маршрутизация Xkeen

[ip_tara]

2 часа назад, jameszero сказал:

используйте inbounds с режимом socks5. Цепи маршрутизации TProxy в XKeen не обрабатывают DNS трафик.

А вот это ценная информация, спасибо!

Вообще, замечу, что при таком хорошем и важном продукте, так мало технических деталей и особенностей реализации. Но все равно, спасибо!

[nginx]

On 4/17/2025 at 11:25 AM, nginx said:

Всем привет! В этом треде был вопрос про wink, как добавить его в исключения, чтобы подключение к нему шло напрямую. Хотел бы такой же вопрос задать про Movix (Дом.ру). Подскажите, пожалуйста, какие адреса для него нужно прописать? Заранее спасибо.

Добрый день, вопрос всё еще актуален. Пробовал прописать домен + IP, но не помогает, чего-то не хватает. Может быть кто-нибудь сталкивался или подскажет идею, что можно сделать?

[ip_tara]

1 час назад, nginx сказал:

вопрос всё еще актуален

Зашел на wink приложением. Посмотрел в access.log куда были подключения. файл приложил.

wink_access.txt

[nginx]

1 hour ago, ip_tara said:

access.log

Подскажите, пожалуйста, а как сделать вывод доменов в лог? Попробовал "loglevel": "debug" + "dnsLog": true, в итоге просто огромный список IP адресов.

[ip_tara]

2 часа назад, nginx сказал:

а как сделать вывод доменов в лог?

при прозрачном проксировани так не получиться. я это делал при  socks проксировании на локальной машине с установкой чистого xray

Изменено 24 апреля пользователем ip_tara

[jameszero]

12 минут назад, ip_tara сказал:

при прозрачном проксировани так не получиться

Не делайте поспешных выводов)

Вот фрагмент лога после настройки DNS-over-VLESS (прозрачное проксирование в режиме TProxy)

Спойлер

2025/04/24 15:34:49.740587 from 192.168.1.10:57857 accepted udp:192.168.1.1:53 [tproxy -> dns-out]
2025/04/24 15:34:49.741466 from DNS accepted udp:127.0.0.1:53 [dns-in -> vless-reality]
2025/04/24 15:34:49.741922 from 192.168.1.10:64541 accepted udp:192.168.1.1:53 [tproxy -> dns-out]
2025/04/24 15:34:51.859564 UDP:127.0.0.1:53 got answer: ip.me -> [212.102.35.236] 1.1064476s
2025/04/24 15:34:51.915656 from 192.168.1.10:3440 accepted tcp:212.102.35.236:443 [tproxy -> vless-reality]
2025/04/24 15:34:52.583805 from 192.168.1.10:64246 accepted udp:192.168.1.1:53 [tproxy -> dns-out]
2025/04/24 15:34:52.584239 from DNS accepted udp:8.8.8.8:53 [dns-in -> vless-reality]
2025/04/24 15:34:52.749645 UDP:8.8.8.8:53 got answer: a.tile.openstreetmap.org -> [151.101.65.91, 151.101.193.91, 151.101.129.91, 151.101.1.91] 165.4748ms
2025/04/24 15:34:57.967728 from 192.168.1.10:49258 accepted udp:192.168.1.1:53 [tproxy -> dns-out]
2025/04/24 15:34:58.030396 UDP:8.8.8.8:53 got answer: chrome.google.com -> [142.250.191.78] 38.1452ms
2025/04/24 15:34:58.046643 UDP:8.8.8.8:53 got answer: info.weather.yandex.net -> [213.180.193.146] 53.81704ms
2025/04/24 15:34:58.052881 from 192.168.1.10:3451 accepted tcp:213.180.193.146:443 [tproxy -> direct]
2025/04/24 15:34:58.909170 from 192.168.1.10:64182 accepted udp:192.168.1.1:53 [tproxy -> dns-out]
2025/04/24 15:34:58.965463 UDP:8.8.8.8:53 got answer: www.google-analytics.com -> [142.251.46.206] 32.60336ms
2025/04/24 15:34:58.970994 from 192.168.1.10:3452 accepted tcp:142.251.46.206:443 [tproxy -> vless-reality]
2025/04/24 15:34:58.976203 UDP:8.8.8.8:53 got answer: nnmstatic.win -> [104.21.17.86, 172.67.175.99] 43.76032ms
2025/04/24 15:34:58.981418 from 192.168.1.10:3454 accepted tcp:172.67.175.99:443 [tproxy -> vless-reality]
2025/04/24 15:34:58.993772 UDP:127.0.0.1:53 got answer: nnmclub.to -> [104.21.64.1, 104.21.112.1, 104.21.16.1, 104.21.96.1, 104.21.32.1, 104.21.80.1, 104.21.48.1] 61.5652ms

