маршрутизация Xkeen

[farestz]

Кто-нибудь решил проблему с тем, что при работе XKeen статистика в Мониторе трафика отображается некорректно (только часть трафика)? Есть подозрения, что это из-за того, что 80 и 443 завернуты в XKeen.

[Vasya]

13 часов назад, jameszero сказал:

Отказоустойчивый прокси-сервер xray. Часть 1

Отказоустойчивый прокси-сервер xray. Часть 2

Спасибо большое , я в этих инструкциях не понял "Для контроля IP-адреса будем использовать ресурс ip.me" , что за контроль , для чего он нужен , что будет если ip.me упадет или его забанит регулятор?  а почему тогда observatory.json в "probeUrl": "https://www.google.com/generate_204", используем не ip.me а гугл.

в общем не очень понятно что за контроль и для чего 

и не понял можно ли сделать стратегию следующую :

1. есть VPS1 и VPS2
2. если VPS1 доступен , то используется он  согласно правилам роутинга (что то в VPS что то в провайдера)
3. если  VPS1 НЕ доступен , то используется VPS2 согласно правилам роутинга (что то в VPS что то в провайдера)
4. если оба VPS не доступны , то чисто провайдер

То есть не балансировка нагрузки , а основной/запасной

 

Edited March 8, 2025 by Vasya

[SaintTYS]

9 часов назад, SaintTYS сказал:

Телеграм "уходит" не туда

Ковырялся, искал различные варианты...! Диапазоны айпи-шников для Телеграмма кладёт другие "нужные ресурсы", то есть - способа завернуть трафик аккуратно наверное нет, чтобы ажурно всё было. (

[jameszero]

11 часов назад, Vasya сказал:

что за контроль , для чего он нужен

Сайт используется для контроля вашего IP. Заходите на ip.me и видите через какой прокси подключены к интернету. Можете использовать 2ip,ru или любой другой, только добавьте его в роутинг.

11 часов назад, Vasya сказал:

можно ли сделать стратегию следующую

Вторая часть статьи как раз описывает такой вариант

[ImmortAlex]

On 3/9/2025 at 3:38 AM, SaintTYS said:

Ковырялся, искал различные варианты...! Диапазоны айпи-шников для Телеграмма кладёт другие "нужные ресурсы", то есть - способа завернуть трафик аккуратно наверное нет, чтобы ажурно всё было. (

Как вариант: в xray настроить inbound socks5, сделать route с него на VP Sбез условий, тотально, и этот socks5 настроить как прокси в телеге.

[Vasya]

 

В 09.03.2025 в 10:46, jameszero сказал:

Сайт используется для контроля вашего IP. Заходите на ip.me и видите через какой прокси подключены к интернету. Можете использовать 2ip,ru или любой другой, только добавьте его в роутинг.

Вторая часть статьи как раз описывает такой вариант

А понял это просто чтобы роутинг был не пустым как пример , понятно

но по поводу использования , я тогда не понял какую стратегию использовать ?  roundRobin он просто по очереди будет соединения кидать , т.е если оба VDS доступны то он их оба и будет нагружать . Это получается не бекап , а распределение нагрузки , а мне надо чтобы VDS 2 использовался тогда и только тогда когда VDS1 недоступен

[jameszero]

6 минут назад, Vasya сказал:

надо чтобы VDS 2 использовался тогда и только тогда когда VDS1 недоступен

Исключите 4 пункт из хотелок и укажите второй сервер, как fallbaсk (первая часть статьи).

У балансировщика xray нет варианта: 

основное подключение > запасное подключение > запасное подключение для запасного подключения

[niki]

На Hopper KN-3811 (прошивка 4.2.6.2) установил неделю назад Xkeen.

В один прекрасный момент перестает работать весь интернет на клиентах с политикой Xkeen. Похоже Xkeen останавливается или зависает - логи престают записываться. Пробовал сбросить роутер и настроить все снова - ситуация та же. Подскажите направление поиска решения проблемы. В журнале роутера перед зависанием Xkeen есть запись: starting Stubby 0.4.0. Но она постоянно пишется в журнале, примерно каждые 10 минут.

До этого был Hopper KN-3810 - там все работало отлично.

[jameszero]

1 час назад, niki сказал:

останавливается или зависает

FAQ п.0

[PSecure]

Добрый вечер. 

2 дня пытаюсь восстановить работоспособность XRAY на keenetic KN-3610.

