маршрутизация Xkeen

[Kazantsev]

18 часов назад, Tomat Tema сказал:

 

UPD: Проблема была в высокой времени обработки хоста (лол). Прописал прямой айпи, все полетело

что именно ты сделал?

[Tomat Tema]

6 минут назад, Kazantsev сказал:

что именно ты сделал?

Прописал вместо домена прямой айпи в конфиге (можно вместо конфига прописать в АдГуард). Уж больно долгий DNS запрос был по какой то причине.

[Kazantsev]

2 минуты назад, Tomat Tema сказал:

Прописал вместо домена прямой айпи в конфиге (можно вместо конфига прописать в АдГуард). Уж больно долгий DNS запрос был по какой то причине.

если возможно, то скинь скрин, прямой ip это твой днс домашнего провайдера?

[Tomat Tema]

1 минуту назад, Kazantsev сказал:

прямой ip это твой днс домашнего провайдера?

Нет, прямой ip-адрес VPS. В 04_outbounds в строке "adress" можно прописать как домен, так и IP. У меня по умолчанию 3x-ui отдает домен (для безболезненного переезда в случае чего). И в конфиге тоже домен (веб-адрес) стоял.

[Kazantsev]

4 минуты назад, Tomat Tema сказал:

Нет, прямой ip-адрес VPS. В 04_outbounds в строке "adress" можно прописать как домен, так и IP. У меня по умолчанию 3x-ui отдает домен (для безболезненного переезда в случае чего). И в конфиге тоже домен (веб-адрес) стоял.

понял, ну и ты заменил на ip адрес вместо домена?)

[Tomat Tema]

11 минуту назад, Kazantsev сказал:

понял, ну и ты заменил на ip адрес вместо домена?)

Да

[Raiden]

Огромное спасибо автору! Поставил по инструкции, неделя полёт нормальный.
Есть одна шероховатость, при общении в google meet, jitsi, telegram по видео или просто голосовой связи соединение периодически стало отваливаться. С интревалом 10-15 минут. Иногда через минуту.
Подскажите пожалуйста, куда стОит копать и где искать проблему?

[seeii]

Хотел трафик посмотреть, что проходит  через Xkeen, установил ulog, файл настройки прилагается
добавил маршрут

iptables -t mangle -A xkeen -p tcp -j NFLOG --nflog-group 10 --nflog-prefix "TPROXY_TCP"
iptables -t mangle -A xkeen -p udp -j NFLOG --nflog-group 10 --nflog-prefix "TPROXY_UDP"

и почему-то файл ulogd.pcap пустой

если добавляю маршрут
iptables -A INPUT -p tcp -j NFLOG --nflog-prefix "INPUT packets"

файл /opt/var/log/ulog/ulogd.pcap растет

не подскажите, что делаю не так.

ulogd.conf

[helcoder]

Подскажите пожалуйста как правильно сделать DNS over VLESS? Пытался сделать по этой инструкции, и оно вроде как что-то даже делает, но https://browserleaks.com/dns упорно показывает DNS указанные в настройках кинетика, ну и соответственно Cloudflare, Russia, Moscow.

При этом если делать из консоли nslookup, то выглядит что всё работает как надо, т.к. если менять outboundTag для dns-in, то адреса другие резолвятся.

Ещё есть небольшой сайдэффект, почему-то после всех этих манипуляций у Keenetic Buddy горит красный индикатор.

 

UPD: ещё сейчас вот обнаружил что если удалить все DNS из кинетика, то browserleaks начинает показывать правильно, как это работает? 🙂

UPD2: в общем это крайне странно работает:

• убрал девайс из политики XKeen
• вернул DNS настройку в кинетик
• резолвится напрямую
• добавил девайс в политику XKeen
• резолвится через VPS
• убрал девайс из политики XKeen
• ничего не резолвится, таймауты
• добавил девайс в политику XKeen
• резолвится через VPS
• убрал девайс из политики XKeen
• ничего не резолвится, таймауты
• сделал restart -xkeen
• резолвится напрямую

 

Что-то я определённо не доделал 🤨

 

// 07_dns.json

{
  "dns": {
    "tag": "dns_in",
    "servers": [
      "8.8.8.8"
    ]
  }
}

// 05_routing.json

{
  "routing": {
    "rules": [
      {
        "inboundTag": ["dns_in"],
        "outboundTag": "shadowsocks",
        "type": "field"
      },
      {
        "port": 53,
        "outboundTag": "dns-out",
        "type": "field"
      },
      ...
      
// 04_outbounds.json
     
    ...  
    {
      "tag": "direct",
      "protocol": "freedom",
      "settings": {
        "domainStrategy": "UseIPv4"
      }
    },
    {
      "protocol": "dns",
      "tag": "dns-out"
    }
    ...

