![](http://content.invisioncic.com/r270260/set_resources_10/84c1e40ea0e759e3f1505eb1788ddf3c_pattern.png)
chapay10
-
Posts
3 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by chapay10
-
-
Подскажите, пожалуйста, что я делаю не так? KN-1810, Хочу настроить в режиме REDIRECT и пускать весь трафик
1. Создана политика доступа XKeen:
2. 07_inbounds.json
Скрытый текст{ "inbounds": [ { "tag": "redirect", "listen": "127.0.0.1", "port": 61219, "protocol": "dokodemo-door", "settings": { "network": "tcp", "followRedirect": true }, "sniffing": { "enabled": true, "destOverride": [ "http", "tls", "quic" ] } } ] }
3. 08_outbounds.json (убрал адрес VPS, в конфиге на роутере всё как надо прописано)
Скрытый текст{ "outbounds": [ { "tag": "vless-reality", "protocol": "vless", "settings": { "vnext": [ { "address": "Адрес VPS", "port": 443, "users": [ { "encryption": "none", "flow": "xtls-rprx-vision", "id": "19eab9d0-b281-4fe1-9234-ec63e8e967a6" } ] } ] }, "streamSettings": { "network": "tcp", "security": "reality", "realitySettings": { "publicKey": "RuSKtHw63CZHuLjjmZVgjO104tjFygASYeVqFQ1vCnU", "fingerprint": "chrome", "serverName": "fc24.offside.top", "shortId": "bfd83add", "spiderX": "/" }, "sockopt": { "tcpFastOpen": true, "tcpMptcp": true, "tcpNoDelay": true } } } ] }
4. 10_routing.json
Скрытый текст{}
В итоге после запуска XKeen и назначения девайсу политики доступа с этого девайса не открывается ни один сайт, в 3x-ui указано, что клиент offline.
В логах никаких ошибок нет
iptables -t nat -nL PREROUTING -v
Скрытый текстChain PREROUTING (policy ACCEPT 193K packets, 18M bytes)
pkts bytes target prot opt in out source destination
2775 282K _NDM_PREROUTING_MC all -- * * 0.0.0.0/0 224.0.0.0/4
193K 18M _NDM_IPSEC_PREROUTING all -- * * 0.0.0.0/0 0.0.0.0/0
193K 18M _NDM_HOTSPOT_PRERT all -- * * 0.0.0.0/0 0.0.0.0/0
/opt/etc/xray/configs # iptables -t nat -nL PREROUTING -v
Chain PREROUTING (policy ACCEPT 2194 packets, 194K bytes)
pkts bytes target prot opt in out source destination
4754 450K _NDM_DNAT all -- * * 0.0.0.0/0 0.0.0.0/0
4754 450K _NDM_DNS_REDIRECT all -- * * 0.0.0.0/0 0.0.0.0/0
4754 450K _NDM_EZ_BYPASS all -- * * 0.0.0.0/0 0.0.0.0/0
4611 440K _NDM_UPNP_REDIRECT_SYS all -- * * 0.0.0.0/0 0.0.0.0/0
6 384 _NDM_HTTP_DNAT_WAN_NDNS_ tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
4611 440K _NDM_UPNP_REDIRECT_0 all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 xkeen all -- * * 0.0.0.0/0 0.0.0.0/0 connmark match 0xffffd00 ! ctstate INVALID
iptables -t nat -nL xkeen -v
Скрытый текстChain xkeen (1 references)
pkts bytes target prot opt in out source destination
0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/8
0 0 RETURN all -- * * 0.0.0.0/0 10.0.0.0/8
0 0 RETURN all -- * * 0.0.0.0/0 100.64.0.0/10
0 0 RETURN all -- * * 0.0.0.0/0 127.0.0.0/8
0 0 RETURN all -- * * 0.0.0.0/0 169.254.0.0/16
0 0 RETURN all -- * * 0.0.0.0/0 172.16.0.0/12
0 0 RETURN all -- * * 0.0.0.0/0 192.0.0.0/24
0 0 RETURN all -- * * 0.0.0.0/0 192.0.2.0/24
0 0 RETURN all -- * * 0.0.0.0/0 192.168.0.0/16
0 0 RETURN all -- * * 0.0.0.0/0 198.18.0.0/15
0 0 RETURN all -- * * 0.0.0.0/0 198.51.100.0/24
0 0 RETURN all -- * * 0.0.0.0/0 203.0.113.0/24
0 0 RETURN all -- * * 0.0.0.0/0 224.0.0.0/4
0 0 RETURN all -- * * 0.0.0.0/0 240.0.0.0/4
0 0 RETURN all -- * * 0.0.0.0/0 255.255.255.255
0 0 REDIRECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 redir ports 61219
-
Решил одну специфическую для себя задачку с помощью EoIP туннеля, может кому пригодится.
