маршрутизация Xkeen

[Proektor]

21 минуту назад, Skrill0 сказал:

С обновлением все заработает. Включая DoQ, при желании)

Спасибо, ждём.

[LDude]

3 hours ago, beubasser said:

А тесты точно идут через xray? Или идут только порты 80 и 443? Какая конфигурация?

Точно. Конфигурации разные пробовал, в том числе и всё в тоннель. Порты пробовал все, и только 80 и 443 - без разницы.

[avn]

В 03.01.2024 в 07:49, Skrill0 сказал:

Доброго Вам утра!

Да, звонки не работают, так как Redirect не поддерживает UDP.
В текущей версии 0.9.9 есть только 2 режима.
Other и Redirect.

Для решения проблемы нужно подождать обновления.
На данном этапе я сделала TPROXY для клиентов Xray и Sing-box.
Также полноценный TUN для sing-box.

Сейчас переписываю код. Пришлось очень много переделать)
С обновлением все заработает. Включая DoQ, при желании)

Кто вам такое сказал, что redirect не поддерживает udp? Достаточно посмотреть на правила

iptables -t nat -nvL _NDM_HOTSPOT_DNSREDIR

и понять, что кинетик активно использует redirect для udp

Изменено 5 января пользователем avn

[LPA]

Всем привет и поздравления с Новым Годом! Такой вопрос знатокам (извините не по теме, но на просторах интернета не нашел или плохо искал....): как отключить логирование 3-XU на сервере. Каждый день место поджирает.

Заранее спасибо за ответ!

Изменено 5 января пользователем LPA

[sonic4ps]

В 08.09.2023 в 21:39, Skrill0 сказал:

«Ленивая» конфигурация VLess+XTLS+Reality | Обновлено 20 сентября 2023

а можно для тех, кто не сильно шарит объяснить как сделать подмену файла? пробовал через winscp (sftp), но не подключается, пробовал и по 222 порту и 22, и под root и под admin

nano и vim я так полагаю не установлен, тк вручную не дал в терминале редактировать файл

[NGaGe39]

7 минут назад, sonic4ps сказал:

как сделать подмену файла

SMB включите на роутере и через проводник Windows в Сети зайдите на роутер, дальше разберётесь, думаю 

[Niyaz]

WinSCP работает выбирайте не sftp а scp 

[prokuror2]

Добро утро!

С Новым годом и наступающим Рождеством!

У меня в мобильном приложении Keenetic долго отображается информация о подключенных клиентах, не выдается статистическая информация и загрузка процессора и памяти. Пробовал перелогиниться в приложении. Получилось только при отключенном Xkeen.

Я пару раз уже встречал в обсуждении эту проблему, но четкого решения этой проблемы у меня не сформировалось. Буду признателен, если подскажите правильное решение.

У меня все идет напрямую, а к выбранным доменам через redirect.

 

10_routing.json

Изменено 6 января пользователем prokuror2

[jameszero]

@prokuror2

Доброе утро!

Отключите редирект udp-протокола.

 

[prokuror2]

8 минут назад, jameszero сказал:

@prokuror2

Доброе утро!

Отключите редирект udp-протокола.

 

Большое спасибо!

[yovgen]

Привет!

Вопрос 1

Роутер Keenetic Ultra, создан работающий профиль Xray.

Настроено подключение мобильных устройств через IKEv2, как по ссылке

https://help.keenetic.com/hc/ru/articles/360017022999-VPN-сервер-IKEv2

 

Сейчас при подключении мобильного устройства для него не работают правила Xray. Как сделать так, чтобы IKEv2 клиенты впн также заворачивались в xray?

 

 

Изменено 7 января пользователем yovgen
забыл указать детали

[Marassa]

В 23.12.2023 в 18:58, Marassa сказал:

Прошу прощения за очередной тупой вопрос: а как настроить outbounds чтобы xray гнал некоторый трафик на OpenVPN-подключение, созданное средствами Keenetic? В доках на xray вижу особый outbound protocol Wireguard, но это по видимому имеется в виду Wireguard, встроенный в сам xray? А на уже готовое VPN-подключение, созданное штатными средствами роутера как? Это же и не отдельный IPшник и не отдельный порт...

