маршрутизация Xkeen

[device]

Доброго дня

Может кто-то уже сталкивался с проблемой (тред читал, но решения сходу не нашел)

В какие-то моменты xray уводит CPU роутера в потолок, из-за этого зависают коннекты.

Роутер Keenetic Ultra KN-1810 (прошивка 4.2.6.3), два провайдера

Во вложении файл диагностики.

VPN подключен через  vless-tls

xkeen-diagnostic.txt

Изменено 23 марта, 2025 пользователем device

[vllv]

2 часа назад, jameszero сказал:

      {
        "inboundTag": ["redirect", "tproxy"],
        "source": ["192.168.2.0/24"],
        "outboundTag": "vless-reality"
      },

Спасибо большое за подробный пример!

Хватило даже только этого блока.

Изменено 23 марта, 2025 пользователем vllv

[jameszero]

1 час назад, vllv сказал:

Хватило даже только этого блока.

При такой настройке ко второй сети WiFi сначала применяется выборочный роутинг, а затем полный. Это лишняя нагрузка на роутер и дополнительная задержка по времени при открытии сайтов. Рекомендую всё-таки указать первую подсеть в блоке выборочной маршрутизации.

[jameszero]

2 часа назад, device сказал:

В какие-то моменты xray уводит CPU роутера в потолок, из-за этого зависают коннекты.

Обязательно - обновите ядро xray по инструкции

Желательно - ограничте порты проксирования 80 и 443

[device]

4 hours ago, jameszero said:

Обязательно - обновите ядро xray по инструкции

Желательно - ограничте порты проксирования 80 и 443

Спасибо, вроде стало постабильнее. Буду наблюдать дальше

А то уже хотел роутер обновлять до KN-1811 )

[vllv]

13 часов назад, jameszero сказал:

Рекомендую всё-таки указать первую подсеть в блоке выборочной маршрутизации.

Ага, спасибо ещё раз, дополнил конфиг)

[OhMyAndrew]

В 27.09.2024 в 17:27, jameszero сказал:

@i81, правильно, но если XKeen запустится раньше, чем прошивка Кинетика применит политику XKeen, тогда маршрутизация применится ко всему сегменту сети и возможны ситуации, подобные вашим. Можно так же попробовать перезапустить xkeen -restart, если политика применится правильно, то это подтвердит необходимость увеличения задержки при старте XKeen.

Столкнулся с той же самой проблемой на KN-2710.
Пробовал разную величину задержки (параметр -d) то 15 до 90, но ничего не помогает — после перезагрузки роутера Xkeen политика применяется ко всем wi-fi сетям, а не только к той одной, на которой она висит.
Может кто-то уже решил подобную проблему? Буду благодарен за помощь!

[jameszero]

54 минуты назад, OhMyAndrew сказал:

после перезагрузки роутера Xkeen политика применяется ко всем wi-fi сетям, а не только к той одной, на которой она висит

Используйте скрипт перезапуска XKeen - FAQ п.12

Задержку автостарта можете обнулить.

[De3mond]

Добрый день!

Обновил xray с 1.8.4 до  25.3.6 и теперь почему-то возникли проблемы с pubg и dota2. Вначале работает, а потом потеря пакетов.  У игры вне steam Black desert проблем нет.

03_inbounds.json 04_outbounds.json 05_routing.json

[jameszero]

@De3mond, добрый день!

Исключите из проксирования подсети steam, добавив их в параметр ipv4_exclude файла /opt/etc/init.d/S24xray

205.196.6.0/24 162.254.192.0/18 208.78.164.0/22 208.64.200.0/22 192.69.96.0/22 45.121.184.0/24 103.10.124.0/24 103.10.125.0/24 103.28.54.0/24 146.66.152.0/21 155.133.224.0/19 185.25.182.0/24 185.25.183.0/24

Дополнительно можете добавить подсеть голосового чата pubg, если пользуетесь им:

85.236.96.0/21

Так же ограничте порты проксирования 80 и 443, подробности в FAQ п.4

В роутинге у вас ошибки, поправил в прикреплённом файле

05_routing.json

Изменено 25 марта, 2025 пользователем jameszero

[De3mond]

3 минуты назад, jameszero сказал:

@De3mond, добрый день!