 

 

[ip_tara]

1 час назад, jameszero сказал:

Вот фрагмент лога после настройки DNS-over-VLESS (прозрачное проксирование в режиме TProxy)

В вашем логе все соединения только с IP, а домены только в DNS запросах.

Вот так выглядит лог с доменами. 

Спойлер

2025/04/24 18:44:55.445176 from tcp:127.0.0.1:56083 accepted tcp:www.google.com:443 [socks-in -> direct]
2025/04/24 18:44:55.477974 from tcp:127.0.0.1:56086 accepted tcp:www.google.ru:443 [socks-in -> direct]
2025/04/24 18:44:55.488898 from tcp:127.0.0.1:56089 accepted tcp:effect.habr.com:443 [socks-in -> proxy-iptara]
2025/04/24 18:44:55.596939 from tcp:127.0.0.1:56092 accepted tcp:stats.habr.com:443 [socks-in -> proxy-iptara]
2025/04/24 18:44:56.782868 from tcp:127.0.0.1:56095 accepted tcp:stats.habr.com:443 [socks-in -> proxy-iptara]
2025/04/24 18:44:56.969236 from tcp:127.0.0.1:56098 accepted tcp:vk.com:443 [socks-in -> direct]
2025/04/24 18:44:57.991633 from tcp:127.0.0.1:56101 accepted tcp:stats.habr.com:443 [socks-in -> proxy-iptara]
2025/04/24 18:44:59.814096 from tcp:127.0.0.1:56106 accepted tcp:im.vk.com:443 [socks-in -> direct]
2025/04/24 18:44:59.814202 from tcp:127.0.0.1:56105 accepted tcp:api.vk.com:443 [socks-in -> direct]
2025/04/24 18:45:02.805111 from tcp:127.0.0.1:56110 accepted tcp:queuev4.vk.com:443 [socks-in -> direct]
2025/04/24 18:45:05.490850 from tcp:127.0.0.1:56113 accepted tcp:stats.habr.com:443 [socks-in -> proxy-iptara]
2025/04/24 18:45:05.943262 from tcp:127.0.0.1:56116 accepted tcp:metrics.icloud.com:443 [socks-in -> direct]
2025/04/24 18:45:09.544521 from tcp:127.0.0.1:56119 accepted tcp:queuev4.vk.com:443 [socks-in -> direct]
2025/04/24 18:46:26.104709 from tcp:127.0.0.1:56123 accepted tcp:gateway.icloud.com:443 [socks-in -> direct]
2025/04/24 18:47:22.931210 from tcp:127.0.0.1:56126 accepted tcp:idphydra.beeline.ru:443 [socks-in -> direct]

 

[jameszero]

3 минуты назад, ip_tara сказал:

домены только в DNS запросах

Этого достаточно для анализа к каким доменам выполняется обращение.

[ip_tara]

 

14 часов назад, jameszero сказал:

Этого достаточно для анализа к каким доменам выполняется обращение.

Это, конечно, да, но откуда берется вот это,

2025/04/24 15:34:49.740587 from 192.168.1.10:57857 accepted udp:192.168.1.1:53 [tproxy -> dns-out]

если 

В 19.04.2025 в 07:39, jameszero сказал:

Цепи маршрутизации TProxy в XKeen не обрабатывают DNS трафик.

?

