маршрутизация Xkeen

[jameszero]

3 часа назад, Y K сказал:

чтобы XKeen работал для всего устройства, а не только для своей политики

Добрый день!

Просто не создавайте политику)

[ip_tara]

В 12.08.2025 в 14:06, Pusan сказал:

через прокси вообще перестал заходить.

с вашими конфигами правила по ip работать не будут. но у вас такое правило одно, только для google. Если что-то другое через прокси не открывается, то возможно это на стороне сервера проблема, он не знает, что с нужным доменом делать, потому что он ваш запрос по домену получает.

[wellkam]

Всем привет.

В общем сделал всё по инструкциям и всё работает, но есть одно но...
У меня есть настроенный KeenDNS и на одном ПК работает веб-сервер. Через этот веб-сервер у меня опубликована база 1С. Сама база вполне отвечает, когда я к ней обращаюсь из интернета, открывается страница авторизации и т.д. Перестали приходить веб-хуки от телеграм-бота и я не понимаю, что такого я изменил в настройках, что они перестали проходить, и как вообще расследовать?.. В самой базе смотрел, там нет ни входящих запросов, ни каких либо ошибок. Сам веб-сервер на Apache2.4, но я не знаю как в него смотреть. В принципе косвенно могу утверждать, что он работает, ведь при подключении по доменному имени база открывается.

Итак, я нашёл проблему, вызвав метод api телеграм getWebhookInfo. Он выдаёт ошибку "SSL error {error:0A000086:SSL routines::certificate verify failed}" - но ведь KeenDNS сам выдаёт сертификат. У меня там пишет "С сертификатом SSL". Получается, что телеграм перестал доверять SSL сертификату после установки xkeen?

P.S. Насколько я понял проблема описана где-то тут https://help.keenetic.com/hc/ru/articles/360020977339-В-каких-случаях-не-работает-продление-получение-SSL-сертификата-для-домена-службы-KeenDNS

Хотя насколько я могу судить, всё это работает. Я удалял и вписывал домен заново, как итог в журнале есть вот такая запись: [I] Aug 21 13:25:22 ndm: Acme::Client: new certificate is saved for domain "***.netcraze.pro". - Сертификат успешно создался. Сам телеграм что-то чудит, но именно после установки XKeen. Что это может быть?

Останавливал XKeen не помогает...

Изменено 21 августа пользователем wellkam

[Keenoman]

Всем привет.
Нужна помощь по настройке.
xkeen  установлен на флешке. Есть VPS с установленным marzban и VLESS, который работает при подключении напрямую с любого клиента (например foxray или nekobox). Но через кинетик не получается запустить. 

Конфиг файл routing использую вариант: ru напрямую, не ru через VPS. 
Так вот сейчас РУ сайты открываются, а не РУ вообще не открываются. Похоже, не устанавливается линк c моим VPS. Так как в статистике VPS нет подключений.
Не знаю, куда копать. 

И нормально ли, что при подключении по SSH к кинетику бесконечно сыпятся сообщения

 

 

Надеюсь, ничего не нарушил.

 

05_routing.json

Изменено 21 августа пользователем Keenoman

[jameszero]

22 часа назад, wellkam сказал:

всё работает, но есть одно но

Добрый день! Вы же перенесли 443 порт по инструкции? Телеграм бот скорей всего по 443 и пытается достучаться. Если бот позволяет указать ему новый порт, то сделайте это ***.netcraze.pro:порт

[jameszero]

19 часов назад, Keenoman сказал:

бесконечно сыпятся сообщения

Меняйте SNI на сервере и в роутере, либо смените в outbounds роутера fingerprint на firefox вместо chrome

[wellkam]

jameszero, спасибо большое за помощь! помогло в строке при установке вебхука прописать явно порт 8443. По умолчанию он на 80 или на 443 порт стучится, не важно. Главное, что теперь всё снова работает.

Хотел ещё поинтересоваться про то, что нашёл в инструкциях к своей модели: "Установка OPKG Entware на встроенную память роутера". В веб-конфигураторе роутера показывает, что объём встроенной памяти 46,4 МБ, при этом на установленной флэшке Entware заняла 84,9 МБ, но файловые системы разные. Стоит ли пробовать поставить Entware на встроенную память роутера или это заведомо не очень хороший вариант?

Изменено 22 августа пользователем wellkam

[dymo]

ребят а по чат гпт тишина, никто не знает как его вновь заставить работать?

