маршрутизация Xkeen

[mcdemon]

On 1/9/2025 at 4:57 AM, ZVM75 said:

дополняю данным куском 05_routing и получаю:

root@HOME_ROUTER:/opt/etc/init.d$ ./S24xray start

  Предупреждение:
  Отсутствует политика «XKeen» в Web роутера
  Не определены целевые порты для XKeen
  Клиент xray будет запущен для всего устройства

Xray 1.8.4 (Xray, Penetrates Everything.) Custom (go1.21.0 linux/arm64)
A unified platform for anti-censorship.
2025/01/08 18:53:14 Using confdir from env: /opt/etc/xray/configs
2025/01/08 18:53:14 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/01_log.json
2025/01/08 18:53:14 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/02_transport.json
2025/01/08 18:53:14 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/03_inbounds.json
2025/01/08 18:53:14 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/04_outbounds.json
2025/01/08 18:53:14 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/05_routing.json
2025/01/08 18:53:14 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/06_policy.json
Failed to start: main: failed to load config files: [/opt/etc/xray/configs/01_log.json /opt/etc/xray/configs/02_transport.json /opt/etc/xray/configs/03_inbounds.json /opt/etc/xray/configs/04_outbounds.json /opt/etc/xray/configs/05_routing.json /opt/etc/xray/configs/06_policy.json] > infra/conf: invalid field rule > infra/conf: failed to parse domain rule: ext:geosite_v2fly.dat:discord > infra/conf: failed to load external sites: discord from geosite_v2fly.dat > infra/conf: list not found in geosite_v2fly.dat: DISCORD

что-то с файлом не то?

вот каталог:

Попробуй вручную запустить обновление geosites

xkeen -ugs

[ZVM75]

4 часа назад, mcdemon сказал:

xkeen -ugs

супер, помогло, спасибо!

и потребовалось заменить файл в конфиге на geosite_zkeenip.dat (именно этот у меня)

[ZVM75]

а с TrueConf кто-то может помочь?

даже тестирование канала не проходит:

Сервер: сепвер.ru#vcs Порт: 4307

Тест продолжается

 

 

я добавил в секцию с доменами .ru ""network" : "tcp,udp","

не помогло

[jameszero]

12 минут назад, ZVM75 сказал:

с TrueConf кто-то может помочь?

Пропингуйте домен сервера, чтобы узнать его IP и добавьте его c 32 маской в исключения проксирования (параметр ipv4_exclude файла /opt/etc/init.d/S24xray)

Из роутинга домен удалите.

[ZVM75]

55 минут назад, jameszero сказал:

добавьте его c 32 маской в исключения проксирования

спасибо, заработало!

[OhMyAndrew]

Добрый день!

Как только поставил xkeen на роутер, уже не первый месяц сталкиваюсь с проблемой, что иногда при открытии новых вкладок в браузере получаю ошибку в хроме ERR_SSL_PROTOCOL_ERROR. Кто-то уже сталкиался с подобным? Повторяется на разных версиях xray. В issue у них тоже ничего подобного качательно vless reality не нашел.  Как стабильно воспроизводить пока тоже не выявил, но сталкиваюсь по 10 раз на дню.
Может кто-то подсказать, как починить или хотя бы куда копать?)
Спасибо!

[Xop0]

Приветствую, подскажите по двум вопросом, пожалуйста.
1) Как сделать полный сброс Xkeen - просто скинуть роутер до заводских? Хочу всё чисто на новую флешку поставить

2) Как добавить в рутирование https://betterttv.com/ и https://7tv.app/ их в рф блокнули, а в основных базах правила нет. 

[jameszero]

@Xop0

Добрый день!

1. В веб интерфейсе Кинетика на станице OPKG выставьте "Накопитель" >> "Не выбран" и отключите флешку. Перезагрузите роутер, но это не обязательно.

2. Данные домены есть тут в категории domains

[helcoder]

Хотел поделиться тем как мне в итоге удалось настроить fakedns, может кому пригодится. Идея была сделать по схеме аналогичной той что используется в antizapret-vpn, а именно перенаправлять на xray только DNS запросы идущие на определённый адрес (-d 8.8.8.8 --dport 53) и весь траффик который идёт на пул адресов fakedns (-d 198.18.0.0/15). Может пригодиться тем кто как и я хочет чтобы проксировались выборочно только определённые ресурсы по доменам.

 

Преимущества:

• Нет необходимости перенаправлять весь траффик на xray или как-то ограничивать его по портам
• Не ломается штатный DNS резолвер для локальных имён, т.к. перенаправление DNS запросов идёт с цепочки OUTPUT
• Сервисы кинетика можно оставить на 443 порту
• Не нужно блокировать QUIC для правильного определения домена
• ECH не мешает определять домен

 

Недостатки:

• В xray поддерживаются только основные IP-запросы (записи A и AAAA) для DNS, поэтому остальные типы запросов либо блочить, либо отправлять напрямую через System DNS profile кинетика (я сделал именно так), либо можно пустить их через прокси если сильно хочется
• Не получится пустить все запросы где используется ECH через прокси, что довольно актуально с учётом того что они у нас заблокированы

