маршрутизация Xkeen

[dymo]

ребят а по чат гпт тишина, никто не знает как его вновь заставить работать?

[salavat13]

Добрый вечер. Подскажите пожалуйста.  Никак не удается настроить доступ по инструкции. Настраивал несколько раз с нуля. На Viva и на свежем Giga. Все четко по шагам. xkeen поднимается. Обновил до последней версии. DOT, DOH прописал все возможные. VLess от adminvps на устройствах отлично работает через клиент. Но после применения политики проксирования сайты не открываются. Более того перестает открываться один сайт в ру домене. Провайдер Ростелеком. 

 

Галочка политики стоит.  Версию Xray обновил на флешке роутера до последней как на сервере - v25.8.3,  В файл 05_routing подложил json. Ру сайт (topdeck.ru) не открывается, ютуб тоже, но начал открываться Speedtest )

Роутер Keenetic Giga 1012.   Xray обновлен с классического на форк (тоже из инструкции)

Сервисы с 443 порта переносил - все возможные из инструкции. Не повлияло. 

Подскажите пожалуйста что еще можно предпринять

05_routing.json

Изменено 22 августа, 2025 пользователем salavat13

[jameszero]

22 часа назад, wellkam сказал:

Стоит ли пробовать поставить Entware на встроенную память роутера

На роутеры с 46 МБ внутренней памяти не рекомендую ставить XKeen на внутреннее хранилище. Установить, конечно, можно, но будут сложности с обновлением компонентов XKeen. На старших моделях Keenetic с большим объемом внутренней памяти, XKeen вполне нормально на ней работает.

[jameszero]

15 часов назад, salavat13 сказал:

не удается настроить доступ по инструкции

Добрый день! Вы бы лучше выложили файл диагностики вместо роутинга

xkeen -diag

И посмотрите в журнале Кинетика нет ли ошибок на DoH/DoT

Изменено 23 августа, 2025 пользователем jameszero

[salavat13]

2 hours ago, jameszero said:

Добрый день! Вы бы лучше выложили файл диагностики вместо роутинга

xkeen -diag

И посмотрите в журнале Кинетика нет ли ошибок на DoH/DoT

Простите, не знал куда копать. Исправляюсь.   Прикладываю журнал Кинетика с момента начала установки и логи диагностики XKeen. Попробовал потыкать по сайтам с включенной политикой. 

diagnostic.txt log.txt

[jameszero]

19 часов назад, salavat13 сказал:

Прикладываю журнал Кинетика с момента начала установки и логи диагностики XKeen

В логах проблем нет. Проверьте, если в роутере включен транзит запросов, то отключите его на странице настройки DNS. Ещё рекомендую удалить в роутере компонент IPv6, именно удалить, а не отключить.

Изменено 24 августа, 2025 пользователем jameszero

[salavat13]

1 hour ago, jameszero said:

В логах проблем нет. Проверьте, если в роутере включен транзит запросов, то отключите его на странице настройки DNS. Ещё рекомендую удалить в роутере компонент IPv6, именно удалить, а не отключить.

Спасибо огромное. Все заработало. Действительно удаление IPv6 решило проблему.

[jameszero]

19 минут назад, salavat13 сказал:

Действительно удаление IPv6 решило проблему.

К сожалению, разработчики Кинетика не хотят прислушаться к пользователям и со следующей версии прошивки удалить IPv6 будет невозможно

[salavat13]

2 hours ago, jameszero said:

К сожалению, разработчики Кинетика не хотят прислушаться к пользователям и со следующей версии прошивки удалить IPv6 будет невозможно

Спасибо. Отключу обновления для начала

[Гость]

Заюзал Xray в качестве DNS-resolver, работает две недели, свел конфигурацию до минимума. Обзор и файл прилагается.

https://www.youtube.com/watch?v=Wkk-2YyHNCo

dns_resolver.json

Изменено 25 августа, 2025 пользователем for6to9
Ссылка не прикрепилась

[Kazantsev]

В 25.08.2025 в 01:10, for6to9 сказал:

Заюзал Xray в качестве DNS-resolver, работает две недели, свел конфигурацию до минимума. Обзор и файл прилагается.

https://www.youtube.com/watch?v=Wkk-2YyHNCo

dns_resolver.json 3.21 kB · 9 загрузок

Это DNS over vless? У тебя весь роутинг и т.д в одном файле?

