маршрутизация Xkeen

[FiP_pk]

Здравствуйте, может кто то есть из живых и готовых помочь?

Цитата

 Установка окончена
~ # xkeen -start
/opt/bin/sh: xray: not found
/opt/bin/sh: xray: not found
/opt/bin/sh: xray: not found
/opt/bin/sh: xray: not found
/opt/bin/sh: xray: not found
/opt/bin/sh: xray: not found
/opt/bin/sh: xray: not found
/opt/bin/sh: xray: not found
/opt/bin/sh: xray: not found
/opt/bin/sh: xray: not found
  Прокси-клиент не запустить

 

[Gugenot]

В 15.04.2025 в 07:45, jameszero сказал:

Добрый день! Подберите задержку автозапуска для своих условий использования. По умолчанию задержка 30 секунд, попробуйте 45 или 60. 30 секунд хватает, если на роутере больше ничего не установлено кроме XKeen, в остальных случаях задержка подбирается индивидуально. Команда для установки задержки (где число это секунды):

xkeen -d 45

 

Доброго времени суток!

В предыдущем сообщении я писал, что со скриптом S99xkeenrestart у меня все нормально работает. Но после нескольких перезагрузок роутера выяснилось что это не так. Были "неудачные перезагрузки".

Работоспособности после перезагрузки роутера связки XKeen+NFQWS добится получилось! Причем даже при стандартных 30 секундах задержки. Но при двух условиях:

1. При обязательном присутствии в init.d скрипта рестарта S99xkeenrestart. Если я его убираю Xkeen корректно не работает, т.е. он вроде бы как запущен, но загрузки страниц нет, до тех пор пока не скомандую xkeen -restart.

2. Плюс к этому пришлось удалить политику XKeen в "Приоритеты подключений" в вебморде роутера, т.е. возможности раздавать XKeen конкретным клиентам в сети нет(да и ладно). С этой политикой все было нестабильно (то корректно запустится XKeen, то нет... тестировал с разными вариантами задержек, независимо от них ситуация каждый раз была разная).

Есть один момент который я для себя уяснить не могу. Возможно я ошибаюсь, но при установке XKeen скрипт S99xkeenrestart не появляется в init.d (я скачавал его самостоятельно и ручками туда закидывал). Тем не менее в теле скрипта S99xkeenstart есть строчки с именем скрипта S99xkeenrestart. Т.е. по логике вещей он должен присутствовать в init.d по умолчанию, после установки XKeen. Или я просто не догоняю чего то в силу своей непросвященности?

 

 

[ariss]

удалите - заново установите, имхо (https://github.com/jameszeroX/XKeen)

[jameszero]

10 часов назад, FiP_pk сказал:

/opt/bin/sh: xray: not found

Не хватило места на внутренней памяти, ставьте на флешку

[jameszero]

12 часов назад, Gugenot сказал:

при установке XKeen скрипт S99xkeenrestart не появляется в init.d

S99xkeenrestart предназначен для оригинального XKeen, для форка он не требуется и удаляется при его установке. Автозапуск  форка настраивается и выполняется с помощью S99xkeenstart

[Gugenot]

2 часа назад, jameszero сказал:

S99xkeenrestart предназначен для оригинального XKeen, для форка он не требуется и удаляется при его установке. Автозапуск  форка настраивается и выполняется с помощью S99xkeenstart

Тем не менее у меня без него(S99xkeenrestart) стабильного перезапуска нет, к сожалению. Я видел для себя 3 возможные причины почему у меня может быть подобная проблема:

1. Параллельно установленный NFQWS.

2. Установка XKeen во внутреннюю память.

3.Keenetic подключен к провайдеру не напрямую(перед ним еще два роутера).

Сегодня переустановил XKeen на флешку без NFQWS, устранив первые две возможные(с моей точки зрения) причины нестабильного запуска при старте роутера. Ситуация не изменилась:

Я сделал около 10 перезагрузок и только треть из них были удачными. Я открывал для теста 4 сайта(одни и теже) которые должен был обрабатывать XKeen в соответствии с правилами. В неудачных случаях либо совсем ничего не открывалось, либо часть.

Потом я добавил скрипт S99xkeenrestart в init.d сделал его исполняемым и произвел подряд 5 перезагрузок роутера - Все 5 были успешными (тестовые сайты грузились все без проблем).

Планирую в ближайшее время протестировать этот роутер подключив к провайдеру напрямую и удалив скрипт S99xkeenrestart. Вопрос только в том достаточно ли просто удалить скрипт или нужно давать системе какую-то команду снятия с него исполняемости(после копирования мы давали команду сделать его исполняемым). Прошу прощения если я с Вашей точки зрения пишу что-то глупое, но буду признателен за пояснение.