 

 

Инструкция:

1. Настроить xkeen в Mixed моде
2. Заменить всё что находится в /etc/xray/configs на config.json из аттача
3. В config.json поменять shadowsocks outbound на нужный вам и добавить в fakedns нужные вам домены
4. Заменить /etc/init.d/S24xray на тот что в аттаче
5. В интерфейсе кинетика создать новый DNS профиль с типом Default на адрес 8.8.8.8, обязательно снять галку с транзитных запросов (они должны быть заблокированы) и назначить этот профиль клиентам для которых хотите использовать fakedns
6. Выполнить xkeen -start

 

 

Сам уже пару месяцев пользуюсь и пока каких-то проблем не заметил. В скрипте S24xray все изменения пометил комментариями начинающимися с #fakedns

S24xray config.json

[Kazantsev]

4 часа назад, helcoder сказал:

Хотел поделиться тем как мне в итоге удалось настроить fakedns, может кому пригодится. S24xray
41.16 kB · 1 загрузка config.json 3.48 kB · 1 загрузка

а можно ещё  отдельными файлами, inbounds, dns.json и роутингом? своими 

Изменено Понедельник в 12:32 пользователем Kazantsev

[helcoder]

30 minutes ago, Kazantsev said:

а можно ещё  отдельными файлами, inbounds, dns.json и роутингом? своими 

Я всё это слил в один config.json, можете разбить на несколько если нужно.

[misha4119]

Добрый вечер!

Прочитав почти половину ветки, я так понимаю вопрос "как заставить торрент-клиент Trasmission\qBittorrent ходить на адреса трекеров через VPS" до сих пор остался нерешенным?

Если кому-то удалось, прошу поделиться опытом

[alere]

Здравствуйте!

Помогите, пожалуйста, разобраться.

Конфигурация подключения такая: оптика в модуль SFP KN-1012 - Xkeen - первый VPS Европа Reality маскировка под собственный сайт - второй VPS Европа SS2022 - CF WARP+. Клиенты 20 компов Windows по проводу через коммутатор L2 с настройками по умолчанию, если это вдруг имеет значение + немного Android и iPhone, их могу отключить если это поможет. Хостеры разные.

Маршрутизация:

1 - на Xkeen TProxy в директ отправляется трафик на сервера обновлений Microsoft, торренты в блок

2 - на первом VPS весь трафик TCP, UDP через SS отправляется на второй VPS

3 - весь трафик приходящий от первого VPS идет в WARP+

Работает не очень, нестабильно. Клиенты не сразу показывают адрес выхода от CF. Помогает ожидание минут 5 или перезагрузка. Загрузка процессора и памяти роутера при этом 5-10% и 40-50%

Xkeen настроен точно по инструкции дополнительно настроена задержка запуска 180 сек из-за долгой инициализации оптического модуля. Несколько раз за день Xkeen по непонятным причинам переходит в статус -не запущен-. Запускается через ssh без проблем за 5-10 секунд. Иногда веб интерфейс роутера становится недоступен, через приложение проблем при этом нет, помогает только перезагрузка роутера.

1 - где можно найти причину? Файлы логов есть но они пустые

2 - возможно ли в Xkeen сделать подобие Kill Switch, чтобы при переходе в статус -не запущен- весь трафик уходил в блок?

Изменено Вторник в 23:45 пользователем alere

[jameszero]

@alere

Добрый день!

Упростите схему до SFP - XKeen - VPS. Когда получите стабильную работу, подключайте второй VPS, а уже после подключайте WARP. Тогда сможет понять на каком этапе возникает проблема.

Торренты вы не заблокируете роутингом и если они активны, а тем более на нескольких устройствах, то могут запросто ложить xray огромным количеством открытых соединений.

Если выставили задержку 180 секунд, то перезапускаться xkeen никак не может за 5-10 секунд. На это потребуется 180+ секунд.

Уделите внимание настройке DNS. В роутере обязательно должны быть прописаны шифрованные DoH или DoT серверы, а на клиентах отключены частные DNS. Весь DNS-трафик должен идти через DNS роутера.

1. Логирование xray включается в файле 01_log.json

2. Если xray аварийно упадёт, то вы и получите Kill Switch. Трафик пойдет напрямую только если штатно остановить xkeen -stop и это поведение изменить нельзя.

 

 

[alere]

@jameszero

Спасибо за подробный ответ! Буду разбираться. DNS провайдера игнорировать в IPv4 и IPv6, правильно?

Изменено вчера в 15:26 пользователем alere

[Horushka]

В 04.01.2025 в 14:42, REM1X сказал:

Файл в ..\opkg\etc\xray\dat

Это просто список ип для маршрутизации, конечно если его просто положить туда, то ничего не изменится, нужно будет в файле 05_routing добавить фрагмент, если у вас его нет

	  {
        "inboundTag": ["redirect", "tproxy"],
        "domain": [
        "ext:geosite_v2fly.dat:discord",
        "ext:geosite_v2fly.dat:speedtest"
        ],
		"ext" : {
        "name" : "Discord_TCP/UDP"
        },
        "network" : "tcp,udp",
		"outboundTag": "proxy",
        "type": "field"
      },
      {
        "inboundTag": ["redirect", "tproxy"],
        "network": "udp",
        "port": "50000-50030",
        "ip": [
          "ext:zkeenip.dat:discord"
        ],
        "outboundTag": "proxy",
        "type": "field"
      },

Откорректировав названия тэгов, конечно, согласно вашей конфигурации.

