[Xray на Entware | Xkeen]

20 минут назад, jameszero сказал:

@chapay10, при редиректе в параметре listen нужно указывать не 127.0.0.1, а адрес роутера -  192.168.1.1.

Спасибо, заработало!

[Xray на Entware | Xkeen]

Подскажите, пожалуйста, что я делаю не так?  KN-1810, Хочу настроить в режиме REDIRECT и пускать весь трафик

1. Создана политика доступа XKeen:

Скрытый текст

2. 07_inbounds.json

Скрытый текст

{
    "inbounds": [
        {
            "tag": "redirect",
            "listen": "127.0.0.1",
            "port": 61219,
            "protocol": "dokodemo-door",
            "settings": {
                "network": "tcp",
                "followRedirect": true
            },
            "sniffing": {
                "enabled": true,
                "destOverride": [
                    "http",
                    "tls",
                    "quic"
                ]
            }
        }
    ]
}

 

3. 08_outbounds.json (убрал адрес VPS, в конфиге на роутере всё как надо прописано)

Скрытый текст

{
    "outbounds": [
        {
            "tag": "vless-reality",
            "protocol": "vless",
            "settings": {
                "vnext": [
                    {
                        "address": "Адрес VPS",
                        "port": 443,
                        "users": [
                            {
                                "encryption": "none",
                                "flow": "xtls-rprx-vision",
                                "id": "19eab9d0-b281-4fe1-9234-ec63e8e967a6"
                            }
                        ]
                    }
                ]
            },
            "streamSettings": {
                "network": "tcp",
                "security": "reality",
                "realitySettings": {
                    "publicKey": "RuSKtHw63CZHuLjjmZVgjO104tjFygASYeVqFQ1vCnU",
                    "fingerprint": "chrome",
                    "serverName": "fc24.offside.top",
                    "shortId": "bfd83add",
                    "spiderX": "/"
                },
                "sockopt": {
                    "tcpFastOpen": true,
                    "tcpMptcp": true,
                    "tcpNoDelay": true
                }
            }
        }
    ]
}

 

4. 10_routing.json

Скрытый текст

{}

 

В итоге после запуска XKeen и назначения девайсу политики доступа с этого девайса не открывается ни один сайт, в 3x-ui указано, что клиент offline.

 

В логах никаких ошибок нет

iptables -t nat -nL PREROUTING -v

Скрытый текст

Chain PREROUTING (policy ACCEPT 193K packets, 18M bytes)

pkts bytes target     prot opt in     out     source               destination         

2775  282K _NDM_PREROUTING_MC  all  --  *      *       0.0.0.0/0            224.0.0.0/4         

193K   18M _NDM_IPSEC_PREROUTING  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

193K   18M _NDM_HOTSPOT_PRERT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

/opt/etc/xray/configs # iptables -t nat -nL PREROUTING -v

Chain PREROUTING (policy ACCEPT 2194 packets, 194K bytes)

pkts bytes target     prot opt in     out     source               destination         

4754  450K _NDM_DNAT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

4754  450K _NDM_DNS_REDIRECT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

4754  450K _NDM_EZ_BYPASS  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

4611  440K _NDM_UPNP_REDIRECT_SYS  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

    6   384 _NDM_HTTP_DNAT_WAN_NDNS_  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80

4611  440K _NDM_UPNP_REDIRECT_0  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

    0     0 xkeen      all  --  *      *       0.0.0.0/0            0.0.0.0/0            connmark match  0xffffd00 ! ctstate INVALID

iptables -t nat -nL xkeen -v

Скрытый текст

Chain xkeen (1 references)

pkts bytes target     prot opt in     out     source               destination         

    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/8           

    0     0 RETURN     all  --  *      *       0.0.0.0/0            10.0.0.0/8          

    0     0 RETURN     all  --  *      *       0.0.0.0/0            100.64.0.0/10       

    0     0 RETURN     all  --  *      *       0.0.0.0/0            127.0.0.0/8         

    0     0 RETURN     all  --  *      *       0.0.0.0/0            169.254.0.0/16      

    0     0 RETURN     all  --  *      *       0.0.0.0/0            172.16.0.0/12       

    0     0 RETURN     all  --  *      *       0.0.0.0/0            192.0.0.0/24        

    0     0 RETURN     all  --  *      *       0.0.0.0/0            192.0.2.0/24        

    0     0 RETURN     all  --  *      *       0.0.0.0/0            192.168.0.0/16      

    0     0 RETURN     all  --  *      *       0.0.0.0/0            198.18.0.0/15       

    0     0 RETURN     all  --  *      *       0.0.0.0/0            198.51.100.0/24     

    0     0 RETURN     all  --  *      *       0.0.0.0/0            203.0.113.0/24      

    0     0 RETURN     all  --  *      *       0.0.0.0/0            224.0.0.0/4         

    0     0 RETURN     all  --  *      *       0.0.0.0/0            240.0.0.0/4         

    0     0 RETURN     all  --  *      *       0.0.0.0/0            255.255.255.255     

    0     0 REDIRECT   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            redir ports 61219

 

[Все о туннелях IPIP, GRE и EoIP]

Решил одну специфическую для себя задачку с помощью EoIP туннеля, может кому пригодится.

