маршрутизация Xkeen

[jameszero]

@LDude, можете попробовать по этим ссылкам настроить. Теоретически всё должно работать, только, думаю, нагрузка на процессор Кинетика будет высоковата.

WireGuard over Xray

Tunnel WireGuard through Xray

[doc_bravn]

Добрый день!

А дружит ли xray с ipv6 полученными путем тоннеля 6in4, например от Hurricane Electric? У моего VPS на котором поднят xray сервер есть доступ в ipv6 и есть адрес ipv6 на сервере.

[LDude]

Немножко оффтоп, но про политики в кинетике вопрос. По-быстрому что-то не нашёл ответа.

Как работает Default policy в Internet Connection Policies?

 

Spoiler

Получается, что это политика по умолчанию для всех, кому не указано что-то другое? В картинке выше, например, в настройках соединения OVPN внутри можно указать через что в инет ломиться (там я Beeline поставил).

IKEv2 в настройках нельзя указать через что ему ходить, и по этой картинке он пошёл через mchost получается?

mchost через Beeline пошёл.

А fi-hel (1), например, как запустить в Beeline?

A XKeen как тогда через Beeline идёт?

[Alexey77]

1 час назад, LDude сказал:

как запустить в Beeline?

Добрый вечер. Если билайн ваше основное интернет соединение опустите его в низ сначала xray потом билайн . Если правильно понял все что выше будет ходить через билайн. Xray ходит в интернет через свою политику где xray выше билайн. 

Изменено 27 ноября, 2023 пользователем Alexey77
Дополнил

[LDude]

1 hour ago, Alexey77 said:

Если билайн ваше основное интернет соединение опустите его в самый низ

Да ну, нафик, опустил. Всё отвалилось. Локалка отвалилась, потом ожила немного, потом отпять отвалилась. И так постоянно, пока назад не вернул еле-еле.

fi-hel (1) пошёл через mchost. Мне так показалось.

xkeen -tc тоже сеть потерял, терминал тоже тупил, ну, из-за локалки по ходу.

Изменено 27 ноября, 2023 пользователем LDude
пунктуация)

[Alexey77]

1 час назад, LDude сказал:

Да ну, нафик, опустил. Всё отвалилось. 

Сразу не обратил внимания что у вас столько политик. Вот у меня так настроено и работает. 

Изменено 27 ноября, 2023 пользователем Alexey77

[reyist]

Всем доброго дня.

Народ, то ли лыжи не едут... Вчера все было хорошо, в 9 вечера решил обновить keenetic на 4.0.7, все прошло штатно, потом проверяю доступ через xray - не работает. Смотрю в access.log а там последняя запись  "2023/11/27 18:15:20 192.168.1.62:44744 accepted tcp:8.26.56.26:443 [socks-in -> proxy]" и дальше пусто. Все проверки  по ключам -tc -tpx -tfx -tfk проходят успешно и конфигурация считывается без ошибок - использую redirect со стандартными конфигами из ленивой (но и до этого времени все это нормально работало), политика Xkeen активна. Подумал на провайдера... зашел на телефоне с МТС через v2rayNG - норм, потом подключил keenetic через него по WISP - так же не работает.
Т.е. вроде как получается, что не происходит маршрутизации клиентов кинетика через xkeen, которая вдруг перестала работать вчера после 18:15, если судить по access.log. Я до этого времени точно ничего не менял и не трогал ни в кинетике, на на впс.
Xkeen восстанавливал из бэкапа, понижал версию, откатывал кинетик обратно на 4.0.5 - все бесполезно.
Подскажите, куда еще можно копать или чтянт?

[jameszero]

@reyist , приветствую.

Перекиньте клиентов из политики xkeen в политику по умолчанию, а затем обратно в xkeen.

Изменено 28 ноября, 2023 пользователем jameszero

[reyist]

27 минут назад, jameszero сказал:

@reyist , приветствую.

Перекиньте клиентов из политики xkeen в политику по умолчанию, а затем обратно в xkeen.

не выходит, все так же.. xkeen перезапустил, в access.log тоже пусто

[jameszero]

А с DNS нет проблем? У меня вчера при обновлении на 4.0.7 отвалился DoH сервер четырёх девяток. В лог кинетика посыпались записи:

Цитата

 

ndnproxy: [EB52] unable to send request to 127.0.0.1 [0] from 50045: operation not permitted.

https-dns-proxy: 0495: "https://dns.quad9.net/dns-query": curl error message: Operation timed out after 3000 milliseconds with 0 bytes received

 

Не знаю, как это связано с обновлением, скорей всего совпало с блокировкой провайдера. Заменил DNS-сервер и клиентов перетасовал между политиками, всё заработало.

