VladimirM
-
Posts
22 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Everything posted by VladimirM
-
маршрутизация Xray на Entware | Xkeen
VladimirM replied to Skrill0's topic in Каталог готовых решений Opkg
Видимо автоматически обновилось. Теперь вот так ~ # xkeen -v Текущая версия XKeen 1.1.3 ~ # xkeen -start find: ‘/opt/etc//configs’: No such file or directory find: ‘/opt/etc//configs’: No such file or directory find: ‘/opt/etc//configs’: No such file or directory find: ‘/opt/etc//configs’: No such file or directory find: ‘/opt/etc//configs’: No such file or directory find: ‘/opt/etc//configs’: No such file or directory /opt/etc/init.d/S24xray: line 893: : Permission denied в каталоге /opt/etc/xray/dat пусто, в /opt/etc/xray/configs/ - 10_routing-old.json Замечу, что всё это работало без моего участия, ничего нигде не менял ... -
маршрутизация Xray на Entware | Xkeen
VladimirM replied to Skrill0's topic in Каталог готовых решений Opkg
К сожалению одна ссылка больше не работает https://github.com/schebotar/antifilter-domain/releases/latest/download/geosite.dat надо бы новое зеркало. или хотя бы старый файл у кого есть выложите - ибо в скрипте обновления ошибка, и файлы заменились на мусор из 9 байт -
маршрутизация Xray на Entware | Xkeen
VladimirM replied to Skrill0's topic in Каталог готовых решений Opkg
Да, есть, по идее не должен ничего делать: ~ # cat /opt/etc/ndm/netfilter.d/xray.sh #!/bin/sh xray_mode=socks if [ "$xray_mode" = "socks" ]; then exit 0 ... и т.д. Но связь по ssh точно пропала после обновления и запуска новой редакции S24xray. Потому что после отката - теперь доступ есть. потому что если установлен пакет procps-ng-ps, то в отличие от ps из busybox он выводит ограниченный список при запуске без параметров. ещё одну проверку надо бы сделать через opkg list_installed. Я конечно руками просто пока поправил. ~ # ps PID TTY TIME CMD 18526 pts/0 00:00:00 sh 18885 pts/0 00:00:00 ps Cron из busybox не конфликтует с crond из entware, просто ваше задание на обновления можно было бы в crond добавить, чтобы не стартовал второй cron -
маршрутизация Xray на Entware | Xkeen
VladimirM replied to Skrill0's topic in Каталог готовых решений Opkg
Что-то сломалось в последней версии: ~ # xkeen -v Текущая версия Xkeen 0.9.9 ~ # xkeen -status Xray не запущен ~ # ps axf | grep xray 18173 pts/0 S+ 0:00 \_ grep xray 26194 ? Sl 9:28 /opt/sbin/xray run 7458 ? Sl 8:54 /opt/sbin/xray run 7473 ? Sl 6:23 /opt/sbin/xray run 28464 ? Sl 4:21 /opt/sbin/xray run 19647 ? Sl 6:18 /opt/sbin/xray run 828 ? Sl 3:40 /opt/sbin/xray run 4989 ? Sl 3:50 /opt/sbin/xray run 32517 ? Sl 2:02 /opt/sbin/xray run 21764 ? Sl 2:19 /opt/sbin/xray run 3455 ? Sl 1:01 /opt/sbin/xray run 3468 ? Sl 0:57 /opt/sbin/xray run 22896 ? Sl 0:58 /opt/sbin/xray run 22256 ? Sl 0:44 /opt/sbin/xray run 4883 ? Sl 0:18 /opt/sbin/xray run 17219 pts/0 Sl 0:00 /opt/sbin/xray run 17666 pts/0 Sl 0:00 /opt/sbin/xray run ~ # xkeen -cp Xray работает на всех портах Естественно, при этом xray вполне себе работает (использую в режиме прокси). Дополнение: после перезагрузки пропал доступ по SSH, видимо xkeen наделал кривых правил iptables. Откатился конечно назад пока. Опасаюсь обновляться теперь) Надо проверить скрипты, чтобы режим proxy не ломался. Нужно сказать, что предыдущая версия S24xray (внутри версия 1.3 пометка) также работает некорректно: root@transsib_ultra:/opt/etc/init.d$ /opt/etc/init.d/S24xray start Xray 1.8.4 (Xray, Penetrates Everything.) Custom (go1.21.0 linux/arm64) A unified platform for anti-censorship. 2023/11/09 20:29:38 Using confdir from env: /opt/etc/xray/configs 2023/11/09 20:29:38 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/01_log.json ..... и так далее... 2023/11/09 20:29:39 tcp:192.168.1.1:57422 accepted tcp:31.13.72.33:5222 [socks-in -> proxy] Xray не запустить Хотя xray стартует нормально: root@transsib_ultra:/opt/etc/init.d$ ps axf | grep xray 1832 pts/1 S+ 0:00 \_ grep xray 1617 pts/1 Sl 0:01 /opt/sbin/xray run Дополнение2: Надо дополнить скрипты, чтобы при установке на стартовал свой cron, если уже есть crond ранее установленный в системе. -