Рискую показаться назойливым, но может быть кто-нибудь сможет мне разъяснить как сделать то, что мне хочется, или почему это невозможно?

Вводные: хотелось бы пользоваться замечательным механизмом маршрутизации, встроенным в xray, но при этом направлять часть трафика не только по протоколам vless или direct, но и через настроенный средствами кинетика  клиент OpenVPN. Подключение OpenVPN настроено и работает, присваивается динамический IP address (OpenVPN) 10.57.40.* , в качестве DNS сервера для подключения всегда стоит 10.57.40.1 (подозреваю, что это же и gateway на серверном конце OpenVPN-подключения?).

Согласно документации на xray, любой outbound может иметь опцию sendThrough: address (The IP address used to send data. It is effective when the host has multiple IP addresses, and the default value is "0.0.0.0".) Казалось бы "protocol": "freedom" и "sendThrough": "10.57.40.6" (текущий IP OpenVPN) должен направлять трафик через VPN? Кукиш, идёт напрямую через провайдера.

Конкретно протокол Freedom имеет настройку redirect: address_port (Freedom will force all data to be sent to the specified address (instead of the address specified in the inbound). Казалось бы "protocol": "freedom" и

"settings": {
  "redirect": "10.57.40.1:0"
},

должен направить трафик через VPN? Кукиш, идёт напрямую через провайдера.

Всё же что я делаю не так?

 

 

[Alexey77]

В 05.01.2024 в 11:06, beubasser сказал:

Для больших списков antizapret, видимо, нужна связка из нескольких биткоин ферм

Добрый день. Зачем открывать полный список antizapret там много не нужного. Есть список от jameszero есть antifilter-domain не нравится можно свой создать и роутер не будет так тормозить. 

[Skrill0]

Всем доброго вечера!

Вышло обновление 1.0.0

Журнал

Скрытый текст

Добавлено
01. Режим TProxy | Спасибо @avn, @Alexey77, @bigpu, @Pawant, @Le ecureuil
02. Миграция модулей прошивки
03. GeoSite Zkeen от @jameszero
04. Умные правила iptables
05. Поддержка чистого DNS сервиса от Xray для конкретной политики

Улучшено
01. Режим Redirect
02. Автозапуск
03. Ручные запуск  и остановка
04. Менеджер портов
05. Расширен список подсетей для исключения из iptables
06. Поддержка IPv6
07. Совместимость с другими утилитами
08. Влияние прокси-клиента на загрузку процессора существенно снижено
09. Совместимость с USB модемами
10. Совместимость с OpenVPN и WireGuard

Исправлено
01. Проверка статуса для пользователей сторонних пакетов
02. Выполнение crond задачи для пользователей сторонних пакетов
03. Миграция пользовательских переменных при обновлении
04. Работа с интерфейсами Keenetic

Как использовать TProxy

Скрытый текст

Для использования TProxy должны быть обязательно соблюдены 4 условия:
01. 443 порт открыт со стороны провайдера
02. 443 порт не занят сервисами Keenetic
03. 443 порт должен быть открыть в «Переадресации» портов
04. Должны быть модули xt_TPROXY.ko и xt_owner.ko

Инструкция:
01. Переносим сервисы Keenetic с 443 порта| Выполняем 2-е условие
** После переноса по доменному имени вида keeneticname.link доступа не будет. Так как мы перенесли SSL на новый порт теперь доступ осуществляется по адресуkeeneticname.link:{новый порт}
К примеру:
keeneticname.link:8443

Скрытый текст

Перейдите в CLI роутера   
Стандартный адрес
      192.168.1.1/a
      
Перенесите сервисы на любой из следующих портов 
      5083 | 5443 | 8083 | 8443 | 65083
  
Команда переноса
      ip http ssl port {port}
  
Пример записи
      ip http ssl port 8443
      
Сохраните изменения
      system configuration save

02. Открываем 443 порт | Выполняем 3-е условие

Скрытый текст

Перейдите в Web роутера
Стандартный адрес
      192.168.1.1

Перейдите в раздел
      Переадресация портов

Добавьте следующее правило
     Вход: Ваше Ethernet соединение
     Выход: Этот интернет-центр
     Протокол: TCP/UDP
     Тип правила: Одиночный порт
     Открыть порт: 443
     Направлять на порт: 443
     Расписание работы: Работает постоянно

