просадка под вечер, когда появляются клиенты в виде тв и телефонов. Так и должно быть или у меня ошибка в конфиге?

Настроено без вредной инструкции с хабра (без прокси в веб интерфейсе). Версия ОС 3.8.7, сам xkeen и opkg стоят на внешней флешке. 

{
  "inbounds": [
    {
      "tag": "redirect",
      "port": 60279,
      "protocol": "dokodemo-door",
      "settings": {
        "network": "tcp",
        "followRedirect": true
      },
      "sniffing": {
        "routeOnly": true,
        "enabled": true,
        "destOverride": [
          "http",
          "tls",
          "quic"
        ]
      }
    }
}

{
    "outbounds": [
        {
            "tag": "vless-reality",
            "protocol": "vless",
            "settings": {
                "vnext": [
                    {
                        "address": "...",
                        "port": 443,
                        "users": [
                            {
                                "id": "...",
                                "encryption": "none",
                                "flow": "xtls-rprx-vision"
                            }
                        ]
                    }
                ]
            },
            "streamSettings": {
                "network": "tcp",
                "security": "reality",
                "realitySettings": {
                    "publicKey": "...",
                    "fingerprint": "chrome",
                    "serverName": "...",
                    "shortId": ""
                }
            }
        },
        {
            "tag": "direct",
            "protocol": "freedom"
        },
        {
            "tag": "block",
            "protocol": "blackhole"
        }
    ]
}

{
  "routing": {
    "rules": [
      {
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "vless-reality",
        "type": "field",
        "domain": [
          "domain:googleapis.com",
          "domain:googlevideo.com",
          "domain:ytimg.com",
          "domain:ggpht.com",
          "domain:googleusercontent.com",
          "domain:gvt1.com",
          "domain:gstatic.com",
          "domain:youtube.com",
          "domain:youtu.be",
        ]
      },
      {
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "direct",
        "type": "field"
      }
    ]
  }
}

 

Изменено 13 августа, 2024 пользователем Owner

[Max871]

В 09.08.2024 в 08:41, aa.valov сказал:

привет, тоже че то не могу разобраться, можешь поделиться конфигами?

И я так понимаю настройка прокси на кинетике вообще не нужна? достаточно создать политику Xkeen и закинуть в нее устройства?

Добрый день! Ответил Вам в личку.

[Max871]

@Owner Добрый день! А youtube у Вас работает на смарт тв/тв приставки? 

[jameszero]

10 часов назад, Owner сказал:

после xkeen -start скорость режется пополам до 40-45 мбит

Приветствую. Если установили xkeen на Keenetic Extra KN-1710, который указан в профиле, то у него очень слабый процессор и не успевает обрабатывать большой трафик через xray. Посмотрите в админке роутера загрузку процессора, наверняка причина в этом, а конфиг у вас нормальный, облегчить его нечем.

[Owner]

9 часов назад, Max871 сказал:

@Owner Добрый день! А youtube у Вас работает на смарт тв/тв приставки? 

Да, работает

1 час назад, jameszero сказал:

Приветствую. Если установили xkeen на Keenetic Extra KN-1710, который указан в профиле, то у него очень слабый процессор и не успевает обрабатывать большой трафик через xray. Посмотрите в админке роутера загрузку процессора, наверняка причина в этом, а конфиг у вас нормальный, облегчить его нечем.

Раньше не смотрел за загрузкой процессора, но сейчас действительно иногда под 100% улетает. Просадка скорости стабильна одна и та же при любом количестве клиентом. Даже когда загрузка на уровне 10%.

Посоветуете на какую модель перейти?

Изменено 14 августа, 2024 пользователем Owner

[glonas]

вчера удалил все и настроил по инструкции с телеги , завелось с полпинка , до этого тоже все жужжало но без политик . Спасибо автору за проект .

[jameszero]

6 часов назад, Owner сказал:

Посоветуете на какую модель перейти?

Совсем недавно Viva KN-1910 была оптимальной по цене/производительности, она вытягивает через xray до 300Мбит/с, но ей на смену пришла Viva KN-1912 на новом процессоре EcoNet, который работает на уровне вашей Extra. Старую модель, к сожалению, уже в продаже не найти. Из бюджетного, того что есть в продаже, могу порекомендовать Giga KN-1011, он выпускается на том же процессоре, что и прежняя Viva, ну и предел скорости примерно такой же 300Мбит/с. Топовые модели Ultra KN-1811 и Peak KN-2710, конечно, вне конкуренции, в них стоят высокопроизводительные процессоры, которые справляются с гигабитными скоростями при использовании xray, но и цена на эти модели соответствующая. Если есть возможность возьмите Ultra, не пожалеете. Сейчас на подходе новые модели Кинетика, но по ним пока ничего сказать не могу.

[Owner]

13 минуты назад, jameszero сказал:

Viva KN-1912 на новом процессоре EcoNet, который работает на уровне вашей Extra

Странно. Если верить официальным характеристикам у Extra MT7628N 580 МГц против EN7528DU 900 МГц в 2 ядра у Viva. Другие характеристики нового процессора что-то не могу найти, чтоб сказать что они одинаковые. 