Есть 2 роутера в разных городах, необходимо сделать так, чтобы broadcast пакет из сети роутера 2 дошел до устройств в сети роутера 1.

Чуть подробнее, что за broadcast пакет. В сети роутера 1 стоит PS4, в которую можно играть удаленно через PS Remote, но в последних версиях прошивки есть баг, что если клиент находится не в локальной сети PS4, то коннект при качестве >540p через ~30 секунд обрывается. Если же клиент в локальной сети, то с качеством >540p всё работает ок. PS Remote при попытке подключиться к PS4 шлет broadcast пакет в локальной сети на x.x.x.255 и ждет ответа от PS4, если ответ есть, то всё быстренько запускается и можно играть. Соответственно задача заключается в том, чтобы запустив PS Remote с компа в сети роутера 2, можно было играть так, будто бы комп находится в сети роутера 1. Исходя из этого и будут делаться устраивающие меня настройки.

 

Дано:

Роутер 1, белый айпи, сеть 172.16.0.0, роутер в ней имеет ip 172.16.0.1, в его сети находится получатель broadcast пакета

Роутер 2, белый айпи, сеть 192.168.0.0, роутер в ней имеет ip 192.168.0.1, в его сети находится источник broadcast пакета

На обоих роутера уже стоит компонент EOIP

 

Настройки:

Первым делом на роутере 2 создаём новый сегмент, при подключении к которому устройства будут оказываться в сети роутера 1

IP адрес: 172.16.0.2 (должен быть не равен IP роутера 1)

Маска подсети: точно такая же, как стоит в настройках роутера 1

DHCP сервер отключен - у такого решения есть недостаток: IP адрес устройству будет выдавать роутер 1 и шлюзом будет выступать тоже он, соответственно весь трафик наружу будет идти через него, но для моей задачи это вполне подходит.

Так же я добавил 2 lan порта в сегмент, комп будет подключаться к кабелем. Но думаю можно спокойно создать wifi сеть и всё будет работать ок.

 

Дальше открываем cli роутера 2, вводим show interface и в ответе ищем Bridge интерфейс с нашими настройками выше, запоминаем его название. В моём случае интерфейс будет Bridge3

Interface, name = "Bridge3"
               id: Bridge3
            index: 3
             type: Bridge
      description: SPB
   interface-name: Bridge3
             link: down
        connected: no
            state: up
              mtu: 1500
         tx-queue: 0
          address: 172.16.0.2
             mask: 255.255.255.0
           uptime: 155
           global: no
   security-level: protected
              mac: 50:ff:20:3c:10:e9
        auth-type: none
           bridge: 
            interface, link = no: GigabitEthernet0/Vlan5

 

Открываем cli роутера 1 и настраиваем туннель с IPSec и мост:

interface EoIP0
security-level private
tunnel eoip id 1500
ipsec preshared-key ipseckey
ipsec ikev2 
tunnel source ISP (или другой интерфейс, который используется для выхода в интернет)
ip mtu 1500
exit
system configuration save

interface Home
include EoIP0
exit
system configuration save

 

Открываем cli роутера 2, настраиваем туннель и мост:

interface EoIP0
security-level private
tunnel eoip id 1500
ipsec preshared-key ipseckey
ipsec ikev2 
tunnel source ISP (или другой интерфейс, который используется для выхода в интернет)
tunnel destination x.x.x.x (белый IP роутера 1)
ip mtu 1500
exit
system configuration save

interface Bridge3 (интерфейс, который узнали выше)
include EoIP0
exit
system configuration save

 

Поднимаем туннель на роутере 1:

interface EoIP0 up
system configuration save

 

Поднимаем туннель на роутере 2:

interface Bridge3 up
interface EoIP0 up
system configuration save

Подключаемся к сегменту сети, который настроили выше на роутере 2 и получаем доступ к устройствам в сети роутера 1, будто бы клиент подключен к роутеру 1.