маршрутизация Xkeen

[jameszero]

3 часа назад, Ruthless сказал:

В последнее время роутер пишет ошибку:

Opkg::Manager: /opt/etc/ndm/netfilter.d/proxy.sh: Illegal instruction. 

Добрый день! Проблема с файловой системой флешки, лучше переустановить Entware

[Ruthless]

16 минут назад, jameszero сказал:

Добрый день! Проблема с файловой системой флешки, лучше переустановить Entware

Спасибо, тогда на всякий случай сразу прикуплю свежую флешку.

[frontend.test]

В 24.01.2026 в 20:28, stillgrey88 сказал:

заблочил udp 53

  nameserver:
    - https://dns10.quad9.net/dns-query
    - https://dns.aa.net.uk/dns-query
    - https://doh.opendns.com/dns-query
    - https://dns.google/dns-query

перепиши через IP адреса, я уже на грабли наступал, 
    - https://9.9.9.10/dns-query
    - https://dns.aa.net.uk/dns-query
    - https://208.67.222.222/dns-query
    - https://8.8.8.8/dns-query

я бы добавил 
https://1.1.1.1/dns-query через IP

https://cloudflare-dns.com/dns-query и еще так потому как cloudflare-dns.com не только 1.1.1.1

2026/01/25 11:08:18.292949 [Info] app/dns: DOHL//8.8.4.4 got answer: cloudflare-dns.com. TypeA -> [104.16.248.249 104.16.249.249], rtt: 76.066834ms, lock: 107.941µs
2026/01/25 11:08:18.908656 [Info] app/dns: quic+local://94.140.15.15:853 got answer: cloudflare-dns.com. TypeA -> [104.16.249.249 104.16.248.249], rtt: 1.677813673s, lock: 55.593µs

еще https://adguard-dns.io/kb/ru/general/dns-providers/#ali-dns добавил 

[vleonv]

@jameszero, добрый день! А нет пока планов перевода в stable 1.1.3.9?

[jameszero]

16 минут назад, vleonv сказал:

А нет пока планов перевода в stable 1.1.3.9?

Добрый день! Планы появятся, когда результаты бета-тестрования будут стабильно положительными. Всё зависит от активности пользователей, присоединяйтесь.

[vleonv]

53 минуты назад, jameszero сказал:

присоединяйтесь

Я уже на ней с конца ноября. В моем случае все стабильно и вопросов/проблем не возникало

[jameszero]

41 минуту назад, vleonv сказал:

В моем случае все стабильно и вопросов/проблем не возникало

Понятно. Только за сегодня я уже сделал два корректирующих коммита по багрепортам пользователей, так что о стабильности пока рано говорить

[blood_devil]

Друзья привет! подозреваю что я не первый с такой проблемой, поиском по теме воспользовался, но безуспешно.

Занимаюсь настройкой роутинга, столкнулся с проблемой что весь трафик уходит в outboundTag "vless-reality", однако  chatgpt.ком считает что с неправильного(по его мнению) ip захожу, "Unable to load site".

В случае подключения с таким же конфигом при помощи hiddify и отключенным xkeen считается chatgpt.ком вполне валидным.

 

Подскажите, пожалуйста, ЧЯДНТ?

Заранее спасибо.

