[Xray на Entware | Xkeen]

On 4/20/2024 at 6:49 AM, Alexey77 said:

Доброе утро можете по подробнее написать про роутинг stun протокола?

Пример защиты от утечек webrtc для клиентского конфига sing-box:

"route": {
	"rules": [
		{
			"outbound": "proxy",
			"protocol": ["stun"]
		},
		...

Или из документации вот такой вариант правила:

"domain_regex": ["^stun\\..+"]

 

[Xray на Entware | Xkeen]

Вообще немного жаль, что Skrill0 выбрала xray в качестве ядра. Sing-box тоже существует для кинетиков, у него есть tun/tap, у него есть балансер по реальной задержке, и у него есть роутинг 'stun'-протокола - это две строчки конфига которые избавляют от утечек webrtc. Правда sing-box пожирнее, но это сам бинарник, а сколько памяти ест - хз

[Xray на Entware | Xkeen]

On 4/17/2024 at 12:58 PM, elchako said:

При запуске xkeen с одной из них получаю ошибку (panic: runtime error: invalid memory address or nil pointer dereference) (ошибка времени выполнения: неверный адрес памяти или разыменование нулевого указателя)

В доках об этом ни слова - видимо этот функционал еще пилится. Я бы проверил на компе - скачать xray, собрать конфиг с leastPing стратегией и посмотреть - запустится ли. Если будет такая же ошибка - значит недопилено.

[Xray на Entware | Xkeen]

On 4/11/2024 at 1:43 PM, jameszero said:

Добрый день!

Несколько серверов в outbounds.json прописать конечно можно, затем можно в роутинге настроить так, чтобы к определённым ресурсам подключение выполнялось через определённый сервер, а вот как резервировать или назначать разные политики клиентам и сетям, не подскажу. Если есть рабочее решение, поделитесь.

  Reveal hidden contents

{
  "outbounds": [
    {
      "protocol": "vless",
      "settings": {
        <...>
      },
      "tag": "proxy1"
    },

    {
      "protocol": "vless",
      "settings": {
        <...>
      },
      "tag": "proxy2"
    },

    {
      "protocol": "vless",
      "settings": {
        <...>
      },
      "tag": "proxy3"
    },

    {
      "protocol": "freedom",
      "tag": "direct"
    }
  ]
}

 

 

Как вариант - в роутинге есть "source" https://xtls.github.io/Xray-docs-next/en/config/routing.html, в котором можно указать ip девайсов в сети кинетика и зароутить их на нужный аутбаунд. Если я правильно понял смысл "source" - то будет работать. Самим девайсам нужно в кинетике прописать статический ip-адрес.

Если уже имеются правила роутинга по разным сайтам - их придется сдублировать: в первой копии прописать нужные ip в "source", во второй - оставить без "source".

[Xray на Entware | Xkeen]

3 hours ago, surfuser said:

про маршрутизацию BitTorrent замолвить словечко, чтобы VPS не накалять ненужным трафиком

К сожалению, это вообще не работает ни в каких xray-клиентах - торренты продолжают качаться. И это прям проблема. Ладно трафик - он может быть безлимитный. Но всего один клиент, запустивший качаться торрент - грузит впсный проц на 50-60%. Что с этим делать - не оч понятно.

[Xray на Entware | Xkeen]

@Skrill0, все работает. Но это нормально, что через минутку после старта xkeen -tpx показывает десятки отслеживаемых UDP шлюзов?

Еще через минутку они исчезают и остаются только заданный в inbounds в UDP и TCP. А потом опять десятки. И так по кругу. В политике в этот момент только один айфон.

XKeen 1.0.7. TProxy. Роутинг маленький, антизапреты и геоайпи не используются - только несколько избранных геосайтов. Загрузка проца небольшая.

 

[Xray на Entware | Xkeen]

4 hours ago, dogoma said:

Можно ли как-то настроить, чтобы клиенты VPN тоже шли через XRay?

Мне удалось такое проделать только с OpenVPN-подключением

[Xray на Entware | Xkeen]

2 hours ago, hohla said:

Подробно описал проделанные действия, подскажите пожалуйста, в чем может быть ошибка. 