Изменено 6 ноября, 2024 пользователем helcoder

[seeii]

46 минут назад, helcoder сказал:

UPD: ещё сейчас вот обнаружил что если удалить все DNS из кинетика, то browserleaks начинает показывать правильно, как это работает? 🙂

вроде нужно отключить DNS у кинетика

по аналогии с kvas
opkg dns-override
system configuration save

тут есть ссылки на Материал для изучения

 

 

 

Изменено 6 ноября, 2024 пользователем seeii

[helcoder]

39 minutes ago, seeii said:

вроде нужно отключить DNS у кинетика

по аналогии с kvas
opkg dns-override
system configuration save

тут есть ссылки на Материал для изучения

 

 

 

Была у меня такая мысль тоже, но я так понимаю в этом случае все кто вне политики xkeen отвалятся, что мне не очень подходит.

[seeii]

7 минут назад, helcoder сказал:

Была у меня такая мысль тоже, но я так понимаю в этом случае все кто вне политики xkeen отвалятся, что мне не очень подходит.

А порт 53, 5351, 1900 не пробовал через Xkeen пустить? xkeen -ap 53, 5351, 1900

[seeii]

7 минут назад, seeii сказал:

А порт 53, 5351, 1900 не пробовал через Xkeen пустить? xkeen -ap 53, 5351, 1900

там наверно руками придётся и в начало таблицы маршрутов I место A

iptables -t mangle -I xkeen -p udp --dport 53 -j TPROXY --on-port 61219 --tproxy-mark 0x111/0x111
iptables -t mangle -I xkeen_mark -p udp --dport 53 -j MARK --set-mark 111

-I на -D удалить маршруты

Изменено 6 ноября, 2024 пользователем seeii

[helcoder]

13 hours ago, seeii said:

А порт 53, 5351, 1900 не пробовал через Xkeen пустить? xkeen -ap 53, 5351, 1900

Пробовал только 53 порт, но ничего не изменилось. А для чего нужны остальные порты?

 

13 hours ago, seeii said:

там наверно руками придётся и в начало таблицы маршрутов I место A

iptables -t mangle -I xkeen -p udp --dport 53 -j TPROXY --on-port 61219 --tproxy-mark 0x111/0x111
iptables -t mangle -I xkeen_mark -p udp --dport 53 -j MARK --set-mark 111

-I на -D удалить маршруты

На этом мои познания заканчиваются 🙂 Года 3 назад последний раз вникал в работу iptables, сейчас уже забыл как точно работают все эти команды. Тут как я понимаю перенаправление с 53 порта на порт прокси для политики xkeen? Если так, то мне кажется это ничего не даст, т.к. если создать конфиг DNS для xray и удалить все DNS записи из кинетика, то ему становится пофиг на политики и все DNS запросы идут через xray.

[Tomat Tema]

В 06.11.2024 в 12:35, Raiden сказал:

Огромное спасибо автору! Поставил по инструкции, неделя полёт нормальный.
Есть одна шероховатость, при общении в google meet, jitsi, telegram по видео или просто голосовой связи соединение периодически стало отваливаться. С интревалом 10-15 минут. Иногда через минуту.
Подскажите пожалуйста, куда стОит копать и где искать проблему?

Xray не подходит для голосового общения, слишком агрессивно рвет коннекты. Пускать напрямую или уходить с VLess

[Alex Rad]

Всем доброго дня!

Вопрос - можно ли поднять на кинетике клиент, а не сервер ? Имеется сервер VPS с настроенным vless через 3x-ui c подменой айпи ВПН на сайт нидерландских новостей. Геоайпи - Нидерланды. Так вот, можно ли поставить клиента по типу wg(раньше был точечный обход через него, пока не блокнули). Извините, если не в ту тему. Больше ничего похожего не нашёл. Заранее спасибо.

Изменено 8 ноября, 2024 пользователем Alex Rad

[Имя]

49 минут назад, Alex Rad сказал:

Всем доброго дня!

Вопрос - можно ли поднять на кинетике клиент, а не сервер ? Имеется сервер VPS с настроенным vless через 3x-ui c подменой айпи ВПН на сайт нидерландских новостей. Геоайпи - Нидерланды. Так вот, можно ли поставить клиента по типу wg(раньше был точечный обход через него, пока не блокнули). Извините, если не в ту тему. Больше ничего похожего не нашёл. Заранее спасибо.

На кинетике надо хкеен ставить, либо на конечном устройстве запускать конфиг который ты сделал в 3х панели. например под винду это nekobox. у меня именно так, в 3х панели сделал конфиги для кинетика, для телефона и отдельно на работе

Изменено 8 ноября, 2024 пользователем Имя

[Alexey77]

2 часа назад, Alex Rad сказал:

Всем доброго дня!

