маршрутизация Xkeen

[jameszero]

49 минут назад, Lexx_ сказал:

Skipper 4G KN-2910.

Добрый день! Эта модель роутера устанавливает несовместимый бинарный файл xray. Возьмите бинарник из прикрепленного архива, поместите его в папку /opt/sbin/ и сделайте исполняемым следующей командой:

chmod +x /opt/sbin/xray

 

xray.zip

[jameszero]

50 минут назад, frezero сказал:

dns берется первый из списка, как это можно было бы исправить?

Добрый день! В вашем вопросе содержится ответ. Поместите DNS Вымпелкома выше 1.1.1.1 в файле dns.json. Первоисточник того, что вы настраиваете, я публиковал здесь - DNS-over-VLESS — направляем DNS-трафик через прокси xray

[frezero]

1 час назад, jameszero сказал:

Добрый день! В вашем вопросе содержится ответ. Поместите DNS Вымпелкома выше 1.1.1.1 в файле dns.json. Первоисточник того, что вы настраиваете, я публиковал здесь - DNS-over-VLESS — направляем DNS-трафик через прокси xray

Да, я действовал по вашему мануалу.

Если поместить DNS Вымпелкома выше 1.1.1.1 в файле dns.json, то 1.1.1.1 не вызывается никогда, как впрочем сейчас не вызывается DNS Вымпелкома.

Проблема в том, что условие domain никак не обрабатывается, хотелось бы узнать причину.

 

[vllv]

Здравствуйте!

Подскажите, пожалуйста: в одной и той же сети с компьютера в браузере открывается сайт одной из социальных сетей, а на мобильных телефонах - эта сеть не работает как в приложении, так и в браузере. Куда можно копать?

Всякие видеохостинги и прочее - нормально на всех устройствах работают через VLESS.

При этом если на мобильном телефоне подключить какой-либо другой vpn, то начинает работать без проблем и эта соцсеть. Пробовал отключать IP V6 на роутере, блокировать 443/UDP - ничего не поменялось.

В настройки так добавил - тоже без изменений:

Цитата

      // VPS подключение  |  Доменные имена | Подсеть 192.168.1.0/24
      {
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "vless-reality",
        "source": ["192.168.1.0/24"],
        "type": "field",
        "domain": [
        "ext:geosite_v2fly.dat:g....e",
        "ext:geosite_v2fly.dat:in......m",
        "ext:geosite_v2fly.dat:sp....est",
        "ext:geosite_v2fly.dat:t....k",
        "ext:geosite_zkeen.dat:domains",
        "ext:geosite_zkeen.dat:other",
        "2ip.ru",
        "2ip.io"
        ]
      },

 

Изменено Суббота в 14:49 пользователем vllv

[jameszero]

13 часов назад, frezero сказал:

Если поместить DNS Вымпелкома выше 1.1.1.1 в файле dns.json, то 1.1.1.1 не вызывается никогда, как впрочем сейчас не вызывается DNS Вымпелкома.

Весьма странно. У меня данная схема работает. А в роутере у вас как настроен DNS? Возможно отключен транзит и роутер перехватывает все прямые запросы.

@vllv, здесь не обсуждается обход блокировок. Это противозаконно, если вы не в курсе.

[vllv]

@jameszero, исправил сообщение, чтобы не было двусмысленности.

[Slushatel11]

Здравствуйте. Попробовал завернуть dns в vless и у меня не получилось. Тогда попробовал проверенный конфиг без маршрутизации dns, для режима Xkeen redirect, перевести в режим tproxy и тоже неудача. Напомню, в используемой прошивке 2.16.D.12.0-11 отсутствует модуль xt_tproxy.ko и он был добавлен вручную в директорию /opt/lib/modules/, после чего в логе ndms стали появляться ошибки, связанные с этим модулем. Все это наталкивает на мысль о неработоспособности модуля xt_tproxy.ko на данной прошивке. Вопрос, можно ли завернуть dns в vless без участия xt_tproxy? Режим redirect работает стабильно и без ошибок.

