маршрутизация Xkeen

[ultramarine]

Всем привет! 
Настроил роутинг по типу, все на локальный, избранные на VDS.

Столкнулся с проблемой. При онлайн созвонах в zoom, discord, express, telemost, ktalk, skyeng, возникает одна и та же проблема - регулярные, кратковременные обрывы связи. Я продолжаю всех слышать, а мой поток данных обраывается секунд на 15. Кто знает, как победить? Есть ли у кого-то еще такая же проблема?

Роутер: keenetic Ultra (KN-1811) EAEU. Память сейчас занята на 45%, хотя не понятно чем. ЦП 3% загружен. Высокой загрузки (более 50%) у ЦП не видел.

[jameszero]

10 часов назад, ultramarine сказал:

проблема - регулярные, кратковременные обрывы связи

Добрый день!

Это особенность xray, он обрывает сессию, которую сочтёт устаревшей. Для некоторых программ можно попробовать исключить их из цепи проксирования (команда xkeen -ap 80,443) и они пойдут мимо xray, но если программа сама использует 80 или 443 порт, то ничего сделать нельзя. Xray, технически, не предназначен для онлайн-звонков, игр, видеоконференций и других подключений, требующих постоянный коннект, это прежде всего прокси, а не впн.

[blz]

18 hours ago, jameszero said:

Каким способом вы направляете udp в прокси и как определили, что выходит напрямую? Когда upd не активирован для socks5-прокси, он будет блокироваться в нём, а не выходить напрямую.

а его надо каким-то образом направлять? мне подумалось, что

(config)> interface Proxy0 proxy socks5-udp
Proxy::Interface: "Proxy0": enable SOCKS5 UDP mode.

должно именно это и делать.

определено было очень просто. в то время как на хосте (192.168.50.39), подключенном к LAN роутера, выполнялся резолв запрос А 123.com @8.8.4.4, на интерфейсе, к которому подключен WAN роутера, выполнялось tcpdump -i lanB host 8.8.4.4 and udp:

IP 192.168.50.39.59447 > dns.google.domain: 5+ A? 123.com. (25)
IP dns.google.domain > 192.168.50.39.59447: 5 2/0/0 A 188.114.97.1, A 188.114.96.1 (57)
IP 192.168.50.39.59448 > dns.google.domain: 6+ AAAA? 123.com. (25)
IP dns.google.domain > 192.168.50.39.59448: 6 2/0/0 AAAA 2a06:98c1:3121::1, AAAA 2a06:98c1:3120::1 (81)

отсюда видно, что трафик udp проходит напрямую, не через прокси

[jameszero]

9 минут назад, blz сказал:

(config)> interface Proxy0 proxy socks5-udp

Вообще-то включение UDP через прокси состоит из двух команд:

interface {name} proxy udpgw-upstream {ip} {port} — указать адрес сервера UDPGW
interface {name} proxy socks5-udp — включить UDP-режим для SOCKS5

 

[blz]

6 hours ago, jameszero said:

Вообще-то включение UDP через прокси состоит из двух команд:

interface {name} proxy udpgw-upstream {ip} {port} — указать адрес сервера UDPGW
interface {name} proxy socks5-udp — включить UDP-режим для SOCKS5

 

можно поподробнее с этого места? похоже, что для всей этой кухни используется badvpn? тогда в теории должно работать как-то так:

badvpn-udpgw слушает на localhost:$PORT (порт указывается в интерфейсе)
запросы форвардятся в прокси подключение (тоже в интерфейсе)
плюс interface {name} proxy udpgw-upstream 127.0.0.1 $PORT

сделал так, переподключил прокси соединение, но все равно udp успешненько работает через WAN.

ЧЯДНТ?

[jameszero]

12 часа назад, blz сказал:

похоже, что для всей этой кухни используется badvpn?

Совершенно верно, в прошивке Кинетика используется badvpn. Об особенностях его работы, лучше спросите разработчиков прошивки. Ранние версии XKeen за неимением лучшего использовали socks5-прокси, но затем появились более совершенные режимы Redirect, Mixed и TProxy. С тех пор использование socks5 в XKeen не рекомендуется. Мы тут и в Телеграме до сих пор разгребаем вопросы тех, кто настроил XKeen через socks5 по инструкции с хабра, а с возникшими проблемами пошел не на хабр, а сюда.

