маршрутизация Xkeen

[jameszero]

49 минут назад, Lexx_ сказал:

Skipper 4G KN-2910.

Добрый день! Эта модель роутера устанавливает несовместимый бинарный файл xray. Возьмите бинарник из прикрепленного архива, поместите его в папку /opt/sbin/ и сделайте исполняемым следующей командой:

chmod +x /opt/sbin/xray

 

xray.zip

[jameszero]

50 минут назад, frezero сказал:

dns берется первый из списка, как это можно было бы исправить?

Добрый день! В вашем вопросе содержится ответ. Поместите DNS Вымпелкома выше 1.1.1.1 в файле dns.json. Первоисточник того, что вы настраиваете, я публиковал здесь - DNS-over-VLESS — направляем DNS-трафик через прокси xray

[frezero]

1 час назад, jameszero сказал:

Добрый день! В вашем вопросе содержится ответ. Поместите DNS Вымпелкома выше 1.1.1.1 в файле dns.json. Первоисточник того, что вы настраиваете, я публиковал здесь - DNS-over-VLESS — направляем DNS-трафик через прокси xray

Да, я действовал по вашему мануалу.

Если поместить DNS Вымпелкома выше 1.1.1.1 в файле dns.json, то 1.1.1.1 не вызывается никогда, как впрочем сейчас не вызывается DNS Вымпелкома.

Проблема в том, что условие domain никак не обрабатывается, хотелось бы узнать причину.

 

[vllv]

Здравствуйте!

Подскажите, пожалуйста: в одной и той же сети с компьютера в браузере открывается сайт одной из социальных сетей, а на мобильных телефонах - эта сеть не работает как в приложении, так и в браузере. Куда можно копать?

Всякие видеохостинги и прочее - нормально на всех устройствах работают через VLESS.

При этом если на мобильном телефоне подключить какой-либо другой vpn, то начинает работать без проблем и эта соцсеть. Пробовал отключать IP V6 на роутере, блокировать 443/UDP - ничего не поменялось.

В настройки так добавил - тоже без изменений:

Цитата

      // VPS подключение  |  Доменные имена | Подсеть 192.168.1.0/24
      {
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "vless-reality",
        "source": ["192.168.1.0/24"],
        "type": "field",
        "domain": [
        "ext:geosite_v2fly.dat:g....e",
        "ext:geosite_v2fly.dat:in......m",
        "ext:geosite_v2fly.dat:sp....est",
        "ext:geosite_v2fly.dat:t....k",
        "ext:geosite_zkeen.dat:domains",
        "ext:geosite_zkeen.dat:other",
        "2ip.ru",
        "2ip.io"
        ]
      },

 

Изменено 13 сентября пользователем vllv

[jameszero]

13 часов назад, frezero сказал:

Если поместить DNS Вымпелкома выше 1.1.1.1 в файле dns.json, то 1.1.1.1 не вызывается никогда, как впрочем сейчас не вызывается DNS Вымпелкома.

Весьма странно. У меня данная схема работает. А в роутере у вас как настроен DNS? Возможно отключен транзит и роутер перехватывает все прямые запросы.

@vllv, здесь не обсуждается обход блокировок. Это противозаконно, если вы не в курсе.

[vllv]

@jameszero, исправил сообщение, чтобы не было двусмысленности.

[Slushatel11]

Здравствуйте. Попробовал завернуть dns в vless и у меня не получилось. Тогда попробовал проверенный конфиг без маршрутизации dns, для режима Xkeen redirect, перевести в режим tproxy и тоже неудача. Напомню, в используемой прошивке 2.16.D.12.0-11 отсутствует модуль xt_tproxy.ko и он был добавлен вручную в директорию /opt/lib/modules/, после чего в логе ndms стали появляться ошибки, связанные с этим модулем. Все это наталкивает на мысль о неработоспособности модуля xt_tproxy.ko на данной прошивке. Вопрос, можно ли завернуть dns в vless без участия xt_tproxy? Режим redirect работает стабильно и без ошибок.

[frezero]

В 13.09.2025 в 09:55, jameszero сказал:

Весьма странно. У меня данная схема работает. А в роутере у вас как настроен DNS? Возможно отключен транзит и роутер перехватывает все прямые запросы.

@vllv, здесь не обсуждается обход блокировок. Это противозаконно, если вы не в курсе.

