[Xray на Entware | Xkeen]

xkeen -restart делали? Ошибок не было? В логах ошибки есть?

[Xray на Entware | Xkeen]

У Вас в outbounds прописан один-единственный outbound, на VPS. Xray и рад бы послать напрямую, но он не знает как. Добавьте в outbounds direct/freedom.

[Xray на Entware | Xkeen]

В 06.02.2024 в 14:33, Arabezar сказал:

А добавлять/исключать сайты тоже просто как в Квасе?

На мой взгляд гораздо проще. Насколько помню, в Квасе для просмотра "белого списка" нужно выполнять команду в консоли, для удаления/добавления доменов/адресов тоже. Здесь все списки (их может быть много, например для разных серверов/протоколов) лежат в файле routing.json, просто редактируете его, рестартуете xray одной командой, и всё.

PS Добавлю небольшой лайфхак прямо сюда, чтобы не зафлуживать тему. Если Вы так же ленивы, как и я, и Вас гнетёт необходимость запускать xkeen -restart после каждого изменения конфигурационных файлов, делай раз-два-три:

Скрытый текст

1. Ставим из entware утилиту incron:

opkg install incron

2. Создаём файл /opt/etc/incron.d/root, содержащий одну строчку:

/opt/etc/xray/configs IN_MODIFY xkeen -restart

3. Запускаем incrond (или можно просто перезагрузить роутер, при каждой загрузке оно будет грузиться само):

/opt/etc/init.d/S12incron start

Всё. Теперь после любого изменения любого файла в директории /opt/etc/xray/configs будет автоматически выполняться команда xkeen -restart.

ОСТОРОЖНО: Если Вы имеете обыкновение быстро-быстро править файл за файлом, то возможно xkeen -restart будет запускаться, не дождавшись завершения предыдущей команды, что теоретически может привести к непредсказуемым последствиям.

 

[Xray на Entware | Xkeen]

Тогда я бы посмотрел в access.log от xray (в log.json прописано где он, по умолчанию /opt/var/log/xray) - есть ли там вообще запросы от этих устройств, и куда xray их шлёт?

И еще в порядке шаманства я бы попробовал открыть  whoer.net в другом браузере на том же устройстве или просто подождать какое-то время. Я тут несколько дней бился с перенаправлением direct/freedom на другой интерфейс, так у меня в процессе ковыряния в настройках абсолютно идентичные настройки то не работали, то вдруг начинали работать как надо. Такое впечатление, что единожды проложенный маршрут где-то кэшится на время, и трафик посылается по маршруту, который только что работал, невзирая на то, что согласно новым настройкам должен бы быть послан в другое место. Наверняка этому есть какое-то научное объяснение, просто описываю наблюдаемую чайником реальность, до конца не понимая её  

[Xray на Entware | Xkeen]

14 минуты назад, prokuror2 сказал:

@Marassa прошу прощение, был приложен к сообщению неактуальный конфиг. Сейчас подгрузил правильный. Whoer.net присутствует.

Тогда такие версии: включены ли телефоны в политику xkeen на кинетике? Ну и включен ли вообще WiFi на телефонах и к той ли они сетке подключены?  Понимаю, что вопрос дурацкий, но со мной случается выключить вайфай на телефоне, а потом забыть включить...

[Xray на Entware | Xkeen]

4 минуты назад, Skrill0 сказал:

Хорошо, я добавлю sing-box в следующем обновлении. Так-то все готово для него.

Добавлю свою копеечку малую: согласно документации sing-box при настройке outbound-протокола direct позволяет указать конкретный сетевой интерфейс, на который отправлять трафик, что в свою очередь позволяет легко направить трафик на любое впн-подключение, настроенное средствами кинетика. Xray такой опции не имеет, умеет только указать IP-адрес нужного интерфейса в sendThrough, что не так удобно если этот адрес динамический. Но насколько я понял это никому кроме меня не нужно, так что задача точно не самая приоритетная

И ещё пожелание: было бы классно иметь сводную табличку с описанием возможностей/ограничений/требований/особенностей всех трёх режимов направления трафика на xray: socks-proxy, redirect и tproxy. Сейчас эта информация размазана по 38 страницам и местами противоречива...

[Xray на Entware | Xkeen]

В 23.12.2023 в 18:58, Marassa сказал:

Прошу прощения за очередной тупой вопрос: а как настроить outbounds чтобы xray гнал некоторый трафик на OpenVPN-подключение, созданное средствами Keenetic? В доках на xray вижу особый outbound protocol Wireguard, но это по видимому имеется в виду Wireguard, встроенный в сам xray? А на уже готовое VPN-подключение, созданное штатными средствами роутера как? Это же и не отдельный IPшник и не отдельный порт...

Рискую показаться назойливым, но может быть кто-нибудь сможет мне разъяснить как сделать то, что мне хочется, или почему это невозможно?

