маршрутизация Xkeen

[jameszero]

@alere

Добрый день!

Упростите схему до SFP - XKeen - VPS. Когда получите стабильную работу, подключайте второй VPS, а уже после подключайте WARP. Тогда сможет понять на каком этапе возникает проблема.

Торренты вы не заблокируете роутингом и если они активны, а тем более на нескольких устройствах, то могут запросто ложить xray огромным количеством открытых соединений.

Если выставили задержку 180 секунд, то перезапускаться xkeen никак не может за 5-10 секунд. На это потребуется 180+ секунд.

Уделите внимание настройке DNS. В роутере обязательно должны быть прописаны шифрованные DoH или DoT серверы, а на клиентах отключены частные DNS. Весь DNS-трафик должен идти через DNS роутера.

1. Логирование xray включается в файле 01_log.json

2. Если xray аварийно упадёт, то вы и получите Kill Switch. Трафик пойдет напрямую только если штатно остановить xkeen -stop и это поведение изменить нельзя.

 

 

[alere]

@jameszero

Спасибо за подробный ответ! Буду разбираться. DNS провайдера игнорировать в IPv4 и IPv6, правильно?

Изменено 16 января, 2025 пользователем alere

[Horushka]

В 04.01.2025 в 14:42, REM1X сказал:

Файл в ..\opkg\etc\xray\dat

Это просто список ип для маршрутизации, конечно если его просто положить туда, то ничего не изменится, нужно будет в файле 05_routing добавить фрагмент, если у вас его нет

	  {
        "inboundTag": ["redirect", "tproxy"],
        "domain": [
        "ext:geosite_v2fly.dat:discord",
        "ext:geosite_v2fly.dat:speedtest"
        ],
		"ext" : {
        "name" : "Discord_TCP/UDP"
        },
        "network" : "tcp,udp",
		"outboundTag": "proxy",
        "type": "field"
      },
      {
        "inboundTag": ["redirect", "tproxy"],
        "network": "udp",
        "port": "50000-50030",
        "ip": [
          "ext:zkeenip.dat:discord"
        ],
        "outboundTag": "proxy",
        "type": "field"
      },

Откорректировав названия тэгов, конечно, согласно вашей конфигурации.

Собственно по ссылке что я кинул буквально есть такой же пример

https://github.com/jameszeroX/zkeen-ip

Опыт работы положительный, самое главное есть проксирование по процессам (правда как минимум в моей версии настраивается криво, но работает). То есть не надо гадать и искать ип и домены для работы дискорда, а просто указывается условный discord.exe и все.

Но там есть нюансы с автозапуском и некоторыми приложениями (сталкивался с проблемами с играми из геймпасса например). А так читал что далеко не все приложения смотрят нормально на проксирование внутри компа. Может быть в новой версии это поправят, выйдет посмотрю.

В моем сообщении не было никакого фикса для игры. Там было не плохое подключение и телепортации, а не работала сеть вообще. Просто не подключалось и все. Ну и игры я не проксирую, играть в мультиплеер через впн это надо или иметь очень хороший сервер (что не про меня) с низкими задержками, либо быть немножко мазахистом.

Я уже разобрался, решилось добавлением "routeOnly": true в inbounds. В базовой инструкции этого почему-то нет, но упоминается в инструкции от автора xKeen. Как зачем и почему эта опция влияет на работоспособность одной игры я не понял, но разбираться глубже не буду.

 

Здесь не подскажу, я делал четко по шагам из инструкции (несколько раз ждал по часу наверно пока флешка отформатируется 😃 )

https://github.com/Corvus-Malus/XKeen

День добрый. Сделал всё, как вы разъяснили человеку выше, Xkeen стартует без ошибок, сам Дискорд открывается, чаты видны, картинки, сервера. Только голосовые каналы не работают, бесконечное подключение к ним. 
У меня есть еще отдельный клиент для Xray, NekoBox, в нем я прописал взятые вот здесь https://gitlab.com/GhostRooter0953/discord-voice-ips списки доменов и айпи, и тогда через именно NekoBox войс дискорда работает. Но как добиться того же через Xkeen? "ext:geosite_v2fly.dat:discord", "ext:zkeenip.dat:discord" не помогают, геосайты обновлял.