Исключите из проксирования подсети steam, добавив их в параметр ipv4_exclude файла /opt/etc/init.d/S24xray

205.196.6.0/24 162.254.192.0/18 208.78.164.0/22 208.64.200.0/22 192.69.96.0/22 45.121.184.0/24 103.10.124.0/24 103.10.125.0/24 103.28.54.0/24 146.66.152.0/21 155.133.224.0/19 185.25.182.0/24 185.25.183.0/24

Дополнительно можете добавить подсеть голосового чата pudb, если пользуетесь им:

85.236.96.0/21

Так же ограничте порты проксирования 80 и 443, подробности в FAQ п.4

В роутинге у вас ошибки, поправил в прикреплённом файле

05_routing.json 1.57 kB · 0 загрузок

Спасибо, попробую так сделать. Порты у меня ограниченны.

[anm]

Добрый день! Подключаюсь к роутеру через OpenConnect, цель - пустить трафик подключенного устройства через X-Keen. Сумел добиться того, что подключенное устройство выходи в интернет через роутер, но игнорирует X-Keen. Помогите пожалуйста разобраться. Что нужно еще сделать?

Роутер: Keenetic Viva (KN-1913)

 

Установленная версия ОС: 4.2.6.3

 

[jameszero]

47 минут назад, anm сказал:

OpenConnect, цель - пустить трафик подключенного устройства через X-Keen

Добрый день! Настраивается по аналогии с WireGuard - FAQ п.15

[merokoo]

Здравствуйте. Кто подскажет где поглядеть типовую конфу для подключения через Trojan? Спасибо

up. XKeen-Config-Generator

Изменено 1 апреля, 2025 пользователем merokoo
Решение

[Гость]

подскажите команда 

iptables -t mangle -A PREROUTING -p udp -m connmark --mark 0xffffaad -m conntrack ! --ctstate INVALID -m multiport --dports 53,80,443,8080 -j xkeen

заставляет работать DNS через xray
что подтверждает log 

2025/03/31 07:21:41.099552 from 192.168.2.7:52235 accepted udp:192.168.2.1:53 [tproxy -> dns-out]
2025/03/31 07:21:41.197381 DOH//1.1.1.1 got answer: ifconfig.co -> [172.67.168.106, 104.21.54.91] 96.367754ms

но почему-то куда-то пропадает остальная маршрутизация, у всех политик подключений и сетей теряется DNS
вместо того чтобы обрабатывать только пакеты с mark 0xffffaad

команда добавление  для непомеченного трафика, чтобы их DNS-запросы тоже обрабатывались

iptables -t mangle -A PREROUTING -p udp -m connmark ! --mark 0xffffaad -m conntrack ! --ctstate INVALID -m multiport --dports 53 -j xkeen

спасает положение, но DNS запросы для всех устройств получается идут через XRAY

Как победить запрос медленный через XRAY, как пробросить запросы на штатный DNS от кинетика?
browserleaks.com/ip показывает DNS россии хотя это не так, что доказывает сайт www.themoviedb.org который стал открываться на всех устройствах.

 

Изменено 31 марта, 2025 пользователем Гость

[Гость]

1 час назад, seeii сказал:

подскажите команда 

iptables -t mangle -A PREROUTING -p udp -m connmark --mark 0xffffaad -m conntrack ! --ctstate INVALID -m multiport --dports 53,80,443,8080 -j xkeen

заставляет работать DNS через xray
что подтверждает log 

2025/03/31 07:21:41.099552 from 192.168.2.7:52235 accepted udp:192.168.2.1:53 [tproxy -> dns-out]
2025/03/31 07:21:41.197381 DOH//1.1.1.1 got answer: ifconfig.co -> [172.67.168.106, 104.21.54.91] 96.367754ms

но почему-то куда-то пропадает остальная маршрутизация, у всех политик подключений и сетей теряется DNS
вместо того чтобы обрабатывать только пакеты с mark 0xffffaad