Вопрос - можно ли поднять на кинетике клиент, а не сервер ? Имеется сервер VPS с настроенным vless через 3x-ui c подменой айпи ВПН на сайт нидерландских новостей. Геоайпи - Нидерланды. Так вот, можно ли поставить клиента по типу wg(раньше был точечный обход через него, пока не блокнули). Извините, если не в ту тему. Больше ничего похожего не нашёл. Заранее спасибо.

Добрый день. На кеенетике вы как раз ставите клиент. На одном и том же роутере xkeen и wireguard не будет работать. А вот на роутере и другом устройстве которое поддерживает wireguard можно запускать wireguard через xkeen. 

[Alex Rad]

11 минуту назад, Alexey77 сказал:

Добрый день. На кеенетике вы как раз ставите клиент. На одном и том же роутере xkeen и wireguard не будет работать. А вот на роутере и другом устройстве которое поддерживает wireguard можно запускать wireguard через xkeen. 

Спасибо за ответ! Я, конечно, не очень внимательно пробежался по инструкции, но как-то не заметил, что в xkeen нужно вставлять ключ от моего уже готового vless сервера(vless://3f6dd25c-....). Поправьте меня и ткните лицом, где это делается, буду очень благодарен. Два одновременно впн не нужно. Как раз-таки хочу отказаться от wg и полностью перейти на vless.(на VPS пока подняты оба сервера).

[Alexey77]

9 минут назад, Alex Rad сказал:

Спасибо за ответ! Я, конечно, не очень внимательно пробежался по инструкции, но как-то не заметил, что в xkeen нужно вставлять ключ от моего уже готового vless сервера(vless://3f6dd25c-....). Поправьте меня и ткните лицом, где это делается, буду очень благодарен. Два одновременно впн не нужно. Как раз-таки хочу отказаться от wg и полностью перейти на vless.(на VPS пока подняты оба сервера).

В телеграмм канале в закрепе есть инструкция от сообщества настраивайте по ней. 

[Имя]

36 минут назад, Alexey77 сказал:

Добрый день. На кеенетике вы как раз ставите клиент. На одном и том же роутере xkeen и wireguard не будет работать. А вот на роутере и другом устройстве которое поддерживает wireguard можно запускать wireguard через xkeen. 

на одном роутере всё прекрасно работает и вг и хкеен

[Alexey77]

6 минут назад, Имя сказал:

на одном роутере всё прекрасно работает и вг и хкеен

Это если wg не заблокирован то работает. Если wg блочат то не работает. 

[Имя]

Только что, Alexey77 сказал:

Это если wg не заблокирован то работает. Если wg блочат то не работает. 

ну блок это дело десятое, а сам принцип, обе технологии прекрасно работают вместе

[Skrill0]

В 06.11.2024 в 20:42, seeii сказал:

там наверно руками придётся и в начало таблицы маршрутов I место A

iptables -t mangle -I xkeen -p udp --dport 53 -j TPROXY --on-port 61219 --tproxy-mark 0x111/0x111
iptables -t mangle -I xkeen_mark -p udp --dport 53 -j MARK --set-mark 111

-I на -D удалить маршруты

Доброго Вам дня)
При создании файла dns.json в конфигурациях и настройке dns секции в нем, XKeen сам добавляет маршрутизацию 53-го порта)

Изменено 8 ноября, 2024 пользователем Skrill0

[helcoder]

9 hours ago, Skrill0 said:

Доброго Вам дня)
При создании файла dns.json в конфигурациях и настройке dns секции в нем, XKeen сам добавляет маршрутизацию 53-го порта)

Доброго дня! Подскажите, можно ли как-то настроить так чтобы xkeen процессил DNS запросы исключительно для устройств с политикой XKeen? А то сейчас он процессит для всех устройств если добавить dns.json и плюсом конфликтует со штатным резолвером.

[Neytrino]

helcoder, попробуйте остановить Xkeen и запустить снова... У меня такое наблюдается после перезагрузки роутера (и не только у меня)

[helcoder]

14 minutes ago, Neytrino said:

helcoder, попробуйте остановить Xkeen и запустить снова... У меня такое наблюдается после перезагрузки роутера (и не только у меня)

Пробовал, чуть выше мой пост с экспериментами над DNS и политикой xkeen. Рестарт вроде как помогает, но стоит после этого устройству поменять политику и начинаются проблемы. Возможно если каждый раз рестарт делать после смены политики устройства то всё будет работать нормально, но не уверен, надо пробовать.

[Порфирий Руйкуйжевич]

В 03.11.2024 в 14:02, jameszero сказал:

Исходники zkeen не публикуются. По вашей ссылке в листинге условные несколько доменов для примера, так что сравнение будет некорректным.