Посмотрите в лог кинетика, может есть за что зацепиться.

[Alexey77]

9 минут назад, reyist сказал:

в access.log тоже пусто

Добрый день. Похоже на то что не отрабатывает файл xray.sh. Команды как проверить правила iptables забыл может кто знает напишите. 

[Skrill0]

1 час назад, reyist сказал:

не выходит, все так же.. xkeen перезапустил, в access.log тоже пусто

Доброго Вам дня!

Покажите, пожалуйста, результат команды в терминале

iptables -t nat -nL XRAY_IPV4 -v

 

[reyist]

6 минут назад, Skrill0 сказал:

Доброго Вам дня!

Покажите, пожалуйста, результат команды в терминале

iptables -t nat -nL XRAY_IPV4 -v

 

[reyist]

1 час назад, jameszero сказал:

А с DNS нет проблем? У меня вчера при обновлении на 4.0.7 отвалился DoH сервер четырёх девяток. В лог кинетика посыпались записи:

Не знаю, как это связано с обновлением, скорей всего совпало с блокировкой провайдера. Заменил DNS-сервер и клиентов перетасовал между политиками, всё заработало.

Посмотрите в лог кинетика, может есть за что зацепиться.

У меня стоит AGH паралельно на synology, и в сегменте домашней сети через dhcp он прилетает всем клиентам, апстримы там стоят как раз 9.9.9.9 и 1.1.1.1. Убрал его и в днс профиле всем клиентам вообще поставил базовый яндекс и перезагрузился. Ничего.
В логах криминала не нашел, все без ошибок, так и в access.log пусто.
Зашел с этой машины с тем же xray-профилем через виндовый клиент nekoray - все норм.

[Skrill0]

16 минут назад, reyist сказал:

Это полный скриншот выдачи?
Нет ли там правил REDIRECT?

[reyist]

8 минут назад, Skrill0 сказал:

Это полный скриншот выдачи?
Нет ли там правил REDIRECT?

Да, полный, больше ничего нет.

[Skrill0]

2 минуты назад, reyist сказал:

Да, полный, больше ничего нет.

По какой-то причине из всех правил не добавились основные, отвечающие за перенаправление соединения на Xray.
Пожалуйста, пришлите файл находящийся по пути

/opt/etc/ndm/netfilter.d/xray.sh

 

[reyist]

5 минут назад, Skrill0 сказал:

По какой-то причине из всех правил не добавились основные, отвечающие за перенаправление соединения на Xray.
Пожалуйста, пришлите файл находящийся по пути

/opt/etc/ndm/netfilter.d/xray.sh

 

 

xray.sh

[jameszero]

donor_port="80,443"

Запятую уберите)

donor_port="80 443"

[reyist]

8 минут назад, jameszero сказал:

donor_port="80,443"

Запятую уберите)

donor_port="80 443"

убрал, но все так же, через vps не перенапрявляет. При перезапуске xkeen запятая возвращается.

[Skrill0]

1 минуту назад, reyist сказал:

убрал, но все так же, через vps не перенапрявляет. При перезапуске xkeen запятая возвращается.

Да, она генерируется из файла init.d.
Нужно пройти по пути к файлу

/opt/etc/init.d/S24Xray

Открыть его и заменить 

donor_port="80,443"

на

donor_port="80 443"

 

[reyist]

23 минуты назад, Skrill0 сказал:

Да, она генерируется из файла init.d.
Нужно пройти по пути к файлу

/opt/etc/init.d/S24Xray

Открыть его и заменить 

donor_port="80,443"

на

donor_port="80 443"

 

Да, заработал)
Как она там затесалась, я в полном неведении...

/opt/etc/init.d/S24Xray

не трогал никогда и ничего там не менял.

UDP: я понял, на выходных я добавил командой xkeen -dp "80,443" порты для xray, по привычке разделив их запятой, а вчера случилась перезагрузка и они, видимо, прописались в S24Xray. Надо быть повнимательней, спасибо всем)

Изменено 28 ноября, 2023 пользователем reyist

[Skrill0]

1 минуту назад, reyist сказал:

Да, заработал)
Как она там затесалась, я в полном неведении...

/opt/etc/init.d/S24Xray

не трогал никогда и ничего там не менял.