команда добавление  для непомеченного трафика, чтобы их DNS-запросы тоже обрабатывались

iptables -t mangle -A PREROUTING -p udp -m connmark ! --mark 0xffffaad -m conntrack ! --ctstate INVALID -m multiport --dports 53 -j xkeen

спасает положение, но DNS запросы для всех устройств получается идут через XRAY

Как победить запрос медленный через XRAY, как пробросить запросы на штатный DNS от кинетика?
browserleaks.com/ip показывает DNS россии хотя это не так, что доказывает сайт www.themoviedb.org который стал открываться на всех устройствах.

 

Походу сам Xray закрывает или перекрывает 53 порт, если кикнуть процесс xray
ps -w | grep xray | grep -v grep | awk '{print $1}' | xargs kill

начинает работает DNS

[jameszero]

1 час назад, seeii сказал:

Как победить запрос медленный через XRAY, как пробросить запросы на штатный DNS от кинетика?

Этот вариант не подходит?

DNS-over-VLESS

[Гость]

11 минут назад, jameszero сказал:

Этот вариант не подходит?

DNS-over-VLESS

Я по данному руководству делал, спасибо. Не знаю что-то открыло порт 53

~/DNS # netstat -tulnp | grep "xray"
tcp        0      0 192.168.2.1:10085       0.0.0.0:*               LISTEN      6564/xray
tcp        0      0 127.0.0.1:1080          0.0.0.0:*               LISTEN      6564/xray
tcp        0      0 :::61218                :::*                    LISTEN      6564/xray
udp        0      0 192.168.2.1:53          0.0.0.0:*                           6564/xray
udp        0      0 192.168.2.1:53          0.0.0.0:*                           6564/xray
udp        0      0 192.168.2.1:53          0.0.0.0:*                           6564/xray
udp        0      0 127.0.0.1:1080          0.0.0.0:*                           6564/xray
udp        0      0 :::61219                :::*                                6564/xray

 

[jameszero]

2 минуты назад, seeii сказал:

Не знаю что-то открыло порт 53

Xray и открыл. При наличии в конфигах секции dns, включается встроенный в xray DNS-сервер.

[Гость]

2 часа назад, jameszero сказал:

Xray и открыл. При наличии в конфигах секции dns, включается встроенный в xray DNS-сервер.

Не знаю мне кажется встроенный ndnproxy в кинетек просто перестает работать

удаляешь маршрут, начинает работать

iptables -t mangle -D PREROUTING -p udp -m connmark --mark 0xffffaad -m conntrack ! --ctstate INVALID -m multiport --dports 53,80,443,8080 -j xkeen

такое ощущение что метка 0xffffaad  применяется ко всем соединениям

iptables -t mangle -A PREROUTING -p udp -m connmark --mark 0xffffaad -m conntrack ! --ctstate INVALID -m multiport --dports 53,80,443,8080 -j xkeen

~/DNS # xray -version
Xray 25.3.6 (Xray, Penetrates Everything.) 2cba2c4 (go1.24.1 linux/mipsle)

Giga (KN-1011)  OS  Version 4.3 Beta 4

никаких ошибок в System Log

Перетащу все устройства в зону XKEEN, или в DHCP DNS поменять на внешний или
строку в маршрут добавить

iptables -t mangle -A PREROUTING -p udp -m connmark ! --mark 0xffffaad -m conntrack ! --ctstate INVALID -m multiport --dports 53 -j xkeen

 

Изменено 31 марта, 2025 пользователем Гость

[ASK46]

Здравствуйте, настроил xkeen на Hopper KN-3811, теперь для работы флэшка всегда должна быть вставлена в роутер или нет? Должен ли быть включен в настройках подключения IPv6? Спасибо

[Nogard]

