маршрутизация Xkeen

[for6to9]

9 часов назад, Alex2025 сказал:

на данный момент рабочий способ: внесение в директ вхождение в домен microsoft.com, хотя и не очень мне понятное, т.к. не ясно, что без белого правила мешает службе обновления..

проверь https://quic.nginx.org/ красное Failed или зеленое Quic есть? Запускай в режиме инкогнито, брайзеры любят своей истории смотреть поддержку quic You're not using QUIC right now, but don't despair

[jameszero]

10 часов назад, Alex2025 сказал:

В роутинге он QUIC у меня забанен.

Добрый день! С вашим вариантом роутинга, когда ру в direct, остальное через прокси, блокировать quic не нужно и даже вредно.  Лучше удалите следующий код:

          "127.0.0.0/8",
          "10.0.0.0/8",
          "172.16.0.0/12",
          "192.168.0.0/16",
          "169.254.0.0/16",

Непонятно для чего он роутинге и зачем направлять локальные адреса через провайдера в интернет. Это, по крайней мере, не безопасно. Впрочем, у XKeen есть защита от этой уязвимости и он не даст вам выстрелить себе в ногу) Второй момент - проверьте наличие в inbounds параметра routeOnly true, от него зависит корректность обработки правил маршрутизациию. Так же попробуйте временно отказаться от балансировщика и прописать в роутинге фиксированный outboundTag, чтобы исключить ситуацию, когда запрос на сервер microsoft идет через одно исходящее, а возвращается через другое, в некоторых случаях это может давать сбой. 

Изменено Пятница в 04:53 пользователем jameszero

[Alex2025]

@for6to9 , доброе утро. Все квадратики черные.

@jameszero , доброе утро.

Стрелять в ногу конечно же себе не хочу, убрал ту секцию вообще, спасибо)

По-поводу QUIC, я думал, что конструкция

        "ip": [
          "ext:geoip_zkeenip.dat:!ru"
        ]

исключает блокировку этого протокола для российских ресурсов, ведь написано, что IP не равно российским или я ошибаюсь? В любом случае я целиком пробовал блокировку убирать - не помогало.

пробовал убрать балансировку, результата не дало.

routeOnly включен.

На всякий случай прикладываю настройки, с которыми сейчас поделал тесты

 

03_inbounds.json 05_routing.json

[jameszero]

@Alex2025, попробуйте этот файл. Функционально это тот же самый роутинг, как у вас, только я почистил его от избыточных и не функциональных записей

05_routing.json

Изменено Пятница в 08:17 пользователем jameszero

[Alex2025]

@jameszero, добрый вечер. Вот это оптимизация, а так можно было?

Изучил: 

1. вы выкинули блокировку QUIC (хотя проделал тест QUCK с вашим конфигом - все квадратики черные все равно)

2. блокировку UDP портов ( понимаю почему, они все равно за натом, чего бояться)

3. подровняли список разрешенных зон и ип

4. разрешили торренты (почитал маны оригинальные, да понятно почему, детекция только базовая, всякие шифрования или mtp делаю эту опцию бесполезной)

верно? почему спрашиваю, не привык копировать конфиги бездумно, всегда охото разобраться в сути.

посему вопрос: а теги type, inboundtag не обязательны? или они по умолчанию подставляются xkeenом? Мне для понимания, слишком у вас прямо короткий конфиг вышел)

Что касается обновлений: нихт)) Но, если добавляю в директ microsoft.com - все нормально на вашем конфиге.

еще вопрос: насколько быстрее xkeen работает с таким коротким конфигом как ваш, по сравнению с моим? может заморочится мне надо и оптимизировать таким образом остальные конфиги? Главное теперь понять, как устроена система оптимизации, некий короткий формат конфигов.

по аналогии с вашим коротким синтаксисом, добавил балансир в роутинг.

05_routing.json

Изменено Пятница в 18:15 пользователем Alex2025

[jameszero]

@Alex2025

1. Если интересовались зачем вообще блокируют QUIC и сопоставьте это со своим роутингом, то поймете, что в нём не требуется эта блокировка, ни для всего трафика, ни для НЕ ру.

2. Верно. Эти порты наружу не смотрят, данный блок роутинга - апендикс, он ничего не делает, и я его убрал.

3,4. Всё верно. Торренты направить через провайдера можно только ограничением портов проксирования, роутинг тут не эффективен.

Теги inbound применительно к вашему роутингу не нужны, они требуются, когда есть несколько входящих подключений и нужна разная их маршрутизация.