[blz]

6 hours ago, jameszero said:

Совершенно верно, в прошивке Кинетика используется badvpn. Об особенностях его работы, лучше спросите разработчиков прошивки. Ранние версии XKeen за неимением лучшего использовали socks5-прокси, но затем появились более совершенные режимы Redirect, Mixed и TProxy. С тех пор использование socks5 в XKeen не рекомендуется. Мы тут и в Телеграме до сих пор разгребаем вопросы тех, кто настроил XKeen через socks5 по инструкции с хабра, а с возникшими проблемами пошел не на хабр, а сюда.

когда-то давно я использовал badvpn-tun2socks, но как именно там туннелируется udp, мне так и осталось не совсем понятным:

 

Quote

 

tun2socks can forward UDP, however this requires a forwarder daemon, badvpn-udpgw to run on the remote SSH server:

  badvpn-udpgw --listen-addr 127.0.0.1:7300

Then tell tun2socks to forward UDP via the forwarder:

  --udpgw-remote-server-addr 127.0.0.1:7300 

 

to run on the remote SSH server.
то есть это в принципе не может просто работать через сервер socks5 (в котором есть поддержка udp)?

но я где-то выше по постам видел, что у кого-то вроде бы как работало udp через прокси…

[ultramarine]

Всем привет! спасибо за помощь с предыдущим вопросом. Вроде работает, пока не понял, есть ли обрывы, а это уже победа ))

 

Есть второй вопрос. У меня за роутером сидит NAS, который обновляет свой url по DDNS. И если его включить в правило xkeen, то перестают работать сервисы, поднятые на NAS. Он показывает, что url закрепляется за IP VDS, а не за IP моим локальным. 
 

Подскажите, как можно исключить работу DDNS из проксирования?

[jameszero]

5 часов назад, blz сказал:

я где-то выше по постам видел, что у кого-то вроде бы как работало udp через прокси

Я проверял, UDP действительно работает через socks5-прокси в Кинетике, только проверял не на DNS, а на OpenVPN подключении к серверу Pritunl, у него в веб-интерфейсе видно с какого IP выполнен коннект. DNS в Кинетике возможно не заворачивается в прокси вовсе или нужно какое-то дополнительное правило iptables. Ведь DNS работал, даже когда прокси был TCP-only, а значит DNS ходил напрямую.

[blz]

45 minutes ago, jameszero said:

Я проверял, UDP действительно работает через socks5-прокси в Кинетике, только проверял не на DNS, а на OpenVPN подключении к серверу Pritunl, у него в веб-интерфейсе видно с какого IP выполнен коннект. DNS в Кинетике возможно не заворачивается в прокси вовсе или нужно какое-то дополнительное правило iptables. Ведь DNS работал, даже когда прокси был TCP-only, а значит DNS ходил напрямую.

ovpn может и по tcp идти. в клиентском конфиге ovpn может быть несколько точек подключения, возможен и вариант что по факту клиент ovpn фактически подключился по tcp, так? или Вы точно удостоверились в логах что это было и udp и через сокс?

DNS могло потому что при включении socks5-udp пакеты udp просто идут мимо прокси как хоббиты – туда и снова обратно.

Собственно остался вопрос к udpgw. Все везде (и в поддержке) пишут, что

Quote

interface {name} proxy udpgw-upstream {ip} {port} — указать адрес сервера UDPGW

в смысле это должен быть отдельный сервер для обработки трафика udp, который пойдет не через socks? Потому что есть такая команда в socks – UDP ASSOCIATE (RFC1928) и если tun2socks умеет ей пользоваться, тогда никакие udpgw ессно не нужны.

А если tun2socks, который в кинетике, этого не умеет, то в нем по сути нет поддержки udp (потому что она только через UDP ASSOCIATE), а есть просто костылик от badvpn, который требует дополнительной серверной части?

