VladimirM
-
Posts
22 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by VladimirM
-
-
К сожалению одна ссылка больше не работает
https://github.com/schebotar/antifilter-domain/releases/latest/download/geosite.dat
надо бы новое зеркало. или хотя бы старый файл у кого есть выложите - ибо в скрипте обновления ошибка, и файлы заменились на мусор из 9 байт
-
13 часа назад, Skrill0 сказал:
Пожалуйста, посмотрите, есть ли у Вас файл по пути
Да, есть, по идее не должен ничего делать:
~ # cat /opt/etc/ndm/netfilter.d/xray.sh
#!/bin/shxray_mode=socks
if [ "$xray_mode" = "socks" ]; then
exit 0...
и т.д.
Но связь по ssh точно пропала после обновления и запуска новой редакции S24xray. Потому что после отката - теперь доступ есть.
13 часа назад, Skrill0 сказал:Странно, но для получения статуса Xkeen использует команду
потому что если установлен пакет procps-ng-ps, то в отличие от ps из busybox он выводит ограниченный список при запуске без параметров. ещё одну проверку надо бы сделать через opkg list_installed. Я конечно руками просто пока поправил.
~ # ps
PID TTY TIME CMD
18526 pts/0 00:00:00 sh
18885 pts/0 00:00:00 psCron из busybox не конфликтует с crond из entware, просто ваше задание на обновления можно было бы в crond добавить, чтобы не стартовал второй cron
-
1
-
-
Что-то сломалось в последней версии:
~ # xkeen -v
Текущая версия Xkeen 0.9.9
~ # xkeen -status
Xray не запущен
~ # ps axf | grep xray
18173 pts/0 S+ 0:00 \_ grep xray
26194 ? Sl 9:28 /opt/sbin/xray run
7458 ? Sl 8:54 /opt/sbin/xray run
7473 ? Sl 6:23 /opt/sbin/xray run
28464 ? Sl 4:21 /opt/sbin/xray run
19647 ? Sl 6:18 /opt/sbin/xray run
828 ? Sl 3:40 /opt/sbin/xray run
4989 ? Sl 3:50 /opt/sbin/xray run
32517 ? Sl 2:02 /opt/sbin/xray run
21764 ? Sl 2:19 /opt/sbin/xray run
3455 ? Sl 1:01 /opt/sbin/xray run
3468 ? Sl 0:57 /opt/sbin/xray run
22896 ? Sl 0:58 /opt/sbin/xray run
22256 ? Sl 0:44 /opt/sbin/xray run
4883 ? Sl 0:18 /opt/sbin/xray run
17219 pts/0 Sl 0:00 /opt/sbin/xray run
17666 pts/0 Sl 0:00 /opt/sbin/xray run
~ # xkeen -cp
Xray работает на всех портах
Естественно, при этом xray вполне себе работает (использую в режиме прокси).
Дополнение: после перезагрузки пропал доступ по SSH, видимо xkeen наделал кривых правил iptables. Откатился конечно назад пока. Опасаюсь обновляться теперь) Надо проверить скрипты, чтобы режим proxy не ломался. Нужно сказать, что предыдущая версия S24xray (внутри версия 1.3 пометка) также работает некорректно:
root@transsib_ultra:/opt/etc/init.d$ /opt/etc/init.d/S24xray start
Xray 1.8.4 (Xray, Penetrates Everything.) Custom (go1.21.0 linux/arm64)
A unified platform for anti-censorship.
2023/11/09 20:29:38 Using confdir from env: /opt/etc/xray/configs
2023/11/09 20:29:38 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/01_log.json..... и так далее...
2023/11/09 20:29:39 tcp:192.168.1.1:57422 accepted tcp:31.13.72.33:5222 [socks-in -> proxy]
Xray не запустить
Хотя xray стартует нормально:
root@transsib_ultra:/opt/etc/init.d$ ps axf | grep xray
1832 pts/1 S+ 0:00 \_ grep xray
1617 pts/1 Sl 0:01 /opt/sbin/xray run
Дополнение2:
Надо дополнить скрипты, чтобы при установке на стартовал свой cron, если уже есть crond ранее установленный в системе.