 

Изменено 25 апреля пользователем ip_tara

[jameszero]

1 час назад, ip_tara сказал:

[tproxy -> dns-out]

В данном случае это пакет вышедший из inbounds с тега "tproxy" и вошедший в тег "dns-out" outbounds. Цепи маршрутизации iptables в этом участие не принимают.

[ip_tara]

7 минут назад, jameszero сказал:

В данном случае это пакет вышедший из inbounds с тега "tproxy"

в этом и вопрос: как пакет UDP на 53 порт (читай DNS) оказался в inbounds с тегом "tproxy"?

Изменено 25 апреля пользователем ip_tara

[jameszero]

13 минут назад, ip_tara сказал:

как пакет UDP на 53 порт (читай DNS) оказался в inbounds

Пришел в роутер (192.168.1.1) с установленным xray с моего компьютера (192.168.1.10) при запросе браузером любого доменного имени.

Изменено 25 апреля пользователем jameszero

[jameszero]

@ip_tara, вы используете XKeen или сами настроили прозрачное проксирование? Если XKeen, то могу прислать вам в личные сообщения полностью настроенный набор конфигов с проброшенным DNS и тестовым подключением к моему серверу, например, на пару дней. ПосмОтрите, постараетесь разобраться, хотя всё, что в моих конфигах отвечает за DNS, я подробно описал в статье. А если сами настраивали прозрачное проксирование, то на этом мои полномочия всё.

Изменено 25 апреля пользователем jameszero

[ip_tara]

8 минут назад, jameszero сказал:

могу прислать вам в личные сообщения полностью настроенный набор конфигов с проброшенным DNS

Благодарю за предложение. Использую XKeen. И все работает. Единственное, что не получается - это завести DNS в XRay. Если возможно, пришлите, пожалуйста, конфиги в личку. Хочу разобраться в этом вопросе до конца. Спасибо.

[ip_tara]

18 минут назад, jameszero сказал:

проброшенным DNS

А DNS на клиенте и на роутере как настроены? Стандартно?

[-ЯR-]

В 26.03.2025 в 15:52, jameszero сказал:

Добрый день! Настраивается по аналогии с WireGuard - FAQ п.15

Поднял SSTP сервер и хочу через него пускать Xkeen. 

ip hotspot policy Wireguard0 Policy0 что мне нужно вписать в место Wireguard0?

 

 

 

 

 

 

1

 

[XkeenUser]

Форк 1.1.3.4 (22.04.2025).

Версия запустилась, однако при попытке обновить OPKG выдает ошибку. WTF?

03-05-2025 Форк был обновлен автором. Ошибка ушла.

Изменено Суббота в 05:56 пользователем XkeenUser

[v4kodin]

Добрый день, поставил xkeen на роутер и столкнулся с регулярным явлением периодической потери пакетов, сложно сказать затрагивает ли это что-то кроме игр и звонков, но их точно затрагивает.
Сталкивался ли кто-то с подобной проблемой? И есть ли решение?
Ресурсов роутера хватает, память 40-50% (210-250 мб) цпу 2-13%, Проксирование стоит по вайт листу (т.е. проксируется только то что в списке, все остальное на прямую. Список url брал с 2х публичных источников и игровых серверов там нету.
Мой конфиг без ip:

Spoiler

// Настройка маршрутизации
{
  "routing": {
    "rules": [
      // Блокировка quic
      {
        "network": "udp",
        "port": "443",
        "outboundTag": "block",
        "type": "field"
      },
      // Блокировка  |   Уязвимые UDP порты
      {
        "inboundTag": [
          "redirect",
          "tproxy"
        ],
        "outboundTag": "block",
        "type": "field",
        "network": "udp",
        "port": "135, 137, 138, 139"
      },
      // Блокировка | Реклама и аналитика
      {
        "inboundTag": [
          "redirect",
          "tproxy"
        ],
        "outboundTag": "block",
        "type": "field",
        "domain": [
          "appcenter.ms"
        ]
      },
      {
        // VPS подключение  |  IP адреса
        "inboundTag": [
          "redirect",
          "tproxy"
        ],
        "outboundTag": "vless-reality",
        "type": "field",
        "ip": [
        ]
      },
      // VPS подключение  |  Доменные имена
      {
        "inboundTag": [
          "redirect",
          "tproxy"
        ],
        "outboundTag": "vless-reality",
        "type": "field",
        "domain": [