А почему? Чтобы избежать блокировки?

А у v2fly полные списки на гитхабе?

[Имя]

В 01.11.2024 в 10:28, Имя сказал:

Парни, поясните разницу

 

  "ext:geosite_v2fly.dat:youtube",

 

  "ext:geosite_zkeen.dat:domains",

В чём разница между zkeen и v2fly?

 

Хочу чтобы Google ходил напрямую, а Youtube? ходил через VPS. В разделе IP адреса и Доменные имена убираю Google, а Youtube добавляю. 

Вот список доменов  Youtube https://github.com/v2fly/domain-list-community/blob/master/data/youtube его пишу в секцию Доменные имена, а IP адреса Youtube пишу в раздел IP адреса? Или IP адреса не сильно нужны?

 

 

Получилось так.

 

Или взять зону *.ru и вписать туда Google, а Youtube будет автоматически сам через VPS?

 

 

 

А можно ли завернуть в VPN только адреса необходимые для Ютуб, а чтобы DNS был РУ, тем самым порезать рекламу?

 

 

 

Никто путного не подсказал, сам боролся.

 

Работает конечно всё странно. 

 

по итогу сейчас так

Цитата

// Настройка маршрутизации

{

  "routing": {

    "rules": [

 

      // Блокировка  |   Уязвимые UDP порты

      {

        "inboundTag": ["redirect", "tproxy"],

        "outboundTag": "block",

        "type": "field",

        "network": "udp",

        "port": "135, 137, 138, 139"

      },

 

      // Блокировка | Реклама и аналитика

      {

        "inboundTag": ["redirect", "tproxy"],

        "outboundTag": "block",

        "type": "field",

        "domain": [

    "ext:geosite_v2fly.dat:category-ads-all",

          "google-analytics",

          "analytics.yandex",

          "appcenter.ms",

          "app-measurement.com",

          "firebase.io",

          "crashlytics.com"

        ]

      },

 

      // VPS подключение  |  Доменные имена

      {

        "inboundTag": ["redirect", "tproxy"],

        "outboundTag": "vless-reality",

        "type": "field",

        "domain": [

        "ext:geosite_v2fly.dat:youtube",

        "ext:geosite_zkeen.dat:domains",

        "ext:geosite_zkeen.dat:other",

        "2ip.io"

        ]

      },

 

      {

      // VPS подключение  |  IP адреса

        "inboundTag": ["redirect", "tproxy"],

        "outboundTag": "vless-reality",

        "type": "field",

        "ip": [

        "ext:geoip_v2fly.dat:google"    (пробовал убирать эту строку и оставлять)

                ]

      },

 

      // Прямое подключение  |  Все остальное

      {

        "inboundTag": ["redirect", "tproxy"],

        "outboundTag": "direct",

        "type": "field"

      }

    ]

  }

}

Убрал эту строку из конфига, Google.ru русский, вернул эту строку Google.ru стал гонконгский. Убрал строку, всё равно остался гонкогский. как оно работает я хз.

 

xkeen такой

Цитата

~ # xkeen -tpx

  Проверка портов Xray

  Xray слушает

 

     Шлюз ::

     Порт 61219

     Протокол TCP

 

     Шлюз ::

     Порт 61219

     Протокол UDP

~ # xkeen -cp

  Xray работает на портах

     53,80,443

Уюрать рекламу ютуба получилось, теперь нет ни внутри видео ни между видео. Решилось путём написания в кинетике в качестве ДНС ADH, тобишь адреса самого роутера. 

 

Теперь непонятно если в конфиге где // Прямое подключение  |  Все остальное, должно идти напрямую, оно все идет почему-то через ВПН, тот же Гугл или Яндекс, показывает место ВПН сервера Хельсинки. В конфиге написано же ходить на ютуб только через ВПН

 

upd поигрался с настройками, поменял туда сюда, вернул как написал выше, опять ничего не работает. реклама, гугла нет. кароч "все прекрасно работает"

 

Изменено 9 ноября, 2024 пользователем Имя

[niki]

Поставил на  Hopper по инструкции https://github.com/Corvus-Malus/XKeen?tab=readme-ov-file
Перед установкой сделал сброс роутера до заводских установок. Провайдер Уфанет.

На устройстве, включенном в политику XKeen  интернета нет вообще!

VPS свой, на устройствах при включении этого впн все работает.

Подскажите, где нужно подкрутить?

На кинетике в журнале летят ошибки:

761F: "https://dns.quad9.net/dns-query": curl error message: Failed to connect to dns.quad9.net port 443 after 0 ms: Error (7)

Ноя 10 13:45:43

https-dns-proxy

DAAD: "https://dns.quad9.net/dns-query": curl error message: Failed to connect to dns.quad9.net port 443 after 0 ms: Error (7)