Вводные: хотелось бы пользоваться замечательным механизмом маршрутизации, встроенным в xray, но при этом направлять часть трафика не только по протоколам vless или direct, но и через настроенный средствами кинетика  клиент OpenVPN. Подключение OpenVPN настроено и работает, присваивается динамический IP address (OpenVPN) 10.57.40.* , в качестве DNS сервера для подключения всегда стоит 10.57.40.1 (подозреваю, что это же и gateway на серверном конце OpenVPN-подключения?).

Согласно документации на xray, любой outbound может иметь опцию sendThrough: address (The IP address used to send data. It is effective when the host has multiple IP addresses, and the default value is "0.0.0.0".) Казалось бы "protocol": "freedom" и "sendThrough": "10.57.40.6" (текущий IP OpenVPN) должен направлять трафик через VPN? Кукиш, идёт напрямую через провайдера.

Конкретно протокол Freedom имеет настройку redirect: address_port (Freedom will force all data to be sent to the specified address (instead of the address specified in the inbound). Казалось бы "protocol": "freedom" и

"settings": {
  "redirect": "10.57.40.1:0"
},

должен направить трафик через VPN? Кукиш, идёт напрямую через провайдера.

Всё же что я делаю не так?

 

 

[Xray на Entware | Xkeen]

6 минут назад, madsen сказал:

Осталось только с роутингом разобраться.  Я правильно понимаю что вот так VPN должен работать только на instagram? 

1. Политика для xray должна называться xkeen, а не как-то иначе.

2. У Вас всё кроме instagram идёт на proxy, а instagram на direct, то есть мимо proxy. То есть всё наоборот.

[Xray на Entware | Xkeen]

18 минут назад, Sallenrey сказал:

Это access.log, в нём всё просто замечательно. Xray получает траффик и честно посылает его на proxy, стало быть на входе и с маршрутизацией всё хорошо.  А что в error.log и в outbounds.json?

[Xray на Entware | Xkeen]

3 минуты назад, Sallenrey сказал:

Увы, не помогло

В политике xkeen прокси убрали ниже основного провайдера?

4 минуты назад, Sallenrey сказал:

какой порт слушает xkeen при редирект? В конфиге порт есть, а на кине где его указывать?

У меня всё точно как в ленивой конфигурации и так же как и для прокси - 54836. Насколько я понимаю, в режиме редирект скрипты xkeen настраивают нужную маршрутизацию через iptables, в веб-морде ничего настраивать не нужно. Важно только, чтобы нужные устройства были в политике xkeen, и чтоб на первом месте в ней стояло основное подключение к интернету. По крайней мере у меня так.

[Xray на Entware | Xkeen]

1 час назад, Sallenrey сказал:

 

Значит всё-таки proxy. Насколько я здесь читал, именно в режиме прокси потребляется максимальное количество ресурсов, а от этого все что угодно может быть. Лично я бы пробовал добиться успеха в режиме редирект, так шансов больше. На мой дилетантский взгляд.

[Xray на Entware | Xkeen]

4 часа назад, Sallenrey сказал:

Пробовал и через прокси и редирект

У Вас на скриншотах какой-то странный микс режимов прокси и редирект. Если xkeen настроен на редирект, то не надо прокси-соединение на первое место в политике xkeen ставить, его там по хорошему вообще быть не должно, да и вообще в режиме редирект само подключение по proxy избыточно.

PS inbounds.json покажите, чтоб понятнее было.

[Xray на Entware | Xkeen]

Прошу прощения за очередной тупой вопрос: а как настроить outbounds чтобы xray гнал некоторый трафик на OpenVPN-подключение, созданное средствами Keenetic? В доках на xray вижу особый outbound protocol Wireguard, но это по видимому имеется в виду Wireguard, встроенный в сам xray? А на уже готовое VPN-подключение, созданное штатными средствами роутера как? Это же и не отдельный IPшник и не отдельный порт...

[Xray на Entware | Xkeen]

2 часа назад, Alex453 сказал:

Настроил inbound по примеру ленивой конфигурации для подключения штатного keenetic proxy

Прокси-подключение xray на кинетике создано? Оно включено в политику по умолчанию перед основным подключением?

[Xray на Entware | Xkeen]

7 часов назад, madsen сказал:

XKeen - это клиент к серверу, где развёрнут XRay (например на VPS в другой стране), или это сам сервер?

Xkeen - это набор скриптов, облегчающих установку, конфигурирование и администрирование xray на роутерах Keenetic.

[Xray на Entware | Xkeen]

7 минут назад, Niyaz сказал:

после установки занято было 50 метров, а сегодня утром 80 метров занято? чем не понятно....

Может логами? Если их не отключить, они ух как быстро растут.