маршрутизация Xray на Entware | Xkeen
VladimirM replied to Skrill0's topic in Каталог готовых решений Opkg
Попробуйте также сделать, не под рукой кинетик сейчас. iptables там тоже работает. -
маршрутизация Xray на Entware | Xkeen
VladimirM replied to Skrill0's topic in Каталог готовых решений Opkg
Я использую xkeen на 2 кинетиках, и чуток модифицированную версию скрипта на более слабом роутере Huawei, с entware. Так вот на слабом роутере использую "ленивую конфигурацию", в режиме direct (не socks-прокси). Модуля TRPOXY на том старом роутере вообще нет. В ленивой конфигурации, кто особо не в теме - через vds идёт трафик по заблокированным ресурсам, а всё остальное - мимо прокси. Но я отправляю в xray только http https iptables -t nat -A PREROUTING -i br0 -p tcp --dport 80 -j REDIRECT --to-port 54837 iptables -t nat -A PREROUTING -i br0 -p tcp --dport 443 -j REDIRECT --to-port 54837 в итоге, skype, zoom, whatsapp вроде работает нормально, с браузингом интернетов тоже всё нормально, падения скорости не наблюдаю. torrent даже не доходит до клиента xray в такой схеме, и падения скорости быть не может. Попробуйте на слабом железе, может устроит. -
маршрутизация Xray на Entware | Xkeen
VladimirM replied to Skrill0's topic in Каталог готовых решений Opkg
Вот надо перенести все эти настройки на другой роутер, чтобы также работало, только без cli, обычными командами. На ваш вопрос про настройки роутинга - практически неизменная версия из шапки: -
маршрутизация Xray на Entware | Xkeen
VladimirM replied to Skrill0's topic in Каталог готовых решений Opkg
Да, для целей тестов у меня роутер Huawei с FreshTomato подключен проводом к основному роутеру (keenetic ultra, в нем локальная сеть 192.168.1.0, в huawei интерфейс "интернета" vlan2) и тестирую с ноутбука, подключенного по wifi к нему. 192.168.3.0 локальная сеть huawei, на интерфейсе br0. Заблокированные сайты в xray я описал с использованием "ленивой конфигурации" в шапке темы, сделал скрипт в crond для обновления этих файлов раз в сутки. Если вместо xray использовать туннель ssh: /opt/libexec/ssh-openssh -D 192.168.3.1:1080 root@<VPS_IP> -i /opt/home/id_rsa -f -N -4 badvpn-tun2socks --tundev tun0 --netif-ipaddr 10.0.0.2 --netif-netmask 255.255.255.0 --socks-server-addr 192.168.3.1:1080 --loglevel 3 & то всё отлично работает. только мне так не надо, весь трафик идет через vps и конечно это сильно медленнее. Да и сам ssh-туннель заметно тормознее работает на этом huawei, который хоть и 2-ядерный, но уже не очень быстрый. На keenetic схема с клиентом прокси очень даже работает, и используется там именно badvpn-tun2socks, когда делается подключение прокси и потом настраивается политика доступа для подключения. Просто скилла не хватает перенести настройки оттуда правильно, нужна помощь умных людей. -
маршрутизация Xray на Entware | Xkeen
VladimirM replied to Skrill0's topic in Каталог готовых решений Opkg
Думаю вы правы. Тот трафик, что xray пытается пустить напрямую, мимо VPS, видимо попадает в маршрут по умолчанию, который ведёт опять в tun2socks, который опять попадает в xray и видимо получается цикл. Интересно можно ли маршрутизацию внутри xray настроить как-то, или маркировать может трафик, чтобы потом правила маршрутизации сделать? -