На самом роутере указан только DNS тарелки mikrotik. На тарелки есть dns server и там стоит галлочка на Allow Remove Requests, если это важно ) 

Спойлер

 

Изменено 15 сентября пользователем frezero

[Slushatel11]

@jameszeroЗдравствуйте. Подскажите пожалуйста, есть ли возможность поднять dns сервер Xkeen и завернуть dns запросы в vless без корректно работающего модуля xt_tproxy.ko?

Изменено 16 сентября пользователем Slushatel11

[jameszero]

@Slushatel11, добрый день! Я не изучал этот вопрос, да и слишком много вы хотите от старого роутера) Большая удача, что на нём вообще завелся XKeen. К тому же, dns-сервер у xray довольно ресурсоёмкий, даже если вы его поднимите, результат может не порадовать.

[Slushatel11]

10 минут назад, jameszero сказал:

слишком много вы хотите от старого роутера

Аппаратных ресурсов старичка для моих целей хватит. Вопрос только к программной составляющей... Если вдруг найдётся решение, пожалуйста дайте знать и спасибо за помощь. )

[frezero]

5 часов назад, Slushatel11 сказал:

Аппаратных ресурсов старичка для моих целей хватит. Вопрос только к программной составляющей... Если вдруг найдётся решение, пожалуйста дайте знать и спасибо за помощь. )

Если вас беспокоят утечки и у вас проводной интернет (у меня мобильный), DoH\DoT c ssl сертификатом после правил вашего прокси, должен по идеи отдавать пачку адресов в зависимости от принадлежности вашего IP к сегменту сети (ну или стране). 

[Slushatel11]

@frezero Здравствуйте. Интернет у меня GPON от РТ, провайдерский ONT в режиме моста, Zyxel Keenetic Ultra (первая, ku_ra) с прошивкой 2.16. DNS провайдерские, полученные по DHCP. Xkeen работает в режиме redirect. Весь трафик ходит "напрямую", а для некоторых сайтов заворачивается в VLESS средствами Xkeen. Меня беспокоит перехват и модификация DNS запросов/ответов со стороны провайдера. По этому хочется при обращении к некоторым сайтам и DNS завернуть в VLESS. При обращении ко всем остальным сайтам, использовать DNS провайдера и остальной трафик гнать мимо туннеля. Маршрутизация трафика работает как задумано, а с DNS вопрос открыт.

Ремарка: DoH/DoT прошивкой не поддерживаются (решаемо). От DNS провайдера совсем отказываться не хочется, так как он в разы быстрей остальных.

[Kazantsev]

7 часов назад, Slushatel11 сказал:

@frezero Здравствуйте. Интернет у меня GPON от РТ, провайдерский ONT в режиме моста, Zyxel Keenetic Ultra (первая, ku_ra) с прошивкой 2.16. DNS провайдерские, полученные по DHCP. Xkeen работает в режиме redirect. Весь трафик ходит "напрямую", а для некоторых сайтов заворачивается в VLESS средствами Xkeen. Меня беспокоит перехват и модификация DNS запросов/ответов со стороны провайдера. По этому хочется при обращении к некоторым сайтам и DNS завернуть в VLESS. При обращении ко всем остальным сайтам, использовать DNS провайдера и остальной трафик гнать мимо туннеля. Маршрутизация трафика работает как задумано, а с DNS вопрос открыт.

Ремарка: DoH/DoT прошивкой не поддерживаются (решаемо). От DNS провайдера совсем отказываться не хочется, так как он в разы быстрей остальных.

А Яндекс днс не быстрый?

[for6to9]

В 16.09.2025 в 17:35, Slushatel11 сказал:

Если вдруг найдётся решение, пожалуйста дайте знать и спасибо за помощь. )

Попробуй через wireguard, добавь в "inbounds":

```

{
  "tag": "wireguard-test",
  "listen": null,
  "port": 44355,
  "protocol": "wireguard",
  "settings": {
    "kernelMode": false,
    "mtu": 1420,
    "peers": [
      {
        "allowedIPs": [
          "10.0.11.3/32"
        ],
        "keepAlive": 0,
        "privateKey": "uIbz/Wr9OQGy6TfugAjZTYkBqpi1CaZBOCblEOX5fXY=",
        "publicKey": "SijmKedL/JN4YxxOBQzcjqDw/0d40UQXmRyfWumN3gI="
      }
    ],
    "secretKey": "MN4PftIzLM1VxPHuUF7fq5t6Lx+f93AmFbLrTLWdflA="
  },
  "sniffing": {
    "destOverride": [
      "http",
      "tls",
      "quic"
    ],
    "enabled": true,
    "metadataOnly": false,
    "routeOnly": false
  },
  "streamSettings": null
},

```
"tag": "wireguard-test" добавь в "rules":  "inboundTag" к  "redirect", "tproxy", 

а прикрепленный конфиг WG-test.conf импортируй в keenetic далее ключи checkbox Использовать для выхода в интернет, Приоритеты подключения, Применение политик настроить. Скорость будет ни какая думаю не больше 2Мбит/с, может быть загрузка роутера под 100%,  я скорость замерил и бросил. wireguard получается программный из xray, скорость большую не получишь. 