-
Попробуйте также сделать, не под рукой кинетик сейчас. iptables там тоже работает.
-
Я использую xkeen на 2 кинетиках, и чуток модифицированную версию скрипта на более слабом роутере Huawei, с entware. Так вот на слабом роутере использую "ленивую конфигурацию", в режиме direct (не socks-прокси). Модуля TRPOXY на том старом роутере вообще нет. В ленивой конфигурации, кто особо не в теме - через vds идёт трафик по заблокированным ресурсам, а всё остальное - мимо прокси. Но я отправляю в xray только http https
iptables -t nat -A PREROUTING -i br0 -p tcp --dport 80 -j REDIRECT --to-port 54837
iptables -t nat -A PREROUTING -i br0 -p tcp --dport 443 -j REDIRECT --to-port 54837в итоге, skype, zoom, whatsapp вроде работает нормально, с браузингом интернетов тоже всё нормально, падения скорости не наблюдаю. torrent даже не доходит до клиента xray в такой схеме, и падения скорости быть не может.
Попробуйте на слабом железе, может устроит.
-
2
-
-
30 минут назад, Alexey77 сказал:
Видимо трафик маркируется и отправляется в таблицу 10.
Вот надо перенести все эти настройки на другой роутер, чтобы также работало, только без cli, обычными командами. На ваш вопрос про настройки роутинга - практически неизменная версия из шапки:
Скрытый текст{
"routing": {
"domainStrategy": "IPIfNonMatch",
"rules": [
// Настройка черного списка
{
"inboundTag": ["socks-in"],
"domain": [
"ext:geosite_v2fly.dat:category-ads-all",
"google-analytics", // Могут быть проблемы с сервисами Google. Нужны тесты
"analytics.yandex" // Могут быть проблемы с сервисами Yandex. Нужны тесты
],
"outboundTag": "block",
"type": "field"
},
// Блокируем соединение по уязвимым UDP портам
{
"inboundTag": ["socks-in"],
"network": "udp",
"port": "135, 137, 138, 139",
"outboundTag": "block",
"type": "field"
},
{
"inboundTag": ["socks-in"],
"protocol": ["bittorrent"],
"outboundTag": "direct",
"type": "field"
},
// Настройка подключений через VPS с помощью доменных имен
{
"inboundTag": ["socks-in"],
"domain": [
"speedtest.net",
"wikidot.com",
"ext:geosite_antifilter.dat:antifilter-community",
"ext:geosite_v2fly.dat:openai",
"ext:geosite_v2fly.dat:paypal",
"ext:geosite_v2fly.dat:ebay",
"ext:geosite_v2fly.dat:facebook",
"ext:geosite_v2fly.dat:instagram"
],
"outboundTag": "proxy",
"type": "field"
},
// Настройка подключений через VPS с помощью IP
{
"inboundTag": ["socks-in"],
"ip": [
"ext:geoip_antifilter.dat:antifilter",
"ext:geoip_antifilter.dat:antifilter-community",
"ext:geoip_v2fly.dat:facebook",
"ext:geoip_v2fly.dat:netflix",
"ext:geoip_v2fly.dat:twitter"
],
"outboundTag": "proxy",
"type": "field"
},
{
"inboundTag": ["socks-in"],
"outboundTag": "direct",
"type": "field"
}
]
}
} -
14 минуты назад, Alexey77 сказал:
Тоже пришёл к тому что трафик как-то нужно разделять так сказать на внешний и tun0. Скажите где вы прописали заблокированные сайты? И я так понял что вы тестирует на роутере подключённому по Wi-Fi?