Попытаюсь кратко изложить суть. Понимаю, что проблемы каждого пользователя некогда решать.

Проблема:  не открывается ряд российских сайтов (support.keenetic.ru, rscf.ru, remplanner.ru).  Закрытые сайты открываются без проблем. Яндекс и ряд других русских открывается без проблем

1. Ранее все работало
2. Сегодня скинул роутер до заводских настроек, заново отформатировал флешку и установил Xray 25.3.6, XKeen 1.1.3
3. Заново установил 3x-ui и Xray 25.3.6 на VPS на aeza.net
4. Менял конфигурации routing - стандартные оба варианта из гайда
5. Менял DNS over HTTP, over TLS
ничего этого не помогло
4. Ко мне удаленно подключился сотрудник aeza  перепроверил все настройки - не помогло

5. Ошибок в логах не обнаружил. Как-будто все уходит как нужно

6. Через v2ray это же соединение - все хорошо

Из предположений и дополнений

-
1. Ростелеком выдает роутеру адрес 192.168.0.2 , шлюз 192.168.0.1 - правильно ли работает xray и xkeen с таким адресом

2. Прошивка KN-3610 - последняя 4.2.6.2

 

3. При попытке подключения сайт выдает "rscf.ru doesn’t support a secure connection"

 

Из логов  - 

rscf.ru сайт, который не грузится

2025/03/12 16:39:29.926329 from 192.168.1.112:65258 accepted tcp:46.243.175.234:443 [redirect -> direct]

[PSecure]

Может кому-то пригодится... Проблема решилась на третий день

В 4й раз обнулил роутер и заметил что на телефоне на чистом роутере не открывается озон

поменял MTU с 1500 на 1400

установил xkeen

все работает

Edited March 13, 2025 by PSecure

[niki]

В 12.03.2025 в 23:55, jameszero сказал:

FAQ п.0

Спасибо. Обновил ядро. Будем наблюдать.

UPD. 3 прошло - все работает. Еще раз благодарю за помощь!

3

Edited March 16, 2025 by niki

[vegych]

Добрый вечер. Столкнулся с тем, что периодически начал пропадать интернет на устройствах с политикой xkeen. Забрел сюда на форум и по faq обновил ядро, но теперь столкнулся вот с такой ошибкой 
2025/03

2025/03/13 18:21:03.816012 Using confdir from env: /opt/etc/xray/configs
2025/03/13 18:21:03.817205 [Info] infra/conf/serial: Reading config: &{Name:/opt/etc/xray/configs/01_log.json Format:json}
2025/03/13 18:21:03.820513 [Info] infra/conf/serial: Reading config: &{Name:/opt/etc/xray/configs/02_transport.json Format:json}
2025/03/13 18:21:03.821459 [Info] infra/conf/serial: Reading config: &{Name:/opt/etc/xray/configs/03_inbounds.json Format:json}
2025/03/13 18:21:03.822414 [Info] infra/conf: [/opt/etc/xray/configs/03_inbounds.json] appended inbound with tag: redirect
2025/03/13 18:21:03.822471 [Info] infra/conf: [/opt/etc/xray/configs/03_inbounds.json] appended inbound with tag: tproxy
2025/03/13 18:21:03.822516 [Info] infra/conf/serial: Reading config: &{Name:/opt/etc/xray/configs/04_outbounds.json Format:json}
2025/03/13 18:21:03.823719 [Info] infra/conf: [/opt/etc/xray/configs/04_outbounds.json] prepend outbound with tag: vless-reality
2025/03/13 18:21:03.823784 [Info] infra/conf: [/opt/etc/xray/configs/04_outbounds.json] prepend outbound with tag: direct
2025/03/13 18:21:03.823807 [Info] infra/conf: [/opt/etc/xray/configs/04_outbounds.json] prepend outbound with tag: block
2025/03/13 18:21:03.823849 [Info] infra/conf/serial: Reading config: &{Name:/opt/etc/xray/configs/05_routing.json Format:json}
2025/03/13 18:21:03.828767 [Info] infra/conf/serial: Reading config: &{Name:/opt/etc/xray/configs/06_policy.json Format:json}
Failed to start: main: failed to load config files: [/opt/etc/xray/configs/01_log.json /opt/etc/xray/configs/02_transport.json /opt/etc/xray/configs/03_inbounds.json /opt/etc/xray/configs/04_outbounds.json /opt/etc/xray/configs/05_routing.json /opt/etc/xray/configs/06_policy.json] > common/errors: The feature Global transport config has been removed and migrated to streamSettings in inbounds and outbounds. Please update your config(s) according to release note and documentation.