[jameszero]

10 часов назад, blz сказал:

ovpn может и по tcp идти. в клиентском конфиге ovpn может быть несколько точек подключения, возможен и вариант что по факту клиент ovpn фактически подключился по tcp, так? или Вы точно удостоверились в логах что это было и udp и через сокс?

Серьёзно?)) Это вопрос из рубрики: "Как обидеть админа? Сказать ему: Заходи, гостем будешь!")) С сетями почти 20 лет работаю, протоколы уж точно не перепутаю. Если уровень моих ответов не кажется убедительным, могу только умыть руки)

Позволю себе повториться. Об особенностях работы socks5-прокси спросите разработчиков прошивки в соответствующем разделе форума, а здесь мы с вами развели оффтоп на эту тему.

[blz]

4 hours ago, jameszero said:

Серьёзно?)) Это вопрос из рубрики: "Как обидеть админа? Сказать ему: Заходи, гостем будешь!")) С сетями почти 20 лет работаю, протоколы уж точно не перепутаю. Если уровень моих ответов не кажется убедительным, могу только умыть руки)

Позволю себе повториться. Об особенностях работы socks5-прокси спросите разработчиков прошивки в соответствующем разделе форума, а здесь мы с вами развели оффтоп на эту тему.

у разработчиков я уточнил, действительно используется реализация tun2socks от badvpn. а там единственный способ работать с udp – это udpgw. я смотрел, были какие-то попытки реализовать UDP ASSOCIATE в форках badvpn но и там нет полноценных решений. Поэтому либо у Вас где-то рядом с сервером socks стоял udpgw, либо сработала добрая магия (поделитесь плз, какая). Думаю, что это многим будет весьма полезно в итоге.

Нисколько не было цели Вас обидеть, есть просто цель внести окончательную ясность в вопрос.

[Le ecureuil]

2 часа назад, blz сказал:

у разработчиков я уточнил, действительно используется реализация tun2socks от badvpn. а там единственный способ работать с udp – это udpgw. я смотрел, были какие-то попытки реализовать UDP ASSOCIATE в форках badvpn но и там нет полноценных решений. Поэтому либо у Вас где-то рядом с сервером socks стоял udpgw, либо сработала добрая магия (поделитесь плз, какая). Думаю, что это многим будет весьма полезно в итоге.

Нисколько не было цели Вас обидеть, есть просто цель внести окончательную ясность в вопрос.

https://github.com/ambrop72/badvpn/pull/71/commits

Вот это было затянуто для socks-udp. При этом оно не тестировалось полноценно, потому что нет нормального независимого сервера с реализацией. Если есть по существу что-то, то пишите.

[blz]

38 minutes ago, Le ecureuil said:

https://github.com/ambrop72/badvpn/pull/71/commits

Вот это было затянуто для socks-udp. При этом оно не тестировалось полноценно, потому что нет нормального независимого сервера с реализацией. Если есть по существу что-то, то пишите.

про это я и упоминал когда говорил о форках:

However, this implementation is currently limited to localhost SOCKS5 servers.

«полноценные» серверы и клиенты с реализацией – есть. в частности, в качестве клиента, вот этот tun2socks и gost в роли сервера. есть и другие реализации. у проксиселлеров сейчас появилось достаточно много предложений по socks c udp.

проверено в продакшене в том числе и на openwrt. вот пакетики из реального обмена

[Le ecureuil]

2 минуты назад, blz сказал:

у проксиселлеров сейчас появилось достаточно много предложений по socks c udp.

Покажите-ка. Хочу проверить именно с нормальными серверами, за которые денежки берут, а не с пионерской самодеятельностью.

Ну и по ссылке у вас все на go, а это изначально "непроходное" условие в роутер.

[Alpermyak]

Доброго всем! Люди добрые, подскажите не программисту, я правильно понял из прочтённого здесь мануала и сделать на старом роутере Extra примерно вот такого плана назначить политику; Wireguard-установить по гайду Xkeen-перенаправить трафик Wireguard в Xkeen (по этому посту) - в роутере настроить маршрутизацию (нужны всего пару сайтов)  ?