[jameszero]

14 часов назад, alere сказал:

DNS провайдера игнорировать в IPv4 и IPv6, правильно?

IPv6 лучше совсем отключить и удалить этот компонент прошивки, а насчёт DNS вам верно ответили, об этом же сказано в руководстве

[Kazantsev]

33 минуты назад, jameszero сказал:

IPv6 лучше совсем отключить и удалить этот компонент прошивки, а насчёт DNS вам верно ответили, об этом же сказано в руководстве

Модули ядра подсистемы Netfilter можно спокойно удалять?) так как это зависимый компонент

[jameszero]

1 минуту назад, Kazantsev сказал:

Модули ядра подсистемы Netfilter можно спокойно удалять?

Обратитесь к инструкции

Сначала выполните xkeen -modules для копирования необходимых модулей в entware, а затем спокойно удаляйте Netfilter и IPv6

[REM1X]

19 часов назад, Horushka сказал:

NekoBox

Для некобокс достаточно вообще сделать вот так

В Настройки маршрутов - Базовые маршруты - Кастомные маршруты

( по идее можно через настройки TUN режима, но у меня почему то не работает, но я все еще сижу на версии 3.26)

Для голоса в xKeen необходимо вот это

      {
        "inboundTag": ["redirect", "tproxy"],
        "network": "udp",
        "port": "50000-50030",
        "ip": [
          "ext:zkeenip.dat:discord"
        ]

И, если вы согласно инструкции ограничивали работу xKeen портами 80 и 443, то туда же надо добавить и 50000:50030 (те порты что в роутинге прописаны)

Если порты не ограничивали, то видимо проблема в чем-то другом.

Для дискорда от @jameszero есть отдельное решение (я до него пока не созрел):

После установки Discord, запустите DiscordProxyInstaller.exe он спросит IP роутера и порт socks5-прокси, и Discord станет работать через него. Socks5-прокси, разумеется, должен быть поднят в xray на роутере (не прокси клиент Кинетика, а просто прописан в inbounds.json). для этого добавьте в inbounds.json:

JSON

      {
        "port": 1080,
        "protocol": "socks",
        "settings": {"udp": true},
        "tag": "socks"
      },

А это в routing.json

JSON

      {
        "inboundTag": ["socks"],
        "outboundTag": "vless-reality",
        "type": "field"
      },

Socks5-прокси будет доступен на 192.168.1.1:1080

https://github.com/runetfreedom/discord-voice-proxy

Изменено 17 января, 2025 пользователем REM1X

[Vasya]

Добрый день.

вопрос но номеру ядра Xray 

У меня на ультре при запуске пишет Ultra (KN-1811) 

Xray 1.8.4 (Xray, Penetrates Everything.) Custom (go1.21.0 linux/arm64)

При этом в виндовс клиенте ядро 

Xray 24.12.31 (Xray, Penetrates Everything.) 4be32e9 (go1.23.4 windows/amd64)

Вопрос а такая большая разница в версиях Xray  это нормально ? 
XKEEN  же как бы должен версии обновлять. 

UpDate разобрался как перейти на новою версию ядра 

1. Переписать конфиг в 1 файл - config.json. Ранее у меня было 6 вида 01_log.json .... 06_policy.json . берем все кроме 02_transport.json (как я понял в новых версиях ядра убрали этот  раздел и пока я его не исключил новое ядро не запускалось и ругалось на его теги) и  содержимое копируем в один файл , но при этом убирая крайние внешние скобочки и ставя запятые -  пример в доках есть .
2. идем сюда  и запускаем специально написанный автором скрипт . при необходимости включаем автообновление 