Спойлер

{
  "routing": {
    "domainStrategy": "IPIfNonMatch",
    "rules": [
      {
        "type": "field",
        "inboundTag": [
          "redirect",
          "tproxy"
        ],
        "outboundTag": "block",
        "network": "udp",
        "port": "135,137,138,139"
      },
      {
        "type": "field",
        "inboundTag": [
          "redirect",
          "tproxy"
        ],
        "outboundTag": "block",
        "domain": [
          "ext:geosite_v2fly.dat:category-ads-all",
          "google-analytics",
          "analytics.yandex",
          "appcenter.ms",
          "app-measurement.com",
          "firebase.io",
          "crashlytics.com"
        ]
      },
      {
        "type": "field",
        "inboundTag": [
          "redirect",
          "tproxy"
        ],
        "outboundTag": "direct",
        "protocol": [
          "bittorrent"
        ]
      },
      {
        "type": "field",
        "inboundTag": [
          "redirect",
          "tproxy"
        ],
        "outboundTag": "direct",
        "domain": [
          "regexp:^([\\w\\-\\.]+\\.)ru$",
          "regexp:^([\\w\\-\\.]+\\.)su$",
          "regexp:^([\\w\\-\\.]+\\.)xn--p1ai$",
          "regexp:^([\\w\\-\\.]+\\.)xn--p1acf$",
          "regexp:^([\\w\\-\\.]+\\.)xn--80asehdb$",
          "regexp:^([\\w\\-\\.]+\\.)xn--c1avg$",
          "regexp:^([\\w\\-\\.]+\\.)xn--80aswg$",
          "regexp:^([\\w\\-\\.]+\\.)xn--80adxhks$",
          "regexp:^([\\w\\-\\.]+\\.)moscow$",
          "regexp:^([\\w\\-\\.]+\\.)xn--d1acj3b$",
          "ext:geosite_v2fly.dat:category-gov-ru",
          "ext:geosite_v2fly.dat:yandex",
          "ext:geosite_v2fly.dat:vk",
          "ext:geosite_v2fly.dat:steam"
        ]
      },
      {
        "type": "field",
        "inboundTag": [
          "redirect",
          "tproxy"
        ],
        "outboundTag": "direct",
        "ip": [
          "127.0.0.0/8",
          "10.0.0.0/8",
          "172.16.0.0/12",
          "192.168.0.0/16",
          "169.254.0.0/16",
          "ext:geoip_zkeenip.dat:ru"
        ]
      },
      {
        "type": "field",
        "inboundTag": [
          "redirect",
          "tproxy"
        ],
        "outboundTag": "vless-reality",
        "network": "tcp,udp"
      }
    ]
  }
}

 

Изменено 27 января пользователем blood_devil
сполйре

[frontend.test]

15 часов назад, blood_devil сказал:

Подскажите, пожалуйста, ЧЯДНТ?

протокол QUIC отключи

            {
                "network": "udp",
                "outboundTag": "block",
                "port": "443",
                "type": "field"
            },

Изменено 28 января пользователем frontend.test

[blood_devil]

11 часов назад, frontend.test сказал:

протокол QUIC отключи

            {
                "network": "udp",
                "outboundTag": "block",
                "port": "443",
                "type": "field"
            },

@frontend.test,Спасибо большое! Удалось победить недоступность chatgpt. использовал настройку выше в комбинации с отключением флагов в FF

network.http.http3.enable = false
network.http.http3.enable_0rtt = false

Изменено 28 января пользователем blood_devil
починил

[Alex2025]

Добрый всем вечер.

Обновился на крайнюю бету xkeen и на keenetic OS 5.0.4 - пока полет нормальный, проблем не заметил, как-то даже все пошустрее стало.

Но есть один момент, который смущает: для клиентов xkeen, не срабатывают правила из IntelliQoS, стоит их перенести в политику по умолчанию, все начинает работать как надо. Это баг или фича?

Конкретно хотел запретить доступ к определенным приложениям, в 5.0.4 - это теперь можно сделать.

[jameszero]

17 часов назад, Alex2025 сказал:

для клиентов xkeen, не срабатывают правила из IntelliQoS

Добрый день! Шейпер, монитор трафика и IntelliQoS не работают в кастомной политике XKeen. By design.

[Reukes]

Добрый день, проблема такая что при включенном xkeen у меня в steam очень грустная скорость скачивания, а в CS2 или подобных соревновательных играх пинг явно выше чем при отключенном xkeen (я тестил) 

Подскажите как поправить, сколько не читал и не пробовал проблему решить не смог

[Alex2025]

7 часов назад, jameszero сказал:

Добрый день! Шейпер, монитор трафика и IntelliQoS не работают в кастомной политике XKeen. By design.

Добрый вечер, понял, благодарю за ответ.

Дизайн, так "дизайн")

Изменено 29 января пользователем Alex2025

[vadek91]

Здравствуйте! Подскажите пожалуй,как добавить правильно в роутинг фортнайт и эпик геймс. 

