маршрутизация Xkeen

[Gmarapet]

В 30.12.2023 в 13:02, Alexey77 сказал:

Попробуйте выполнить xkeen -ap "80 443" может поможет.

Скажите, а где посмотреть какие ключи есть у xkeen? Судя по вашему ответу, в шапке список не полный.

[Yevrashka]

у меня tar не понимает опцию --overwrite 

 # curl -s -L https://github.com/Skrill0/XKeen/releases/latest/download/xkeen.tar --output xkeen.tar && tar -xvf xkeen.tar -C /opt/sbin --overwrite >
 /dev/null && rm xkeen.tar
tar: unrecognized option '--overwrite'
BusyBox v1.36.1 (2023-09-01 19:09:45 UTC) multi-call binary.

Usage: tar c|x|t [-zahvokO] [-f TARFILE] [-C DIR] [-T FILE] [-X FILE] [FILE]...

Create, extract, or list files from a tar file

        c       Create
        x       Extract
        t       List
        -f FILE Name of TARFILE ('-' for stdin/out)
        -C DIR  Change to DIR before operation
        -v      Verbose
        -O      Extract to stdout
        -o      Don't restore user:group
        -k      Don't replace existing files
        -z      (De)compress using gzip
        -a      (De)compress based on extension
        -h      Follow symlinks
        -T FILE File with names to include
        -X FILE File with glob patterns to exclude

 

[Ризван Нухтаров]

4 часа назад, Gmarapet сказал:

Скажите, а где посмотреть какие ключи есть у xkeen? Судя по вашему ответу, в шапке список не полный.

Можно тут посмотреть https://github.com/Skrill0/XKeen/blob/main/xkeen#L81

[jameszero]

4 часа назад, Gmarapet сказал:

где посмотреть какие ключи есть у xkeen?

выполните xkeen -h

[Whishp]

Добрый день. В первую очередь хочу выразить благодарность за проект. И задать вопрос. При использовании troxy все так же надо создавать прокси соединение (например встроенный в keenetic) и создавать политику Xkeen и кидать туда клиентов?

[Gmarapet]

В 30.12.2023 в 13:46, jameszero сказал:

приветствую! Попробуйте в 41 строке файла \etc\init.d\S24xray убрать протокол udp, вот так:

protocols="tcp" # Протоколы подключения | Можно убирать или добавлять через пробел

В версии 1.0.0, видимо, сильно изменился S24xray, не могу там найти строчку с protocols, как в новой версии udp выключить?

Строка 59 network="tcp udp" — это оно?

[Gmarapet]

1 час назад, Skrill0 сказал:

В режимах TProxy и REDIRECT не нужно создавать прокси-соединение.

Важно создать только политику доступа.

To be clear, для подключения типа TProxy и REDIRECT нужно создать политику с одним активным интерфейсом провайдера и добавить в неё клиентов, трафик которых нужно перенаправлять на xray. Так?

Имя политики обязательно должно быть Xkeen? Название к регистру чувствительно? 

Извините за дотошность, очень хочется разобраться.

[jameszero]

3 часа назад, Gmarapet сказал:

Строка 59 network="tcp udp" — это оно?

Оно

16 минут назад, Gmarapet сказал:

Имя политики обязательно должно быть Xkeen? Название к регистру чувствительно? 

Обязательно. Не чувствительно.

[bigpu]

2 часа назад, Gmarapet сказал:

REDIRECT нужно создать политику с одним активным интерфейсом провайдера и добавить в неё клиентов

Redirect работал и с несколькими WAN, в режиме резервирования и в многопутевом режиме. TProxy тоже должен работать с мульти WAN.

[Skrill0]

4 часа назад, Gmarapet сказал:

одним активным интерфейсом провайдера

Да, но если у Вас несколько провайдеров — можете включить несколько.
Поддержка Multi WAN реализована.
 

4 часа назад, Gmarapet сказал:

добавить в неё клиентов, трафик которых нужно перенаправлять на xray

Да, все верно
 

[Skrill0]

13 часа назад, Yevrashka сказал:

у меня tar не понимает опцию --overwrite 

Доброго Вам вечера!

Используйте tar из Entware, как указано в инструкции.
Аплет Busybox не поддерживает --overwrite

[Skrill0]

19 часов назад, Sirex сказал:

Может кто-то подсказать, пожалуйста, на сервере можно в sni установить два разных сайта одновременно или два inbounds на порту 443?