[jameszero]

12 часов назад, Gugenot сказал:

Вопрос только в том достаточно ли просто удалить скрипт или нужно давать системе какую-то команду снятия с него исполняемости

Достаточно просто удалить. Затем увеличте задержку автозапуска до 60 секунд командой xkeen -d 60 После перезагрузки роутера обязательно выждите эти 60 секунд, до появления в журнале Кинетика записи "XKeen запущен в режиме...", это должна быть последняя запись в журнале при инициализации роутера, если это не так и после старта XKeen в журнал продолжают сыпать другие записи, увеличте задержку ещё на 15 секунд.

Изменено 17 апреля, 2025 пользователем jameszero
исправил команду xkeen -d 60

[HAHAfreshe]

Всем привет!
Спасибо автору за подробную интсрукцию.

Я столкнулся с такой проблемой: Мой ip трафик через vpn определяется верно (страна сервера vps), но по dns всеравно можно определить что я из рф. Т.е я делаю вывод что dns трафик идет не через vps а напрямую.
Вопрос в том, можно ли настроить так чтобы dns трафик (а лучше DoH и DoT) для установленных в routing серверов шел через vpn, а остальные подключения - напрямую?

Изменено 17 апреля, 2025 пользователем HAHAfreshe
очепятка

[ip_tara]

Почему доступ через xray для подключений к роутеру через VPN (FAQ 15) работает только в Mix режиме?

[jameszero]

15 минут назад, ip_tara сказал:

Почему доступ через xray для подключений к роутеру через VPN (FAQ 15) работает только в Mix режиме?

Эту особенность заметили участники телеграм-чата XKeen при использовании подключения по SSTP, если кто-то проверит другие протоколы, дополню FAQ. Причина скорей всего в том, что Кинетик для проброса интернета к подключенным клиентам использует iptables-цепи Redirect, а в режиме TProxy они не задействованы. Впрочем, у XKeen есть ещё режим чистого Redirect, с ним скорей всего тоже получится пробросить интернет, но этот режим не рекомендуется к использованию т.к. он TCP Only.

[nginx]

Всем привет! В этом треде был вопрос про wink, как добавить его в исключения, чтобы подключение к нему шло напрямую. Хотел бы такой же вопрос задать про Movix (Дом.ру). Подскажите, пожалуйста, какие адреса для него нужно прописать? Заранее спасибо.

[ip_tara]

6 минут назад, jameszero сказал:

если кто-то проверит другие протоколы, дополню FAQ

с OpenConnect TProxy не работает

[Gugenot]

3 часа назад, jameszero сказал:

Достаточно просто удалить. Затем увеличте задержку автозапуска до 60 секунд командой xkeen -ap 60 После перезагрузки роутера обязательно выждите эти 60 секунд, до появления в журнале Кинетика записи "XKeen запущен в режиме...", это должна быть последняя запись в журнале при инициализации роутера, если это не так и после старта XKeen в журнал продолжают сыпать другие записи, увеличте задержку ещё на 15 секунд.

У Вас очепятка случилась, а я не глядя скопипастил и шлепнул команду xkeen -ap 60 а она к портам имеет отношение, а не к задержке. Как теперь вернуть обратно к исходному, чтоб работал по всем портам как после установки?

 

xkeen -dp вроде сработало очистив все порты. Теперь будет работать по всем?

Сам себе отвечу: 

xkeen -cp
  Xray работает на всех портах

Изменено 17 апреля, 2025 пользователем Gugenot

[jameszero]

2 минуты назад, Gugenot сказал:

Как теперь вернуть обратно к исходному, чтоб работал по всем портам как после установки?

xkeen -dp

[jameszero]

1 час назад, HAHAfreshe сказал:

можно ли настроить так чтобы dns трафик (а лучше DoH и DoT) для установленных в routing серверов шел через vpn

Добрый день!

DNS-over-VLESS

[practik]

При установке DNS-over-VLESS : Содержимое  inbounds.json, outbounds.json,, routing.json. дописывается в скаченные по умолчанию  конфиги ?

[jameszero]

1 час назад, practik сказал:

Содержимое  inbounds.json, outbounds.json,, routing.json. дописывается в скаченные по умолчанию конфиги ?

В стать приведены полные файлы конфигурации. Или в них вносите свои данные, или наоборот, в свои файлы внимательно добавляйте настройки из статьи.

[Alexey77]

В 14.04.2025 в 20:22, ariss сказал:

Но, как понять, что мне все таки необходимо 443й порт роутера на другой перекинуть?

Добрый день. Если вам не нужен udp трафик можно не перекидывать. 