Рада, что у Вас все заработало)

[LDude]

On 11/24/2023 at 11:33 AM, mafia-cheb said:

а почему тмдб из коробки не работает?

Вот почему, наверное, только что нашёл. Надо как-то прикрутить это сюда.

Изменено 30 ноября, 2023 пользователем LDude
линк забыл прикрутить

[jameszero]

@LDude с этим ресурсом ситуация более интересная. Он нормально резолвится только иностранными DNS-серверами. Российские или те, которые имеют сервера в России, возвращают 127.0.0.1 на его служебный поддомен api.tmdb.org (который используется в том числе в упомянутом вами kodi). Как в tmdb умудрились такое сделать, лично я не понимаю, но догадываюсь почему это происходит именно в России.

Скрытый текст

nslookup api.tmdb.org 77.88.8.8
╤хЁтхЁ:  dns.yandex.ru
Address:  77.88.8.8

Не заслуживающий доверия ответ:
╚ь :     api.tmdb.org
Addresses:  ::1
          127.0.0.1
--------------------------------------------------------------------------

nslookup api.tmdb.org 94.140.14.14
╤хЁтхЁ:  dns.adguard.com
Address:  94.140.14.14

Не заслуживающий доверия ответ:
╚ь :     api.tmdb.org
Addresses:  ::1
          127.0.0.1
--------------------------------------------------------------------------

nslookup api.tmdb.org 1.1.1.1
╤хЁтхЁ:  one.one.one.one
Address:  1.1.1.1

Не заслуживающий доверия ответ:
╚ь :     api.tmdb.org
Addresses:  ::1
          127.0.0.1
--------------------------------------------------------------------------

nslookup api.tmdb.org 8.8.8.8
╤хЁтхЁ:  dns.google
Address:  8.8.8.8

Не заслуживающий доверия ответ:
╚ь :     api.tmdb.org
Addresses:  ::1
          127.0.0.1
--------------------------------------------------------------------------

nslookup api.tmdb.org 9.9.9.9
╤хЁтхЁ:  dns9.quad9.net
Address:  9.9.9.9

Не заслуживающий доверия ответ:
╚ь :     api.tmdb.org
Addresses:  2600:9000:223c:fa00:10:fb02:4000:93a1
          2600:9000:223c:7c00:10:fb02:4000:93a1
          2600:9000:223c:4600:10:fb02:4000:93a1
          2600:9000:223c:3a00:10:fb02:4000:93a1
          2600:9000:223c:3600:10:fb02:4000:93a1
          2600:9000:223c:3e00:10:fb02:4000:93a1
          2600:9000:223c:d000:10:fb02:4000:93a1
          2600:9000:223c:b000:10:fb02:4000:93a1
          18.66.97.86
          18.66.97.35
          18.66.97.54
          18.66.97.105

 

"Нормальный" DNS-сервер направляет на правильный адрес, а если и "нормальный" DNS-сервер возвращает локалхост, то это верный признак того, что провайдер перехватывает ваши DNS-запросы и направляет их по своим маршрутам.  В этом случае поможет DoH, DoT, DoQ.

Изменено 1 декабря, 2023 пользователем jameszero

[doc_bravn]

Добрый день!

Если я правильно помню, то можно настроить так чтобы весь трафик одного из устройств домашней сети шел через VPS, а все остальные устройства через VPS ходили только на заблокированные сайты?

Если это возможно, то можете подсказать что и как настроить?

[jameszero]

@doc_bravn, добрый день!

Например, так.

[LDude]

On 12/1/2023 at 8:05 AM, jameszero said:

В этом случае поможет DoH, DoT, DoQ.

Что-то пихал, пихал вручную разные DoH и DoT- никак не помогало. Взял, готовый кинетиковый пресет включил (Neustar UltraDNS Public - Unfiltered Resolution) и заработало!

Изменено 2 декабря, 2023 пользователем LDude

[LDude]

On 11/23/2023 at 9:31 PM, jameszero said:

Вы видимо направляете в redirect все порты, не рекомендую так делать. VoWiFi работает по протоколу IPsec и использует UDP порты 500 и 4500.

Настройте перенаправление только для 80 и 443 портов, запустив команду:

xkeen -ap "80 443"

А есть команда убрать это? Или только руками убирать?

Нашёл, -dp.

Изменено 1 декабря, 2023 пользователем LDude

[LPA]

Здравствуйте! Подскажите, есть решение с торрентами? Может быть я что-то пропустил. На данный момент настроено в режиме Redirect с перенаправлением портов 80 и 443.