маршрутизация Xkeen

[jameszero]

3 минуты назад, ip_tara сказал:

домены только в DNS запросах

Этого достаточно для анализа к каким доменам выполняется обращение.

[ip_tara]

 

14 часов назад, jameszero сказал:

Этого достаточно для анализа к каким доменам выполняется обращение.

Это, конечно, да, но откуда берется вот это,

2025/04/24 15:34:49.740587 from 192.168.1.10:57857 accepted udp:192.168.1.1:53 [tproxy -> dns-out]

если 

В 19.04.2025 в 07:39, jameszero сказал:

Цепи маршрутизации TProxy в XKeen не обрабатывают DNS трафик.

?

 

Изменено 25 апреля, 2025 пользователем ip_tara

[jameszero]

1 час назад, ip_tara сказал:

[tproxy -> dns-out]

В данном случае это пакет вышедший из inbounds с тега "tproxy" и вошедший в тег "dns-out" outbounds. Цепи маршрутизации iptables в этом участие не принимают.

[ip_tara]

7 минут назад, jameszero сказал:

В данном случае это пакет вышедший из inbounds с тега "tproxy"

в этом и вопрос: как пакет UDP на 53 порт (читай DNS) оказался в inbounds с тегом "tproxy"?

Изменено 25 апреля, 2025 пользователем ip_tara

[jameszero]

13 минут назад, ip_tara сказал:

как пакет UDP на 53 порт (читай DNS) оказался в inbounds

Пришел в роутер (192.168.1.1) с установленным xray с моего компьютера (192.168.1.10) при запросе браузером любого доменного имени.

Изменено 25 апреля, 2025 пользователем jameszero

[jameszero]

@ip_tara, вы используете XKeen или сами настроили прозрачное проксирование? Если XKeen, то могу прислать вам в личные сообщения полностью настроенный набор конфигов с проброшенным DNS и тестовым подключением к моему серверу, например, на пару дней. ПосмОтрите, постараетесь разобраться, хотя всё, что в моих конфигах отвечает за DNS, я подробно описал в статье. А если сами настраивали прозрачное проксирование, то на этом мои полномочия всё.

Изменено 25 апреля, 2025 пользователем jameszero

[ip_tara]

8 минут назад, jameszero сказал:

могу прислать вам в личные сообщения полностью настроенный набор конфигов с проброшенным DNS

Благодарю за предложение. Использую XKeen. И все работает. Единственное, что не получается - это завести DNS в XRay. Если возможно, пришлите, пожалуйста, конфиги в личку. Хочу разобраться в этом вопросе до конца. Спасибо.

[ip_tara]

18 минут назад, jameszero сказал:

проброшенным DNS

А DNS на клиенте и на роутере как настроены? Стандартно?

[-ЯR-]

В 26.03.2025 в 15:52, jameszero сказал:

Добрый день! Настраивается по аналогии с WireGuard - FAQ п.15

Поднял SSTP сервер и хочу через него пускать Xkeen. 

ip hotspot policy Wireguard0 Policy0 что мне нужно вписать в место Wireguard0?

 

 

 

 

 

 

1

 

[XkeenUser]

Форк 1.1.3.4 (22.04.2025).

Версия запустилась, однако при попытке обновить OPKG выдает ошибку. WTF?

03-05-2025 Форк был обновлен автором. Ошибка ушла.

Изменено 3 мая, 2025 пользователем XkeenUser

[v4kodin]

Добрый день, поставил xkeen на роутер и столкнулся с регулярным явлением периодической потери пакетов, сложно сказать затрагивает ли это что-то кроме игр и звонков, но их точно затрагивает.
Сталкивался ли кто-то с подобной проблемой? И есть ли решение?
Ресурсов роутера хватает, память 40-50% (210-250 мб) цпу 2-13%, Проксирование стоит по вайт листу (т.е. проксируется только то что в списке, все остальное на прямую. Список url брал с 2х публичных источников и игровых серверов там нету.
Мой конфиг без ip:

Spoiler

// Настройка маршрутизации
{
  "routing": {
    "rules": [
      // Блокировка quic
      {
        "network": "udp",
        "port": "443",
        "outboundTag": "block",
        "type": "field"
      },
      // Блокировка  |   Уязвимые UDP порты
      {
        "inboundTag": [
          "redirect",
          "tproxy"
        ],
        "outboundTag": "block",
        "type": "field",
        "network": "udp",
        "port": "135, 137, 138, 139"
      },
      // Блокировка | Реклама и аналитика
      {
        "inboundTag": [
          "redirect",
          "tproxy"
        ],
        "outboundTag": "block",
        "type": "field",
        "domain": [
          "appcenter.ms"
        ]
      },
      {
        // VPS подключение  |  IP адреса
        "inboundTag": [
          "redirect",
          "tproxy"
        ],
        "outboundTag": "vless-reality",
        "type": "field",
        "ip": [
        ]
      },
      // VPS подключение  |  Доменные имена
      {
        "inboundTag": [
          "redirect",
          "tproxy"
        ],
        "outboundTag": "vless-reality",
        "type": "field",
        "domain": [

        ]
      },
      // Throne and Liberty 10000,11005 |  Supercell 9339
      {
        "inboundTag": [
          "redirect",
          "tproxy"
        ],
        "outboundTag": "vless-reality",
        "type": "field",
        "network": "tcp",
        "port": "10000,11005,9339"
      },
      // Discord 50000:50030
      {
        "inboundTag": [
          "redirect",
          "tproxy"
        ],
        "outboundTag": "vless-reality",
        "type": "field",
        "network": "udp",
        "port": "50000-50030"
      },
      // Прямое подключение  |  Все остальное
      {
        "inboundTag": [
          "redirect",
          "tproxy"
        ],
        "outboundTag": "direct",
        "type": "field"
      }
    ]
  }
}

 

 

[jameszero]

12 часов назад, v4kodin сказал:

столкнулся с регулярным явлением периодической потери пакетов

Добрый день! 

FAQ п.4

[HAHAfreshe]

Добрый день!
Верно ли я понимаю, что если я уберу устройство из политики доступа XKeen на роутре(перемещу в другую политку), то трафк с этого устройства не будет проксироваться вообще?
Столкнулся с такой проблемой, что при добавлении устройство в другую политику (не XKeen) - устройство перестает подключатся к интернету

[Xop0]

On 2/12/2025 at 7:39 PM, Xop0 said:

Обновил, удалил 2джсон, тестирую. 
Туперь не будет автообновления?
https://github.com/Corvus-Malus/XKeen?tab=readme-ov-file#обновление-ядра-xray-до-последней-версии
Автоматическое обновление Xray через Xkeen отключено, чтобы предотвратить откат до верси             и 1.8.4.
Обновление завершено.

 

Итак, с того момента у меня всё идеально работало и я вообще ничего не трогал и не обновлял. 
Уже два дня Хкин и Хрей просто исчезли, захожу и в MobaXterm и в Putty и мне при подключении выдёт:
Network error: Connection refused
Больше ничего. 

Куда копать и что это вообще может быть? (например прокси отлетели). Или это всё теперь заново переустанавливать? 
Флешка стоит, OPKG подключено, файлы видно. А вот по моему айпи http://192.168.2.1/ (2, так как второй роутер) ни через какие терминалы не заходит. 

 

 

Process: failed to start "Opkg shell".

Opkg::Manager: process /opt/etc/ndm/netfilter.d/proxy.sh: failed to start.

Process: "Opkg shell": unable to start (unable to execute a process: accessing a corrupted shared library).

Изменено 2 мая, 2025 пользователем Xop0

[Arabezar]

Привет всем!

Если кому не влом, прошу потестировать вариант управления конфигурацией через Телеграм-бота (фактически - добавлением/удалением доменов в конфигурацию, статус, замена по url).

Ставится исключительно на роутер с установленным XKeen. Написан на чистом shell, никаких бинарников, весь код доступен для анализа. Команды в виде плагинов, можно расширять самому. Смотреть здесь: https://github.com/arabezar/xkeen-tg

Замечания/пожелания - либо здесь, либо на GitHub, либо в Телегу, постараюсь исправлять быстро… как пойдёт.