Изменено 28 августа, 2025 пользователем Kazantsev

[Гость]

4 часа назад, Kazantsev сказал:

Это DNS over vless? У тебя весь роутинг и т.д в одном файле?

Я удалил VPN-настройки, оставив лишь минимальный набор для простоты понимания. dns_resolver.json рабочий config для xray в нем настроена только работа (DoH, DoT, DoQ) c подменой IP  в запросе к EDNS

 

Изменено 28 августа, 2025 пользователем for6to9

[elmys]

Давно стал замечать, что перестал работать savefromnet (не скачиваются ролики youtube и даже нет списка разрешений). Подскажите, что нудно поправить в конфигах ?

[vall27]

Приветствую всех.

Никак не могу победить netflix.com и themoviedb.org. Даже при настройках 05_routing.json все через туннель, не открывает хоть ты тресни. Через другой туннель на телефоне открываются. 

Изменено 2 сентября, 2025 пользователем vall27

[jameszero]

57 минут назад, vall27 сказал:

themoviedb.org

FAQ п.10

[vall27]

16 минут назад, jameszero сказал:

FAQ п.10

Спасибо огромное! но нетфликс по прежнему не получается((

[jameszero]

7 минут назад, vall27 сказал:

нетфликс по прежнему не получается

нетфликсу может не нравиться IP вашего vps, на чистых IP с ним проблем не припомню

[Alex2025]

Друзья, прошу подсказать:

настроен xkeen последняя версия самого по и ядра, на сервере тоже самое ядро, роутер ultra 1811. Все работает замечательно.

Кроме того, что при попытке проверить обновление винды, она выпадает в ошибку: мол не возможно соединиться с сервером обновления.

Сам впс в германии. Роутинг: все русское, локальное - директ, остальное впс.

Если исключаю из политики ноут, то обновления находятся.

на всякий случай прикладываю конфиг роутинга.

Заранее спасибо за ответ. В целом - все летает. 300 мегабит туда сюда прокачивает.

з.ы. xkeen слушает порты 80 и 443, смотрел через nekobox, комп эти же порты при проверке использует.

И еще пару вопросов знатокам:

1. 3x-ui генерирует конфиги с адресом 127.0.0.1, в самой панели он так и указан (порт прослушивания), т.к. подключение к ней осуществляется через ssh тоннель - это правильно? IP сервера панель видит правильно. Я конечно меняю вручную адрес, но мало ли ошибка самой панели, версия 2.6.7

2. Раскопал тут конструкцию одну:

        "domainStrategy": "UseIPv4",
        "fragment": {
          "packets": "tlshello",
          "length": "100-200",
          "interval": "10-20"
        }
      },
      "streamSettings": {
        "sockopt": {
          "tcpNoDelay": true,
          "tcpKeepAliveInterval": 30,
          "tcpKeepAliveIdle": 300
        }

не очень понятна секция streamSettings, честно пытался гуглить, но толком ничего не нашел, может кто знает, что это значит? 

 

и третий вопрос:

стоит ли увеличивать буффер?

  "policy": {
    "levels": {
      "0": {
        "statsUserDownlink": true,
        "statsUserUplink": true,
        "bufferSize": 4096
      }
    },

 

вот на эти три вопроса ответов я не нашел, хотя старался максиально все скомпилировать и не задавать лишних вопросов в коммунити.