[salavat13]

Добрый вечер. Подскажите пожалуйста.  Никак не удается настроить доступ по инструкции. Настраивал несколько раз с нуля. На Viva и на свежем Giga. Все четко по шагам. xkeen поднимается. Обновил до последней версии. DOT, DOH прописал все возможные. VLess от adminvps на устройствах отлично работает через клиент. Но после применения политики проксирования сайты не открываются. Более того перестает открываться один сайт в ру домене. Провайдер Ростелеком. 

 

Галочка политики стоит.  Версию Xray обновил на флешке роутера до последней как на сервере - v25.8.3,  В файл 05_routing подложил json. Ру сайт (topdeck.ru) не открывается, ютуб тоже, но начал открываться Speedtest )

Роутер Keenetic Giga 1012.   Xray обновлен с классического на форк (тоже из инструкции)

Сервисы с 443 порта переносил - все возможные из инструкции. Не повлияло. 

Подскажите пожалуйста что еще можно предпринять

05_routing.json

Изменено 22 августа пользователем salavat13

[jameszero]

22 часа назад, wellkam сказал:

Стоит ли пробовать поставить Entware на встроенную память роутера

На роутеры с 46 МБ внутренней памяти не рекомендую ставить XKeen на внутреннее хранилище. Установить, конечно, можно, но будут сложности с обновлением компонентов XKeen. На старших моделях Keenetic с большим объемом внутренней памяти, XKeen вполне нормально на ней работает.

[jameszero]

15 часов назад, salavat13 сказал:

не удается настроить доступ по инструкции

Добрый день! Вы бы лучше выложили файл диагностики вместо роутинга

xkeen -diag

И посмотрите в журнале Кинетика нет ли ошибок на DoH/DoT

Изменено 23 августа пользователем jameszero

[salavat13]

2 hours ago, jameszero said:

Добрый день! Вы бы лучше выложили файл диагностики вместо роутинга

xkeen -diag

И посмотрите в журнале Кинетика нет ли ошибок на DoH/DoT

Простите, не знал куда копать. Исправляюсь.   Прикладываю журнал Кинетика с момента начала установки и логи диагностики XKeen. Попробовал потыкать по сайтам с включенной политикой. 

diagnostic.txt log.txt

[jameszero]

19 часов назад, salavat13 сказал:

Прикладываю журнал Кинетика с момента начала установки и логи диагностики XKeen

В логах проблем нет. Проверьте, если в роутере включен транзит запросов, то отключите его на странице настройки DNS. Ещё рекомендую удалить в роутере компонент IPv6, именно удалить, а не отключить.

Изменено 24 августа пользователем jameszero

[salavat13]

1 hour ago, jameszero said:

В логах проблем нет. Проверьте, если в роутере включен транзит запросов, то отключите его на странице настройки DNS. Ещё рекомендую удалить в роутере компонент IPv6, именно удалить, а не отключить.

Спасибо огромное. Все заработало. Действительно удаление IPv6 решило проблему.

[jameszero]

19 минут назад, salavat13 сказал:

Действительно удаление IPv6 решило проблему.

К сожалению, разработчики Кинетика не хотят прислушаться к пользователям и со следующей версии прошивки удалить IPv6 будет невозможно

[salavat13]

2 hours ago, jameszero said:

К сожалению, разработчики Кинетика не хотят прислушаться к пользователям и со следующей версии прошивки удалить IPv6 будет невозможно

Спасибо. Отключу обновления для начала

[for6to9]

Заюзал Xray в качестве DNS-resolver, работает две недели, свел конфигурацию до минимума. Обзор и файл прилагается.

https://www.youtube.com/watch?v=Wkk-2YyHNCo

dns_resolver.json

Изменено 25 августа пользователем for6to9
Ссылка не прикрепилась

[Kazantsev]

В 25.08.2025 в 01:10, for6to9 сказал:

Заюзал Xray в качестве DNS-resolver, работает две недели, свел конфигурацию до минимума. Обзор и файл прилагается.

https://www.youtube.com/watch?v=Wkk-2YyHNCo

dns_resolver.json 3.21 kB · 9 загрузок

Это DNS over vless? У тебя весь роутинг и т.д в одном файле?

Изменено 28 августа пользователем Kazantsev

[for6to9]

4 часа назад, Kazantsev сказал:

Это DNS over vless? У тебя весь роутинг и т.д в одном файле?

Я удалил VPN-настройки, оставив лишь минимальный набор для простоты понимания. dns_resolver.json рабочий config для xray в нем настроена только работа (DoH, DoT, DoQ) c подменой IP  в запросе к EDNS

 

Изменено 28 августа пользователем for6to9

[elmys]

Давно стал замечать, что перестал работать savefromnet (не скачиваются ролики youtube и даже нет списка разрешений). Подскажите, что нудно поправить в конфигах ?