Изменено 3 мая, 2025 пользователем Arabezar

[ArtemA]

Всем привет! Товарищи, помогите советом, направьте, пожалуйста, в нужную сторону.

Есть KN-1811 Ultra. Решил озаботиться настройкой прозрачного проксирования (надеюсь, не путаю термины) с помощью Xray. Начал мучать ИИ, и, видимо, это был ошибочный подход, так как они меня совсем запутали. Сначала сказали, что можно использовать FakeDNS без VPS и, тем самым, получать нечто похожее по эффекту, что дают известные утилиты для "работы" с DPI. Потом сказали, что без VPS никак. То говорят, что обязательно нужно ставить клиента Xray на устройствах моей сети, и в настройках браузера указывать локальный прокси, который организует такой клиент (а на маршрутизаторе уже будет серверная часть Xray, т. к. VPS в схеме нет). Потом же уверяют, что можно клиента на маршрутизатор воткнуть.

Далее стал вникать в статьи на Хабре и других источниках. Хоть некая база по сетевым технологиям у меня есть, но всё же я чайник в этой теме, потому и прошу совета, верного направления или же категоричного опровержения моих затей.

Мне хотелось добиться, казалось бы, относительно простой схемы.
1. Все устройства моей локальной сети проксируются прозрачно(?), то есть никакого ПО на них не требуется, но вписать адрес и порт прокси (который крутится на маршрутизаторе) вполне допустимо.
2. Весь трафик, который "замедляет" провайдер, обрабатываем через Xray, но без VPS сервера. Некий аналог gbDPI. Видел в статьях/от ИИ указания на FakeDNS и настройку фрагментирования пакетов через опцию fragment. То бишь хочется, чтобы подобный трафик шёл напрямую, но с некоторой магией.
3. Трафик до ресурсов, которые сами блокируются от меня по IP или региону, уже завернуть через VPS (сервер пока не подобрал). Такого трафика, соответственно, должно быть относительно немного.

Возможна ли подобная схема в целом и пункты 1 и 2 в частности?

Основной затык в том, что нигде толком не вижу подробного описания и вариантов целых конфигурационных файлов для п. 2. Пробовал, как написано тут, но опять же нет эффекта. XKeen стартует и слушает socks порт 10808 (например), но через браузер, указав 127.0.0.1:10808 как прокси, подключиться ни к чему не могу.

Пример тестовой конфигурации (эксперимент с fragment) прикладываю.

 

config.json

[Гость]

Простой пример как работает TProxy https://github.com/KatelynHaworth/go-tproxy  виртуальная машина ubuntu 14.04 , все ставиться работает. 

запускай с ключом  --provision, чтобы shell скипты срабатывали каждый раз, а не только когда инсталлируешь виртуальную машину.  

vagrant up --provision

Изменено 4 мая, 2025 пользователем for6to9
добавление

[Гость]

15 часов назад, ArtemA сказал:

Пример тестовой конфигурации (эксперимент с fragment) прикладываю.

https://github.com/XTLS/Xray-examples/blob/main/VLESS-TCP-XTLS-Vision-REALITY/config_client.jsonc

там вроде по умолчанию UDP отключено  https://xtls.github.io/ru/config/inbounds/socks.html#inboundconfigurationobject

[Гость]

16 часов назад, ArtemA сказал:

Пример тестовой конфигурации (эксперимент с fragment) прикладываю.

с параметрами поигрался, 
"length": "200-400",
"interval": "10-20"
правда на компе,
brave-browser --proxy-server="socks5://localhost:1080" --ssl-key-log-file="/home/user/Documents/sslkeylog.log"

и ютуб заработал в браузере brave

config_fragment.json

Изменено 4 мая, 2025 пользователем for6to9

[Гость]

честно без понятия почему Hello прошёл,  DPI работает так

Изменено 7 мая, 2025 пользователем for6to9

[ip_tara]

В 04.05.2025 в 04:34, ArtemA сказал:

XKeen стартует и слушает socks порт 10808 (например), но через браузер, указав 127.0.0.1:10808 как прокси, подключиться ни к чему не могу.