        ]
      },
      // Throne and Liberty 10000,11005 |  Supercell 9339
      {
        "inboundTag": [
          "redirect",
          "tproxy"
        ],
        "outboundTag": "vless-reality",
        "type": "field",
        "network": "tcp",
        "port": "10000,11005,9339"
      },
      // Discord 50000:50030
      {
        "inboundTag": [
          "redirect",
          "tproxy"
        ],
        "outboundTag": "vless-reality",
        "type": "field",
        "network": "udp",
        "port": "50000-50030"
      },
      // Прямое подключение  |  Все остальное
      {
        "inboundTag": [
          "redirect",
          "tproxy"
        ],
        "outboundTag": "direct",
        "type": "field"
      }
    ]
  }
}

 

 

[jameszero]

12 часов назад, v4kodin сказал:

столкнулся с регулярным явлением периодической потери пакетов

Добрый день! 

FAQ п.4

[HAHAfreshe]

Добрый день!
Верно ли я понимаю, что если я уберу устройство из политики доступа XKeen на роутре(перемещу в другую политку), то трафк с этого устройства не будет проксироваться вообще?
Столкнулся с такой проблемой, что при добавлении устройство в другую политику (не XKeen) - устройство перестает подключатся к интернету

[Xop0]

On 2/12/2025 at 7:39 PM, Xop0 said:

Обновил, удалил 2джсон, тестирую. 
Туперь не будет автообновления?
https://github.com/Corvus-Malus/XKeen?tab=readme-ov-file#обновление-ядра-xray-до-последней-версии
Автоматическое обновление Xray через Xkeen отключено, чтобы предотвратить откат до верси             и 1.8.4.
Обновление завершено.

 

Итак, с того момента у меня всё идеально работало и я вообще ничего не трогал и не обновлял. 
Уже два дня Хкин и Хрей просто исчезли, захожу и в MobaXterm и в Putty и мне при подключении выдёт:
Network error: Connection refused
Больше ничего. 

Куда копать и что это вообще может быть? (например прокси отлетели). Или это всё теперь заново переустанавливать? 
Флешка стоит, OPKG подключено, файлы видно. А вот по моему айпи http://192.168.2.1/ (2, так как второй роутер) ни через какие терминалы не заходит. 

 

 

Process: failed to start "Opkg shell".

Opkg::Manager: process /opt/etc/ndm/netfilter.d/proxy.sh: failed to start.

Process: "Opkg shell": unable to start (unable to execute a process: accessing a corrupted shared library).

Изменено Пятница в 22:14 пользователем Xop0

[Arabezar]

Привет всем!

Если кому не влом, прошу потестировать вариант управления конфигурацией через Телеграм-бота (фактически - добавлением/удалением доменов в конфигурацию, статус, замена по url).

Ставится исключительно на роутер с установленным XKeen. Написан на чистом shell, никаких бинарников, весь код доступен для анализа. Команды в виде плагинов, можно расширять самому. Смотреть здесь: https://github.com/arabezar/xkeen-tg

Замечания/пожелания - либо здесь, либо на GitHub, либо в Телегу, постараюсь исправлять быстро… как пойдёт.

Изменено Суббота в 23:18 пользователем Arabezar

[ArtemA]

Всем привет! Товарищи, помогите советом, направьте, пожалуйста, в нужную сторону.

Есть KN-1811 Ultra. Решил озаботиться настройкой прозрачного проксирования (надеюсь, не путаю термины) с помощью Xray. Начал мучать ИИ, и, видимо, это был ошибочный подход, так как они меня совсем запутали. Сначала сказали, что можно использовать FakeDNS без VPS и, тем самым, получать нечто похожее по эффекту, что дают известные утилиты для "работы" с DPI. Потом сказали, что без VPS никак. То говорят, что обязательно нужно ставить клиента Xray на устройствах моей сети, и в настройках браузера указывать локальный прокси, который организует такой клиент (а на маршрутизаторе уже будет серверная часть Xray, т. к. VPS в схеме нет). Потом же уверяют, что можно клиента на маршрутизатор воткнуть.

