маршрутизация Xkeen

[Neytrino]

29 минут назад, Runaway сказал:

Вопрос, может ли существовать 1 без 2 и 2 без 1? Если брать первую часть, то это для заблокированных ресурсов, а вторая часть это для обхода замедлений и прочего...я правильно понимаю ? 

1 без 2: может быть если вы предоставляете доступ через свой VPS 3-им лицам.
2 без 1: может быть если вы подключаетесь к чужому (уже настроенному кем-то) VPS.

Но без пары клиент-сервер (в случае с Xkeen) никаких убыстрений обходов или чего-то ещё - не будет...

[Runaway]

3 минуты назад, Neytrino сказал:

1 без 2: может быть если вы предоставляете доступ через свой VPS 3-им лицам.
2 без 1: может быть если вы подключаетесь к чужому (уже настроенному кем-то) VPS.

Но без пары клиент-сервер (в случае с Xkeen) никаких убыстрений обходов или чего-то ещё - не будет...

Теперь картина вырисовывается, спасибо за ответ. Свой VPS есть, но настроен исключительно под OpenVPN. 

Доступ 3м лицам предоставлять  планирую, но без коммерции(друзья, родственники) и  хочу оставить работающим OVPN для тех случаев, когда нужно воспользоваться с смартфона. Надеюсь этот конфиг жизнеспособен.

Почитал ТГ, там инструкция более структурирована. Буду пробовать.

Резюмируя, в моем случае нужен и первый и второй варианты. Свой VPS+3и лица.

[DMA]

Добрый день! Подскажите по поводу ситуации, когда запускаешь другой клиент VPN (для подключению к удаленному рабочему столу) и возникает по всей видимости конфликт. То работает, то начинает постоянно выкидывать. Отключаешь в роутере XKeen и все проходит. Можно как то избежать этого конфликта?

[jameszero]

2 часа назад, DMA сказал:

Можно как то избежать этого конфликта?

Добрый день!

Можно, но только если на удаленном клиенте статический белый IP-адрес.

Добавьте этот адрес с 32 маской в исключения проксирования (параметр ipv4_exclude файла /opt/etc/init.d/S24xray)

[ImmortAlex]

Неоднократно видел, что для подключения мобильников к настроенному на роутере xray рекомендуют настраивать IKEv2 VPN.

Но при этом не работают политики, и xkeen надо настраивать в режиме "Общий", а я так не хочу. У меня задача такая: надо, чтобы через xray работал телевизор и мобильники, причём мобильники - и за пределами дома, а всё остальное - пусть проц роутера не грузит.

Так вот, не ли простой команды, чтобы направить подключившегося через IKEv2 клиента (у которого я могу и статический IP поставить) тотально на уже настроенный dokodemo-door ? Т.е. подключился под определённым логином - и попал на xray.

[DMA]

Я так понимаю, что вот сюда надо вписать просто ip адрес через "/"?

ipv4_proxy="127.0.0.1"
ipv4_exclude="255.255.255.255/32 0.0.0.0/8 10.0.0.0/8 100.64.0.0/10 127.0.0.0/8 169.254.0.0/16 172.16.0.0/12 192.0.0.0/24 192.0.2.0/24 192.168.0.0/16 198.18.0.0/15 198.51.100.0/24 203.0.113.0/24 224.0.0.0/4 240.0.0.0/4"

[Александр111]

Добрый день. Подскажите пожалуйста, примерно раз в день минуты на 2-3 в роутере пропадает интернет. 

Скрин журнала прилагаю. В чем может быть дело? Может флэшка не вытягтвает нагрузку? 

 

Изменено 27 августа, 2024 пользователем Александр111

[jameszero]

6 часов назад, DMA сказал:

Я так понимаю, что вот сюда надо вписать просто ip адрес через "/"?

Совершенно верно, в таком виде: 123.45.67.89/32

6 часов назад, Александр111 сказал:

В чем может быть дело?

В логе запись Out of memory - Нехватка памяти.

Уменьшайте количество подключенных geosite и geoip, ваш роутер их все не тянет.

Изменено 27 августа, 2024 пользователем jameszero

[Александр111]

3 часа назад, jameszero сказал:

Совершенно верно, в таком виде: 123.45.67.89/32

В логе запись Out of memory - Нехватка памяти.

Уменьшайте количество подключенных geosite и geoip, ваш роутер их все не тянет.