Добрый день. Пользуюсь сим замечательным инструментом и всё бы ничего, но есть один неприятный момент. Когда компьютер в "политика доступа" переключён на Xkeen (то есть как я понимаю, траффик идёт через инструмент), с некоторыми программами возникает проблема (когда не в xkeen всё нормально). В частности самое постоянное это видеозвонки. Когда я осуществляю их в корпоративном рабочем софте (название вам ничего не скажет), то через рандомные (короткие, несколько минут) промежутки времени меня перестают слышать, а мой видеоряд (демонстрация рабочего стола) зависает. При этом я людей прекрасно всех слышу без каких-либо проблем. Они говорят мне, что я "пропал" и я переоткрываю вкладку браузера, как бы переподключаясь к звонку и тогда несколько минут снова всё нормально. В случае обычного звонка, периоды "до отваливания" длиннее. Почти аналогичная проблема, с видеозвонками в Телеграмме, но там ситуация чуть лучше - зависает моя демонстрация экрана, но мой голос остаётся и меня слышат, мне говорят что видео зависло, я отключаю демонстрацию экрана (без перезахода в звонок), тут же снова включаю и какое-то время всё нормально, пока через какое-то, чуть большее чем в корпоративном софте, время ситуация не повторяется. В онлайн игры не играю, поэтому не знаю есть ли там какая-то проблема (если говорить про то встречается ли это ещё где-то где требуется постоянное соединение с интернетом), в обычном сёрфинге всё нормально, да и рабочий ВПН вроде как тоже нормально живёт. "Вроде как", потому что после первого подключения он разрывает, сразу переподключает автоматически и дальше работает без проблем сколько угодно времени, но тут я не заметил чтобы отключение XKeen как-то влияло.

 

Инструкцию по которой настраивал, мне приложить ссылку скорей всего не дадут, сочтя за спам или вроде того. Дополнительно, в этой теме видел информацию о добавлении пары строк в конфигурации на роутере

net.core.default_qdisc=fq и net.ipv4.tcp_congestion_control=bbr

но никакого эффекта это не дало (роутер перезапускал).

Версия XKeen - 1.1.3

Файл 05_routing настроен (в теории) так, чтобы весь траффик шёл "мимо" кроме тех ресурсов которые указаны напрямую.

 

Можете что-нибудь подсказать, пожалуйста?

Изменено 2 апреля, 2025 пользователем Nogard

[jameszero]

10 часов назад, Nogard сказал:

через рандомные (короткие, несколько минут) промежутки времени меня перестают слышать

Добрый день!

Это особенность xray, глобального решения нет - FAQ п.4

Изменено 3 апреля, 2025 пользователем jameszero

[Nogard]

11 минут назад, jameszero сказал:

Добрый день!

Это особенность xray, глобального решения нет - FAQ п.4

Большое спасибо за оперативный ответ.

[Ilya Ilya]

Добрый день.

KN GIGA 1011
Возникает данная ошибка
protocol error: received *http2.GoAwayFrame before a SETTINGS frame

Перешёл на форк и обновил xray. 
xray version 25.3.6
xkeen 1.1.3.2
keenteticOS 4.1.7

[jameszero]

3 часа назад, Ilya Ilya сказал:

protocol error: received *http2.GoAwayFrame before a SETTINGS frame

Добрый день!

Новой версии xray что-то не нравится в вашем outbounds

Без понимания, что у вас в конфигах, сказать что либо еще, трудно.

[Lanse]

Добрый день.
Внезапно перестал работать xkeen на роутере keenetic viva (kn-1913), а именно трафик клиентов в политике xkeen идет через обычное подключение без прокси. Ничего не трогал, конфиги не изменял, просто в один момент трафик перестал идти через прокси. Пробовал переустановить сначала сам xkeen, потом ethware в целом - ничего не помогает. Так же пробовал обновлять xray, устанавливать форк xkeen - всё то же самое. В 3x-ui на vps клиент числится как неактивный, другие клиенты(windows, android) из под того же провайдера подключаются без проблем. Никаких ошибок в логах xray нет.
Конфиги после переустановки используются стандартные(кроме, понятное дело, outbounds, его генерировал через xkeen config generator):

routing:

Спойлер

inbounds:

Спойлер

outbounds:

Спойлер

статус в 3x-ui:

Спойлер

 

Изменено 3 апреля, 2025 пользователем Lanse

[jameszero]

10 часов назад, Lanse сказал:

трафик клиентов в политике xkeen идет через обычное подключение без прокси

Добрый день!