Да, для целей тестов у меня роутер Huawei с FreshTomato подключен проводом к основному роутеру (keenetic ultra, в нем локальная сеть 192.168.1.0, в huawei интерфейс "интернета" vlan2) и тестирую с ноутбука, подключенного по wifi к нему. 192.168.3.0 локальная сеть huawei, на интерфейсе br0. Заблокированные сайты в xray я описал с использованием "ленивой конфигурации" в шапке темы, сделал скрипт в crond для обновления этих файлов раз в сутки.
Если вместо xray использовать туннель ssh:
/opt/libexec/ssh-openssh -D 192.168.3.1:1080 root@<VPS_IP> -i /opt/home/id_rsa -f -N -4
badvpn-tun2socks --tundev tun0 --netif-ipaddr 10.0.0.2 --netif-netmask 255.255.255.0 --socks-server-addr 192.168.3.1:1080 --loglevel 3 &то всё отлично работает. только мне так не надо, весь трафик идет через vps и конечно это сильно медленнее. Да и сам ssh-туннель заметно тормознее работает на этом huawei, который хоть и 2-ядерный, но уже не очень быстрый.
На keenetic схема с клиентом прокси очень даже работает, и используется там именно badvpn-tun2socks, когда делается подключение прокси и потом настраивается политика доступа для подключения. Просто скилла не хватает перенести настройки оттуда правильно, нужна помощь умных людей.
-
9 часов назад, Alexey77 сказал:
Здравствуйте по моему мнению дело в маршрутах а именно в замене маршрута default. Заблокированные сайты уходят через tun2socks а не заблокированные теряются в роутере. Может команда traceroute поможет найти неправильный маршрут.
Думаю вы правы. Тот трафик, что xray пытается пустить напрямую, мимо VPS, видимо попадает в маршрут по умолчанию, который ведёт опять в tun2socks, который опять попадает в xray и видимо получается цикл. Интересно можно ли маршрутизацию внутри xray настроить как-то, или маркировать может трафик, чтобы потом правила маршрутизации сделать?
-
Спасибо автору. На основе данного скрипта на другом роутере (не кинетик, там tomato) настроен XRAY, пользуюсь в режиме прокси настроен правильно, корректно все отрабатывает (заблокированные ресурсы идут через мой vps, остальные через провайдера). Возникла необходимость для всех клиентов сделать прозрачный прокси (схема как в кинетике в настройках отсутствует, но есть entware и доступен пакет tun2socks)
ip tuntap add mode tun dev tun0
ip addr add 10.0.0.1/24 dev tun0
ip link set dev tun0 up
badvpn-tun2socks --tundev tun0 --netif-ipaddr 10.0.0.2 --netif-netmask 255.255.255.0 --socks-server-addr 192.168.3.1:54837 --loglevel 3 &
ip route del default
ip route add <vps-ip> via 192.168.1.1 dev vlan2 metric 1
ip route add default via 10.0.0.1 dev tun0 metric 1
ip route add default via 192.168.1.1 dev vlan2 metric 10Почему-то в такой настройке заблокированные ресурсы открываются нормально, а незаблокированные - не открываются. Вроде если xray по адресу 192.168.3.1:54837 является socks5 прокси, то должно всё работать...
-
1 минуту назад, The_Same сказал:
Вместо встроенного прокси iptables будет направлять трафик в xray, чтобы избежать просадок скорости
Был бы признателен за мануал, как теперь поменять работающий конфиг "ленивой конфигурации", чтобы ничего не сломать
-
2
-
-
Что такое режим redirect в последней версии и зачем он нужен ?...
-
8 часов назад, Филиппов Александр сказал:
Встроенный proxy достаточно медленный. Я решил вообще от него отказаться и использую прокси браузера firefox, достаточно удобно. (Скорость получается 200 мегабит, с proxy на роутере только 60) Достаточно просто указать 192.168.1.1:54836, если настраивали по ленивому конфигу. В итоге через vpn идёт только трафик браузера, торренты напрямую. Для каких то других устройств и сценариев можно я думаю поднять другие inbounds со своими конфигами роутинга. Можно проксировать весь трафик и через прокси самой os.