127.0.0.1 - это локальный адрес сам на себя, т.е. обращаясь к нему, клиенты обращаются сами к себе. Это не прозрачное проксирование. Socks для этого не подходит. Нужен другой прокси, например, dokodemo-door. А прозрачное проксирование настраивает XKeen, он собственно для этого и нужен. Альтернативный вариант: ставить чистый XRay и самому настраивать прозрачное проксирование с помощью iptables.

Еще вариант, ставить на роутер клиент-прокси, настраивать на Socks, вот тогда ваша схема будет работать. На клиентах нужно указывать адрес роутера в качестве прокси, на роутере ставить чистый  XRay.

Изменено 5 мая, 2025 пользователем ip_tara

[alsav22]

Всем привет. Не могу разобраться с одной вещью. На сайте, где генерируется конфиг outbounds, после генерации, появляется вверху рекомендация (протокол в конфиге vless): рекомендуется порт 433 и "flow": "xtls-rprx-vision". В сгенерированном конфиге порт 8433 и "flow": "". С этими параметрами всё работает, если делаю, как рекомендуется - не работает. В чём тут закавыка? Роутер KN-1011. 433 порт, при настройке XKeen, освобождал.

[jameszero]

2 часа назад, alsav22 сказал:

если делаю, как рекомендуется - не работает

Добрый день! Рекомендация использовать для Reality порт 443 и управление потоком xtls-rprx-vision правильная, но применить её могут только те, кто настраивает сервер самостоятельно, а вы купили подключение у некомпетентных людей, к сожалению. Вам эта рекомендация не подходит и работать не будет.

[alsav22]

50 минут назад, jameszero сказал:

Добрый день! Рекомендация использовать для Reality порт 443 и управление потоком xtls-rprx-vision правильная, но применить её могут только те, кто настраивает сервер самостоятельно, а вы купили подключение у некомпетентных людей, к сожалению. Вам эта рекомендация не подходит и работать не будет.

Покупать я, конечно, ничего не покупал. Это так сервер бесплатный настроен?

[Alexey77]

В 04.05.2025 в 04:34, ArtemA сказал:

опцию fragment.

Добрый день. Для того что вы пишите (замедление трафика) эта опция бесполезна. 

[jameszero]

4 часа назад, alsav22 сказал:

Это так сервер бесплатный настроен?

Совершенно верно.

[Nebo89]

Подскажите пожалуйста Keenetic Air, поддерживает ли возможность установки  xkeen?

[jameszero]

10 часов назад, Nebo89 сказал:

Keenetic Air, поддерживает ли возможность установки  xkeen?

Нет. Требуется роутер на который можно установить entware. Список поддерживаемых моделей здесь

[Nebo89]

37 минут назад, jameszero сказал:

Нет. Требуется роутер на который можно установить entware. Список поддерживаемых моделей здесь

Благодарю за ответ. 
Возможно есть иные методы как можно на этом роутере развернуть взаимодействие с 3x-UI?

[Stanislav_Iast]

Добрый день, друзья! 

Прошу помочь с проблемой возникшей, по возможности:

1. 1-2 месяца назад установил xkeen на Giga KN-1012 по инструкции уважаемого автора, и горяз не знал, все работало безо всяких проблем и вмешательств. Но, сегодня утром проснулся, и обнаружил, что интернета нету с устройства (сам интернет есть).

2. Опытным путем удалось установить, что после старта xkeen - лог роутера наполняется желтыми сообщениями (извините - я гуманитарий )), и чуть позже появляется красное out of memory: Kill process 15524 (xray)... Роутер как будто уходит в анабиоз, перестает реагировать на команды.

3. Лог утилиты после старта выдает protocol error: received *http2.goawayframe before a setting frame. Видимо, это и есть ошибка, которая не дает запуститься процессу и рушит работу роутера.

Все обновлено до последних версий. С момента установки работало в штатном режиме, никаких изменений не вносилось. Единственное что менялось вчера - это я перетыкал физически провода к телевизору и диск-серверу из одного роутера в другой. После этого час-полтора спокойно смотрел фильмы через интернет. Думаю, что совпадение, но вдруг...

Ситуация такая, джентельмены. Надежда только на вас. Короче - ПАМАГИТЕЕЕЕ!!!!!!!