Все получаем нужное - последнее ядро

 Xray 24.12.31 (Xray, Penetrates Everything.) 4be32e9 (go1.23.4 linux/arm64)
A unified platform for anti-censorship.
2025/01/18 18:48:47 Using confdir from env: /opt/etc/xray/configs
2025/01/18 18:48:47 [Info] infra/conf/serial: Reading config: &{Name:/opt/etc/xray/configs/config.json Format:json}
  Прокси-клиент запущен
P/S/ - свежее ядро вроде меньше грузит проц роутера , работает пошустрее

Изменено 18 января, 2025 пользователем Vasya

[Neytrino]

Vasya, Xkeen (как бы) работает на версии - которую считает стабильной уважаемая Skrill0

[Vasya]

29 минут назад, Neytrino сказал:

Vasya, Xkeen (как бы) работает на версии - которую считает стабильной уважаемая Skrill0

А вдруг ее заинтересовали более важные дела и она за этим не следит , все таки разница в номерах версий очень велика

[TheBB]

2 часа назад, Vasya сказал:

вопрос но номеру ядра Xray 

Изменилась модель нумерации версий - год.месяц.день

[Vasya]

5 часов назад, TheBB сказал:

Изменилась модель нумерации версий - год.месяц.день

Последняя до смены нумерации 1.8.24 и она от середины 24 года

А 1.8.4 она аж от 23 года 

[alexkid]

Подскажите, а возможно ли совместное использование контентной DNS фильтрации (например, с Yandex.DNS — Семейный) и политики XKeen? Смысл в том, чтоб работал обход ограничений Youtube И Discord, и в тоже время, блокировались сайты для взрослых. При одновременном включении на клиенте и политики доступа Xkeen, и интернет-фильтра, фильтр перестает работать.

[jameszero]

2 часа назад, alexkid сказал:

в тоже время, блокировались сайты для взрослых

Добрый день!

Просто пропишите в Интернет фильтрах роутера семейный Яндекс.DNS -  family.dot.dns.yandex.net Эффект будет такой же, как от модуля контентной фильтрации.

[alexkid]

9 минут назад, jameszero сказал:

Добрый день!

Просто пропишите в Интернет фильтрах роутера семейный Яндекс.DNS -  family.dot.dns.yandex.net Эффект будет такой же, как от модуля контентной фильтрации.

Но мне надо, чтоб семейный фильтр поменялся только к конкретному устройству ребенка, а у остальных было бы без фильтрации.

[jameszero]

В 19.01.2025 в 16:42, alexkid сказал:

надо, чтоб семейный фильтр поменялся только к конкретному устройству

Вы можете реализовать родительский контроль с помощью xray)

Таким блоком в роутинге можно заблокировать взрослые сайты для устройства с IP-адресом 192.168.1.123

      {
        "inboundTag": ["redirect", "tproxy"],
        "source": [
          "192.168.1.123"
        ],
        "domain": [
          "ext:geosite_v2fly.dat:category-porn"
        ],
        "outboundTag": "block",
        "type": "field"
      },

 

[Xop0]

On 1/12/2025 at 4:56 PM, jameszero said:

@Xop0

Добрый день!

1. В веб интерфейсе Кинетика на станице OPKG выставьте "Накопитель" >> "Не выбран" и отключите флешку. Перезагрузите роутер, но это не обязательно.

2. Данные домены есть тут в категории domains

Как оказалось, лучше всё же сбросить роутер до заводских. 
Ибо и /opt/etc/init.d/rc.unslung проходило как-то неправильно. И пароль кинетик для рута потом почему-то не подходит.
Удивительно. Каждый раз что-то новое. 

В инструкцию для чайников бы дополнил, что рекомендуется форматировать называя раздел opkg (или OPKG, не ясно, с капсом были ошибки), чтобы всё как в инструкции была, а Entwar проще через интерфейс роутера закинуть, чтобы с политикой групп виндовс не возиться. 
Ну и пометка, что в командной строке пасфорд имеет нулевой размер и нужно вводить в слепую тоже не помешает.