Спасибо, хороший вариант. Кто на chrome - можно использовать расширение типа foxyproxy. Насчет установки прокси на уровне windows не проверял влияние на скорость, но тоже как вариант (работать-то точно будет).
И еще один вариант - остаться на более простых решениях, пока блокировки WireGuard, OpenVPN были какие-то очень точечные или тестовые. Для работы по этим протоколам есть отличный скрипт Bird4static, настройки минимальные и работает без потери скорости.
-
1
-
-
Настроил по "ленивой конфигурации", с использованием встроенного прокси-клиента. Всё работает, но qbittorrent с десктопа качает теперь сильно медленнее (скажем, без xray скорость 60мб/с, с ним 7мб/с, проверено на одном и том же торренте). Подозреваю, что трафик через vps идет. Можно ли как-то побороть это ?
-
1
-
-
Конечно глупый вопрос, но тем не менее. Можно ли сделать пошаговое руководство - есть keenetic ultra 1811, есть vps - сейчас использую скрипты bird4static для обхода блокировок, соединение к VPS доступно wireguard или openvpn, работает оба варианта. Теперь по шагам:
1) настройка xray на VPS, тут в шапке есть ссылка, и вроде достаточно подробно и понятно в статье изложены все шаги
2) настройка на keenetic xray-клиента, с маршрутизацией и маскировкой выборочного трафика (по заблокированным в РФ ресурсам) через мой VPS. желательна конечно же конфигурация, при которой маршрутизацией будет заниматься исключительно роутер, без необходимости настроек каких-либо прокси на клиентских устройствах. нет ли где-то пошаговой инструкции для не очень продвинутых пользователей ?...
-
2
-
-
2 часа назад, DennoN сказал:
ip route | awk '/^default/{print $0}'
что выдает?
пока можешь просто в конфиге /opt/etc/bird4.conf: поменять router id ppp0; на router id 123.123.123.123;и еще
попробуй такую команду запустить
ifconfig | grep -A 1 "ppp0" | awk '{print $1,$2}' | sed ':a;N;$!ba;s/\n//g;s/\--/\n/g' | awk -F: '{print $2}'
должно выводить ip адрес роутера вроде какdefault dev ppp0 scope link
вторая команда выводит IP-адрес на интерфейсе ppp0, ну и после обновления 3.6.1 нормально работает, спасибо! конфигурация bird стала корректной.
-
Попытался обновиться сегодня на новую 3.6, что-то не заработало. Роутер Giga, прошивка 3.9.2. Лог установки:
Do you want to use double vpn configuration? 1 - no (default) 2 - yes
You are select install for one vpn
cp: can't stat '/opt/root/Bird4Static/Install/one_vpn/*.list': No such file or directorySelect mode:
1 - Download file from antifilter service (default)
2 - Use BGP
3 - Use Only user files
1
You are select 'Download mode'Which service do you want to use
1 - https://antifilter.download/list/allyouneed.lst
2 - https://antifilter.network/download/ipsmart.lst
or enter custom url
1
You are select https://antifilter.download/list/allyouneed.lst----------------------
br0 addr:192.168.1.1
br1 addr:10.1.30.1
eth3 addr:192.168.0.2
ezcfg0 addr:78.47.125.180
lo addr:127.0.0.1
nwg0 addr:192.168.6.5
ppp0 addr:xxx.xxx.xxx.xxx (скрыл IP)
ppp1 addr:172.16.2.33
Enter the name of the provider interface from the list above (for exaple ppp0 or eth3)
ppp0
Enter the VPN interface name from the list above (for exaple ovpn_br0 or nwg0)
nwg0
rm: can't remove '/opt/etc/bird4*.list': No such file or directory
ip: RTNETLINK answers: No such file or directory
ip: RTNETLINK answers: No such file or directory
Shutting down cron... done.