[blz]

5 hours ago, Le ecureuil said:

Покажите-ка. Хочу проверить именно с нормальными серверами, за которые денежки берут, а не с пионерской самодеятельностью.

Ну и по ссылке у вас все на go, а это изначально "непроходное" условие в роутер.

тысячи их. гуглите-выбираете, пишете в поддержку чтобы уточнить (потому что маркетинг и наебизнес никто не отменял и я с таким сталкивался) и покупаете. у многих есть триал.

если это непосильно, я могу как будет свободное время, найти и проверить. у меня в кармане их нет, потому что целесообразнее купить vps и развернуть то, что нужно.

про пионерское – не совсем понятно. большинство этих сервисов конечно пионеры, лет так 15 назад их не было но какое это имеет значение?

понятия не имею насчет непроходного условия – ну у каждого своя религия. конечно это тупо не полезет на младшие модели и скорее всего и не потянут они это процом. но на железе среднего ценового сегмента это работает. пока я не видел функционально аналогичных реализаций (в частности та реализация tun2socks поодерживает не только socks/tcp но и многие другие транспорты от gost, что дает немного надежды на то, чтобы иметь неблокируемые туннели и при более злобных чебурнетах), однако вероятно они есть, просто никто как следует не искал.

[Sergey Sarychev]

del

Edited October 3, 2024 by Sergey Sarychev
del

[Alexey77]

17 часов назад, Le ecureuil сказал:

Покажите-ка. Хочу проверить именно с нормальными серверами, за которые денежки берут, а не с пионерской самодеятельностью.

Ну и по ссылке у вас все на go, а это изначально "непроходное" условие в роутер.

Добрый день. Посмотрите проект hev-socks5-tunnel на роутере кеенетик ultra kn-1811 файл запускается. 

[ImmortAlex]

Про SOCKS в другом ключе вопрос: если я сделаю inbound с SOCKS (с паролем) и выставлю его наружу (на белом IP) - каковы шансы, что его будут долбать боты? И есть ли защита от такого (какая-нибудь прокси поверх прокси с защитой от брутфорса)?

Есть потребность организовать для себя проксю вне домашней сети, но боюсь это делать.

[Alpermyak]

7 часов назад, Sergey Sarychev сказал:

Доброго времени.

Пытался по Вашей инструкции заставить PuTTY подключится к роутеру.

Очень внимательно шаг за шагом.

И получаю интересный итог: открыв PuTTY, после всех предварительных манипуляций, ввожу root, пытаюсь ввести пасворд keenetic, но ничего не печатается в окне, вообще ничего. Решил, что сделал что-то не так, всё убрал и сделал заново, но ничего не изменилось.
Нет ли каких подсказок, почему?

Заранее благодарю.

Он вводится, просто не отображается. Ведите пароль и нажимайте ввод.

[blz]

5 hours ago, ImmortAlex said:

Про SOCKS в другом ключе вопрос: если я сделаю inbound с SOCKS (с паролем) и выставлю его наружу (на белом IP) - каковы шансы, что его будут долбать боты? И есть ли защита от такого (какая-нибудь прокси поверх прокси с защитой от брутфорса)?

Есть потребность организовать для себя проксю вне домашней сети, но боюсь это делать.

в смысле поднять прокси сервер на внешнем например vps? да никаких там проблем. их по миру миллионы. главное изменить порт по умолчанию и не делать анонимный доступ. а «защиты от брутфорса» это уже напиливайте например в nft или заюзайте fail2ban

Edited October 3, 2024 by blz

[ImmortAlex]

12 hours ago, blz said:

в смысле поднять прокси сервер на внешнем например vps?

Нет, я про XKeen всё-таки. Точнее, про xray на роутере. У меня есть в конфиге вот такой inbound:

	{
		"tag": "socks",
		"port": 25344,
		"protocol": "socks",
.....
	},

Я его использую в локалке для некоторых нужд.