Пытался найти ответ на этот вопрос, но не смог. Что ему не хватает?

Upd. еще почитал доки и понял, что нужно удалить 02_transport.json и все запустилось

Edited March 13, 2025 by vegych

[SaintTYS]

В 10.03.2025 в 05:44, ImmortAlex сказал:

Как вариант:

Спасибо, разобрался - на самом деле ошибка была в конфиге, видимо я недопонял полностью что там и как прописывать, вот и приходится ошибки исправлять по ходу нововведений. )

[Nefertum]

Друзья, настроил xkeen, теперь не могу подключиться к роутеру с других устройств по ikev2 (keendns), в чём может быть проблема? xkeen работает на портах 80 и 443

[Alexey77]

19 часов назад, Nefertum сказал:

Друзья, настроил xkeen, теперь не могу подключиться к роутеру с других устройств по ikev2 (keendns), в чём может быть проблема? xkeen работает на портах 80 и 443

Вы порт keendns перенесли поэтому и не получается.

[Nefertum]

del, заработало

Edited March 15, 2025 by Nefertum

[Vasya]

В 11.03.2025 в 19:10, jameszero сказал:

Исключите 4 пункт из хотелок и укажите второй сервер, как fallbaсk (первая часть статьи).

У балансировщика xray нет варианта: 

основное подключение > запасное подключение > запасное подключение для запасного подключения

Все сделал по вашему соаету и заработало. Спасибо 

[Михаил Хаскельберг]

Не могу победить кейс "есть 2 кабельных провайдера, хочу чтобы все компы из политики xkeen ходили в инет через 2-го провайдера (неосновного)"

Теперь подробно. В дом входят 2 оптики, провайдеры iphome (основной) и RNC (резервный). Через медиаконвертеры они подключены в Hopper-3812, на котором и стоит xkeen. Mesh не используется. 

В кинетике созданы 4 политики:
 - по умолчанию - включены провайдеры IPHome и RNC (в указанном порядке)
 - xkeen - всё выключено (это важно для экспериментов)
 - IPHome - только провайдер IPHome
 - RNC - только провайдер RNC
Комп подключен по wifi напрямую к роутеру. Он был разрегистрирован и зареган заново. 
Все базовые настройки проверены многократно и обсуждались в телеграм-чате, никаких ошибок не найдено. 

Эксперимент 1. Комп в политике IPHome. Результат: весь трафик идет на провайдера IPHome, в панели прокси-сервера трафика нет. 

Эксперимент 2. Комп в политике RNC. Результат: весь трафик идет на провайдера RNC, в панели прокси-сервера трафика нет.

Эксперимент 3. Комп в политике xkeen. Результат: интернета нет никакого, сайты не открываются. 

Эксперимент 4. Комп в политике xkeen, в настройках политики включен провайдер RNC. 
Результаты:
 - спидтест (рутится через прокси) показывает адрес моего прокси, грузит канал RNC, но в панели прокси-сервера трафика нет;
 - яндекс-диск (рутится напрямую) - грузит канал IPHome,  в панели прокси-сервера трафика нет
 - nvidia (рутится через прокси) - грузит канал IPHome, в панели прокси-сервера трафик есть, и совпадает со скоростью загрузки
 - видео-хостинг (для эксперимента завернут через прокси) - грузит канал IPHome, в панели прокси-сервера трафик есть, и примерно совпадает с переключением треков

Резюме: есть стойкое ощущение, что xkeen-у пофиг, какой провайдер указан в его политике, он все равно рутит так, как написано в политике по умолчанию. За исключением спидтеста, его поведение не укладывается ни в какую логику.

Сообщество из телеграм-канала разводит руками и отправляет на поклон к автору xkeen. Вот, пришел, прошу помощи.

PS в телеграм-чате другие пользователи повторили кейс, только на комбинации "кабельный провайдер + мобильный", получили тот же эффект. Так что похоже это действительно проблема самого xkeen. 