Собственно по ссылке что я кинул буквально есть такой же пример

https://github.com/jameszeroX/zkeen-ip

Опыт работы положительный, самое главное есть проксирование по процессам (правда как минимум в моей версии настраивается криво, но работает). То есть не надо гадать и искать ип и домены для работы дискорда, а просто указывается условный discord.exe и все.

Но там есть нюансы с автозапуском и некоторыми приложениями (сталкивался с проблемами с играми из геймпасса например). А так читал что далеко не все приложения смотрят нормально на проксирование внутри компа. Может быть в новой версии это поправят, выйдет посмотрю.

В моем сообщении не было никакого фикса для игры. Там было не плохое подключение и телепортации, а не работала сеть вообще. Просто не подключалось и все. Ну и игры я не проксирую, играть в мультиплеер через впн это надо или иметь очень хороший сервер (что не про меня) с низкими задержками, либо быть немножко мазахистом.

Я уже разобрался, решилось добавлением "routeOnly": true в inbounds. В базовой инструкции этого почему-то нет, но упоминается в инструкции от автора xKeen. Как зачем и почему эта опция влияет на работоспособность одной игры я не понял, но разбираться глубже не буду.

 

Здесь не подскажу, я делал четко по шагам из инструкции (несколько раз ждал по часу наверно пока флешка отформатируется 😃 )

https://github.com/Corvus-Malus/XKeen

День добрый. Сделал всё, как вы разъяснили человеку выше, Xkeen стартует без ошибок, сам Дискорд открывается, чаты видны, картинки, сервера. Только голосовые каналы не работают, бесконечное подключение к ним. 
У меня есть еще отдельный клиент для Xray, NekoBox, в нем я прописал взятые вот здесь https://gitlab.com/GhostRooter0953/discord-voice-ips списки доменов и айпи, и тогда через именно NekoBox войс дискорда работает. Но как добиться того же через Xkeen? "ext:geosite_v2fly.dat:discord", "ext:zkeenip.dat:discord" не помогают, геосайты обновлял.

[mcdemon]

8 hours ago, alere said:

@jameszero

DNS провайдера игнорировать в IPv4 и IPv6, правильно?

Не обязательно т.к. при добавлении DoT/DoH, резолвинг через ДНС провайдера уже не осуществляется.

[jameszero]

14 часов назад, alere сказал:

DNS провайдера игнорировать в IPv4 и IPv6, правильно?

IPv6 лучше совсем отключить и удалить этот компонент прошивки, а насчёт DNS вам верно ответили, об этом же сказано в руководстве

[Kazantsev]

33 минуты назад, jameszero сказал:

IPv6 лучше совсем отключить и удалить этот компонент прошивки, а насчёт DNS вам верно ответили, об этом же сказано в руководстве

Модули ядра подсистемы Netfilter можно спокойно удалять?) так как это зависимый компонент

[jameszero]

1 минуту назад, Kazantsev сказал:

Модули ядра подсистемы Netfilter можно спокойно удалять?

Обратитесь к инструкции

Сначала выполните xkeen -modules для копирования необходимых модулей в entware, а затем спокойно удаляйте Netfilter и IPv6

[REM1X]

19 часов назад, Horushka сказал:

NekoBox

Для некобокс достаточно вообще сделать вот так

В Настройки маршрутов - Базовые маршруты - Кастомные маршруты

( по идее можно через настройки TUN режима, но у меня почему то не работает, но я все еще сижу на версии 3.26)

Для голоса в xKeen необходимо вот это

      {
        "inboundTag": ["redirect", "tproxy"],
        "network": "udp",
        "port": "50000-50030",
        "ip": [
          "ext:zkeenip.dat:discord"
        ]

И, если вы согласно инструкции ограничивали работу xKeen портами 80 и 443, то туда же надо добавить и 50000:50030 (те порты что в роутинге прописаны)

Если порты не ограничивали, то видимо проблема в чем-то другом.

Для дискорда от @jameszero есть отдельное решение (я до него пока не созрел):

После установки Discord, запустите DiscordProxyInstaller.exe он спросит IP роутера и порт socks5-прокси, и Discord станет работать через него. Socks5-прокси, разумеется, должен быть поднят в xray на роутере (не прокси клиент Кинетика, а просто прописан в inbounds.json). для этого добавьте в inbounds.json:

JSON

      {
        "port": 1080,
        "protocol": "socks",
        "settings": {"udp": true},
        "tag": "socks"
      },

А это в routing.json

JSON

      {
        "inboundTag": ["socks"],
        "outboundTag": "vless-reality",
        "type": "field"
      },

Socks5-прокси будет доступен на 192.168.1.1:1080

https://github.com/runetfreedom/discord-voice-proxy

Изменено 7 часов назад пользователем REM1X