Возможно пустить весь трафик через xray, в том числе служебный keenetic? Приложение не работает, так как интернета нет без xray 👉👈

Доброго Вам вечера)

1. На данном этапе работы ядра нельзя указывать 2 разных сайта одновременно
2. Также нельзя создавать 2 inbounds на 443 порту
3. Технические возможно. Только производительность упадет кратно.
На некоторых моделях будет даже невозможно зайти в web.
Из-за этой причины из XKeen убрала эту опцию сейчас.
Но раз запросы подобные есть, верну в следующем обновлении. Можно будет включить при желании)

Изменено 15 января пользователем Skrill0

[avn]

20 часов назад, Sirex сказал:

Может кто-то подсказать, пожалуйста, на сервере можно в sni установить два разных сайта одновременно или два inbounds на порту 443?

Возможно пустить весь трафик через xray, в том числе служебный keenetic? Приложение не работает, так как интернета нет без xray 👉👈

Можно с помощью nginx, хоть 100 sni

 

Скрытый текст

stream {
	map_hash_bucket_size 128;
	map_hash_max_size 16384;

	upstream vless_grpc_reality_sock {
		server unix:/dev/shm/xray-vless-grpc-reality.socket; # xray-vless-grpc-reality
	}

	upstream web_sock {
		server unix:/dev/shm/nginx-ssl-web.socket; # nginx-ssl-web
	}

	map $ssl_preread_server_name $upstream {
		"www.youtube.com" vless_grpc_reality_sock;
		default           web_sock;
	}

	log_format log_stream '$remote_addr [$time_local] $protocol $ssl_preread_server_name $upstream $status $bytes_sent $bytes_received $session_time';
	access_log /var/log/nginx/stream.log log_stream;

	server {
		listen 443 reuseport so_keepalive=on backlog=131072 fastopen=256;
		listen [::]:443;
		proxy_protocol on;
		proxy_pass $upstream;
		ssl_preread on;
	}
}

{
	"listen": "/dev/shm/xray-vless-grpc-reality.socket,0666",
	"protocol": "vless",
	"settings": {
		"clients": [
			{
				"email": "...email...",
				"id": "...id...",
				"alterId": 0,
				"level": 0
			}
		],
		"decryption": "none"
	},
	"streamSettings": {
		"network": "grpc",
		"grpcSettings": {
			"serviceName": "...serviceName..."
		},
		"security": "reality",
		"realitySettings": {
			"dest": "www.youtube.com:443",
			"serverNames": [
				"www.youtube.com"
			],
			"privateKey": "...privateKey...",
			"shortIds": [
				"...shortIds..."
			]
		},
		"sockopt": {
			"acceptProxyProtocol": true
		}
	},
	"tag": "proxy-vless-grpc-reality"
}

 

 

Изменено 15 января пользователем avn

[Yevrashka]

13 часа назад, Skrill0 сказал:

В режимах TProxy и REDIRECT не нужно создавать прокси-соединение.

Важно создать только политику доступа. Для нее качестве способа выхода в интернет указать Ваше основное соединение.

Добавить в нее интересующих Вас клиентов. Больше ничего для режима REDIRECT не нужно. Для TProxy то же самое + инструкция из обновления 1.0.0.

Ну наконец-то внятное объяснение. 2 дня бился пытаясь понять что я не так делаю.. Из инструкции в начале этот момент про редирект вообще не указан.

Цитата

Используйте tar из Entware, как указано в инструкции.
Аплет Busybox не поддерживает --overwrite

Да оно вроде и ставилось из Entware по инструкции.

Скрытый текст

opkg install tar
Package xkeen version 1.0.0 has no valid architecture, ignoring.
Package xray version (null) has no valid architecture, ignoring.
Package tar (1.34-4) installed in root is up to date.

Огромная благодарность автору за проделанную работу с Xkeen!

Изменено 16 января пользователем Yevrashka

[Whishp]

18 часов назад, Skrill0 сказал:

Доброго Вам дня!

В режимах TProxy и REDIRECT не нужно создавать прокси-соединение.

Огромное спасибо за пояснение. Все работает. только есть пару вопросов. Это нормально что задержка открытия сайта секунды три? Если через впн открывать - то почти мгновенно. Еще играл вчера в доту и вылетал каждые минут 5, пока не убрал компьютер с политики доступа. 

[eda100]

Прошу прощения,а настроить всё это возможно на Омни 2 с прошивкой 2.16.D.12.0-8 ? Так как там в репозитории нет Прокси клиента то надеялся на Редирект,но оказывается и Нетфильтра тоже нет.Это значит ни как? Хотел попытаться на месте с Омни поиграться,что бы потом удалённо Гига - 1011 насторить.Спасибо

[jameszero]

2 часа назад, Whishp сказал:

Это нормально что задержка открытия сайта секунды три?

На это могут влиять тяжелые dat-файлы, подключенные в 10_routing.json. Роутеру требуются значительные ресурсы, чтобы и их обрабатывать. Для Viva и аналогичных Кинетиков попробуйте zkeen.dat. Никаких задержек при его использовании не наблюдаю.