[ip_tara]

В логах XRay не вижу DNS трафик от клиентов в сети. Вернее вижу, но не то, что ожидал. У меня настроен 8.8.8.8 на роутере, а вижу адреса типа 74.125.131.94:443. Уверены, что DNS трафик заходит в прокси?

[jameszero]

1 час назад, ip_tara сказал:

Уверены, что DNS трафик заходит в прокси?

Ходит, но после дополнительной настройки. Тремя постами выше ссылка.

[Gugenot]

В 17.04.2025 в 07:41, jameszero сказал:

...до появления в журнале Кинетика записи "XKeen запущен в режиме...", это должна быть последняя запись в журнале при инициализации роутера...

Здравтсвуте! У меня когда вот так:

Спойлер

Апр 18 18:48:34

XKeen

Инициирован запуск прокси-клиента

Апр 18 18:48:35

XKeen

xray запущен в режиме Mixed_1

работоспособности нет

Когда вот так:

Спойлер

Апр 18 18:53:10

XKeen

Инициирован запуск прокси-клиента

Апр 18 18:53:10

XKeen

xray запущен в режиме Mixed_1

Апр 18 18:53:14

XKeen

Прокси-клиент запущен

работоспособность есть.

Если первый вариант, то даю команду xkeen -restart и эта команда всегда приводит ко второму варианту. После перезагрузки чаще первый вариант.

[ip_tara]

2 часа назад, jameszero сказал:

Ходит, но после дополнительной настройки. Тремя постами выше ссылка.

Ну, это не обработка входящего DNS, а запуск встроенного сервера. Хотя там у вас написано, что  UDP:53 перехватывается, но я его так и не увидел ни разу.

[jameszero]

9 часов назад, ip_tara сказал:

это не обработка входящего DNS, а запуск встроенного сервера

Если нужно завернуть DNS в прокси без использования встроенного в xray DNS-севрера, используйте inbounds с режимом socks5. Цепи маршрутизации TProxy в XKeen не обрабатывают DNS трафик.

[ip_tara]

2 часа назад, jameszero сказал:

используйте inbounds с режимом socks5. Цепи маршрутизации TProxy в XKeen не обрабатывают DNS трафик.

А вот это ценная информация, спасибо!

Вообще, замечу, что при таком хорошем и важном продукте, так мало технических деталей и особенностей реализации. Но все равно, спасибо!

[nginx]

On 4/17/2025 at 11:25 AM, nginx said:

Всем привет! В этом треде был вопрос про wink, как добавить его в исключения, чтобы подключение к нему шло напрямую. Хотел бы такой же вопрос задать про Movix (Дом.ру). Подскажите, пожалуйста, какие адреса для него нужно прописать? Заранее спасибо.

Добрый день, вопрос всё еще актуален. Пробовал прописать домен + IP, но не помогает, чего-то не хватает. Может быть кто-нибудь сталкивался или подскажет идею, что можно сделать?

[ip_tara]

1 час назад, nginx сказал:

вопрос всё еще актуален

Зашел на wink приложением. Посмотрел в access.log куда были подключения. файл приложил.

wink_access.txt

[nginx]

1 hour ago, ip_tara said:

access.log

Подскажите, пожалуйста, а как сделать вывод доменов в лог? Попробовал "loglevel": "debug" + "dnsLog": true, в итоге просто огромный список IP адресов.

[ip_tara]

2 часа назад, nginx сказал:

а как сделать вывод доменов в лог?

при прозрачном проксировани так не получиться. я это делал при  socks проксировании на локальной машине с установкой чистого xray

Изменено 24 апреля, 2025 пользователем ip_tara

[jameszero]

12 минут назад, ip_tara сказал:

при прозрачном проксировани так не получиться

Не делайте поспешных выводов)

Вот фрагмент лога после настройки DNS-over-VLESS (прозрачное проксирование в режиме TProxy)