Дополнительной скорости обработки оптимизированного роутинга на топовом Keenetic Ultra не почувствуете, на начальных моделях роутеров возможно..., да и то, доли секунды. Я больше сторонник минимизации кода, чем насыщения его излишествами, которые не работают, не являются обязательными или затрудняют анализ. Своё мнение не отстаиваю, есть те, кому нравятся километровые роутинги с дублированием правил и кучей комментариев)

Странно, что microsoft у вас так себя ведет, первый раз с таким сталкиваюсь, идей на этот счёт пока нет.

Изменено Пятница в 19:06 пользователем jameszero

[Alex2025]

@jameszero, да читал, что сайты типо intel, а он бывает иногда нужен, определяют ип по этому протоколу. Только поэтому его и ввел.

2,3,4 - все понял, благодарю. Порты проксирования у меня ограничены 80 и 443, более смысла не вижу для своих обычных кейсов.

по тегам понял, понимаю теперь систему мышления ( я просто с xkeen всего пару недель назад познакомился, если что, не серчайте за вопросы)

Тоже люблю минимизацию, поэтому и позадавал вам вопросы про короткий синтаксис. Хочу тоже разобраться и не лепить лишний код. Тот роутинг был написан через конфигуратор, потом вручную подогнан под обычную деятельность, но нюансы синтаксиса конечно же через практику познаются, вы приоткрыли для меня завесу, в какую сторону думать ( как писал ранее, стала понятна система мышления)

Тоже странно, но хоть домен в директ ситуацию выправил. Подумаю еще в фоне...НО в целом проблема не критична, более интересна с академической точки зрения.

 

Еще раз мои благодарности за уделенное время и науку! 🤝

 

[Sad13]

Добрый день. 
Взял VPS в Нидерландах, настроил по инструкциям с хабра (заведомо зная о ее проблемах) и гита. На Keenetic Viva, xkeen на флешке. Вроде должно работать, но по факту нет. Иногда пролетают одинокие килобайты и статус Онлайн в неопределенные моменты, в остальное время тихо.

Дело вряд ли в файле маршрутизации, сейчас пока сконфигурировал файл на захват всего трафика. Но на всякий случай его приложу.
Буду благодарен, если укажете примерное направление, куда копать.

05_routing.json diagnostic.txt

[for6to9]

10 часов назад, Sad13 сказал:

Буду благодарен, если укажете примерное направление, куда копать.

порты открой 
xkeen -ap 443,80: Добавить порты для работы (можно указать один или несколько портов через запятую)




 

[Sad13]

2 часа назад, for6to9 сказал:

порты открой 

Люблю делать тупые ошибки👍
Спасибо, заработало

[Qvazae]

Здравствуйте, все поставил, запустил, вроде как заработало, но трафик не идет через xkeen, будто бы он не работает совсем. В чем может быть проблема?diagnostic (1).txt

03_inbounds.json 05_routing.json

Изменено вчера в 00:44 пользователем Qvazae
две буквы ф в слове траффик написал

[jameszero]

14 часов назад, Qvazae сказал:

В чем может быть проблема?

Добрый день! Удалите файл 02_dns.json и компонент прошивки Кинетика "Протокол IPv6"

Так же удалите один любой порт проксирования, кроме 80 и 443.

Изменено вчера в 14:35 пользователем jameszero

[Qvazae]

Огромное спасибо, одного порта не хватило, убрал побольше, чтобы 14 осталось портов.

[Slushatel11]

Здравствуйте. Использую старую Ultra с прошивкой 2.16.D.12.0-11. В логах циклически проскакивают сообщения:

Opkg::Manager: /opt/etc/ndm/netfilter.d/proxy.sh: ip6tables v1.4.21: can't initialize ip6tables table `nat': Table does not exist (do you need to insmod?).

Opkg::Manager: /opt/etc/ndm/netfilter.d/proxy.sh: Perhaps ip6tables or your kernel needs to be upgraded. При этом загрузка процессора кратковременно доходит до 50%. При установленных модулях Netfilter, Xtables-addons и IPv6 на команду Xkeen -modules отвечает ошибкой копирования модуля xt_забыл.ko требует проверить наличие модуля Netfilter. После удаления модулей Netfilter, Xtables-addons и IPv6, Xkeen продолжает работать. Упомянутые выше записи в логе циклически появляются как при установленных модулях Netfilter, Xtables-addons и IPv6, так и после их удаления. Как исправить ситуацию? Можно ли в Xkeen полностью отключить поддержку IPv6? Она мне не нужна.

[jameszero]

8 часов назад, Slushatel11 сказал:

Можно ли в Xkeen полностью отключить поддержку IPv6?

Добрый день! Установлен оригинал или форк XKeen? Форк, начиная с  версии 1.1.3.7, проверяет наличие компонента IPv6 в Кинетике, и если его нет, то полностью игнорирует ip6tables и не создаёт в нём таблицы. Ошибок, подобным вашим, не может возникать. Либо XKeen устаревший, либо в прошивке 2.16.D.12.0-11 протокол IPv6 не удаляется, а просто отключается, при этом движок ip6tables остаётся. Подобное поведение будет ожидать новые модели роутеров на прошивке 5 версии, но это совсем другая история.