[vall27]

Приветствую всех.

Никак не могу победить netflix.com и themoviedb.org. Даже при настройках 05_routing.json все через туннель, не открывает хоть ты тресни. Через другой туннель на телефоне открываются. 

Изменено Вторник в 13:11 пользователем vall27

[jameszero]

57 минут назад, vall27 сказал:

themoviedb.org

FAQ п.10

[vall27]

16 минут назад, jameszero сказал:

FAQ п.10

Спасибо огромное! но нетфликс по прежнему не получается((

[jameszero]

7 минут назад, vall27 сказал:

нетфликс по прежнему не получается

нетфликсу может не нравиться IP вашего vps, на чистых IP с ним проблем не припомню

[Alex2025]

Друзья, прошу подсказать:

настроен xkeen последняя версия самого по и ядра, на сервере тоже самое ядро, роутер ultra 1811. Все работает замечательно.

Кроме того, что при попытке проверить обновление винды, она выпадает в ошибку: мол не возможно соединиться с сервером обновления.

Сам впс в германии. Роутинг: все русское, локальное - директ, остальное впс.

Если исключаю из политики ноут, то обновления находятся.

на всякий случай прикладываю конфиг роутинга.

Заранее спасибо за ответ. В целом - все летает. 300 мегабит туда сюда прокачивает.

з.ы. xkeen слушает порты 80 и 443, смотрел через nekobox, комп эти же порты при проверке использует.

И еще пару вопросов знатокам:

1. 3x-ui генерирует конфиги с адресом 127.0.0.1, в самой панели он так и указан (порт прослушивания), т.к. подключение к ней осуществляется через ssh тоннель - это правильно? IP сервера панель видит правильно. Я конечно меняю вручную адрес, но мало ли ошибка самой панели, версия 2.6.7

2. Раскопал тут конструкцию одну:

        "domainStrategy": "UseIPv4",
        "fragment": {
          "packets": "tlshello",
          "length": "100-200",
          "interval": "10-20"
        }
      },
      "streamSettings": {
        "sockopt": {
          "tcpNoDelay": true,
          "tcpKeepAliveInterval": 30,
          "tcpKeepAliveIdle": 300
        }

не очень понятна секция streamSettings, честно пытался гуглить, но толком ничего не нашел, может кто знает, что это значит? 

 

и третий вопрос:

стоит ли увеличивать буффер?

  "policy": {
    "levels": {
      "0": {
        "statsUserDownlink": true,
        "statsUserUplink": true,
        "bufferSize": 4096
      }
    },

 

вот на эти три вопроса ответов я не нашел, хотя старался максиально все скомпилировать и не задавать лишних вопросов в коммунити.

вопросы 1-3 касаются только VPS и конфига 3x-ui

05_routing_3.json

Изменено Вторник в 19:38 пользователем Alex2025
дополнение вопроса

[jameszero]

@Alex2025, добрый день! Проблема с обновлениями WIndows может быть связана с самой Windows или неумелыми твиками, отключающими телеметрию. В вашем роутинге ничего не должно мешать службе обновлений, но чтобы убедиться в этом, перезапустите xkeen, удалив файл роутинга. В этом случае абсолютно весь трафик пойдет через vps и если проблема сохранится, смотрите на сайте Microsoft, были у них там скрипты исправляющие службу обновлений

1 - В настройках подключения в 3x-ui включите параметр External Proxy и впишите внешний адрес с портом

2,3 - Смотрите в официальной документации, там есть и про bufferSize, и все параметры sockopt расписаны

 

[Alex2025]

12 часов назад, jameszero сказал:

@Alex2025, добрый день! Проблема с обновлениями WIndows может быть связана с самой Windows или неумелыми твиками, отключающими телеметрию. В вашем роутинге ничего не должно мешать службе обновлений, но чтобы убедиться в этом, перезапустите xkeen, удалив файл роутинга. В этом случае абсолютно весь трафик пойдет через vps и если проблема сохранится, смотрите на сайте Microsoft, были у них там скрипты исправляющие службу обновлений

1 - В настройках подключения в 3x-ui включите параметр External Proxy и впишите внешний адрес с портом

2,3 - Смотрите в официальной документации, там есть и про bufferSize, и все параметры sockopt расписаны

 

Добрый вечер. Удаление полностью роутинга и перезапуск xkeen результат дало. Твиков никаких не вносилось, кроме как запрет в group policy автоматического скачивания обновлений.