Понял, спасибо, попробую 👍

[shakhty]

ipv6 как-то можно отключить в xkeen? В логах роутера постоянно сыпется:

Авг 28 13:13:26

 

ndm

Opkg::Manager: /opt/etc/ndm/netfilter.d/proxy.sh: ip6tables v1.4.21: can't initialize ip6tables table `nat': Table does not exist (do you need to insmod?).

Авг 28 13:13:26

 

ndm

Opkg::Manager: /opt/etc/ndm/netfilter.d/proxy.sh: Perhaps ip6tables or your kernel needs to be upgraded.

insmod говорит:

~ # insmod /lib/modules/`uname -r`/nf_nat_ipv6.ko
insmod: can't insert '/lib/modules/3.4.113/nf_nat_ipv6.ko': No such file or directory

 

В proxy.sh, на который ссылается в журнал, попробовал ip6tables_supported=false - не помогло. Ошибка та же. Я так понимаю хочет создать правила в таблице NAT, а для данной версии kernel не существует ipv6

 

При перезапуске xkeen как-то не все нормально. Указанные на скрине компоненты - установлены. При этом на сервере попыток подключения вообще не видно. Роутер Keenetik Viva, старый, Версия ОС 2.16.D.12.0-8

Изменено 28 августа, 2024 пользователем shakhty

[marionetka262]

Подскажите, кто пользуется amnezia xray + xkeen xray?  Нестабильно работает маршрутизация, жестко прописанные маршруты в роутере на ютуб нормально работают, intel.com, dell.com, rutracker.org и подобное, работают нестабильно, то открываются, то нет. Помогает ребут роутера, но через какое-то время снова начинаются проблемы. Из наблюдений, работает rutracker.org - не работает dell.com, и наоборот.

Изменено 28 августа, 2024 пользователем marionetka262

[Gull_88]

Добрый день!

Установил XKeen на KN-1811. Прошивка 4.2 Beta 2
Все делал четко по видео https://www.youtube.com/watch?v=_QkGq8SLcpE&t=289s
Там как раз оборудование совпадает.
Единственное отличие - сертификаты  NGINX получил не через socat,  а напрямую через acme.sh. 3x-ui их успешно схавал.
Все остальное делал четко по видео. Чтоб случайно не накосячить 04_outbounds.json делал через генератор.
Все установилось без ошибок.

Соединения нет((. С роутера пинг есть на любые ресурсы включая заблоченные.
А с компа ничего не пингуется. Причем, когда применяю к компу политику XKeen, то он даже сетевые устройства теряет. Видит только роутер. Не знаю куда копать.
Если это имеет значение, то роутер подключен к МТС-вскому оптическому Хуавею. 

В аттаче конфиги и диагностика

 

self-test_KN-1811_preview_4.02.B.2.0-3_router_2024-08-28T18-39-09.873Z.txt error.log info.log 04_outbounds.json 05_routing.json 03_inbounds.json

Изменено 28 августа, 2024 пользователем Gull_88

[jameszero]

@Gull_88, добрый день!

У вас nginx случайно не занял 443 порт? Что открывается в браузере по адресу https://IP-сервера ?

443 порт нужен для 3x-ui и должен быть свободен.

Буквально вчера разбирал подобную ситуацию после настройки человеком сервера по данному видео. Я ещё эту инструкцию не смотрел, но не понимаю зачем нужен nginx, если 3х-ui может сам получать сертификаты и не нуждается в стороннем веб-сервере.

Изменено 28 августа, 2024 пользователем jameszero

[Gull_88]

Спасибо!
Это оно?))

 

38 минут назад, jameszero сказал:

@Gull_88, добрый день!

....Я ещё эту инструкцию не смотрел, но не понимаю зачем там nginx, если 3х-ui может сам получать сертификаты и не нуждается в стороннем веб-сервере.

3x-ui - это через socat делает, а уменя socat не поставился, сколько я не бился((

[jameszero]

3 минуты назад, Gull_88 сказал:

Это оно?

Закомментируйте в /etc/nginx/sites-available/default две строчки listen c 443 портом и перезапустите nginx, это должно помочь.

[Gull_88]

20 минут назад, jameszero сказал:

Закомментируйте в /etc/nginx/sites-available/default две строчки listen c 443 портом и перезапустите nginx, это должно помочь.

Да, спасибо! Так заработало. Сайты открываются. Ютюб тоже.

Но есть нюанс. Лаги  перед тем как данные пойдут - жутчайшие. На speedtest.net скорость входящую померял, сама скорость хорошая, но перед тем как замер пошел  - прошло минуты 2, а исходящей вообще не дождался - download error/upload error/socket error. 
На графике  в Кинетике какая-то странная "пила" на download.