Выполните xkeen -diag с удалённым компонентом IPv6, посмотрим, что там в 2.16.D.12.0-11

[for6to9]

9 часов назад, Slushatel11 сказал:

Ultra с прошивкой 2.16.D.12.0-11

Роутер zyxel уже свое отработал, лучше присмотреться к новым моделям, насколько я помню ядро 2.16. старое и нет модуля xt_TPROXY, поэтому работает только redirect, можешь сторону Квас посмотреть ipset в ядре поддерживается, но я пробовал ставить квас на старый zyxel, с ходу не заработал, устанавливался с ошибками,  я бросил эту идею.

P.S. wireguard-ом подключись, арендуй сервер VPS с минимальной конфигурации в РФ установи 3x-ui. 2.16.D.12.0-11 прошивка уже не актуальная. 

Изменено 13 часов назад пользователем for6to9

[jameszero]

13 часов назад, Qvazae сказал:

убрал побольше, чтобы 14 осталось портов.

XKeen использует модуль multiport Кинетика, а в нём 14 портов это предел. В следующей версии XKeen попробую обойти данное ограничение.

[Andy Frame]

Проясните пжлст. Настроил всё по мануалу с Гитхаба, всё работает чудесно, единственно в роутере трафик устройств из политики XKeen не считается и в статистике не отображается. Какбы не сильно критично, но любопытно...

[Kazantsev]

Здравствуйте!понимаю, тут обсуждают xkeen, но такой вопрос. Если я сделал свой сайт на nginx и использую его для маскировки, то можно менять порт от vless 443 на другой или не рекомендуется? Или смена порта vless делается другими методами

[Slushatel11]

11 часов назад, jameszero сказал:

Вdiagnostic.txtыполните xkeen -diag с удалённым компонентом IPv6, посмотрим, что там в 2.16.D.12.0-11

Здравствуйте. Спасибо за помощь. Файл диагностики почему-то сохранился в корень раздела. Прилагаю. После диагностики дал команды "xkeen -stop", "xkeen -start" и получил ошибку "Модуль xt_TPROXY.ko не установлен... Установите ... Netfilter" Тоже самое происходит если заменить файл 04_outbounds.json Устанавливаю IPv6 и Netfilter и Xkeen запускается автоматически. Далее пишу "xkeen -modules", получаю ошибку о невозможности скопировать модуль xt_multiport.ko, проверьте установку модуля ядра Netfilter (фактически установлен). Удаляю IPv6 и Netfilter. После загрузки роутера Xkeen стартует и работает. Ошибки в логе, описанные в первом сообщении циклически повторяются как при установленных IPv6 и Netfilter, так и при удаленных. Ещё заметил странность с DNS. Не знаю, связано ли это с Xkeen. Может подскажите? )) Соединением от провайдера pppoe, ip по dhcp, но вручную дописан dns 8.8.8.8, через веб-интерфейс роутера. В итоге после перезагрузки и старта Xkeen вижу использование только одного dns 8.8.8.8. Если переподключиться, то будет два dns от провайдера и третий, который прописан вручную (8.8.8.8). Как сделать, чтобы всегда были и провайдерские dns, полученные по dhcp (до них очень быстрый пинг, хочу их использовать, получая по dhcp) и тот который прописываю руками? И ещё вопрос. В Xkeen использую geosite. Как сделать чтобы сайты пропавшие под правила gesite использовали dns прописанный вручную, а остальные - использовали dns провайдера?

Изменено 2 часа назад пользователем Slushatel11
Ещё вопросы

[Slushatel11]

11 часов назад, for6to9 сказал:

Роутер zyxel уже свое отработал, лучше присмотреться к новым моделям

Пока не готов с ними расстаться, но мысли обновиться появляются.

[XakFak]

Добрый вечер. Использую XKeen+nfqws. Все работает, но не могу добиться желаемого. Создана политика XKeen, nfqws политика не создана и работает на все устройства. Устройства в политике xkeen работают как надо, роутинг работает и nfqws работает. Но устройства вне политики xkeen не работают через nfqws и вообще странно себя ведут, долго открываются страницы и тд. 

Хочу чтобы через xkeen открывалось только геоблок типа чатгпт интел и тд. А с остальным типа тытрубы и дискорда прекрасно справляется nfqws. В политике xkeen все так и работает. Но устройства вне политики xkeen не идут через nfqws. Подскажите в какую сторону копать? Заранее спасибо.

Изменено 59 минут назад пользователем XakFak