Starting cron... done.
Starting bird4... failed.
patching file /opt/root/Bird4Static/lists/antifilter.list
patching file /opt/etc/bird4-base-vpn.list
patching file /opt/etc/bird4-force-isp.list
patching file /opt/etc/bird4-force-vpn1.list
Restarting bird
killall: bird4: no process killedДалее смотрю системный лог, вижу ошибку, не нравится конфигурация:
Feb 8 21:18:27 keeneticvm bird4: /opt/etc/bird4.conf:4:11 Number or IPv4 address constant expected
Feb 8 21:18:27 keeneticvm root: Failed to start bird4 from .Собственно сам файл /opt/etc/bird4.conf:
log syslog all;
log stderr all;router id ppp0;
table route_force;
table route_vpn1;protocol direct { interface "nwg0"; }
protocol device { scan time 15; }
template kernel KERNEL_BASE {
<------>learn;
<------>scan time 60;
<------>import none;
}
filter pref_50_force {
<------>preference = 50;
<------>accept;
}
filter pref_100_vpn1 {
<------>ifname = "nwg0"; #MARK_VPN1
<------>preference = 100;
<------>accept;
}protocol kernel kernel_force from KERNEL_BASE {
<------>export filter pref_50_force;
<------>table route_force;
<------>kernel table 1000;
}
protocol kernel kernel_vpn from KERNEL_BASE {
<------>export filter pref_100_vpn1;
<------>table route_vpn1;
<------>kernel table 1001;
}protocol static static_force {
<------>table route_force;
<------>include "bird4-force-isp.list";
<------>include "bird4-force-vpn1.list";
}
protocol static static_vpn {
<------>table route_vpn1;
<------>include "bird4-base-vpn.list";
}
На прошлой всё работало. Интерфейс провайдера ppp0, vpn через ngw0 (wireguard). Попробовал вернуться на предыдущую - всё также работает, как и раньше
-
Вроде все просто. Схема с одним vpn, провайдер - статический IP (eth3), vpn - поднят через openvpn (ovpn_br0). DNS указан - яндекс 78.88.8.8. А работает как-то криво. Вот таблица:
~ # ip route list table 1000
45.154.73.71 dev ovpn_br0 scope link
88.198.177.100 dev eth3 scope link
104.16.154.36 dev ovpn_br0 scope link
104.16.155.36 dev ovpn_br0 scope link
104.18.216.232 dev ovpn_br0 scope link
104.18.217.232 dev ovpn_br0 scope link
167.233.6.242 dev eth3 scope link
167.233.7.36 dev eth3 scope link
213.167.39.27 dev ovpn_br0 scope link~ # nslookup rutracker.org
Server: 127.0.0.1
Address 1: 127.0.0.1 localhostName: rutracker.org
Address 1: 213.167.39.27
~ # nslookup whatismyipaddress.com
Server: 127.0.0.1
Address 1: 127.0.0.1 localhostName: whatismyipaddress.com
Address 1: 104.16.154.36
Address 2: 104.16.155.36
~ #
оба сайта есть в файле Bird4Static/lists/user-vpn.list, при этом whatismyipadress корректно показывает, что он находится в европе, а вот rutracker вообще не открывается. Оба по идее должны идти через ovpn_br0, судя по таблице. Никакие заблокированные ресурсы кстати тоже не открываются (например facebook, instagram, meduza - я подозреваю, что они должны быть в таблице 1001 - там куча записей). Но мне было бы достаточно вручную указать список нужных мне ресурсов. Где ошибка ? -
Аналогичный вопрос. Все перерыл, так и не понял как сделать.