[frezero]

В 13.09.2025 в 09:55, jameszero сказал:

Весьма странно. У меня данная схема работает. А в роутере у вас как настроен DNS? Возможно отключен транзит и роутер перехватывает все прямые запросы.

@vllv, здесь не обсуждается обход блокировок. Это противозаконно, если вы не в курсе.

На самом роутере указан только DNS тарелки mikrotik. На тарелки есть dns server и там стоит галлочка на Allow Remove Requests, если это важно ) 

Спойлер

 

Изменено Понедельник в 10:20 пользователем frezero

[Slushatel11]

@jameszeroЗдравствуйте. Подскажите пожалуйста, есть ли возможность поднять dns сервер Xkeen и завернуть dns запросы в vless без корректно работающего модуля xt_tproxy.ko?

Изменено вчера в 06:44 пользователем Slushatel11

[jameszero]

@Slushatel11, добрый день! Я не изучал этот вопрос, да и слишком много вы хотите от старого роутера) Большая удача, что на нём вообще завелся XKeen. К тому же, dns-сервер у xray довольно ресурсоёмкий, даже если вы его поднимите, результат может не порадовать.

[Slushatel11]

10 минут назад, jameszero сказал:

слишком много вы хотите от старого роутера

Аппаратных ресурсов старичка для моих целей хватит. Вопрос только к программной составляющей... Если вдруг найдётся решение, пожалуйста дайте знать и спасибо за помощь. )

[frezero]

5 часов назад, Slushatel11 сказал:

Аппаратных ресурсов старичка для моих целей хватит. Вопрос только к программной составляющей... Если вдруг найдётся решение, пожалуйста дайте знать и спасибо за помощь. )

Если вас беспокоят утечки и у вас проводной интернет (у меня мобильный), DoH\DoT c ssl сертификатом после правил вашего прокси, должен по идеи отдавать пачку адресов в зависимости от принадлежности вашего IP к сегменту сети (ну или стране). 

[Slushatel11]

@frezero Здравствуйте. Интернет у меня GPON от РТ, провайдерский ONT в режиме моста, Zyxel Keenetic Ultra (первая, ku_ra) с прошивкой 2.16. DNS провайдерские, полученные по DHCP. Xkeen работает в режиме redirect. Весь трафик ходит "напрямую", а для некоторых сайтов заворачивается в VLESS средствами Xkeen. Меня беспокоит перехват и модификация DNS запросов/ответов со стороны провайдера. По этому хочется при обращении к некоторым сайтам и DNS завернуть в VLESS. При обращении ко всем остальным сайтам, использовать DNS провайдера и остальной трафик гнать мимо туннеля. Маршрутизация трафика работает как задумано, а с DNS вопрос открыт.

Ремарка: DoH/DoT прошивкой не поддерживаются (решаемо). От DNS провайдера совсем отказываться не хочется, так как он в разы быстрей остальных.

[Kazantsev]

7 часов назад, Slushatel11 сказал:

@frezero Здравствуйте. Интернет у меня GPON от РТ, провайдерский ONT в режиме моста, Zyxel Keenetic Ultra (первая, ku_ra) с прошивкой 2.16. DNS провайдерские, полученные по DHCP. Xkeen работает в режиме redirect. Весь трафик ходит "напрямую", а для некоторых сайтов заворачивается в VLESS средствами Xkeen. Меня беспокоит перехват и модификация DNS запросов/ответов со стороны провайдера. По этому хочется при обращении к некоторым сайтам и DNS завернуть в VLESS. При обращении ко всем остальным сайтам, использовать DNS провайдера и остальной трафик гнать мимо туннеля. Маршрутизация трафика работает как задумано, а с DNS вопрос открыт.

Ремарка: DoH/DoT прошивкой не поддерживаются (решаемо). От DNS провайдера совсем отказываться не хочется, так как он в разы быстрей остальных.