 

[jameszero]

@Gull_88, сегодня массовые жалобы на доступность хостингов и DNS. Повремените с тестами, пока всё наладится.

[Gull_88]

15 минут назад, jameszero сказал:

@Gull_88, сегодня массовые жалобы на доступность хостингов и DNS. Повремените с тестами, пока всё наладится.

Спасибо большое, в любом случае!

[ImmortAlex]

Помогите забороть dns, пожалуйста.

Делаю типовую ленивую настройку, со включенной политикой Xkeen. Есть устройства, включенные в эту политику, есть устройства без неё. Роутинг настроен по принципу "Block + VPS | Выбранные ресурсы + Direct | Все остальное". Выбранных ресурсов очень немного, памяти точно хватает.

Пока используется direct или tproxy БЕЗ udp - всё работает. Как только включаю udp (пробовал оба режима - и только tproxy, и mixed) - на всех устройствах, НЕ включенных в политику xkeen, начинает регулярно пропадать dns.

"Пропажа dns" выглядит, например, так (консоль линукса на домашнем компе, подключенном проводом к роутеру):

$drill ya.ru
Error: error sending query: Could not send or receive, because of network error

На мобиле, подключенной по вайфаю, nslookup в консоли примерно то же самое говорит.

В логах xray ничего нет, что логично - он перехватывает только то, что входит в политику.

Но, судя повсему, когда некоторое время через VPN ничего не идёт и xray закрывает соединение - в этот момент DNS возвращается. Ровно до того момента, пока xray опять не установит соединение с сервером VPN.

Искал по теме что-то похожее, нашёл этот пост, с него перешёл на этот пост, но никак не помогло, да вроде и не должно - по логам xray не перехватывает DNS с устройств не в политике (для устройств в политике он в логи обращение пишет, но они работают и без особого dns в xray). Больше похоже на какие-то проблемы с конфигурацией, которую создаёт xkeen при запуске (iptables ?), но это та область знаний, по которой у меня полный нуль.

Прошу помощи!

[AliasNameless]

Коллеги, доброго времени суток. Использую достаточно старый Extra (KN-1710). Старшая версия ОС 3.8.7.

Чтобы поднять xkeen нужно перенести интерфейс на порт отличный от 443, однако команда

ip http ssl port {port}

появляется только в версии 4.0.2. Есть варианты?

[Alexey77]

1 минуту назад, Алексей Курчавый сказал:

Есть варианты?

Добрый день. А что так не работает без переноса портов? 

[AliasNameless]

4 минуты назад, Alexey77 сказал:

Добрый день. А что так не работает без переноса портов? 

Собственно не пробовал. Следовал инструкции. Заработает?

[jameszero]

2 минуты назад, Алексей Курчавый сказал:

Заработает?

Режим Redirect точно заработает. Остальные режимы проверите опытным путём. Скопируете конфиг Mixed и перезапустите xkeen. Запустилось - хорошо, не запустилось - возвращайтесь на Redirect.

[zabolot]

Ребята, привет! Надеюсь, тут такое можно обсуждать. Но если нельзя, я всё пойму.

Столкнулся со странной проблемой (поиском по форуму не нашел) — при подключении через Xkeen некоторые сайты становятся доступными, а некоторые (в том числе большие и известные) — нет.

То есть, IP меняется на VPSный, Линкедин, например, работает, всякие там другие не очень доступные сайты — тоже работают, а некоторые другие (большие и известные) — нет.

Дано:

• VPS с Ubuntu 22, Xray и 3X-UI в заморском ДЦ
• Keenetic Giga KN-1011 дома с последним Xkeen

Детали:

• Если сгенерировать в панели 3X-UI подписку или просто конфиг и скормить их телефону с FoXray, то открываются вообще все известные мне сайты. То есть, в этом случае проблемы нет.
• Если подключаться к этому же серверу через Xkeen, то часть сайтов начинает открываться, а часть — нет.
• В файле 05_routing.json пробовал убрать вообще любые ограничения, блокировки и прямой роутинг, маршрутизируя вообще весь трафик через VPS. Не помогает.

Подскажите, пожалуйста, какие скриншоты, файлы или другие детали скинуть в тему, чтобы помочь победить проблему?

Изменено 29 августа, 2024 пользователем zabolot
Убрал ненужные детали про обход блокировок, из-за которых сообщением может не пройти модерацию

[Alexandr Kalyuzhnyy]

Добрый день! Начал использовать ваш великолепный инструмент с Vless-ом и выборочным роутингом. Но нарисовалась некая проблема: сам Xkeen и роутинг работает корректно и отлично, но, если я включаю VPN на самом устройстве (телефон там или ноутбук), то не пускает никуда, те просто не открываются страницы с надписью "Соединение прервано". Пробовал использовать другой сервер, но проблема сохраняется. Если Xkeen останавливать, то все работает. В чем может быть беда? 