// VPS подключение |  Доменные имена
    {
    "inboundTag": ["redirect", "tproxy"],
    "outboundTag": "vless-reality",
    "type": "field",
    "domain": [
    "ext:geosite_v2fly.dat:epicgames",
    "ext:geosite_zkeen.dat:youtube",

 

Что-то ещё нужно вписывать и куда ?

[frontend.test]

В 29.01.2026 в 00:26, blood_devil сказал:

недоступность chatgpt

проверка у chatgpt есть оказывается, я просто оставлю это тут https://chatgpt.com/cdn-cgi/trace 

[jameszero]

16 часов назад, Reukes сказал:

в steam очень грустная скорость

Добрый день! Подсети Стим можно добавить в исключения проксирования. В FAQ п.4 написано, как это сделать и выложен файл c IP-подсетями

[t800]

Привет

Честно искал в теме ответ на свой вопрос, но не преуспел. У одного меня restart отрабатывает порядка минуты? Версия - 1.1.3.9, обновлял сегодня.

Включал логи, выглядит так, как будто и стоп, и старт прям подолгу длятся.

[jameszero]

2 часа назад, t800 сказал:

restart отрабатывает порядка минуты?

Обновитесь командой xkeen -uk, сегодня я выпустил фикс по этой проблеме

[t800]

2 часа назад, jameszero сказал:

Обновитесь командой xkeen -uk, сегодня я выпустил фикс по этой проблеме

Помогло, спасибо
На 5.0.* 1.1.3.9 обязательно использовать? Или в общем можно и на 1.1.3.8 работать?

upd. Пришлось откатиться на стабильную версию, потому что, судя по логам, по какой-то причине запросы 53 порт роутера перехватывались и отправлялись в туннель. Причём, не у всех клиентов. Глубоко я копать не стал, потому что вой из-за неработающего интернета стоял до небес. На 1.1.3.8 ситуация выправилась и жалобы "тут работает, вот тут как-то не работает" ушли.

Изменено Воскресенье в 18:46 пользователем t800

[Akscyn]

В 22.11.2025 в 10:17, alex_io сказал:

Настроил xkeen, настроил политику доступа для ПК и телевизора, но проблема в том, что на пк работает все верно, youtube открывает, кинопоиск открывается, а вот на тв - ютуб работает, но кинопоиск - нет. Отключаю xkeen - кинопоиск работает, ютуб не работает.

Нужно отключить в сетевых настройках ТВ использование ipv6

[jameszero]

10 часов назад, t800 сказал:

запросы 53 порт роутера перехватывались и отправлялись в туннель

Всегда читайте документацию перед обновлением

XKeen 1.1.3.9 более корректно определяет настроил ли пользователь проксирование DNS и в этом случае перехватывает DNS-запросы. Чтобы вернуть поведение, "как в версии 1.1.3.8", предусмотрен параметр запуска -dns

[Kazantsev]

Если у меня два сервера, то такая настройка DNS OVER VLESS не будет работать? надо по другому делать? если кто знает, то как?

04_outbounds.json 05_routing.json

02_dns.json

Изменено Понедельник в 07:14 пользователем Kazantsev

[t800]

2 часа назад, jameszero сказал:

Всегда читайте документацию перед обновлением

XKeen 1.1.3.9 более корректно определяет настроил ли пользователь проксирование DNS и в этом случае перехватывает DNS-запросы. Чтобы вернуть поведение, "как в версии 1.1.3.8", предусмотрен параметр запуска -dns

Я прочитал. Но именно из этого описания не понял с ходу о чём речь. Сейчас уже более-менее разобрался, спасибо. 

Буду очень признателен, если поможете понять следующее. Вот моя конфигурация 02_dns.json:

{
  "dns": {
    "servers": [
      {
        "address": "https+local://1.1.1.1/dns-query",
        "skipFallback": false
      },
      {
        "address": "https+local://8.8.8.8/dns-query",
        "skipFallback": false
      }
    ],
    "useSystemHosts": true,
    "queryStrategy": "UseIPv4",
    "tag": "dns_in"
  }
}

Я правильно понимаю, что, если перехват DNS-запросов выключен, то фактически обращение к любому ресурсу по fqdn выльется в два запроса: один запрос отправит маршрутизатор, чтобы вернуть IP клиенту, а второй запрос потом отправит xray, чтобы применить правила маршрутизации по доменному имени? 