А Яндекс днс не быстрый?

[for6to9]

В 16.09.2025 в 17:35, Slushatel11 сказал:

Если вдруг найдётся решение, пожалуйста дайте знать и спасибо за помощь. )

Попробуй через wireguard, добавь в "inbounds":

```

{
  "tag": "wireguard-test",
  "listen": null,
  "port": 44355,
  "protocol": "wireguard",
  "settings": {
    "kernelMode": false,
    "mtu": 1420,
    "peers": [
      {
        "allowedIPs": [
          "10.0.11.3/32"
        ],
        "keepAlive": 0,
        "privateKey": "uIbz/Wr9OQGy6TfugAjZTYkBqpi1CaZBOCblEOX5fXY=",
        "publicKey": "SijmKedL/JN4YxxOBQzcjqDw/0d40UQXmRyfWumN3gI="
      }
    ],
    "secretKey": "MN4PftIzLM1VxPHuUF7fq5t6Lx+f93AmFbLrTLWdflA="
  },
  "sniffing": {
    "destOverride": [
      "http",
      "tls",
      "quic"
    ],
    "enabled": true,
    "metadataOnly": false,
    "routeOnly": false
  },
  "streamSettings": null
},

```
"tag": "wireguard-test" добавь в "rules":  "inboundTag" к  "redirect", "tproxy", 

а прикрепленный конфиг WG-test.conf импортируй в keenetic далее ключи checkbox Использовать для выхода в интернет, Приоритеты подключения, Применение политик настроить. Скорость будет ни какая думаю не больше 2Мбит/с, может быть загрузка роутера под 100%,  я скорость замерил и бросил. wireguard получается программный из xray, скорость большую не получишь. 

P.S. загули в как настроить тройной VPN 3x-ui, проще арендовать сервер в России. 

P.S. сначала WG-test.conf на телефоне за тестируют, ничего там уже из твоего старичка  роутера не выжать, чтобы не мучатся с настройками wireguard со старым GUI keenetic там по моему нет ещё импорта конфигурационных файлов. 

WG-test.conf

Изменено 5 часов назад пользователем for6to9
P.S

[for6to9]

46 минут назад, for6to9 сказал:

Попробуй через wireguard

wireguard такой ещё в xray-core, упал
 

panic: Net: Unknown address type.

goroutine 69139 [running]:
github.com/xtls/xray-core/common/net.DestinationFromAddr({0x0, 0x0})
    github.com/xtls/xray-core/common/net/destination.go:25 +0x1d4
github.com/xtls/xray-core/proxy/wireguard.(*Server).forwardConnection(0x287e150, {{0x15579b0, 0x32cdac0}, 0x1f90, 0x2}, {0x155a778, 0xee2e000})
    github.com/xtls/xray-core/proxy/wireguard/server.go:142 +0x2d4
github.com/xtls/xray-core/proxy/wireguard.createGVisorTun.func1.1(0x57fe6f0)
    github.com/xtls/xray-core/proxy/wireguard/tun.go:172 +0x418
created by github.com/xtls/xray-core/proxy/wireguard.createGVisorTun.func1 in goroutine 69138
    github.com/xtls/xray-core/proxy/wireguard/tun.go:152 +0x100

 

Изменено 4 часа назад пользователем for6to9

[Slushatel11]

2 часа назад, for6to9 сказал:

Попробуй через wireguard

Вы сами знаете, что это решение не рабочее. Не вижу смысла в предложенном Вами эксперименте. 

6 часов назад, Kazantsev сказал:

А Яндекс днс не быстрый?

Время ответа Яндекса более 40 мс. Провайдерские отвечают примерно за 6 мс. Речь про не шифрованные запросы.

[for6to9]

1 час назад, Slushatel11 сказал:

это решение не рабочее.

Почему не рабочее? Создается подключение Wireguard вместо SOCKS.