-
задача такая - есть keenetic, на нем поднят L2TP-сервер. На самом кинетике есть 2 подключения - один ростелеком, второй - vpn за границу. Клиенты подключаются с включенным NAT (ну допустим это телефон, на котором я хочу обходить блокировку, в моем случае, либо наоборот подключается мой дружбан из Германии, который хочет смотреть русский интернет, т.к. у них наши сайты банят нещадно). Нужно в зависимости от того, какая учетка подключилась настраивать маршрутизацию ему надо через Ростелек, а мне надо наоборот через vpn. По идее нужен скрипт с настройкой правильной маршрутизации при подключении клиента, был бы признателен за помощь. Прочитав много всего, подозреваю, что так не получится (или мои знания недостаточны).
Тогда вопрос в следующем - пусть у меня будет 2 сегмента - "Домашняя сеть" и "Free internet". В домашней сети будет использоваться ростелеком, а во FreeInternet пусть будет VPN, в настройках L2TP сервера укажем, что он дает доступ к сегменту "Free Internet". Я не нашел способа, как указать канал для каждого сегмента. Стандартный механизм настройки приоритетов и профилей позволяет указать профиль доступа только для незарегистрированных устройств. А мне нужно сегмент "Домашняя сеть" полностью на Ростелекому, а сегмент "Free internet" полностью на VPN. Пока настроить не получается, при подключении к L2TP серверу, в параметрах которого указан доступ к сети "Free internet", трафик все равно идет через Ростелеком. Как жестко настроить, чтоб весь трафик сегмента шел через VPN-подключение ?
-
Имеется Giga (KN-1010), также в сети есть mesh-ретранслятор Speedster (KN-3010), но это неважно. Трижды наблюдал ситуацию, когда полностью отваливался LAN-интерфейс (все порты!). Причиной отвала однозначно является подключенное в 4-ый порт Giga устройство Rapsberry Pi4 с установленным HomeAssistant (hassio). Ниже опишу, как и почему я это выяснил.
Возможно на Pi подключен немного битый SSD и раз в несколько недель он зависает (посмотреть что с ним конкретно происходит в этот момент затруднительно, т.к. монитор к нему не подключен, по сети он недоступен, а после последующей перезагрузки никакого криминала в логах там не видно). Так вот иногда (по крайней мере три раза), в момент такого зависания, Pi кладёт все LAN-порты Giga. Установлен этот факт был случайно - я подключился извне по VPN (так как пропал homeassistant на телефоне), увидел что в сети отвалились все проводные клиенты (хотя такого быть не может, там куча устройств по проводу вроде телевизоров, и т.д.), но при этом беспроводная сеть работала, а также естественно сам VPN. Я отключил 4-ый порт на Giga в настройках, где висит подозреваемый Pi и проводная сеть сразу поднялась. Прикладываю лог сегодняшнего случая, инцидент по времени произошел с 7-30 до 8 утра (это понятно из логов работы домашнего сервера, у него пропал интернет в 7-48), но опять же никакого криминала в логе Giga не видно (и диагностический режим конечно не был включен). Вопрос к сообществу, что такого может делать Pi, чтобы полностью положить LAN-интерфейсы на Keenetic Giga?
Xray на Entware | Xkeen
in Каталог готовых решений Opkg
Posted
Видимо автоматически обновилось. Теперь вот так
~ # xkeen -v
Текущая версия XKeen 1.1.3
~ # xkeen -start
find: ‘/opt/etc//configs’: No such file or directory
find: ‘/opt/etc//configs’: No such file or directory
find: ‘/opt/etc//configs’: No such file or directory
find: ‘/opt/etc//configs’: No such file or directory
find: ‘/opt/etc//configs’: No such file or directory
find: ‘/opt/etc//configs’: No such file or directory
/opt/etc/init.d/S24xray: line 893: : Permission denied
в каталоге /opt/etc/xray/dat пусто, в /opt/etc/xray/configs/ - 10_routing-old.json
Замечу, что всё это работало без моего участия, ничего нигде не менял ...