по вопросам 2.3 разобрался, спасибо за ссылку на столь идеальный ман, странно, что мимо меня он прошел, но почитал все, что интересовало. Даже выкинул один параметр, который удален уже из ядра xray "tcpNoDelay"

по-поводу вопроса 1, тоже все ок, благодарю. Теперь все ровно.

Буду в фоне думать, что с центром обновления, не критично, но интересно. Может майкрософт как-то банит в зависимости от локали системы и локации, откуда апдейты тянуть она хочет, хотя странно конечно.

Сама винда Windows 11 IoT Корпоративная LTSC

Изменено вчера в 17:06 пользователем Alex2025

[for6to9]

15 часов назад, Alex2025 сказал:

Буду в фоне думать, что с центром обновления, не критично, но интересно. Может майкрософт как-то банит в зависимости от локали системы и локации, откуда апдейты тянуть она хочет, хотя странно конечно.

Без VPN Windows, 'пока' может обновляться, но функции искусственного интеллекта и новостная лента в виджетах от Microsoft в России не работают. Скачивание Windows 11 c официального вызывает проблемы: не все VPN позволяют скачать Windows 11, хотя обновления и функции ИИ через данный VPN работают, скачать новый образ Windows 11 я не могу. При больших обновлениях, XRay создавал нагрузку на процессор близкую к 100%, но скорость загрузки составляет около 40 Мбит/с. При снятия дамп сети у меня было много поломанных пакетов TCP, сейчас вроде проблема ушла целый год была, думаю РКН ломал пакеты, так-как mtr (My traceroute) показывал потерю на одном из ASN до 80%

Запусти regedit посмотри ключ
 

Цитата

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\ExperimentConfigs\Ecs]
"CountryCode"="std::wstring|RU"

смени его на US запустит консоль от имени администратора и выполни команду 

Цитата

reg add "HKCU\Software\Microsoft\Office\16.0\Common\ExperimentConfigs\Ecs" /v "CountryCode" /t REG_SZ /d "std::wstring|US" /f

 

[for6to9]

не все равно по 100% я не знаю, вот только обновления по 100% грузят Xray, когда что-то скачиваешь нор, только с обновлениями такое

[Alex2025]

@jameszero, @for6to9, добрый вечер друзья. Еще раз благодарю Вас за помощь. Понимаю, что этот топик не про виндовс апдейт, но так как с ним возникли проблемы при работе с xkeen пишу сюда.

Во-общем, не стал я мучать винду, она настроена четко у меня, работает как часы. Никаких виджетов в ней нет, более того, она из той редакции, которые предназначены для критического оборудования, т.е. в ней нет ничего лишнего, а обновления только критические и не вносят никакого нового функционала, кроме исправления ошибок и безопасности. Соответственно твикать ее тоже смысла особо и нет. Простая рабочая винда, которая исключительно прямо работает и не глючит, если не ставить все подряд. В игрушки я не играю ни в какие, если что.

Это присказка.

Теперь опишу результат, апдейты заработали. 

Внес в роутинг следующую конструкцию:

      {
        "type": "field",
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "direct",
        "domain": [
          "microsoft.com"
        ]
      }

Те. фактически пустил прозрачно трафик через своего прова на любой домен с содержанием microsoft.com.

Так и не понял, что именно xkeen блокировал. Tsl 1.2 или QUIC . В роутинге он QUIC у меня забанен.

НО

1. если выношу ноут за политику xkeen - обновления ищутся за 20 секунд

2. если выношенный ноут за политику xkeen попробовать обновить через nekobox, который цепляется к тому же VPS, но в нем не настроен роутинг никак + он запущен в режиме системного прокси, то тоже все за 20 сек происходит.

А вот при внесении ноута в политику xkeen, система ищет апдейты минут 10 и потом говорит о том, что нет возможности подключиться к серверу обновлений.

Не могут ли блоки уязвимых UDP портов и протокола QUIC на это влиять? У вас как с этим?

Проверить проблем нет, просто удалю временно эти правила, но уже тогда завтра, сейчас надо в дорогу.

не сиделось, проверил следующие гипотезы:

1. ограничение xkeen по портам 80,443 - не подтвердилось

2. ограничение протокола QUIC - не подтвердилось

3. ограничение "уязвимых UDP портов" - не подтвердилось.

на данный момент рабочий способ: внесение в директ вхождение в домен microsoft.com, хотя и не очень мне понятное, т.к. не ясно, что без белого правила мешает службе обновления...

остался вопрос: xray блокирует как-то по умолчанию версии tsl?

Изменено 13 минут назад пользователем Alex2025