Вы проксируете только TCP протокол, в то время, как многие сайты используют протокол UDP для определения геолокации.

Причина - у вас файл inbounds.json настроен на режим Redirect, к тому же в нём отсутствует важный параметр routeOnly. Замените файл на тот, что в форке или составьте свой inbounds.json с режимом Mixed или TProxy.

Изменено 4 апреля, 2025 пользователем jameszero

[Ilya Ilya]

18 часов назад, jameszero сказал:

Добрый день!

Новой версии xray что-то не нравится в вашем outbounds

Без понимания, что у вас в конфигах, сказать что либо еще, трудно.

Добрый день,

Генерировал outbounds на основе ссылки:
https://corvus-malus.github.io/XKeen-Config-Generator/

outbounds

Спойлер

{
    "outbounds": [
        {
            "tag": "vless-reality",
            "protocol": "vless",
            "settings": {
                "vnext": [
                    {
                        "address": "161.35.146.0",
                        "port": 443,
                        "users": [
                            {
                                "id": "d2e1707f-41b2-4521-810d-30bd3a082cd8",
                                "flow": "xtls-rprx-vision",
                                "encryption": "none",
                                "level": 0
                            }
                        ]
                    }
                ]
            },
            "streamSettings": {
                "network": "tcp",
                "security": "reality",
                "realitySettings": {
                    "publicKey": "22IliGKbsMjBCRWw7KGz_9dK--yPLyi3hylhJfjV7zo",
                    "fingerprint": "chrome",
                    "serverName": "yahoo.com",
                    "shortId": "af",
                    "spiderX": "/"
                }
            }
        },
        {
            "tag": "direct",
            "protocol": "freedom"
        },
        {
            "tag": "block",
            "protocol": "blackhole",
            "settings": {
                "response": {
                    "type": "http"
                }
            }
        }
    ]
}

routing

Спойлер

{
  "routing": {
    "domainStrategy": "IPIfNonMatch",
    "rules": [
      {
        "type": "field",
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "block",
        "network": "udp",
        "port": "135,137,138,139"
      },
      {
        "type": "field",
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "direct",
        "protocol": [
          "bittorrent"
        ]
      },
      {
        "type": "field",
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "direct",
        "domain": [
          "regexp:^([\\w\\-\\.]+\\.)ru$",
          "regexp:^([\\w\\-\\.]+\\.)su$",
          "regexp:^([\\w\\-\\.]+\\.)xn--p1ai$",
          "regexp:^([\\w\\-\\.]+\\.)xn--p1acf$",
          "regexp:^([\\w\\-\\.]+\\.)xn--80asehdb$",
          "regexp:^([\\w\\-\\.]+\\.)xn--c1avg$",
          "regexp:^([\\w\\-\\.]+\\.)xn--80aswg$",
          "regexp:^([\\w\\-\\.]+\\.)xn--80adxhks$",
          "regexp:^([\\w\\-\\.]+\\.)moscow$",
          "regexp:^([\\w\\-\\.]+\\.)xn--d1acj3b$",
          "ext:geosite_v2fly.dat:category-gov-ru",
          "ext:geosite_v2fly.dat:yandex",
          "ext:geosite_v2fly.dat:vk",
          "ext:geosite_v2fly.dat:steam"
        ]
      },
      {
        "type": "field",
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "direct",
        "ip": [
          "ext:geoip_zkeenip.dat:ru"
        ]
      },
      {
        "type": "field",
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "vless-reality",
        "network": "tcp,udp"
      }
    ]
  }
}

 

Изменено 4 апреля, 2025 пользователем Ilya Ilya
Вместо кода был выбран спойлер

[jameszero]

5 часов назад, Ilya Ilya сказал:

outbounds

Оба файла нормальные, причина ошибки не в них. Посмотрите на загрузку процессора роутера, может его большой трафик кладёт. Попробуйте ограничить порты проксирования 80 и 443. Других идей пока,  к сожалению, нет.