При этом, если перехват включён, то теоретически запрос внешнему DNS-серверу будет один: когда запрос от клиента кинетику будет перехвачен и отправлен в xray, потому что ответ кешируется и сам xray уже будет использовать кешированный IP-адрес? 

[frontend.test]

2 часа назад, t800 сказал:

Я правильно понимаю, что, если перехват DNS-запросов выключен, то фактически обращение к любому ресурсу по fqdn выльется в два запроса: один запрос отправит маршрутизатор, чтобы вернуть IP клиенту, а второй запрос потом отправит xray, чтобы применить правила маршрутизации по доменному имени? 

почему в два, у тебя перехвата 53 порта нет, то что есть в route то и пойдет через xray. 

можешь просто выключить DNS кинетика и пользоваться dns от xray, немного в ОЗУ памяти выиграешь, есть одно но если интернет отключиться по 100% проц кинетика улетает, xray кучу необработанных запросов DNS создает.
https://youtu.be/Wkk-2YyHNCo

 

Изменено Понедельник в 10:03 пользователем frontend.test

[frontend.test]

лучше уменьшить время жизни запроса до 2с вместо по умолчанию 4с, частично спасает от 100% загрузки
"timeoutMs": 2000
 

{
  "dns": {
    "servers": [
      {
        "address": "https+local://1.1.1.1/dns-query",
        "skipFallback": false,
        "timeoutMs": 2000
      },
      {
        "address": "https+local://8.8.8.8/dns-query",
        "skipFallback": false,
        "timeoutMs": 2000
      }
    ],
    "useSystemHosts": true,
    "queryStrategy": "UseIPv4",
    "tag": "dns_in"
  }
}

 

Изменено Понедельник в 10:09 пользователем frontend.test

[t800]

17 минут назад, frontend.test сказал:

почему в два, у тебя перехвата 53 порта нет, то что есть в route то и пойдет через xray. 

Я пытаюсь открыть страницу в сети. Например aaa.com. DNS-запрос уходит в кинетик, тот его резолвит и далее браузер идёт на полученный IP-адрес. Этот пакет перехватывается xray, там включён sniffing. xray в свою очередь ТОЖЕ делает резолв, чтобы получить IP-адрес для маршрутизации по IP. 

Или я не прав, и xray не делает резолв, потому что видит домен в SNI и destination IP в пакете?

[frontend.test]

17 минут назад, t800 сказал:

ТОЖЕ делает резолв

да xray тоже делает, xray должен знать как с запросом работать.. можешь локальный узел кинетик  указать, я правда не пробовал 
 

"outbounds":[     

   		{
            "protocol": "dns",
            "nonIPQuery": "skip",
            "settings":
            {
                "network": "udp",
                "address": "192.168.1.1",
                "port": 53
            },
            "tag": "dns-out-tls"
        },

 

Изменено Понедельник в 10:36 пользователем frontend.test

[t800]

1 минуту назад, frontend.test сказал:

да xray тоже делает

Ну тогда вернёмся в самое начало моего вопроса. Вот я настроил перехват DNS, используя фичу 1.1.3.9, потом сделал настройки:

05_routing, самое верхнее правило:

   "rules": [
      {
        "port": 53,
        "outboundTag": "dns-out"
      },

04_outbounds:

   {
      "protocol": "dns",
      "tag": "dns-out"
    }

Судя по логам, запросы корректно стали заворачиваться в сервера, указанные в 02_dns. Вопрос тот же - я уменьшил число запросов за счёт кеширования встроенным DNS-сервером xray?

[frontend.test]

16 минут назад, t800 сказал:

Вопрос тот же - я уменьшил число запросов за счёт кеширования встроенным DNS-сервером xray?

нет, запросы через твой dns-in должны уйти, если хочешь чтобы через dns keenetic, воспользоватся нужно переназначение потока settings, тупо перенаправит на указанный IP

            "settings":
            {
                "network": "udp",
                "address": "192.168.1.1",
                "port": 53
            },

или можешь в dns-in указать IP адрес роутера.

главное чтобы не зациклило запросы DNS по кругу

Изменено Понедельник в 10:53 пользователем frontend.test