маршрутизация Xkeen

[c0d3x]

"Игнорить DNS провайдера" сначала поставил, теперь снял, 5й файлик удалил, xkeen -restart сделал. Сам кинетик всё видит и пингует без проблем, всё что в политике по-умолчанию, так же прекрасно работает, только то что внутри xkeen не работает

[c0d3x]

О! Установил на компе в качестве DNS IP-кинетика (а не гугла, как было до этого) и пинг начал работать и по IP, и по имени, а вот в браузере странички по прежнему не открываются.... Если до этого браузер писал ошибку что-то про DNS, то теперь: ERR_TIMED_OUT и ERR_EMPTY_RESPONSE... Куда теперь посмотреть?

Изменено 9 апреля, 2025 пользователем c0d3x

[c0d3x]

О! Нашёл проблему: отключил файрвол на сервере xui и сайты заработали  Спасибо!

Изменено 9 апреля, 2025 пользователем c0d3x

[c0d3x]

Ещё вспомнил, что раньше было обязательным или рекомендованным как-то блокировать quick средствами самого кинетика. Сейчас это нужно делать? И если нужно напомните пожалуйста как

[jameszero]

6 минут назад, c0d3x сказал:

как-то блокировать quick

FAQ п.6

[c0d3x]

20 часов назад, c0d3x сказал:

Помогите пожалуйста: нужно что бы вообще всё шло через сервер 3xui, но почему-то не работает. Что сделал: создал в приоритетах политику xkeen, галочку Ethernet поставил, нужные соединения на соседней вкладке добавил, в настройках провайдера снял галочку DNS, добавил DOT и DOH от гугл и клаудфларе, 3й файлик просто скопировал из инструкции (из раздела "Mixed  |  Рекомендуемый", там какой-то порт указан 61219 не пойму где его открывать надо и надо ли, в 3xui такого не нашёл), 4й через мастер XKeen Config Generator сделал, 5й сам запилил, пинг по айпи (8.8.8.8) идёт, а вот по имени сайты не находятся ("При проверке связи не удалось обнаружить узел ya.ru") 

Как только любой комп исключаю из xkeen всё начинает работать, xkeen -start отрабатывает без ошибок.

Делаю на Viva (KN-1912).

03_inbounds.json 780 B · 2 загрузки 05_routing.json 517 B · 3 загрузки

04_outbounds.json 1.3 kB · 4 загрузки

В продолжение вчерашней темы: а если устройство настроено вот по этой статье https://help.keenetic.com/hc/ru/articles/360014436120-Возможно-ли-использовать-контроллер-Wi-Fi-системы-в-режиме-обычной-точки-доступа т.е. провайдерского Ethernet-подключения нет, следовательно и в разделе "Политика доступа в интернет" при создании XKeen я не могу поставить галочку у "Ethernet-подключения" т.к. его просто не существует. Возможно ли в данном случае использовать XKeen? Может быть в другом режиме?..

Изменено 10 апреля, 2025 пользователем c0d3x

[jameszero]

15 минут назад, c0d3x сказал:

Возможно ли в данном случае использовать XKeen?

Нет. XKeen работает только на устройствах в режиме роутера, а точка доступа это по сути обычный коммутатор и он не выполняет функции маршрутизации, необходимые XKeen.

[c0d3x]

Только что, jameszero сказал:

Нет. XKeen работает только на устройствах в режиме роутера, а точка доступа это по сути обычный коммутатор и он не выполняет функции маршрутизации, необходимые XKeen.

Так тут режим роутера...

[jameszero]

10 минут назад, c0d3x сказал:

Так тут режим роутера...

На устройстве может быть установлен любой режим, но если вы подключаете его к вышестоящему оборудованию не WAN-портом, а как сказано в статье, "выключить DHCP-сервер и подключить его LAN-портом к главному роутеру", то устройство становится обычной точкой доступа. Все функции маршрутизации при этом выполняются вышестоящим оборудованием.

[c0d3x]

Ну да.. Логично.. Спасибо!

[ip_tara]

28 минут назад, c0d3x сказал:

Так тут режим роутера...

Режим роутера на устройстве, но не режим роутера в сети. Однако, можно настроить голый XRay в качестве Socks прокси, например, без Xkeen, и явно указать его на клиентах как прокси.

[c0d3x]

2 часа назад, ip_tara сказал:

Режим роутера на устройстве, но не режим роутера в сети. Однако, можно настроить голый XRay в качестве Socks прокси, например, без Xkeen, и явно указать его на клиентах как прокси.

Список устройств периодически меняется и с каждым возиться не хочется, но как вариант я запомню.

Ещё вопрос: вижу что с кинетика помимо обращения на порт и айпи прокси-сервера, висят ещё какие-то обращения: 

25      smtp    109.207.171.99
80      http    185.162.93.96
333     tcp     109.207.171.99
4044    udp     95.213.212.50
5683    udp     95.213.181.250
5685    udp     82.202.218.147

Это обращения самого кинетика или xkeen куда-то обращается?