[activio]

Периодически слетает /opt/etc/init.d/S24xray 

Не пойму закономерности, то перезагрузишь, выключишь, на месте, то приходится 755 права давать. Иначе автозапуск не работает.

[Whishp]

5 часов назад, jameszero сказал:

На это могут влиять тяжелые dat-файлы, подключенные в 10_routing.json. Роутеру требуются значительные ресурсы, чтобы и их обрабатывать. Для Viva и аналогичных Кинетиков попробуйте zkeen.dat. Никаких задержек при его использовании не наблюдаю.

В профиле старая информация, у меня Giga. Долгий доступ только к сайтам идущим через прокси. Так же хотел еще спросить. Раньше я использовал профили DNS keenetic, но если сейчас включить их то не одна станицы не открываться. Как я понимаю надо вручную DoH server прописывать?

Изменено 16 января пользователем Whishp

[prokuror2]

Добрый вечер!

Вопрос по файлам логирования.

"access": "/opt/tmp/xray/access.log",     // Запись доступа
"error": "/opt/tmp/xray/error.log",       // Запись ошибок
"loglevel": "debug",    // Уровень журнала: от минимального до максимального: "none", "error", "warning", "info", "debug"
"dnsLog": false        // Включить / Выключить отслеживание DNS запросов: false, true

Файл access.log за два дня вырос до 5 Mb.

Можно ли его аппетит поумерить?

 

Изменено 17 января пользователем prokuror2

[jameszero]

17 минут назад, Whishp сказал:

у меня Giga

На Giga тот же процессор, что и на Viva, только памяти больше. Вы всё таки попробуйте zkeen, не понравится, вернётесь к своему списку обхода. Кстати, вы оптимизацию сервера выполнили?

[jameszero]

@prokuror2

Добрый вечер!

Зачем вам логирование уровня "debug"? Его используют когда что-то не работает, чтобы узнать причину. Debug и раздувает ваши логи. Когда всё настроено и работает, достаточно "loglevel": "error" или даже "loglevel": "none".

Изменено 16 января пользователем jameszero

[prokuror2]

@jameszero

Обнаружил, что при "loglevel":"warning" файл error.log перестает расти, а access.log  - продолжает. 

access.log прекращает обновляться только при "loglevel":"none"

Спасибо!

[Gmarapet]

2 часа назад, jameszero сказал:

Кстати, вы оптимизацию сервера выполнили?

У меня почему-то не получается: говорит, что нашёл модуль bbr, просит перезагрузиться и снова запустить оптимизацию. Делаю: результат тот же.

[Skrill0]

16 минут назад, Gmarapet сказал:

У меня почему-то не получается: говорит, что нашёл модуль bbr, просит перезагрузиться и снова запустить оптимизацию. Делаю: результат тот же.

Доброго Вам вечера)

А какой у Вас результат, если выполнить команду:

sysctl net.ipv4.tcp_available_congestion_control

Также, обращаю внимание, что оптимизации именно для сервера.

[Gmarapet]

1 час назад, Skrill0 сказал:

Также, обращаю внимание, что оптимизации именно для сервера.

Добрый вечер. )

На роутере:

net.ipv4.tcp_available_congestion_control = cubic reno

То есть, не на роутере, а на удаленном хосте, чёрез который трафик идёт в мир?

Изменено 16 января пользователем Gmarapet

[Skrill0]

1 час назад, Gmarapet сказал:

Добрый вечер. )

На роутере: net.ipv4.tcp_available_congestion_control = cubic reno

То есть, не на роутере, а на удаленном хосте, чёрез который трафик идёт в мир?

Да. Как и указано — это оптимизация сервера) То есть оптимизация VPS.

[eda100]

А так и должно быть, что когда сменил порт на 8443 отвалился KeenDNS через телефон программой могу к роутору подключиться, а через доменное имя нет?

Изменено 16 января пользователем eda100

[Skrill0]

2 часа назад, eda100 сказал:

А так и должно быть, что когда сменил порт на 8443 отвалился KeenDNS через телефон программой могу к роутору подключиться, а через доменное имя нет?

Доброго Вам утра!

Да, после того, как сменили порт доступ с доменным именем требует указания на новый.

Если раньше было keeneticname.link то теперь keeneticname.link:8443

[jameszero]

Доброе утро!

Для оптимизации подключения с клиентской стороны, можно добавить следующие параметры в outbound на роутере:

Цитата

...
      "streamSettings": {
        "sockopt": {
          "tcpMptcp": true,
          "tcpFastOpen": true,
          "tcpNoDelay": true
        },
        "network": "tcp",
        "security": "reality",
        "realitySettings": {
...