маршрутизация Xray на Entware | Xkeen
VladimirM replied to Skrill0's topic in Каталог готовых решений Opkg
Спасибо автору. На основе данного скрипта на другом роутере (не кинетик, там tomato) настроен XRAY, пользуюсь в режиме прокси настроен правильно, корректно все отрабатывает (заблокированные ресурсы идут через мой vps, остальные через провайдера). Возникла необходимость для всех клиентов сделать прозрачный прокси (схема как в кинетике в настройках отсутствует, но есть entware и доступен пакет tun2socks) ip tuntap add mode tun dev tun0 ip addr add 10.0.0.1/24 dev tun0 ip link set dev tun0 up badvpn-tun2socks --tundev tun0 --netif-ipaddr 10.0.0.2 --netif-netmask 255.255.255.0 --socks-server-addr 192.168.3.1:54837 --loglevel 3 & ip route del default ip route add <vps-ip> via 192.168.1.1 dev vlan2 metric 1 ip route add default via 10.0.0.1 dev tun0 metric 1 ip route add default via 192.168.1.1 dev vlan2 metric 10 Почему-то в такой настройке заблокированные ресурсы открываются нормально, а незаблокированные - не открываются. Вроде если xray по адресу 192.168.3.1:54837 является socks5 прокси, то должно всё работать... -
маршрутизация Xray на Entware | Xkeen
VladimirM replied to Skrill0's topic in Каталог готовых решений Opkg
Был бы признателен за мануал, как теперь поменять работающий конфиг "ленивой конфигурации", чтобы ничего не сломать -
маршрутизация Xray на Entware | Xkeen
VladimirM replied to Skrill0's topic in Каталог готовых решений Opkg
Что такое режим redirect в последней версии и зачем он нужен ?... -
маршрутизация Xray на Entware | Xkeen
VladimirM replied to Skrill0's topic in Каталог готовых решений Opkg
Спасибо, хороший вариант. Кто на chrome - можно использовать расширение типа foxyproxy. Насчет установки прокси на уровне windows не проверял влияние на скорость, но тоже как вариант (работать-то точно будет). И еще один вариант - остаться на более простых решениях, пока блокировки WireGuard, OpenVPN были какие-то очень точечные или тестовые. Для работы по этим протоколам есть отличный скрипт Bird4static, настройки минимальные и работает без потери скорости. -
маршрутизация Xray на Entware | Xkeen
VladimirM replied to Skrill0's topic in Каталог готовых решений Opkg
Настроил по "ленивой конфигурации", с использованием встроенного прокси-клиента. Всё работает, но qbittorrent с десктопа качает теперь сильно медленнее (скажем, без xray скорость 60мб/с, с ним 7мб/с, проверено на одном и том же торренте). Подозреваю, что трафик через vps идет. Можно ли как-то побороть это ? -
маршрутизация Xray на Entware | Xkeen
VladimirM replied to Skrill0's topic in Каталог готовых решений Opkg
Конечно глупый вопрос, но тем не менее. Можно ли сделать пошаговое руководство - есть keenetic ultra 1811, есть vps - сейчас использую скрипты bird4static для обхода блокировок, соединение к VPS доступно wireguard или openvpn, работает оба варианта. Теперь по шагам: 1) настройка xray на VPS, тут в шапке есть ссылка, и вроде достаточно подробно и понятно в статье изложены все шаги 2) настройка на keenetic xray-клиента, с маршрутизацией и маскировкой выборочного трафика (по заблокированным в РФ ресурсам) через мой VPS. желательна конечно же конфигурация, при которой маршрутизацией будет заниматься исключительно роутер, без необходимости настроек каких-либо прокси на клиентских устройствах. нет ли где-то пошаговой инструкции для не очень продвинутых пользователей ?... -
default dev ppp0 scope link вторая команда выводит IP-адрес на интерфейсе ppp0, ну и после обновления 3.6.1 нормально работает, спасибо! конфигурация bird стала корректной.