 

Edited March 17, 2025 by Михаил Хаскельберг

[Sub]

уже решил

Edited March 17, 2025 by Sub

[Дмитрий Максименко]

9 часов назад, Михаил Хаскельберг сказал:

Не могу победить кейс "есть 2 кабельных провайдера, хочу чтобы все компы из политики xkeen ходили в инет через 2-го провайдера (неосновного)"

Теперь подробно. В дом входят 2 оптики, провайдеры iphome (основной) и RNC (резервный). Через медиаконвертеры они подключены в Hopper-3812, на котором и стоит xkeen. Mesh не используется. 

В кинетике созданы 4 политики:
 - по умолчанию - включены провайдеры IPHome и RNC (в указанном порядке)
 - xkeen - всё выключено (это важно для экспериментов)
 - IPHome - только провайдер IPHome
 - RNC - только провайдер RNC
Комп подключен по wifi напрямую к роутеру. Он был разрегистрирован и зареган заново. 
Все базовые настройки проверены многократно и обсуждались в телеграм-чате, никаких ошибок не найдено. 

Эксперимент 1. Комп в политике IPHome. Результат: весь трафик идет на провайдера IPHome, в панели прокси-сервера трафика нет. 

Эксперимент 2. Комп в политике RNC. Результат: весь трафик идет на провайдера RNC, в панели прокси-сервера трафика нет.

Эксперимент 3. Комп в политике xkeen. Результат: интернета нет никакого, сайты не открываются. 

Эксперимент 4. Комп в политике xkeen, в настройках политики включен провайдер RNC. 
Результаты:
 - спидтест (рутится через прокси) показывает адрес моего прокси, грузит канал RNC, но в панели прокси-сервера трафика нет;
 - яндекс-диск (рутится напрямую) - грузит канал IPHome,  в панели прокси-сервера трафика нет
 - nvidia (рутится через прокси) - грузит канал IPHome, в панели прокси-сервера трафик есть, и совпадает со скоростью загрузки
 - видео-хостинг (для эксперимента завернут через прокси) - грузит канал IPHome, в панели прокси-сервера трафик есть, и примерно совпадает с переключением треков

Резюме: есть стойкое ощущение, что xkeen-у пофиг, какой провайдер указан в его политике, он все равно рутит так, как написано в политике по умолчанию. За исключением спидтеста, его поведение не укладывается ни в какую логику.

Сообщество из телеграм-канала разводит руками и отправляет на поклон к автору xkeen. Вот, пришел, прошу помощи.

PS в телеграм-чате другие пользователи повторили кейс, только на комбинации "кабельный провайдер + мобильный", получили тот же эффект. Так что похоже это действительно проблема самого xkeen. 

 

Думаю можно решить так:
https://jameszero.net/faq-xkeen.htm#14
14 пункт в FAQ

Только вместо freedom, нужно сделать твой прокси

и далее через routing, указать чтобы source ip нужных тебе машин отправлялись в этот outbound

Если сам не осилишь, то в рамках форума уже не помогу, а вот в телеге можно)

Edited March 17, 2025 by Дмитрий Максименко

[APV85]

Добрый день!

Прошу помочь с решение задачи.

Дано: Мобильные устройства подключены к домашней сети по протоколу VPN IKEv2. Каждый под своим логином,паролем и постоянным ip вида 172.20.8.XX. Доступ к локальным ресурсам работает быстро и стабильно. Устройства из локальной сети добавленные в политику XKeen получают доступ к нужным ресурсам.

Требуется: На мобильные устройства подключенные через IKEv2  раздавать интернет через Xkeen.

Основная проблема с которой столкнулся: keenetic не показывает в списке клиентов клиенты подключенные через VPN. Команда ifconfig и ее аналоги, а так же анализ файла startup-config не позволили узнать номер интерфейса IKEv2 и соответственно применить команду ip hotspot policy xxx PolicyXxx.

Как можно реализовать мою задачу?

[Kazantsev]

Здравствуйте! 

у меня балансер и обсерватория настроен, возник такой вопрос, есть ли возможность использовать сервер в балансере который я хочу,  а не на тот, который я не хочу

Так можно сделать? использовать основной сервер до тех пор пока он не заглохнет, а когда заглохнет, то переключить на резервный

Edited March 19, 2025 by Kazantsev

[jameszero]

2 часа назад, Kazantsev сказал:

использовать основной сервер до тех пор пока он не заглохнет, а когда заглохнет, то переключить на резервный

Добрый день!

Несколькими постами выше уже рассмотрели такой кейс.

Edited March 19, 2025 by jameszero

[Kazantsev]

1 час назад, jameszero сказал:

Добрый день!