P.S. загули в как настроить тройной VPN 3x-ui, проще арендовать сервер в России. 

P.S. сначала WG-test.conf на телефоне за тестируют, ничего там уже из твоего старичка  роутера не выжать, чтобы не мучатся с настройками wireguard со старым GUI keenetic там по моему нет ещё импорта конфигурационных файлов. 

WG-test.conf

Изменено 17 сентября пользователем for6to9
P.S

[for6to9]

46 минут назад, for6to9 сказал:

Попробуй через wireguard

wireguard такой ещё в xray-core, упал
 

panic: Net: Unknown address type.

goroutine 69139 [running]:
github.com/xtls/xray-core/common/net.DestinationFromAddr({0x0, 0x0})
    github.com/xtls/xray-core/common/net/destination.go:25 +0x1d4
github.com/xtls/xray-core/proxy/wireguard.(*Server).forwardConnection(0x287e150, {{0x15579b0, 0x32cdac0}, 0x1f90, 0x2}, {0x155a778, 0xee2e000})
    github.com/xtls/xray-core/proxy/wireguard/server.go:142 +0x2d4
github.com/xtls/xray-core/proxy/wireguard.createGVisorTun.func1.1(0x57fe6f0)
    github.com/xtls/xray-core/proxy/wireguard/tun.go:172 +0x418
created by github.com/xtls/xray-core/proxy/wireguard.createGVisorTun.func1 in goroutine 69138
    github.com/xtls/xray-core/proxy/wireguard/tun.go:152 +0x100

 

Изменено 17 сентября пользователем for6to9

[Slushatel11]

2 часа назад, for6to9 сказал:

Попробуй через wireguard

Вы сами знаете, что это решение не рабочее. Не вижу смысла в предложенном Вами эксперименте. 

6 часов назад, Kazantsev сказал:

А Яндекс днс не быстрый?

Время ответа Яндекса более 40 мс. Провайдерские отвечают примерно за 6 мс. Речь про не шифрованные запросы.

[for6to9]

1 час назад, Slushatel11 сказал:

это решение не рабочее.

Почему не рабочее? Создается подключение Wireguard вместо SOCKS.

[for6to9]

3 часа назад, Slushatel11 сказал:

Вы сами знаете, что это решение не рабочее. Не вижу смысла в предложенном Вами эксперименте. 

Вот такая скорость получается, нагрузки на проц нет, во что упирается не понятно, телефоном подключился см выше WG-test.conf 

[for6to9]

5 часов назад, for6to9 сказал:

а прикрепленный конфиг WG-test.conf импортируй в keenetic далее ключи checkbox Использовать для выхода в интернет, Приоритеты подключения, Применение политик настроить. Скорость будет ни какая думаю не больше 2Мбит/с, может быть загрузка роутера под 100%,  я скорость замерил и бросил. wireguard получается программный из xray, скорость большую не получишь. 

[ip_tara]

В 15.09.2025 в 13:20, frezero сказал:

На самом роутере указан только DNS тарелки mikrotik. На тарелки есть dns server и там стоит галлочка на Allow Remove Requests, если это важно ) 

А какие именно запросы вы хотите направить по своим маршрутам? Из вашей конфигурации я вижу, что запросов не будет. Возможно, я что-то не понял?