вопросы 1-3 касаются только VPS и конфига 3x-ui

05_routing_3.json

Изменено 2 сентября, 2025 пользователем Alex2025
дополнение вопроса

[jameszero]

@Alex2025, добрый день! Проблема с обновлениями WIndows может быть связана с самой Windows или неумелыми твиками, отключающими телеметрию. В вашем роутинге ничего не должно мешать службе обновлений, но чтобы убедиться в этом, перезапустите xkeen, удалив файл роутинга. В этом случае абсолютно весь трафик пойдет через vps и если проблема сохранится, смотрите на сайте Microsoft, были у них там скрипты исправляющие службу обновлений

1 - В настройках подключения в 3x-ui включите параметр External Proxy и впишите внешний адрес с портом

2,3 - Смотрите в официальной документации, там есть и про bufferSize, и все параметры sockopt расписаны

 

[Alex2025]

12 часов назад, jameszero сказал:

@Alex2025, добрый день! Проблема с обновлениями WIndows может быть связана с самой Windows или неумелыми твиками, отключающими телеметрию. В вашем роутинге ничего не должно мешать службе обновлений, но чтобы убедиться в этом, перезапустите xkeen, удалив файл роутинга. В этом случае абсолютно весь трафик пойдет через vps и если проблема сохранится, смотрите на сайте Microsoft, были у них там скрипты исправляющие службу обновлений

1 - В настройках подключения в 3x-ui включите параметр External Proxy и впишите внешний адрес с портом

2,3 - Смотрите в официальной документации, там есть и про bufferSize, и все параметры sockopt расписаны

 

Добрый вечер. Удаление полностью роутинга и перезапуск xkeen результат дало. Твиков никаких не вносилось, кроме как запрет в group policy автоматического скачивания обновлений.

по вопросам 2.3 разобрался, спасибо за ссылку на столь идеальный ман, странно, что мимо меня он прошел, но почитал все, что интересовало. Даже выкинул один параметр, который удален уже из ядра xray "tcpNoDelay"

по-поводу вопроса 1, тоже все ок, благодарю. Теперь все ровно.

Буду в фоне думать, что с центром обновления, не критично, но интересно. Может майкрософт как-то банит в зависимости от локали системы и локации, откуда апдейты тянуть она хочет, хотя странно конечно.

Сама винда Windows 11 IoT Корпоративная LTSC

Изменено 3 сентября, 2025 пользователем Alex2025

[Гость]

В 03.09.2025 в 19:03, Alex2025 сказал:

Буду в фоне думать, что с центром обновления, не критично, но интересно. Может майкрософт как-то банит в зависимости от локали системы и локации, откуда апдейты тянуть она хочет, хотя странно конечно.

Без VPN Windows, 'пока' может обновляться, но функции искусственного интеллекта и новостная лента в виджетах от Microsoft в России не работают. Скачивание Windows 11 c официального вызывает проблемы: не все VPN позволяют скачать Windows 11, хотя обновления и функции ИИ через данный VPN работают, скачать новый образ Windows 11 я не могу. При больших обновлениях, XRay создавал нагрузку на процессор близкую к 100%, но скорость загрузки составляет около 40 Мбит/с. При снятия дамп сети у меня было много поломанных пакетов TCP, сейчас вроде проблема ушла целый год была, так-как mtr (My traceroute) показывал потерю на одном из ASN до 80%

Запусти regedit посмотри ключ
 

Цитата

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\ExperimentConfigs\Ecs]
"CountryCode"="std::wstring|RU"

смени его на US запустит консоль от имени администратора и выполни команду 

Цитата

reg add "HKCU\Software\Microsoft\Office\16.0\Common\ExperimentConfigs\Ecs" /v "CountryCode" /t REG_SZ /d "std::wstring|US" /f

 

[Гость]

не все равно по 100% я не знаю, вот только обновления по 100% грузят Xray, когда что-то скачиваешь нор, только с обновлениями такое

[Alex2025]

@jameszero, @for6to9, добрый вечер друзья. Еще раз благодарю Вас за помощь. Понимаю, что этот топик не про виндовс апдейт, но так как с ним возникли проблемы при работе с xkeen пишу сюда.

Во-общем, не стал я мучать винду, она настроена четко у меня, работает как часы. Никаких виджетов в ней нет, более того, она из той редакции, которые предназначены для критического оборудования, т.е. в ней нет ничего лишнего, а обновления только критические и не вносят никакого нового функционала, кроме исправления ошибок и безопасности. Соответственно твикать ее тоже смысла особо и нет. Простая рабочая винда, которая исключительно прямо работает и не глючит, если не ставить все подряд. В игрушки я не играю ни в какие, если что.