Есть 2 роутера в разных городах, необходимо сделать так, чтобы broadcast пакет из сети роутера 2 дошел до устройств в сети роутера 1.
Чуть подробнее, что за broadcast пакет. В сети роутера 1 стоит PS4, в которую можно играть удаленно через PS Remote, но в последних версиях прошивки есть баг, что если клиент находится не в локальной сети PS4, то коннект при качестве >540p через ~30 секунд обрывается. Если же клиент в локальной сети, то с качеством >540p всё работает ок. PS Remote при попытке подключиться к PS4 шлет broadcast пакет в локальной сети на x.x.x.255 и ждет ответа от PS4, если ответ есть, то всё быстренько запускается и можно играть. Соответственно задача заключается в том, чтобы запустив PS Remote с компа в сети роутера 2, можно было играть так, будто бы комп находится в сети роутера 1. Исходя из этого и будут делаться устраивающие меня настройки.
Дано:
Роутер 1, белый айпи, сеть 172.16.0.0, роутер в ней имеет ip 172.16.0.1, в его сети находится получатель broadcast пакета
Роутер 2, белый айпи, сеть 192.168.0.0, роутер в ней имеет ip 192.168.0.1, в его сети находится источник broadcast пакета
На обоих роутера уже стоит компонент EOIP
Настройки:
Первым делом на роутере 2 создаём новый сегмент, при подключении к которому устройства будут оказываться в сети роутера 1
IP адрес: 172.16.0.2 (должен быть не равен IP роутера 1)
Маска подсети: точно такая же, как стоит в настройках роутера 1
DHCP сервер отключен - у такого решения есть недостаток: IP адрес устройству будет выдавать роутер 1 и шлюзом будет выступать тоже он, соответственно весь трафик наружу будет идти через него, но для моей задачи это вполне подходит.
Так же я добавил 2 lan порта в сегмент, комп будет подключаться к кабелем. Но думаю можно спокойно создать wifi сеть и всё будет работать ок.
Дальше открываем cli роутера 2, вводим show interface и в ответе ищем Bridge интерфейс с нашими настройками выше, запоминаем его название. В моём случае интерфейс будет Bridge3
Interface, name = "Bridge3" id: Bridge3 index: 3 type: Bridge description: SPB interface-name: Bridge3 link: down connected: no state: up mtu: 1500 tx-queue: 0 address: 172.16.0.2 mask: 255.255.255.0 uptime: 155 global: no security-level: protected mac: 50:ff:20:3c:10:e9 auth-type: none bridge: interface, link = no: GigabitEthernet0/Vlan5
Открываем cli роутера 1 и настраиваем туннель с IPSec и мост:
interface EoIP0 security-level private tunnel eoip id 1500 ipsec preshared-key ipseckey ipsec ikev2 tunnel source ISP (или другой интерфейс, который используется для выхода в интернет) ip mtu 1500 exit system configuration save interface Home include EoIP0 exit system configuration save
Открываем cli роутера 2, настраиваем туннель и мост:
interface EoIP0 security-level private tunnel eoip id 1500 ipsec preshared-key ipseckey ipsec ikev2 tunnel source ISP (или другой интерфейс, который используется для выхода в интернет) tunnel destination x.x.x.x (белый IP роутера 1) ip mtu 1500 exit system configuration save interface Bridge3 (интерфейс, который узнали выше) include EoIP0 exit system configuration save
Поднимаем туннель на роутере 1:
interface EoIP0 up system configuration save
Поднимаем туннель на роутере 2:
interface Bridge3 up interface EoIP0 up system configuration save
Подключаемся к сегменту сети, который настроили выше на роутере 2 и получаем доступ к устройствам в сети роутера 1, будто бы клиент подключен к роутеру 1.
-
1
-
Xray на Entware | Xkeen
in Каталог готовых решений Opkg
Posted
Спасибо, заработало!