[jameszero]

@zabolot, добрый день! Xkeen нестроен через политику доступа в интернет или через socks5 прокси? Есть ли ping до проблемных сайтов? Убедитесь, что в браузере не включен "Безопасный DNS".

@Alexandr Kalyuzhnyy, добрый день! Попробуйте совет из этого сообщения, IP-адрес сервера в добавьте в исключения проксирования.

 

Изменено 29 августа, 2024 пользователем jameszero

[Alexandr Kalyuzhnyy]

@jameszero Спасибо большое, реально завелось и теперь все работает отлично! 

Изменено 29 августа, 2024 пользователем Alexandr Kalyuzhnyy
Проверил

[Mikhail_YAR]

Коллеги, добрый день!

Весь мозг сломал, выручайте.

XKeen настроен без политики, по портам 80,443.

На Кинетике поднят сервер Wireguard, к нему подключаюсь с телефона, настроена доступность интернета. Пока xkeen остановлен - всё работает, интернет на телефоне через Keenetic доступен. Как только запускаю xkeen - теряю интернет на телефоне, но не полностью, а видимо только то, что идет по указанным портам. Если в xkeen убираю порты, то интернет через Wireguard пропадает целиком. При этом, для устройств в сети Кинетика xkeen работает отлично.

Где может быть затык?

P.S.:

Включил логирование и вижу, что в журнале есть такие вот записи, где 172.16.82.3 - это адрес телефона в WG туннеле. Т.е. в xray какой-то трафик с телефона летит, получается. Но ничего не открывается...

А ещё в логах вот такое...

Изменено 29 августа, 2024 пользователем Mikhail_YAR

[freshment]

Друльзья, всем привет!
Роутер: keenetic ultra 1811

Я корректно настроил XKeen, все завелось идеально, скорость отличная, то что должно открываться по VPN - открывается под VPN остальное напрямую, красота!
Однако спустя какое-то время VPN пропадает, WiFi на телефоне обрывается, при этом комп по WiFI может продолжать держать коннект. Сайты при этом через VPN уже не идут, а вот обычный интернет работает. Ничего не помогает кроме захода по SSH и команды xkeen -restart после чего все опять начинает идеально работать.
Может кто подскажет куда копать? От чего такие обвалы могут происходить? В день раза 3-4 могут быть.
При этом по ресурсам роутер не загружен, все хорошо роде.

Изменено 29 августа, 2024 пользователем freshment

[zabolot]

5 часов назад, jameszero сказал:

Xkeen нестроен через политику доступа в интернет или через socks5 прокси? Есть ли ping до проблемных сайтов? Убедитесь, что в браузере не включен "Безопасный DNS".

Спасибо за подсказки — попробовал так и сяк, выяснил интересное.

Xkeen настроен через политику доступа в интернет, и по умолчанию все клиенты, в том числе незареганные, привязываются к ней.

Потестил из одной и той же домашней сети (подключение сразу к кинетику и далее через Xkeen) на телефоне, макбуке и винде. И при одних и тех же условиях результаты получаются разными.

На Макбуке вообще все сайты работают и в Хроме, и в Сафари.

На Win11 в браузере FB и IG выдают ERR_NAME_NOT_RESOLVED и DNS_PROBE_FINISHED_NXDOMAIN в Chrome и Edge, соответственно, а LinkedIn прекрасно работает.

На iPhone не работает ни в браузере, ни через приложение ни FB, ни IG, но работает, например, LinkedIn

Про пинги вообще какая-то свистопляска. Из консоли VPS:

• Все сайты доступны, спасибопожалуйста

Из консоли BusyBox роутера при запущенном Xkeen

• FB пингуется
• Linkedin пингуется
• IG не пингуется (причем даже не выдает ошибку, просто висит на попытке отправить 56 байт
• Протон.ми выдает bad address

Из командной строки Win11

• FB пингуется 
• Линкедин пингуется
• IG не пингуется (отваливается по таймауту)
• Протон.ми не может обнаружить узел

Из терминала на Мак:

• Пингуется вообще всё — и фб, и иг, и протоны, чего угодно в общем.

На айфоне консоли нет.

Все девайсы подключены к одному и тому же кинетику в одно и то же время (сейчас), все сидят на политике Xkeen.

Доктор, что я делаю не так?