Спойлер

2025/04/24 15:34:49.740587 from 192.168.1.10:57857 accepted udp:192.168.1.1:53 [tproxy -> dns-out]
2025/04/24 15:34:49.741466 from DNS accepted udp:127.0.0.1:53 [dns-in -> vless-reality]
2025/04/24 15:34:49.741922 from 192.168.1.10:64541 accepted udp:192.168.1.1:53 [tproxy -> dns-out]
2025/04/24 15:34:51.859564 UDP:127.0.0.1:53 got answer: ip.me -> [212.102.35.236] 1.1064476s
2025/04/24 15:34:51.915656 from 192.168.1.10:3440 accepted tcp:212.102.35.236:443 [tproxy -> vless-reality]
2025/04/24 15:34:52.583805 from 192.168.1.10:64246 accepted udp:192.168.1.1:53 [tproxy -> dns-out]
2025/04/24 15:34:52.584239 from DNS accepted udp:8.8.8.8:53 [dns-in -> vless-reality]
2025/04/24 15:34:52.749645 UDP:8.8.8.8:53 got answer: a.tile.openstreetmap.org -> [151.101.65.91, 151.101.193.91, 151.101.129.91, 151.101.1.91] 165.4748ms
2025/04/24 15:34:57.967728 from 192.168.1.10:49258 accepted udp:192.168.1.1:53 [tproxy -> dns-out]
2025/04/24 15:34:58.030396 UDP:8.8.8.8:53 got answer: chrome.google.com -> [142.250.191.78] 38.1452ms
2025/04/24 15:34:58.046643 UDP:8.8.8.8:53 got answer: info.weather.yandex.net -> [213.180.193.146] 53.81704ms
2025/04/24 15:34:58.052881 from 192.168.1.10:3451 accepted tcp:213.180.193.146:443 [tproxy -> direct]
2025/04/24 15:34:58.909170 from 192.168.1.10:64182 accepted udp:192.168.1.1:53 [tproxy -> dns-out]
2025/04/24 15:34:58.965463 UDP:8.8.8.8:53 got answer: www.google-analytics.com -> [142.251.46.206] 32.60336ms
2025/04/24 15:34:58.970994 from 192.168.1.10:3452 accepted tcp:142.251.46.206:443 [tproxy -> vless-reality]
2025/04/24 15:34:58.976203 UDP:8.8.8.8:53 got answer: nnmstatic.win -> [104.21.17.86, 172.67.175.99] 43.76032ms
2025/04/24 15:34:58.981418 from 192.168.1.10:3454 accepted tcp:172.67.175.99:443 [tproxy -> vless-reality]
2025/04/24 15:34:58.993772 UDP:127.0.0.1:53 got answer: nnmclub.to -> [104.21.64.1, 104.21.112.1, 104.21.16.1, 104.21.96.1, 104.21.32.1, 104.21.80.1, 104.21.48.1] 61.5652ms

 

 

[ip_tara]

1 час назад, jameszero сказал:

Вот фрагмент лога после настройки DNS-over-VLESS (прозрачное проксирование в режиме TProxy)

В вашем логе все соединения только с IP, а домены только в DNS запросах.

Вот так выглядит лог с доменами. 

Спойлер

2025/04/24 18:44:55.445176 from tcp:127.0.0.1:56083 accepted tcp:www.google.com:443 [socks-in -> direct]
2025/04/24 18:44:55.477974 from tcp:127.0.0.1:56086 accepted tcp:www.google.ru:443 [socks-in -> direct]
2025/04/24 18:44:55.488898 from tcp:127.0.0.1:56089 accepted tcp:effect.habr.com:443 [socks-in -> proxy-iptara]
2025/04/24 18:44:55.596939 from tcp:127.0.0.1:56092 accepted tcp:stats.habr.com:443 [socks-in -> proxy-iptara]
2025/04/24 18:44:56.782868 from tcp:127.0.0.1:56095 accepted tcp:stats.habr.com:443 [socks-in -> proxy-iptara]
2025/04/24 18:44:56.969236 from tcp:127.0.0.1:56098 accepted tcp:vk.com:443 [socks-in -> direct]
2025/04/24 18:44:57.991633 from tcp:127.0.0.1:56101 accepted tcp:stats.habr.com:443 [socks-in -> proxy-iptara]
2025/04/24 18:44:59.814096 from tcp:127.0.0.1:56106 accepted tcp:im.vk.com:443 [socks-in -> direct]
2025/04/24 18:44:59.814202 from tcp:127.0.0.1:56105 accepted tcp:api.vk.com:443 [socks-in -> direct]
2025/04/24 18:45:02.805111 from tcp:127.0.0.1:56110 accepted tcp:queuev4.vk.com:443 [socks-in -> direct]
2025/04/24 18:45:05.490850 from tcp:127.0.0.1:56113 accepted tcp:stats.habr.com:443 [socks-in -> proxy-iptara]
2025/04/24 18:45:05.943262 from tcp:127.0.0.1:56116 accepted tcp:metrics.icloud.com:443 [socks-in -> direct]
2025/04/24 18:45:09.544521 from tcp:127.0.0.1:56119 accepted tcp:queuev4.vk.com:443 [socks-in -> direct]
2025/04/24 18:46:26.104709 from tcp:127.0.0.1:56123 accepted tcp:gateway.icloud.com:443 [socks-in -> direct]
2025/04/24 18:47:22.931210 from tcp:127.0.0.1:56126 accepted tcp:idphydra.beeline.ru:443 [socks-in -> direct]