Четыре часа убил появились наконец смайлы, но пинг теперь 400 в марвел ривалс, либо у них там сегодня сервера тупят, либо я рутирую сервера эпиков. Так ещё переподключение к чату при отстутств новых сообщений никуда не ушло. В этот раз всё точно по новой инструкции сделал, кроме днс. 
 

 

Изменено 20 января, 2025 пользователем Xop0

[Xop0]

+ Считаю, что это должно быть обязательно в инструкции, без него ни дискорд не работает, ни часть игр, помучался, ибо знаний в програмировании 0 и почему несколько раз вадавало ошибки не знаю, что-то сделал, но докинул дат и наконфигал 5й файл.
https://github.com/jameszeroX/zkeen-ip?tab=readme-ov-file
Итог

 

// Настройка маршрутизации
{
  "routing": {
    "rules": [

      // Блокировка  |   Уязвимые UDP порты
      {
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "block",
        "type": "field",
        "network": "udp",
        "port": "135, 137, 138, 139"
      },
      
       {
        "inboundTag": ["redirect", "tproxy"],
        "domain": [
        "ext:geosite_v2fly.dat:discord",
        "ext:geosite_v2fly.dat:speedtest"
        ],
		"ext" : {
        "name" : "Discord_TCP/UDP"
        },
        "network" : "tcp,udp",
		"outboundTag": "proxy",
        "type": "field"
      },
      {
        "inboundTag": ["redirect", "tproxy"],
        "network": "udp",
        "port": "50000-50030",
        "ip": [
          "ext:zkeenip.dat:discord"
        ],
        "outboundTag": "proxy",
        "type": "field"
      },
	  
      // Блокировка | Реклама и аналитика
      {
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "block",
        "type": "field",
        "domain": [
        "appcenter.ms"
        ]
      },
	  
      // VPS подключение  |  Доменные имена
      {
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "vless-reality",
        "type": "field",
        "domain": [
        "ext:geosite_v2fly.dat:google",
        "ext:geosite_v2fly.dat:speedtest",
        "ext:geosite_v2fly.dat:tiktok",
        "ext:geosite_zkeen.dat:domains",
        "ext:geosite_zkeen.dat:other",
        "2ip.ru",
        "2ip.io"
        ]
      },
	  
      {
      // VPS подключение  |  IP адреса
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "vless-reality",
        "type": "field",
        "ip": [
        "ext:geoip_v2fly.dat:google",
        "ext:geoip_v2fly.dat:twitter"
        ]
      },

      // Прямое подключение  |  Все остальное
      {
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "direct",
        "type": "field"
      }
    ]
  }
}

Если что-то сломается или опять работать не будет - сдамся, проще заплачу кому-то, как человеку выше. Сам я это больше настраивать не хочу. 

[Evgeny1997]

Добрый день!

Подскажите, работал xkeen почти полгода, без проблем, а вот сегодня начала выпадать ошибка (и как следствие нет инета через политику).

panic: runtime error: slice bounds out of range [:2287] with capacity 2048 goroutine 286 [running]: github.com/xtls/xray-core/common/protocol/quic.SniffQUIC({0x4000538000, 0xef2, 0x2000}) github.com/xtls/xray-core/common/protocol/quic/sniff.go:220 +0x15d8 github.com/xtls/xray-core/app/dispatcher.NewSniffer.func4({0x4000485d48?, 0x40f2c8?}, {0x4000538000?, 0x0?, 0x4000485d28?}) github.com/xtls/xray-core/app/dispatcher/sniffer.go:40 +0x2c github.com/xtls/xray-core/app/dispatcher.(*Sniffer).Sniff(0x40002c9770, {0xeb1748, 0x4000480600}, {0x4000538000, 0xef2, 0x2000}, 0x3) github.com/xtls/xray-core/app/dispatcher/sniffer.go:64 +0xbc github.com/xtls/xray-core/app/dispatcher.sniffer.func1({0xeb1748, 0x4000480600}, 0x4000480600?, 0x4000530660, 0x4000530630?, 0x30?) github.com/xtls/xray-core/app/dispatcher/default.go:346 +0xf0 github.com/xtls/xray-core/app/dispatcher.sniffer({0xeb1748, 0x4000480600}, 0x0?, 0x0, 0x0?) github.com/xtls/xray-core/app/dispatcher/default.go:356 +0xb8 github.com/xtls/xray-core/app/dispatcher.(*DefaultDispatcher).Dispatch.func1() github.com/xtls/xray-core/app/dispatcher/default.go:241 +0xe8 created by github.com/xtls/xray-core/app/dispatcher.(*DefaultDispatcher).Dispatch in goroutine 285 github.com/xtls/xray-core/app/dispatcher/default.go:236 +0x32c Xray 1.8.4 (Xray, Penetrates Everything.) Custom (go1.21.0 linux/arm64)