Скриншоты

Скрытый текст

03. Добавляем необходимые модули | Выполняем 4-е условие

Скрытый текст

Перейдите в Web роутера
Стандартный адрес
      192.168.1.1

Перейдите в раздел
      Параметры системы > Изменить набор компонентов

Отметить для установки
      Протокол IPv6
      Модули ядра подсистемы Netfilter

!! Если Вами не используются эти компоненты, то после установки выполняем

xkeen -modules

Таким образом xkeen извлечет необходимые для работы модули из компонентов.
После команды компоненты
      Протокол IPv6
      Модули ядра подсистемы Netfilter
Можно спокойно удалить.

Теперь обновляем конфигурацию inbounds под Tproxy

Скрытый текст

{
    "inbounds": [
		{
			"listen": "127.0.0.1",
			"port": 54836,
			"protocol": "dokodemo-door",
			"settings": {
				"network": "tcp,udp",
				"followRedirect": true
			},
			"sniffing": {
			"enabled": true,
				"destOverride": [
					"http", 
					"tls", 
					"quic"
				]
			},
			"streamSettings": {
				"sockopt": {
				  "tproxy": "tproxy"
				}
			  },
			"tag": "socks-in"
		}
    ]
}

Дополнительно Вы можете настроить DNS сервера в файле 
03_dns

Скрытый текст

Предупреждение
Xray тяжелый DNS, может быть ощутимая задержка.
Тестируйте на своих устройствах.

Пример DNS конфигурации через DoH, с маршрутизацией RU доменов на отечественный Yandex.
Резерв для Ru доменов — Cloudflare.
Если разрешение не удастся — localhost (Настроенные у Вас в системе Keenetic DNS сервера)

Для зарубежных используются Google, тот же Cloudflare и quad9. 
Если разрешение не удастся — localhost (Настроенные у Вас в системе Keenetic DNS сервера)

Скрытый текст

{
  "dns": {
    "servers": [
      {
        "address": "https://common.dot.dns.yandex.net",
        "domains": [
          "regexp:^([\\w\\-\\.]+\\.)ru$",
          "regexp:^([\\w\\-\\.]+\\.)su$",
          "regexp:^([\\w\\-\\.]+\\.)xn--p1ai$",
          "regexp:^([\\w\\-\\.]+\\.)xn--p1acf$",
          "regexp:^([\\w\\-\\.]+\\.)xn--80asehdb$",
          "regexp:^([\\w\\-\\.]+\\.)xn--c1avg$",
          "regexp:^([\\w\\-\\.]+\\.)xn--80aswg$",
          "regexp:^([\\w\\-\\.]+\\.)xn--80adxhks$",
          "regexp:^([\\w\\-\\.]+\\.)moscow$",
          "regexp:^([\\w\\-\\.]+\\.)xn--d1acj3b$",
          "ext:geosite_v2fly.dat:category-gov-ru",
          "ext:geosite_v2fly.dat:yandex",
          "ext:geosite_v2fly.dat:xbox",
          "ext:geosite_v2fly.dat:playstation",
          "ext:geosite_v2fly.dat:steam",
          "ext:geosite_v2fly.dat:rockstar",
          "ext:geosite_v2fly.dat:epicgames",
          "ext:geosite_v2fly.dat:gog",
          "ext:geosite_v2fly.dat:vk",
          "ext:geosite_v2fly.dat:private"
        ]
      },
      {
        "address": "https://dns.cloudflare.com/dns-query",
        "domains": [
          "regexp:^([\\w\\-\\.]+\\.)ru$",
          "regexp:^([\\w\\-\\.]+\\.)su$",
          "regexp:^([\\w\\-\\.]+\\.)xn--p1ai$",
          "regexp:^([\\w\\-\\.]+\\.)xn--p1acf$",
          "regexp:^([\\w\\-\\.]+\\.)xn--80asehdb$",
          "regexp:^([\\w\\-\\.]+\\.)xn--c1avg$",
          "regexp:^([\\w\\-\\.]+\\.)xn--80aswg$",
          "regexp:^([\\w\\-\\.]+\\.)xn--80adxhks$",
          "regexp:^([\\w\\-\\.]+\\.)moscow$",
          "regexp:^([\\w\\-\\.]+\\.)xn--d1acj3b$",
          "ext:geosite_v2fly.dat:category-gov-ru",
          "ext:geosite_v2fly.dat:yandex",
          "ext:geosite_v2fly.dat:xbox",
          "ext:geosite_v2fly.dat:playstation",
          "ext:geosite_v2fly.dat:steam",
          "ext:geosite_v2fly.dat:rockstar",
          "ext:geosite_v2fly.dat:epicgames",
          "ext:geosite_v2fly.dat:gog",
          "ext:geosite_v2fly.dat:vk",
          "ext:geosite_v2fly.dat:private"
        ]
      },
      {
        "address": "https://dns.google/dns-query"
      },
      {
        "address": "https://dns.cloudflare.com/dns-query"
      },
      {
        "address": "https://dns.quad9.net/dns-query"
      },
      "localhost"
    ]
  }
}