-
Попытался обновиться сегодня на новую 3.6, что-то не заработало. Роутер Giga, прошивка 3.9.2. Лог установки: Do you want to use double vpn configuration? 1 - no (default) 2 - yes You are select install for one vpn cp: can't stat '/opt/root/Bird4Static/Install/one_vpn/*.list': No such file or directory Select mode: 1 - Download file from antifilter service (default) 2 - Use BGP 3 - Use Only user files 1 You are select 'Download mode' Which service do you want to use 1 - https://antifilter.download/list/allyouneed.lst 2 - https://antifilter.network/download/ipsmart.lst or enter custom url 1 You are select https://antifilter.download/list/allyouneed.lst ---------------------- br0 addr:192.168.1.1 br1 addr:10.1.30.1 eth3 addr:192.168.0.2 ezcfg0 addr:78.47.125.180 lo addr:127.0.0.1 nwg0 addr:192.168.6.5 ppp0 addr:xxx.xxx.xxx.xxx (скрыл IP) ppp1 addr:172.16.2.33 Enter the name of the provider interface from the list above (for exaple ppp0 or eth3) ppp0 Enter the VPN interface name from the list above (for exaple ovpn_br0 or nwg0) nwg0 rm: can't remove '/opt/etc/bird4*.list': No such file or directory ip: RTNETLINK answers: No such file or directory ip: RTNETLINK answers: No such file or directory Shutting down cron... done. Starting cron... done. Starting bird4... failed. patching file /opt/root/Bird4Static/lists/antifilter.list patching file /opt/etc/bird4-base-vpn.list patching file /opt/etc/bird4-force-isp.list patching file /opt/etc/bird4-force-vpn1.list Restarting bird killall: bird4: no process killed Далее смотрю системный лог, вижу ошибку, не нравится конфигурация: Feb 8 21:18:27 keeneticvm bird4: /opt/etc/bird4.conf:4:11 Number or IPv4 address constant expected Feb 8 21:18:27 keeneticvm root: Failed to start bird4 from . Собственно сам файл /opt/etc/bird4.conf: log syslog all; log stderr all; router id ppp0; table route_force; table route_vpn1; protocol direct { interface "nwg0"; } protocol device { scan time 15; } template kernel KERNEL_BASE { <------>learn; <------>scan time 60; <------>import none; } filter pref_50_force { <------>preference = 50; <------>accept; } filter pref_100_vpn1 { <------>ifname = "nwg0"; #MARK_VPN1 <------>preference = 100; <------>accept; } protocol kernel kernel_force from KERNEL_BASE { <------>export filter pref_50_force; <------>table route_force; <------>kernel table 1000; } protocol kernel kernel_vpn from KERNEL_BASE { <------>export filter pref_100_vpn1; <------>table route_vpn1; <------>kernel table 1001; } protocol static static_force { <------>table route_force; <------>include "bird4-force-isp.list"; <------>include "bird4-force-vpn1.list"; } protocol static static_vpn { <------>table route_vpn1; <------>include "bird4-base-vpn.list"; } На прошлой всё работало. Интерфейс провайдера ppp0, vpn через ngw0 (wireguard). Попробовал вернуться на предыдущую - всё также работает, как и раньше
-
Вроде все просто. Схема с одним vpn, провайдер - статический IP (eth3), vpn - поднят через openvpn (ovpn_br0). DNS указан - яндекс 78.88.8.8. А работает как-то криво. Вот таблица: ~ # ip route list table 1000 45.154.73.71 dev ovpn_br0 scope link 88.198.177.100 dev eth3 scope link 104.16.154.36 dev ovpn_br0 scope link 104.16.155.36 dev ovpn_br0 scope link 104.18.216.232 dev ovpn_br0 scope link 104.18.217.232 dev ovpn_br0 scope link 167.233.6.242 dev eth3 scope link 167.233.7.36 dev eth3 scope link 213.167.39.27 dev ovpn_br0 scope link ~ # nslookup rutracker.org Server: 127.0.0.1 Address 1: 127.0.0.1 localhost Name: rutracker.org Address 1: 213.167.39.27 ~ # nslookup whatismyipaddress.com Server: 127.0.0.1 Address 1: 127.0.0.1 localhost Name: whatismyipaddress.com Address 1: 104.16.154.36 Address 2: 104.16.155.36 ~ # оба сайта есть в файле Bird4Static/lists/user-vpn.list, при этом whatismyipadress корректно показывает, что он находится в европе, а вот rutracker вообще не открывается. Оба по идее должны идти через ovpn_br0, судя по таблице. Никакие заблокированные ресурсы кстати тоже не открываются (например facebook, instagram, meduza - я подозреваю, что они должны быть в таблице 1001 - там куча записей). Но мне было бы достаточно вручную указать список нужных мне ресурсов. Где ошибка ?