 

Подскажите, с чем может быть связано? И может есть смысл откатиться назад. Сейчас стоит:

Xray 1.8.4 (Xray, Penetrates Everything.) Custom (go1.21.0 linux/arm64)

[ip_tara]

Добрый день! а может кто-нибудь пояснить, как работает dns-модуль xray? Не понял, что для него является входящим подключением, а что исходящим? Например, куда отправляет исходящее подключение DNS?

Изменено 22 января, 2025 пользователем ip_tara

[sotik51]

Доброго вечера всем. Может кто сталкивался что IPTV работать хуже, постоянная буферизация. Подскажите пожалуйста как правильно редактировать конфиги(и с помощью каких команд или ПО) Хочу добавить ресурс в исключение с помощью редактирования текстового редактора, после перезапуска xkeen выдает ошибки конфига(сразу говорю руки кривые и в этом слабо понимаю, прошу прощения)

[ZVM75]

какой ни пробовал способ - не работает войс в дискорде. только сам запускается и чат доступен.

в статусе "не установлен маршрут".

делал, как выше описано.

[BaronKorf]

В 22.01.2025 в 14:19, Evgeny1997 сказал:

Добрый день!

Подскажите, работал xkeen почти полгода, без проблем, а вот сегодня начала выпадать ошибка (и как следствие нет инета через политику).

panic: runtime error: slice bounds out of range [:2287] with capacity 2048 goroutine 286 [running]: github.com/xtls/xray-core/common/protocol/quic.SniffQUIC({0x4000538000, 0xef2, 0x2000}) github.com/xtls/xray-core/common/protocol/quic/sniff.go:220 +0x15d8 github.com/xtls/xray-core/app/dispatcher.NewSniffer.func4({0x4000485d48?, 0x40f2c8?}, {0x4000538000?, 0x0?, 0x4000485d28?}) github.com/xtls/xray-core/app/dispatcher/sniffer.go:40 +0x2c github.com/xtls/xray-core/app/dispatcher.(*Sniffer).Sniff(0x40002c9770, {0xeb1748, 0x4000480600}, {0x4000538000, 0xef2, 0x2000}, 0x3) github.com/xtls/xray-core/app/dispatcher/sniffer.go:64 +0xbc github.com/xtls/xray-core/app/dispatcher.sniffer.func1({0xeb1748, 0x4000480600}, 0x4000480600?, 0x4000530660, 0x4000530630?, 0x30?) github.com/xtls/xray-core/app/dispatcher/default.go:346 +0xf0 github.com/xtls/xray-core/app/dispatcher.sniffer({0xeb1748, 0x4000480600}, 0x0?, 0x0, 0x0?) github.com/xtls/xray-core/app/dispatcher/default.go:356 +0xb8 github.com/xtls/xray-core/app/dispatcher.(*DefaultDispatcher).Dispatch.func1() github.com/xtls/xray-core/app/dispatcher/default.go:241 +0xe8 created by github.com/xtls/xray-core/app/dispatcher.(*DefaultDispatcher).Dispatch in goroutine 285 github.com/xtls/xray-core/app/dispatcher/default.go:236 +0x32c Xray 1.8.4 (Xray, Penetrates Everything.) Custom (go1.21.0 linux/arm64)