DNS дополнительно требует
В конце outbounds секцию

{
   "tag": "dns-out",
   "protocol": "dns",
   "port": 53
}

В routing после секций «block», но до секций с основной маршрутизацией «direct» и «proxy»

{
   "type": "field",
   "inboundTag": ["socks-in"],
   "port": 53,
   "outboundTag": "dns-out"
}

 

Перезагружаем роутер после манипуляций с открытием портов и настройкой.

Если ошибок при старте не появилось, но соединения нет:
Обратиться к провайдеру с просьбой открыть 443 порт | Выполняем 1-е условие
У некоторых провайдеров можно сделать в личном кабинете.
К примеру, у Beeline нужно отключить Firewall и попросить у оператора перезагрузить сеть.

Готово.
Теперь есть полная поддержка UDP и DNS без загрязнений.
DNS от Xray используются по желанию. iptables строится исходя из Вашего выбора.
С прошивочным DNS конфликтов нет.
Через Xray разрешаются только те клиенты, что находятся в политике.

Что исправлено в выборе портов XKeen

Скрытый текст

1. Если Вы записывали в port_donor значения вручную, теперь они записываются через запятую и без пробелов.
Пример

port_donor="80,443"

2. Теперь не создаются лишние правила iptables, а используется отдельный модуль на входе в цепь, что дополнительно снижает нагрузку на систему.

Почему в обновлении нет обещанных клиентов, помимо Xray

Скрытый текст

Во-первых, извиняюсь за невыполненные в срок обещания релиза и неполный функционал из обещанного.
Во-вторых, в версии 1.0.0 хотелось видеть более крупное обновление. Но я не успела все доделать, а желания кормить завтраками нет никакого)
Думаю, обновление с TProxy, оптимизациями и исправлениями ошибок тоже не плохо для 1.0.0)
В-третьих, в версии Xray 1.9.0 будет существенное облегчение ядра и будет добавлен TUN, что делает по большей части бессмысленным добавление Sing-box.
В-четвертых, отсутствие не просто удобных, а любых веб-панелей для других клиентов.
Думаю, другие клиенты тоже будут добавлены, но в следующих обновлениях)

 

Обновиться можно командой

xkeen -stop
xkeen -uk

Откатиться на предыдущую версию можно командой

xkeen -kbr

Благодарю всех за ожидание)
Пожалуйста, тестируйте, и отпишитесь о результатах)

 

Изменено 31 января пользователем Skrill0

[NGaGe39]

5 часов назад, Skrill0 сказал:

в версии Xray 1.9.0 будет существенное облегчение ядра и будет добавлен TUN, что делает по большей части бессмысленным добавление Sing-box

Странное суждение, имхо
 

Скрытый текст

Хотя бы в 1.8.0 версии вспомнить новые Rule Set'ы, которые тот же список Антизапрета из 30+ мб превращает в 2мб, так ещё и потребление оперативной памяти благодаря новому формату сокращается с объёмными списками, не говоря и про скорость работы. 