Изменено 10 апреля, 2025 пользователем c0d3x

[jameszero]

2 часа назад, c0d3x сказал:

Это обращения самого кинетика или xkeen куда-то обращается?

XKeen никуда не обращается, это набор скриптов с открытым исходным кодом для запуска xray-core

Из перечисленных вами IP, только 109.207.171.99 вызывает вопросы, остальные принадлежат Keenetic/Netcraze

[c0d3x]

Понял, спасибо, к кинетику сейчас вообще ничего не подключено, а на вышестоящем роутере эти соединения от кинетика не пропадают, пытался отключать - они опять появляются...

4 минуты назад, jameszero сказал:

остальные принадлежат Keenetic/Netcraze

А как вы это выяснили?

Изменено 10 апреля, 2025 пользователем c0d3x

[ip_tara]

1 час назад, c0d3x сказал:

А как вы это выяснили?

https://2ip.io/lookup/ можете сами проверить

[ip_tara]

3 часа назад, c0d3x сказал:

80      http    185.162.93.96

 

[c0d3x]

Всё, понял, нашёл в инете что сервера неткрэйз хостятся у селектел, да, действительно остаётся только один IP, ладно, спасибо  буду копать дальше, извиняюсь за офтоп

Изменено 10 апреля, 2025 пользователем c0d3x

[ip_tara]

В 09.04.2025 в 10:51, ip_tara сказал:

Заворачивает ли xkeen IPv6 трафик и DNS запросы от роутера в xray?

Так кто-нибудь может подсказать, трафик роутера заходит в xray?

Изменено 11 апреля, 2025 пользователем ip_tara

[c0d3x]

В 09.04.2025 в 17:21, c0d3x сказал:

Помогите пожалуйста: нужно что бы вообще всё шло через сервер 3xui, но почему-то не работает. Что сделал: создал в приоритетах политику xkeen, галочку Ethernet поставил, нужные соединения на соседней вкладке добавил, в настройках провайдера снял галочку DNS, добавил DOT и DOH от гугл и клаудфларе, 3й файлик просто скопировал из инструкции (из раздела "Mixed  |  Рекомендуемый", там какой-то порт указан 61219 не пойму где его открывать надо и надо ли, в 3xui такого не нашёл), 4й через мастер XKeen Config Generator сделал, 5й сам запилил, пинг по айпи (8.8.8.8) идёт, а вот по имени сайты не находятся ("При проверке связи не удалось обнаружить узел ya.ru") 

Как только любой комп исключаю из xkeen всё начинает работать, xkeen -start отрабатывает без ошибок.

Делаю на Viva (KN-1912).

03_inbounds.json 780 B · 3 загрузки 05_routing.json 517 B · 4 загрузки

04_outbounds.json 1.3 kB · 6 загрузок

У меня похожий вопрос, скажите пожалуйста, а какой траффик xkeen прокидывает на прокси? ICMP, как выше было сказано, например, не пробрасывается, а ещё что не пробрасывается или что пробрасывается? По какому принципу решается что перенаправлять на прокси, а что будет работать напрямую?..

[ip_tara]

8 часов назад, c0d3x сказал:

По какому принципу решается что перенаправлять на прокси, а что будет работать напрямую?..

ICMP не проксируется, тольком TCP/UDP от клиентов. Используется так называемое прозрачное проксирование. Настраивается с помощью iptables. Но какие конкретно правила используются, не могу сказать. Самому интересно, лично мне, в разрезе DNS, ipv6 трафиков и трафика от роутера. Но в ответ тишина.

[Nogard]

Добрый день. С недавних пор в браузере Firefox (137.0.1 (64-разрядный)) стала рандомно вылезать ошибка PR_END_OF_FILE_ERROR.  Несколько раз нужно обновить страницу, чтобы ошибка пропала и сайт загрузился. 

Цитата

При соединении с www.google.com произошла ошибка. PR_END_OF_FILE_ERROR

Код ошибки: PR_END_OF_FILE_ERROR

• Страница, которую вы пытаетесь просмотреть, не может быть отображена, так как достоверность полученных данных не может быть проверена.

Включена "политика xkeen" но роутинг выставлен так, чтобы "проблемный" трафик шёл только через прямо указанные адреса. Куда google.com в чистом виде не входит (входит с доменами второго уровня, например play.google.com). Сайты самые разные, пример гугла как самого "обычного" просто. Поиск по форуму показывает только 1 сообщение с ошибкой на прошлой неделе, на которое нет ответа. Я так понимаю причина не известна и решения нет?