Так вот есть желание выпустить его в интернет, чтобы использовать не только в локалке. Понятно, что порт рандомный, понятно, что под логином. Не понятно только (потому что я в этом месте чайник) нужно ли что-то сделать, чтоб не сбрутфорсили или чем усилить на случай если в xray бага есть.

[ki61]

Добрый день!

С утра бьюсь с keenetic 4g. Устанавливается без ошибок, но при попытке xkeen -start вываливается ошибка
"Прокси-клиент не запустить

Ошибка: Не удалось запустить прокси-клиент"

Делаю xkeen -rx и так же есть оишбки:

 "Проверка
     Ошибка: Файл xray.list не найден в директории «/opt/lib/opkg/info/»
     Ошибка: Файл xray.control не найден в директории «/opt/lib/opkg/info/»
     Успешно: Запись Xray найдена в «/opt/lib/opkg/status»"

Xkeen -fixed проходит нормально, но опять все по кругу. Уже заново энтвейр ставил с 0 под чистую, устанавливаю на флешку.

 

[KeenForum]

Добрый день уважаемые пользователи форума

не могли бы вы мне помочь разобраться в одном  вопросе

Сколько не искал в гугле, так и не могу понять откуда берутся эти строки

 

Где посмотреть полный список этих выборок (тегов) для каждого файла с расширением dat, который поставляется в комплекте с xkeen?

[ImmortAlex]

26 minutes ago, zaknafein said:

я читал инструкцию и не совсем понимаю

Инструкция на notion, которая в шапке.

Раздел "настройка xray".

Ваш вариант outbound называется "VPS + Direct + Block", где вам надо правильно заполнить описание подключения к VPS, а остальное не трогать.

Ваш вариант routing называется "Block + VPS | Выбранные ресурсы + Direct | Все остальное", где вам нужно правильно заполнить домены и IP адреса, которые должны уйти на VPS.

Что среди этого вам непонятно - уточняйте конкретно.

[zaknafein]

7 минут назад, ImmortAlex сказал:

Инструкция на notion, которая в шапке.

Раздел "настройка xray".

Ваш вариант outbound называется "VPS + Direct + Block", где вам надо правильно заполнить описание подключения к VPS, а остальное не трогать.

Ваш вариант routing называется "Block + VPS | Выбранные ресурсы + Direct | Все остальное", где вам нужно правильно заполнить домены и IP адреса, которые должны уйти на VPS.

Что среди этого вам непонятно - уточняйте конкретно.

спасибо. как раз с пониманием какой пункт настроек мне нужен был. а еще вопрос: я же правильно понял, что заворачиваются на прокси только те клиенты которые добавлены в правила применение политик на роутере? т.е. можно сделать что бы заворачивалось на прокси все? а клиентов не добавлять которым не нужно?   

Edited October 7, 2024 by zaknafein

[ImmortAlex]

14 minutes ago, zaknafein said:

спасибо. как раз с пониманием какой пункт настроек мне нужен был. а еще вопрос: я же правильно понял, что заворачиваются на прокси только те клиенты которые добавлены в правила применение политик на роутере? т.е. можно сделать что бы заворачивалось на прокси все? а клиентов не добавлять которым не нужно?   

Если вы не сделаете политику с именем XKeen, то будут заворачиваться все.

Если сделаете - будут заворачиваться только те, что в политике.

Вроде так было.

[BL202]

У меня есть некоторые проблемы с сетью, всё настроил и работает ок, политики и т.д, настроил роутинг на впс только тех доменов которые мне нужны, но столкнулся с тем, что периодически меня выкидывает с серверов VALVE в CS2 и L4D, хотя они должны идти напрямую.
Также не всегда стабильно работает ChatGPT который идет на впс, не всегда подгружает весь контент. 
Стоит блок на рекламу "ext:geosite_v2fly.dat:category-ads-all", но не думаю, что в этом дело
Кто сталкивался?

[jameszero]

В 06.10.2024 в 11:54, KeenForum сказал:

Где посмотреть полный список этих выборок (тегов) для каждого файла с расширением dat, который поставляется в комплекте с xkeen?

Добрый день!

Тут пример ссылок для просмотра содержимого v2fly.dat