[ivialeks]

Ребята подскажите, если устройства в политике xkeen, то скорость падает раз в 5, при том если просто удаляю политику и ставлю без нее и включаю vless через v2raytun, скорость не режется .
Трафик русский в конфигах идёт напрямую.keenetic giga 1011, и на 1012 тоже самое.
при том процессор грузит слабо, те дело не в ресурсах роутера

04_outbounds(5).json 05_routing(9).json 03_inbounds(6).json

[alexsanderst]

Спойлер

Добрый день! XKeen настроен по инструкции на роутере hero 4g, по vless работают только телевизоры, остальные клиенты vless не используют, только прямое подключение. К роутеру подключен synology(vless не используется), к которому имеется доступ через интернет по доменному имени и белому ip сервера vps на который проброшен туннель с synology.  Все работает, но есть огромное желание, чтобы клиенты локальной сети обращались к synology напрямую. Учетные записи в приложениях переключать не хочется, нужно чтобы всегда обращение к synology шло через доменное имя, но в локальной сети оно подменялось на внутренний адрес, чтобы скорость доступа была максимальная. Без Xkeen этот вопрос решался через команду в CLI кинетика: ip host <домен> <ip>.  На сколько я понял, то xKeen игнорирует таблицу dns кинетика, а разбирает весь трафик только согласно своих правил. Есть какое-нибудь решение данной хотелки?

[jameszero]

@alexsanderst, добрый день! Если специально не настраивали dns-сервер на ядре xray, то используется dns роутера и команда ip host <домен> <ip> должна работать. Локальную подсеть XKeen исключает из цепей маршрутизации. Может вы не по тому порту пытаетесь зайти на Synology? После переноса 443 порта в Кинетике это нужно учитывать, других подводных камней не припомню.

 

@ivialeks, посмотрите процент загрузки процессора роутера во время замера скорости. Вашему KN-1011 тяжело шифровать трафик. Ознакомьтесь с FAQ п.2

Изменено 19 сентября пользователем jameszero

[ZVM75]

подскажите, как диагностировать почему не работает кинопоиск? поиска ip-адреса, прописал в конфиге - не помогло.
при включенном xkeen не грузит фильмы (бесконечная загрузка). если выключить, то все ок.

[Kazantsev]

21 час назад, ZVM75 сказал:

подскажите, как диагностировать почему не работает кинопоиск? поиска ip-адреса, прописал в конфиге - не помогло.
при включенном xkeen не грузит фильмы (бесконечная загрузка). если выключить, то все ок.

Лучше не проксировать ru, конфиг у тебя скорее всего весь  com через прокси, а остальное через провайдера, так ? Ну или сам завёл КиноПоиск в прокси, а может конфиг кривой

[for6to9]

Кто-нибудь тестировал новый network": "xhttp",в протоколе VLESS, у меня почему-то скорость упала до 12Мбит/с сразу после переключения с tcp на xhttp. На телефоне скорость норм, без изменений. Может я рукожоп?

[jameszero]

1 час назад, for6to9 сказал:

Кто-нибудь тестировал новый network": "xhttp"

Прежде всего нужно понимать, что транспорт xhttp не поддерживает управление потоком "xtls-rprx-vision", а это значит, что трафик будет шифроваться всегда. Для не arm процессоров это непростая задача. Посмотрите загрузку процессора во время замера скорости.

[frezero]

Удалось таки завести DNS через less, ошибка оказалась банальная - в routing правила пишутся как domain, а для dns как domainS, подглядел вот тут (Project X)

Вышло что такое
02_DNS.json

Спойлер

{
  "dns": {
    "tag": "dns-in",
    "servers": [
       "85.249.22.248", // dns моего провайдера услуг, у вас будет свой
        {
            "address": "127.0.0.53", // dns из тунеля
            "port": 53,
            "domains": [ // сюда ваши правила domain (без S) из 05_routing.json
               "ext:geosite_zkeen.dat:domains",
               "ext:geosite_zkeen.dat:other",
               "ext:geosite_zkeen.dat:youtube"
            ],
           "skipFallback": true // запрещаем двигаться по списку dns, чтобы не торчали прочие адреса dns
        },
        "localhost" // dns из настроек роутера, который нам выдал провайдер
    ],
    "queryStrategy": "UseIPv4",
    "disableCache": false,
    "disableFallback": false,
    "disableFallbackIfMatch": false,
    "useSystemHosts": false
  }
}

Все остальное стянуто отсюда

Ну и добавил 53 порт для прокси, не знаю надо было или нет )

  Прокси-клиент работает на портах
     53,80,443

 

[jameszero]

8 часов назад, frezero сказал:

Все остальное стянуто отсюда

В моей статье и так всё согласно документации)

8 часов назад, frezero сказал:

Ну и добавил 53 порт для прокси, не знаю надо было или нет )

Это не требуется. XKeen сам добавляет 53 порт в проксирование, если обнаруживает настроенный в xray dns-сервер