Это присказка.

Теперь опишу результат, апдейты заработали. 

Внес в роутинг следующую конструкцию:

      {
        "type": "field",
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "direct",
        "domain": [
          "microsoft.com"
        ]
      }

Те. фактически пустил прозрачно трафик через своего прова на любой домен с содержанием microsoft.com.

Так и не понял, что именно xkeen блокировал. Tsl 1.2 или QUIC . В роутинге он QUIC у меня забанен.

НО

1. если выношу ноут за политику xkeen - обновления ищутся за 20 секунд

2. если выношенный ноут за политику xkeen попробовать обновить через nekobox, который цепляется к тому же VPS, но в нем не настроен роутинг никак + он запущен в режиме системного прокси, то тоже все за 20 сек происходит.

А вот при внесении ноута в политику xkeen, система ищет апдейты минут 10 и потом говорит о том, что нет возможности подключиться к серверу обновлений.

Не могут ли блоки уязвимых UDP портов и протокола QUIC на это влиять? У вас как с этим?

Проверить проблем нет, просто удалю временно эти правила, но уже тогда завтра, сейчас надо в дорогу.

не сиделось, проверил следующие гипотезы:

1. ограничение xkeen по портам 80,443 - не подтвердилось

2. ограничение протокола QUIC - не подтвердилось

3. ограничение "уязвимых UDP портов" - не подтвердилось.

на данный момент рабочий способ: внесение в директ вхождение в домен microsoft.com, хотя и не очень мне понятное, т.к. не ясно, что без белого правила мешает службе обновления...

остался вопрос: xray блокирует как-то по умолчанию версии tsl?

Изменено 4 сентября, 2025 пользователем Alex2025

[Гость]

9 часов назад, Alex2025 сказал:

на данный момент рабочий способ: внесение в директ вхождение в домен microsoft.com, хотя и не очень мне понятное, т.к. не ясно, что без белого правила мешает службе обновления..

проверь https://quic.nginx.org/ красное Failed или зеленое Quic есть? Запускай в режиме инкогнито, брайзеры любят своей истории смотреть поддержку quic You're not using QUIC right now, but don't despair

[jameszero]

10 часов назад, Alex2025 сказал:

В роутинге он QUIC у меня забанен.

Добрый день! С вашим вариантом роутинга, когда ру в direct, остальное через прокси, блокировать quic не нужно и даже вредно.  Лучше удалите следующий код:

          "127.0.0.0/8",
          "10.0.0.0/8",
          "172.16.0.0/12",
          "192.168.0.0/16",
          "169.254.0.0/16",

Непонятно для чего он роутинге и зачем направлять локальные адреса через провайдера в интернет. Это, по крайней мере, не безопасно. Впрочем, у XKeen есть защита от этой уязвимости и он не даст вам выстрелить себе в ногу) Второй момент - проверьте наличие в inbounds параметра routeOnly true, от него зависит корректность обработки правил маршрутизациию. Так же попробуйте временно отказаться от балансировщика и прописать в роутинге фиксированный outboundTag, чтобы исключить ситуацию, когда запрос на сервер microsoft идет через одно исходящее, а возвращается через другое, в некоторых случаях это может давать сбой. 

Изменено 5 сентября, 2025 пользователем jameszero

[Alex2025]

@for6to9 , доброе утро. Все квадратики черные.

@jameszero , доброе утро.

Стрелять в ногу конечно же себе не хочу, убрал ту секцию вообще, спасибо)

По-поводу QUIC, я думал, что конструкция

        "ip": [
          "ext:geoip_zkeenip.dat:!ru"
        ]

исключает блокировку этого протокола для российских ресурсов, ведь написано, что IP не равно российским или я ошибаюсь? В любом случае я целиком пробовал блокировку убирать - не помогало.