Несколькими постами выше уже рассмотрели такой кейс.

у меня так, почему то всегда сайты открывает через резервное, как поправить
"balancers": [
            {
            "tag": "balanced",
            "selector": ["vless-reality"],
            "strategy": {
                "type": "leastPing"
                },
            "fallbackTag": "vless-reality-2"
"observatory": {
    "subjectSelector": ["vless-reality"],

Edited March 19, 2025 by Kazantsev

[jameszero]

15 минут назад, Kazantsev сказал:

как поправить

Переименуйте тег резервного подключения во всех файлах, чтобы он не начинался со словосочетания "vless-reality" В статье я упомянул, что selector это массив и указанному у вас значению ["vless-reality"] соответствуют и основное и резервное подключения, а резервное должно находиться только в fallback и не попадать в массив selector.

Edited March 19, 2025 by jameszero

[Kazantsev]

12 минут назад, jameszero сказал:

Переименуйте тег резервного подключения во всех файлах, чтобы он не начинался со словосочетания "vless-reality" В статье я упомянул, что selector это массив и указанному у вас значению ["vless-reality"] соответствуют и основное и резервное подключения, а резервное должно находиться только в fallback и не попадать в массив selector.

так сделать?  ну и в других файлах тоже переименовать тэг

            "tag": "balanced",
            "selector": ["Netherlands"],
            "strategy": {
                "type": "leastPing"
                },
            "fallbackTag": "Finland"

"observatory": {
    "subjectSelector": ["Netherlands"],

Edited March 19, 2025 by Kazantsev

[Kazantsev]

24 минуты назад, jameszero сказал:

Переименуйте тег резервного подключения во всех файлах, чтобы он не начинался со словосочетания "vless-reality" В статье я упомянул, что selector это массив и указанному у вас значению ["vless-reality"] соответствуют и основное и резервное подключения, а резервное должно находиться только в fallback и не попадать в массив selector.

да, спасибо, теперь работает как надо)

[vllv]

Всем привет!

Подскажите, пожалуйста, а можно ли при использовании XKeen сделать две WiFi сети с разными вариантами маршрутизации? Сейчас через туннель идёт только трафик на домены и имена, которые содержатся в регулярно обновляемых файлах geo*_*.dat.

Спойлер

Вот часть 05_routing.json:

     // VPS подключение  |  Доменные имена
      {
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "vless-reality",
        "type": "field",
        "domain": [
        "ext:geosite_v2fly.dat:google",
        "ext:geosite_v2fly.dat:speedtest",
        "ext:geosite_v2fly.dat:tiktok",
        "ext:geosite_zkeen.dat:domains",
        "ext:geosite_zkeen.dat:other",
        "2ip.ru",
        "2ip.io"
        ]
      },

      {
      // VPS подключение  |  IP адреса
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "vless-reality",
        "type": "field",
        "ip": [
        "ext:geoip_v2fly.dat:google",
        "ext:geoip_v2fly.dat:twitter"
        ]
      },

      // Прямое подключение  |  Все остальное
      {
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "direct",
        "type": "field"
      }

Соответственно добавлена отдельная WiFi - сеть, клиенты которой согласно политике XKeen ходят в интернет по этим правилам.

А очень хочется добавить ещё одну WiFi-cеть, в которой весь трафик ходил бы через туннель. В этом бывает необходимость при работе с сайтами (ну или серверами), которые если засекают подключения с наших IP, банят по причине "мы временно не предоставляем услуги в вашей стране".

Возможны ли такие настройки?

[jameszero]

1 час назад, vllv сказал:

Возможны ли такие настройки?

Да, для этого задействуйте параметр source с указанием разных подсетей. Например так:

{
  "routing": {
    "rules": [
      {
        "inboundTag": ["redirect", "tproxy"],
        "source": ["192.168.1.0/24"],
        "domain": [
          "site1.ru",
          "site2.ru",
          "site3.ru"
        ],
        "outboundTag": "vless-reality"
      },
      {
        "inboundTag": ["redirect", "tproxy"],
        "source": ["192.168.2.0/24"],
        "outboundTag": "vless-reality"
      },
      {
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "direct"
      }
    ]
  }
}

Устройства из подсети 192.168.1.0/24 будут использовать выборочную маршрутизацию, а переключившись на WiFi с подсетью 192.168.2.0/24 пойдут полностью через прокси.

Edited March 23, 2025 by jameszero