[Max871]

7 часов назад, Owner сказал:

Посоветуете на какую модель перейти?

У меня viva ещё 1ого поколения, 128 Мб. В новой ревизии памяти больше. Но и в 1 у меня выше 70% не поднимается, при этому у меня еще веб сервер поднят.

 

7 часов назад, Owner сказал:

Да, работает

  Классно! Тогда я возьму Ваши хосты из конфига. 

[jameszero]

52 минуты назад, Owner сказал:

Если верить официальным характеристикам у Extra MT7628N 580 МГц против EN7528DU 900 МГц

Процессоры MTxxxx и ENxxxx это две большие разницы, а мегагерцы это маркетинг. Пообщайтесь в телеграм-чате по ссылке из первого поста, вам подтвердят мои выводы касательно моделей.

[Owner]

@jameszero а чем закончилась история с квасом? Вижу что дальше по сообщениям разработчик отвечает, что может подобное сделать для xkeen. Сложно все концы сообщений найти на стольких страницах. Перескажите результат?) У меня как раз ограниченный список доменов, которые вручную могу добавлять. 

Изменено 14 августа, 2024 пользователем Owner

[Neytrino]

Owner, посмотрите примеры файла routing (на паре/тройке последних страниц), там у большинства - реализация со списком доменов...

[Owner]

2 часа назад, Neytrino сказал:

Owner, посмотрите примеры файла routing (на паре/тройке последних страниц), там у большинства - реализация со списком доменов...

Так и у меня список доменов в конфиге. Просто в описании про квас говорится, что весь трафик идет вообще в обход xkeen, кроме списка доменов. То есть позволяет вернуть обычную скорость всему что идет напрямую. 

Изменено 14 августа, 2024 пользователем Owner

[Alexandro]

В 21.03.2024 в 21:45, Ромка Он сказал:

@jameszero это видно что через vps по нагрузке на процессор под 100 % и перетаскивая клиента ( телик, приставка с запущенными онлайн торрентами) в политику без проксирования по умолчанию  cpu  тогда ~ 20%. Я сейчас переделал конфиг:  все в директ - а выборочно что нужно  в vps, сейчас работает как положено, торренты не грузят, но заблокированное идет.  При конфиге все в vps а россию в директ у меня так не получалось 🤔 даже если прописываешь  по протоколу торрент в директ.

Тоже не понял, почему не работает напрямую, если последним правилом стоит "все на VPN", а в настройках Редиректа и Тпрокси прописано""sniffing": { "enabled": true, "routeOnly": true, "destOverride": [ "http", "tls" ] }", в настройках роутинга прописано, чтобы торренты шли напрямую.

Может быть это связано с тем, что возможно сами Торрент клиенты свой трафик шифруют (Ведь что то там про шифрование трафика в настройках торрент-клиентах есть) и поэтому его не может распознать программа?

Изменено 15 августа, 2024 пользователем Alexandro

[Alexandro]

В 25.02.2024 в 06:34, VT-i сказал:

Здравствуйте!

Заметил что соединения при работе через прокси обрываются по таймауту.

Причём нет разницы через что соединение: proxy или direct

Например идёт долгая закачка и регулярно обрывается соединение, потом восстанавливается заново.

Настройки политики такие:

{
  "policy": {
    "levels": {
      "0": {
        "connIdle": 300
      }
    }
  }
}

Сессии обрываются ровно через в 2 раза больший интервал указанный в настройках "connIdle"

Например указано 300, значит сессия оборвётся через 10 минут. Если поставить 60 - оборвётся через 2 минуты...

В доках написано что этот параметр должен обрывать сессии когда нет трафика, но трафик то есть, идёт закачка!

Подскажите, как победить, может кто сталкивался?

Подскажите пожалуйста, удалось ли решить проблему? У меня такая же ситуация, заметил когда работаю с удаленным сервером через Putty, соединение через Direct, если оставить окно терминала открытым и ничего не делать, то соединение закрывается по таймауту, как раз определенному этим параметром connIdle. Это очень неудобно, когда у тебя открыто несколько разных сессий например того же Putty и ты ничего не делаешь в них и они отваливаются. Но еще у меня при значении connIdle 30 часто отваливается игра Pubg, ставлю 60, тогда нормально.

Хотелось бы понять, это проблема с настройками и как то можно ее решить или это фича и тут уже или увеличивать только значение connIdle или делать какие то исключения из проксирования, но решение такое себе, не всегда подойдет, например с теми же удаленными подключениями Putty.

[jameszero]

11 час назад, Owner сказал:

чем закончилась история с квасом?

Эта история была актуальна на старых версиях xkeen. Тогда я использовал xkeen для подключения к серверу, а квас для маршрутизации. Сейчас xkeen самодостаточное решение и само отлично справляется с маршрутизацией. Квас давно не использую.

[vlegki]

Подскажите, есть ли смысл пробовать запустить xkeen на Speedster (KN-3010), или нужен роутер помощнее?

[jameszero]

1 час назад, vlegki сказал:

Speedster (KN-3010)

Думаю на него не получится установить xkeen. Флешку к нему не подключишь, а встроенной памяти очень мало. Процессор при этом нормальный и смог бы работать с xray.