[Xray на Entware | Xkeen]

[удалено] тупанул - оказалось достаточно убрать подключение xray с первого места в приоритетах для политики xkeen.

[Xray на Entware | Xkeen]

17 часов назад, linkedu сказал:

Интересное решение, а если прошивкой не предусмотрен встроенный прокси, есть ли какое другое решение?

Какой прошивкой какого кинетика не предусмотрен встроенный прокси?

[Xray на Entware | Xkeen]

10 минут назад, Skrill0 сказал:

Да, все правильно.

Спасибо огромное, теперь архитектурный пазл в голове сложился окончательно

11 минуту назад, bigpu сказал:

 

Спасибо, я это видел, но почему-то прочел как частный ответ на частный вопрос о каком-то специфическом случае, а не общее руководство по встройке Xray в кинетик. Возможно стоило бы вставить в документацию буквально пару строк в духе "для того, чтобы трафик маршрутизатора попал в Xray, нужно сделать одно из трёх:..."

[Xray на Entware | Xkeen]

9 минут назад, Skrill0 сказал:

Есть несколько способов направить трафик на Xray. Самый простой — прокси-клиент от Keenetic

То есть для работы Xray по самому простому способу необходимо поставить/включить компонент прошивки "Прокси-клиент", который по умолчанию выключен и который позволит создать новое подключение/интерфейс через Xray, и потом в явном виде в настройках кинетика направить трафик на это новое подключение? И тогда я могу использовать, например Static routes, чтобы какой-то трафик направлять в Xray, а какой-то пускать вообще мимо Xray сразу к провайдеру?

14 минуты назад, Skrill0 сказал:

Можно также направить соединение с помощью iptables, как в этом посте описывал @avn
Или использовать tproxy.

Тогда необходимо дополнительно ставить пакет iptables через entware?

А сам по себе Xray, получается, не использует iptables, а использует для маршрутизации какой-то свой встроенный проприетарный механизм?

[Xray на Entware | Xkeen]

Задам ещё один тупой теоретический вопрос, чтоб пазл в голове окончательно сложился. Понятно, что Xray умеет гибко маршрутизировать трафик внутри себя. А как и почему этот трафик изначально попадает в Xray? Нужно в явном виде в настройках роутера назначить некий приоритет подключению Xray? Почему-то не вижу в документации явного указания на это.

[Xray на Entware | Xkeen]

9 минут назад, Skrill0 сказал:

Способы с GeoIP / GeoSite — в некотором смысле автоматические.
Т.е. это целые базы адресов, которые используются для выборочного обхода. К примеру, GeoIP AntiFilter — все адреса из листа AntiFilter.

Это я проинтуичил, но это лично меня скорее всего не устроит. Мне нужна возможность оперативно добавлять/удалять IP-адреса и/или домены.

9 минут назад, Skrill0 сказал:

есть следующие варианты...

Вооот, то есть это всё я должен рýками записать в config.json (и потом видимо перезапустить xkeen)? Именно этого мне и не хватало в документации.

Спасибо за быстрый ответ!

[Xray на Entware | Xkeen]

Прошу прощения за возможно тупой вопрос, но, прочитав трижды документацию, я так и не понял каким образом можно добавлять/удалять нужные адреса/домены для избирательной маршрутизации через xray?

[Как скрестить static routes и shadowsocks client?]

Спасибо, там ответил.

[Как скрестить static routes и shadowsocks client?]

Имею настроенный клиент OpenVPN на KN-1011, прекрасно работающий с собственным удаленным OpenVPN сервером (пока).

IP-адреса, трафик до которых мне нужно пускать через VPN, я вручную забиваю в static routes через веб-интерфейс роутера.

Решил для подстраховки, не дожидаясь перитонита, настроить еще и Shadowsocks. На удаленном VPS поставил ss-libev сервер, попробовал с Android ss клиентом - всё работает.

Поставил на KN-1011 через OPKG shadowsocks-libev-ss-redir, вроде всё поставилось.

А дальше затык. Все найденные мною статьи про настройку shadowsocks на Keenetic помимо установки и настройки собственно shadowsocks-клиента описывают еще и установку разнообразных надстроек, позволяющих гибко настраивать списки доменов и IP-адресов, которые должны идти через shadowsocks. Мне это в общем-то не нужно, все нужные мне адреса уже введены в static routes, и интерфейс меня устраивает.

Но я не вижу возможности в static routes указать, что трафик должен идти через shadowsocks - ведь shadowsocks-клиент не создает ни нового интерфейса, ни нового шлюза. Есть локальный порт, в который по идее нужно пихать трафик, но как это указать в static routes?

Собственно вопрос: можно ли как-нибудь использовать static routes в веб-морде для простой настройки маршрутизации через shadowsocks, или нужно непременно морочиться со всем этим KVASом или, прости господи, телеграм-ботом?