Далее стал вникать в статьи на Хабре и других источниках. Хоть некая база по сетевым технологиям у меня есть, но всё же я чайник в этой теме, потому и прошу совета, верного направления или же категоричного опровержения моих затей.

Мне хотелось добиться, казалось бы, относительно простой схемы.
1. Все устройства моей локальной сети проксируются прозрачно(?), то есть никакого ПО на них не требуется, но вписать адрес и порт прокси (который крутится на маршрутизаторе) вполне допустимо.
2. Весь трафик, который "замедляет" провайдер, обрабатываем через Xray, но без VPS сервера. Некий аналог gbDPI. Видел в статьях/от ИИ указания на FakeDNS и настройку фрагментирования пакетов через опцию fragment. То бишь хочется, чтобы подобный трафик шёл напрямую, но с некоторой магией.
3. Трафик до ресурсов, которые сами блокируются от меня по IP или региону, уже завернуть через VPS (сервер пока не подобрал). Такого трафика, соответственно, должно быть относительно немного.

Возможна ли подобная схема в целом и пункты 1 и 2 в частности?

Основной затык в том, что нигде толком не вижу подробного описания и вариантов целых конфигурационных файлов для п. 2. Пробовал, как написано тут, но опять же нет эффекта. XKeen стартует и слушает socks порт 10808 (например), но через браузер, указав 127.0.0.1:10808 как прокси, подключиться ни к чему не могу.

Пример тестовой конфигурации (эксперимент с fragment) прикладываю.

 

config.json

[for6to9]

Простой пример как работает TProxy https://github.com/KatelynHaworth/go-tproxy  виртуальная машина ubuntu 14.04 , все ставиться работает. 

запускай с ключом  --provision, чтобы shell скипты срабатывали каждый раз, а не только когда инсталлируешь виртуальную машину.  

vagrant up --provision

Изменено Воскресенье в 16:41 пользователем for6to9
добавление

[for6to9]

15 часов назад, ArtemA сказал:

Пример тестовой конфигурации (эксперимент с fragment) прикладываю.

https://github.com/XTLS/Xray-examples/blob/main/VLESS-TCP-XTLS-Vision-REALITY/config_client.jsonc

там вроде по умолчанию UDP отключено  https://xtls.github.io/ru/config/inbounds/socks.html#inboundconfigurationobject

[for6to9]

16 часов назад, ArtemA сказал:

Пример тестовой конфигурации (эксперимент с fragment) прикладываю.

с параметрами поигрался, 
"length": "200-400",
"interval": "10-20"
правда на компе,
brave-browser --proxy-server="socks5://localhost:1080" --ssl-key-log-file="/home/user/Documents/sslkeylog.log"

и ютуб заработал в браузере brave

config_fragment.json

Изменено Воскресенье в 18:17 пользователем for6to9

[for6to9]

честно без понятия почему Hello прошёл, от DPI прячут так 

[ip_tara]

В 04.05.2025 в 04:34, ArtemA сказал:

XKeen стартует и слушает socks порт 10808 (например), но через браузер, указав 127.0.0.1:10808 как прокси, подключиться ни к чему не могу.

127.0.0.1 - это локальный адрес сам на себя, т.е. обращаясь к нему, клиенты обращаются сами к себе. Это не прозрачное проксирование. Socks для этого не подходит. Нужен другой прокси, например, dokodemo-door. А прозрачное проксирование настраивает XKeen, он собственно для этого и нужен. Альтернативный вариант: ставить чистый XRay и самому настраивать прозрачное проксирование с помощью iptables.

Еще вариант, ставить на роутер клиент-прокси, настраивать на Socks, вот тогда ваша схема будет работать. На клиентах нужно указывать адрес роутера в качестве прокси, на роутере ставить чистый  XRay.

Изменено вчера в 06:52 пользователем ip_tara