А как же бОльшая универсальность в работе с протоколами? Хотели ту же Hysteria2 отдельно добавить, когда достаточно было Sing-box прикрутить. Xray до сих пор не может в транспорт httpupgrade, кстати.

И также напомню, что SIng-box может контролироваться через ClashAPI и тот же YACD.

Про скорость разработки не забываем

 

Если есть возможность, то должен быть выбор между Sing-box и Xray

В любом случае спасибо за большой труд 

Изменено 10 января пользователем NGaGe39

[Skrill0]

7 часов назад, NGaGe39 сказал:

Странное суждение, имхо
 

  Показать содержимое

Хотя бы в 1.8.0 версии вспомнить новые Rule Set'ы, которые тот же список Антизапрета из 30+ мб превращает в 2мб, так ещё и потребление оперативной памяти благодаря новому формату сокращается с объёмными списками, не говоря и про скорость работы. 

А как же бОльшая универсальность в работе с протоколами? Хотели ту же Hysteria2 отдельно добавить, когда достаточно было Sing-box прикрутить. Xray до сих пор не может в транспорт httpupgrade, кстати.

И также напомню, что SIng-box может контролироваться через ClashAPI и тот же YACD.

Про скорость разработки не забываем

 

Если есть возможность, то должен быть выбор между Sing-box и Xray

В любом случае спасибо за большой труд 

Доброго Вам утра)

Хорошо, я добавлю sing-box в следующем обновлении. Так-то все готово для него. Будет выбор между Xray и Sing-box) Просто не хотелось еще больше оттягивать последний релиз)

[Marassa]

4 минуты назад, Skrill0 сказал:

Хорошо, я добавлю sing-box в следующем обновлении. Так-то все готово для него.

Добавлю свою копеечку малую: согласно документации sing-box при настройке outbound-протокола direct позволяет указать конкретный сетевой интерфейс, на который отправлять трафик, что в свою очередь позволяет легко направить трафик на любое впн-подключение, настроенное средствами кинетика. Xray такой опции не имеет, умеет только указать IP-адрес нужного интерфейса в sendThrough, что не так удобно если этот адрес динамический. Но насколько я понял это никому кроме меня не нужно, так что задача точно не самая приоритетная

И ещё пожелание: было бы классно иметь сводную табличку с описанием возможностей/ограничений/требований/особенностей всех трёх режимов направления трафика на xray: socks-proxy, redirect и tproxy. Сейчас эта информация размазана по 38 страницам и местами противоречива...

[surfuser]

Мне еще как новичку в этом довольно тяжело разобраться. Если настроить сервер с Xray (Reality / SS) еще понятно как, то дальше что делать на роутере не совсем понятно. Читал-перечитал всю тему вдоль и поперёк но не осилил

Гайд для чайников совсем для первой установки на роутер был бы наверное полезный, при этом самой минимальной конфигурации, когда у тебя один VPS и один протокол, а список разблокировки понятно настраивается + есть защита от подмены DNS провайдером. Кажется что такой режим в принципе для 95% подойдет, а что-то более кастомное всегда можно будет потом узнать в комментариях

Спасибо за проделанную работу!

Изменено 11 января пользователем surfuser

[Skrill0]

32 минуты назад, surfuser сказал:

Мне еще как новичку в этом довольно тяжело разобраться. Если настроить сервер с Xray (Reality / SS) еще понятно как, то дальше что делать на роутере не совсем понятно. Читал-перечитал всю тему вдоль и поперёк но не осилил

Гайд для чайников совсем для первой установки на роутер был бы наверное полезный, при этом самой минимальной конфигурации, когда у тебя один VPS и один протокол, а список разблокировки понятно настраивается + есть защита от подмены DNS провайдером. Кажется что такой режим в принципе для 95% подойдет, а что-то более кастомное всегда можно будет потом узнать в комментариях

Спасибо за проделанную работу!

Доброго Вам утра)

Руководство уже переписывается.
Единственное, думаю сперва добавить Sing-box, чтобы не переписывать лишний раз потом)
Постараюсь, сделать как можно проще и, возможно, будет видео)

Изменено 11 января пользователем Skrill0

[prokuror2]

Добрый вечер!