Изменено 13 апреля, 2025 пользователем Nogard

[ip_tara]

14 часов назад, Nogard сказал:

Код ошибки: PR_END_OF_FILE_ERROR

Подробно про эту ошибку здесь (https://www.ssldragon.com/ru/how-to/fix-ssl-errors/pr_end_of_file_error/)

[ariss]

Добрый всем. Ставил https://github.com/jameszeroX/XKeen (попутно читая https://github.com/Corvus-Malus/XKeen). Вроде все завелось, настраивал чтобы все шло через 3xui, вроде все понятно, но.. один вопрос- в инструкции "Перенести сервисы Keenetic с 443 порта...  Перенести сервисы на любой из следующих портов
| 5083 | 5443 | 8083 | 8443 | 65083 | "   

Для чего это? роутер как был так и остался на 443 порту, все работает. Ведь он всего лишь как клиент xray, подключаемый к 3xui на 443 порту. Разъясните, pls 

[jameszero]

36 минут назад, ariss сказал:

Перенести сервисы Keenetic с 443 порта... 

Добрый день!  История начинается отсюда. Такова реализация TProxy в Кинетике, пришлось освободить 443 порт.

[ariss]

Гм... Клиент прокси у меня даже не установлен, socks5 я не использую. Мне, имхо, все равно?

[jameszero]

12 минут назад, ariss сказал:

Клиент прокси у меня даже не установлен, socks5 я не использую

Это тут при чём? Погуглите что такое TProxy, никакого отношения к socks5 эта технология не имеет.

[ariss]

Да, немного недочитал что это такое. Грок выдал для информации:

Спойлер

TProxy (Transparent Proxy) в роутерах Keenetic — это режим работы прокси-клиента, который позволяет перенаправлять сетевой трафик через прокси-сервер прозрачно для устройств в сети, без необходимости их индивидуальной настройки. Используется, например, с утилитой XKeen и Xray для обхода блокировок или защиты соединений.

**Как работает TProxy:**
- Роутер перехватывает весь трафик (TCP и UDP) и направляет его на прокси-сервер (например, Xray), не требуя изменений настроек на устройствах.
- В отличие от SOCKS5 или HTTP-прокси, TProxy сохраняет исходные IP-адреса и порты, что делает его более универсальным для приложений, чувствительных к изменениям заголовков.
- Поддерживает сложные сценарии маршрутизации, такие как выборочная отправка трафика через прокси по доменам или GeoIP.

**Особенности в Keenetic:**
- TProxy появился в утилите XKeen с обновления 1.0.0 (2023 год).
- Работает на роутерах с установленной средой Entware и Xray.
- Требует настройки через командную строку или скрипты, так как это не встроенная функция KeeneticOS.
- По сравнению с другими режимами (например, Redirect), TProxy лучше поддерживает UDP, но может быть более ресурсоёмким.[](https://jameszero.net/faq-xkeen.htm)

**Применение:**
- Обход блокировок (например, для доступа к запрещённым сайтам).
- Защита соединений через VPN или прокси.
- Оптимизация трафика для определённых устройств или сервисов.

Но, как понять, что мне все таки необходимо 443й порт роутера на другой перекинуть? Имхо, все у меня работает... (уточню, что у меня весь трафик в VPN перенаправляется, так в https://xray-routing-generator.netlify.app сделал)

Несколько политик vpn, xkeen поставил как дополнительную - закинул в политику телефон - https://browserleaks.com/ip показывает vps данные (правда, почему то и ip телефона LAN показать смогло  )

Изменено 14 апреля, 2025 пользователем ariss

[ip_tara]

4 часа назад, ariss сказал:

Для чего это? роутер как был так и остался на 443 порту, все работает.

Что бы трафик на веб-конфигуратор роутера не заходил в xray, я полагаю.

[Gugenot]

Здравствуйте! Установил последнюю версию уже дважды.

В описании к последней версии написано - "Исправлен автозапуск XKeen при старте роутера (ранее XKeen иногда запускался для всего устройства, а не только для своей политики".

У меня после перезагрузки роутера работает загрузка всех сайтов которые должны работать напрямую. Все что должно идти через XKeen не загружается, но если отослать команду "xkeen -restart" то все начинает работать. Похоже у меня автозапуск все же работает некорректно.

Если в "init.d" подкинуть скрипт из FAQ - S99xkeenrestart, то после перезагрузки роутера всё работает нормально. Но как понимаю это костыль, или я не прав?

Кстати в "init.d" изначально лежит похожий по названию скрипт - S99xkeenstart, он "из другой оперы" и просто нужен для старта XKeen при загрузке роутера?

Может ситуация с некоррктным стартом XKeen быть следствием того, что в системе присутствует NFQWS? Для того, чтобы трафик туба не залетал в XKeen а обрабатанный NFQWS шел напрямую в файле 05_routing.json(Вариант для указанных IP-адресов и доменных имен) строчки для туба были удалены.

[jameszero]

3 часа назад, Gugenot сказал:

Похоже у меня автозапуск все же работает некорректно

Добрый день! Подберите задержку автозапуска для своих условий использования. По умолчанию задержка 30 секунд, попробуйте 45 или 60. 30 секунд хватает, если на роутере больше ничего не установлено кроме XKeen, в остальных случаях задержка подбирается индивидуально. Команда для установки задержки (где число это секунды):

xkeen -d 45