-
Аналогичный вопрос. Все перерыл, так и не понял как сделать.
-
L2TP/IPsec сервер
VladimirM replied to Le ecureuil's topic in Обсуждение IPsec, OpenVPN и других туннелей
задача такая - есть keenetic, на нем поднят L2TP-сервер. На самом кинетике есть 2 подключения - один ростелеком, второй - vpn за границу. Клиенты подключаются с включенным NAT (ну допустим это телефон, на котором я хочу обходить блокировку, в моем случае, либо наоборот подключается мой дружбан из Германии, который хочет смотреть русский интернет, т.к. у них наши сайты банят нещадно). Нужно в зависимости от того, какая учетка подключилась настраивать маршрутизацию ему надо через Ростелек, а мне надо наоборот через vpn. По идее нужен скрипт с настройкой правильной маршрутизации при подключении клиента, был бы признателен за помощь. Прочитав много всего, подозреваю, что так не получится (или мои знания недостаточны). Тогда вопрос в следующем - пусть у меня будет 2 сегмента - "Домашняя сеть" и "Free internet". В домашней сети будет использоваться ростелеком, а во FreeInternet пусть будет VPN, в настройках L2TP сервера укажем, что он дает доступ к сегменту "Free Internet". Я не нашел способа, как указать канал для каждого сегмента. Стандартный механизм настройки приоритетов и профилей позволяет указать профиль доступа только для незарегистрированных устройств. А мне нужно сегмент "Домашняя сеть" полностью на Ростелекому, а сегмент "Free internet" полностью на VPN. Пока настроить не получается, при подключении к L2TP серверу, в параметрах которого указан доступ к сети "Free internet", трафик все равно идет через Ростелеком. Как жестко настроить, чтоб весь трафик сегмента шел через VPN-подключение ? -
Имеется Giga (KN-1010), также в сети есть mesh-ретранслятор Speedster (KN-3010), но это неважно. Трижды наблюдал ситуацию, когда полностью отваливался LAN-интерфейс (все порты!). Причиной отвала однозначно является подключенное в 4-ый порт Giga устройство Rapsberry Pi4 с установленным HomeAssistant (hassio). Ниже опишу, как и почему я это выяснил. Возможно на Pi подключен немного битый SSD и раз в несколько недель он зависает (посмотреть что с ним конкретно происходит в этот момент затруднительно, т.к. монитор к нему не подключен, по сети он недоступен, а после последующей перезагрузки никакого криминала в логах там не видно). Так вот иногда (по крайней мере три раза), в момент такого зависания, Pi кладёт все LAN-порты Giga. Установлен этот факт был случайно - я подключился извне по VPN (так как пропал homeassistant на телефоне), увидел что в сети отвалились все проводные клиенты (хотя такого быть не может, там куча устройств по проводу вроде телевизоров, и т.д.), но при этом беспроводная сеть работала, а также естественно сам VPN. Я отключил 4-ый порт на Giga в настройках, где висит подозреваемый Pi и проводная сеть сразу поднялась. Прикладываю лог сегодняшнего случая, инцидент по времени произошел с 7-30 до 8 утра (это понятно из логов работы домашнего сервера, у него пропал интернет в 7-48), но опять же никакого криминала в логе Giga не видно (и диагностический режим конечно не был включен). Вопрос к сообществу, что такого может делать Pi, чтобы полностью положить LAN-интерфейсы на Keenetic Giga? log.txt