Подскажите, пожалуйста, по веркии 0.9.9.

У мня с мобильных телефонов Android и iPhone на сайте whoer.net и chat.openai.com определяется мой реальный IP. С ноутбуков с Win7 и Win10, подключенные по воздуху и проводом, на этих ресурсах опрелеляется IP VPS. Доступ к остальным доменам из списка разблокировки без проблем. В чем может быть причина?

Обход через Redirect, все напрямую, выбранные  - через VPS. Мой конфиг прилагаю.

 

10_routing.json

Изменено 11 января пользователем prokuror2

[prokuror2]

@Marassa прошу прощение, был приложен к сообщению неактуальный конфиг. Сейчас подгрузил правильный. Whoer.net присутствует.

[Marassa]

14 минуты назад, prokuror2 сказал:

@Marassa прошу прощение, был приложен к сообщению неактуальный конфиг. Сейчас подгрузил правильный. Whoer.net присутствует.

Тогда такие версии: включены ли телефоны в политику xkeen на кинетике? Ну и включен ли вообще WiFi на телефонах и к той ли они сетке подключены?  Понимаю, что вопрос дурацкий, но со мной случается выключить вайфай на телефоне, а потом забыть включить...

[prokuror2]

@MarassaДа на все вопросы. С телефонов есть доступ к указанным в конфиге доменам, кроме whoer и чат гпт.

Изменено 11 января пользователем prokuror2

[Marassa]

Тогда я бы посмотрел в access.log от xray (в log.json прописано где он, по умолчанию /opt/var/log/xray) - есть ли там вообще запросы от этих устройств, и куда xray их шлёт?

И еще в порядке шаманства я бы попробовал открыть  whoer.net в другом браузере на том же устройстве или просто подождать какое-то время. Я тут несколько дней бился с перенаправлением direct/freedom на другой интерфейс, так у меня в процессе ковыряния в настройках абсолютно идентичные настройки то не работали, то вдруг начинали работать как надо. Такое впечатление, что единожды проложенный маршрут где-то кэшится на время, и трафик посылается по маршруту, который только что работал, невзирая на то, что согласно новым настройкам должен бы быть послан в другое место. Наверняка этому есть какое-то научное объяснение, просто описываю наблюдаемую чайником реальность, до конца не понимая её  

[jameszero]

@prokuror2

Добрый вечер!

И whoer.net, и chat.openai.com для определения IP-адреса используют протокол QUIC работающий по udp. Если вы исключили udp из редиректа, как я недавно вам советовал, для исправления работы мобильного клиента Keenetic, то QUIC поступает на устройства прямым маршрутом и передаёт информацию о вашем IP-адресе. На компьютерах QUIC может не работать по разным причинам (антивирус, твики браузера,...), а на ваших мобильных клиентах видимо работает корректно))

Изменено 11 января пользователем jameszero

[prokuror2]

@jameszero Вернул протокол udp и whoer.net определяет так, как надо ))

Большое спасибо!

 

[jameszero]

@prokuror2, нужно учитывать, что при редиректе udp-протокол не работает и блокирует QUIC для всех устройств в политике. Если нужен рабочий udp, посмотрите на новую версию Xkeen с поддержкой TProxy.

[activio]

Подскажите, на keenetic giga 3 встанет? Предыдущего поколения роутер. Черный такой с двумя антеннами.

[Skrill0]

1 час назад, activio сказал:

Подскажите, на keenetic giga 3 встанет? Предыдущего поколения роутер. Черный такой с двумя антеннами.

Доброго Вам дня!

Если правильно поняла, то там  MT7621S.
Должно встать. Попробовать стоит)

[activio]

2 часа назад, Skrill0 сказал:

Попробовать стоит)

Предвосхищаю проблемы возможные. 

Вы пишите, если

Вы получаете ошибку похожую на

line 1: can't open html: no such file
line 2: syntax error: unexpected redirection

Пожалуйста, сообщите о ней в тему или мне в личные сообщения, с указанием модели Вашего роутера.

 

Как то можно заранее Гигу 3 туда заранее впихнуть?)

Просто я планирую не себе это ставить, чтобы не зря ехать.