пробовал убрать балансировку, результата не дало.

routeOnly включен.

На всякий случай прикладываю настройки, с которыми сейчас поделал тесты

 

03_inbounds.json 05_routing.json

[jameszero]

@Alex2025, попробуйте этот файл. Функционально это тот же самый роутинг, как у вас, только я почистил его от избыточных и не функциональных записей

05_routing.json

Изменено 5 сентября, 2025 пользователем jameszero

[Alex2025]

@jameszero, добрый вечер. Вот это оптимизация, а так можно было?

Изучил: 

1. вы выкинули блокировку QUIC (хотя проделал тест QUCK с вашим конфигом - все квадратики черные все равно)

2. блокировку UDP портов ( понимаю почему, они все равно за натом, чего бояться)

3. подровняли список разрешенных зон и ип

4. разрешили торренты (почитал маны оригинальные, да понятно почему, детекция только базовая, всякие шифрования или mtp делаю эту опцию бесполезной)

верно? почему спрашиваю, не привык копировать конфиги бездумно, всегда охото разобраться в сути.

посему вопрос: а теги type, inboundtag не обязательны? или они по умолчанию подставляются xkeenом? Мне для понимания, слишком у вас прямо короткий конфиг вышел)

Что касается обновлений: нихт)) Но, если добавляю в директ microsoft.com - все нормально на вашем конфиге.

еще вопрос: насколько быстрее xkeen работает с таким коротким конфигом как ваш, по сравнению с моим? может заморочится мне надо и оптимизировать таким образом остальные конфиги? Главное теперь понять, как устроена система оптимизации, некий короткий формат конфигов.

по аналогии с вашим коротким синтаксисом, добавил балансир в роутинг.

05_routing.json

Изменено 5 сентября, 2025 пользователем Alex2025

[jameszero]

@Alex2025

1. Если интересовались зачем вообще блокируют QUIC и сопоставьте это со своим роутингом, то поймете, что в нём не требуется эта блокировка, ни для всего трафика, ни для НЕ ру.

2. Верно. Эти порты наружу не смотрят, данный блок роутинга - апендикс, он ничего не делает, и я его убрал.

3,4. Всё верно. Торренты направить через провайдера можно только ограничением портов проксирования, роутинг тут не эффективен.

Теги inbound применительно к вашему роутингу не нужны, они требуются, когда есть несколько входящих подключений и нужна разная их маршрутизация.

Дополнительной скорости обработки оптимизированного роутинга на топовом Keenetic Ultra не почувствуете, на начальных моделях роутеров возможно..., да и то, доли секунды. Я больше сторонник минимизации кода, чем насыщения его излишествами, которые не работают, не являются обязательными или затрудняют анализ. Своё мнение не отстаиваю, есть те, кому нравятся километровые роутинги с дублированием правил и кучей комментариев)

Странно, что microsoft у вас так себя ведет, первый раз с таким сталкиваюсь, идей на этот счёт пока нет.

Изменено 5 сентября, 2025 пользователем jameszero

[Alex2025]

@jameszero, да читал, что сайты типо intel, а он бывает иногда нужен, определяют ип по этому протоколу. Только поэтому его и ввел.

2,3,4 - все понял, благодарю. Порты проксирования у меня ограничены 80 и 443, более смысла не вижу для своих обычных кейсов.

по тегам понял, понимаю теперь систему мышления ( я просто с xkeen всего пару недель назад познакомился, если что, не серчайте за вопросы)

Тоже люблю минимизацию, поэтому и позадавал вам вопросы про короткий синтаксис. Хочу тоже разобраться и не лепить лишний код. Тот роутинг был написан через конфигуратор, потом вручную подогнан под обычную деятельность, но нюансы синтаксиса конечно же через практику познаются, вы приоткрыли для меня завесу, в какую сторону думать ( как писал ранее, стала понятна система мышления)

Тоже странно, но хоть домен в директ ситуацию выправил. Подумаю еще в фоне...НО в целом проблема не критична, более интересна с академической точки зрения.

 

Еще раз мои благодарности за уделенное время и науку! 🤝