 

Подскажите, с чем может быть связано? И может есть смысл откатиться назад. Сейчас стоит:

Xray 1.8.4 (Xray, Penetrates Everything.) Custom (go1.21.0 linux/arm64)

Тоже самое сегодня получил ( пока просто перезапустил (при этом он работал у меня долго, но перед ошибкой я тестировал новый роутинг и рестартовал минут за 5 до этой ошибки)

 

 UPD, нужно удалить 02_transport.json и далее пройти процесс обновления ядра по инструкции

Изменено 24 января, 2025 пользователем BaronKorf

[Алексей2583]

Напишите пожалуйста в телегу @kalex3. Кто может удаленно за вознаграждение настроить vless на kn1010. Заранее благодарю 

[Sabre]

Всем привет!

Подскажите, как можно пустить через VPN только конкретный домен, а все остальное через директ ?

Я так понял нужно что-то поменять в файле routing, но что именно ?

[Kazantsev]

В 22.01.2025 в 02:37, Xop0 сказал:

Блокировка  |   Уязвимые UDP порты
      {
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "block",
        "type": "field",
        "network": "udp",
        "port": "135, 137, 138, 139"
      },

На кой нужно это правило, не понимаю

[Xop0]

12 hours ago, Kazantsev said:

На кой нужно это правило, не понимаю

Понятия не имею, я бездумно копировал 5 файл, лишь бы хоть что-то работало. 
Сейчас только иногда дискорд тормозит, может у кого-то есть получше файл по инструкции, но если чисто по ней, то голосовой дискорда вообще не работал.

Главные проблемы остались такие. Почему вообще твич рутируется - не знаю (нужно было толкьо смайлы) 
Зависает одновременно на всех устройствах, словно интернет спотыкается, но при этом не зависает, если что-то качается

[bav0103]

Приветствую всех. Такая проблема у меня. Имеется телевизор Haier на ОС андроид. Работает без проблем по воздуху на 5 ГГц , канал фиксированный и IP тоже.В настройках ТВ стоит DHCP. Если переношу его в политику XKeen, то он не цепляется к WiFi автоматически, а если его вручную подключаешь к WiFi, то пишет типа " подключение с ограничениями". По факту интернета на нем вообще нет. Все остальные устройства дома без проблем в политике XKeen, в том числе другой телевизор с ОС Vidaa, а с этим теликом проблемы. Куда копать?

[Дмитрий_]

Подскажите чайнику, пжл. Пару месяцев назад установил на кинетик гигу - все работало. Неск дней назад по wifi вдруг пошло прямое соединение через провайдера. Что я только не делал. К заводским возвращался, промежуточные версии ОС с установленным xkeen подгружал, флешку поменял - бесполезно. В журнале ошибка: Opkg::Manager: invalid initrc "/opt/etc/init.d/rc.unslung": no such file or directory, trying /opt/etc/init.d/.

на флешке (указана как накопитель в OPKG, формат EXT4) папка install и в ней mipsel-installer.tar.gz (его же использовал 2 мес назад).

роутер Giga (KN-1011) EAEU

мистика какая-то

 

 

 

 

 

[ImmortAlex]

20 hours ago, bav0103 said:

Приветствую всех. Такая проблема у меня. Имеется телевизор Haier на ОС андроид. Работает без проблем по воздуху на 5 ГГц , канал фиксированный и IP тоже.В настройках ТВ стоит DHCP. Если переношу его в политику XKeen, то он не цепляется к WiFi автоматически, а если его вручную подключаешь к WiFi, то пишет типа " подключение с ограничениями". По факту интернета на нем вообще нет. Все остальные устройства дома без проблем в политике XKeen, в том числе другой телевизор с ОС Vidaa, а с этим теликом проблемы. Куда копать?

Телек, значит, проверяет наличие интернета через обращение к какому-то серверу, который через Xkeen не отвечает. Надо мониторить логи в момент его подключения и тот портал прописывать в direct.