Конфиги нормальные. Но у вас xray слушает 192.168.1.1:2082 (судя по первому скрину). А по конфигам должен был слушать 127.0.0.1:61219. Либо вы скрины в разное время делали, либо что-то пошло не так. Я бы удалил прокси (он вообще не нужен), переустановил 'xkeen -i', и если не будет работать - покажите вывод 'xkeen -restart'

[Xray на Entware | Xkeen]

Мануал OpenVPN over XKeen:
Как в кинетике подключиться к заблокированному OpenVPN-серверу через XKeen.

Зачем:

Например, у вас куплена подписка на какой-нибудь VPN-сервис. Который раньше работал на кинетике OpenVPN-соединением, а сейчас заблокирован. И вам хочется все плюшки - типа взять и временно назначить компьютеру или игровой приставке Турцию, чтобы купить что-то по турецким ценам.

Требования:

• Работающий Xkeen, настроенный по методу TProxy или Redirect
• Компоненты кинетика Proxy-клиент и OpenVPN-клиент
• Конфиг для TCP-соединения с OpenVPN-сервером
• Возьмите из впн-сервиса TCP-версию, UDP не работает

Что сделать:

Создать соединения и политики в админке кинетика:

Spoiler

1. Создать прокси-соединение openvpn-xkeen-bridge:
   
2. Создать одноименную политику, в которой будет только это соединение
3. Создать OpenVPN-соединение:
   1. Включить галки выхода в интернет и remote-маршрутов
   2. Воткнуть конфиг из вашего впн-сервиса.
   3. В advanced settings указать соединяться через политику openvpn-xkeen-bridge
      
4. Наконец, создать политику, в которой будет только OpenVPN-соединение

Подправить конфиги XRay:

Spoiler

1. В 07_inbounds.json добавить socks-in инбаунд:

   {
        "inbounds": [
          // здесь ваши существующие inbounds:
          {
            // ...
          },
          // добавить еще один инбаунд для OpenVPN over XKeen:
          {
            "tag": "socks-in",
            "listen": "127.0.0.1",
            "port": 2082,
            "protocol": "socks",
            "settings": {"udp": false},
            "sniffing": {
                "destOverride": ["http", "tls"],
                "enabled": true,
                "metadataOnly": false
            }
          }
        ]
      }

2. В правила 10_routing.json добавить:

   ...
      "rules": [
        // здесь ваши существующие правила
        { 
          // ...
        },
          // добавить правило для OpenVPN:
        {
          "inboundTag": ["socks-in"],
          "outboundTag": "proxy",
          "type": "field"
        }
      ]

    

Финал:

1. В консоли сделать xkeen -restart
2. В админке кинетика включить прокси openvpn-xkeen-bridge
3. И теперь можно включать OpenVPN-соединение - должно работать

Теперь когда вы захотите отправить в Турцию какой-нибудь девайс в домашней сети - в админке кинетика заходите в список клиентов - и назначаете ему политику OpenVPN-соединения.

Скорость у такого костыльного тоннеля, понятно, будет отстой - но этого хватит, чтобы купить турецкий гугл-драйв за копейки.

С IKEv2-соединением такое провернуть не получится, потому что кинетик не дает выбрать для него политику подключения. Wireguard, кажется, тоже - но тут я точно не помню.

Варианты OpenVPN-UDP у меня не завелись, хз почему, да и не особенно нужно.

[Xray на Entware | Xkeen]

А возможно ли сделать так, чтобы создаваемые в админке кинетика ВПН (Other connections) подключались через имеющееся соединение XKeen-XRay-Vless?

Или хотя бы чтобы OpenVPN- соединения заворачивались через XKeen? Что-то подправить в конфиге openvpn может?

[Xray на Entware | Xkeen]

2 hours ago, jameszero said:

Добрый день! Попробуйте добавить IP-адрес сервера с 32 маской в параметр ipv4_exclude (66 срока файла /opt/etc/init.d/S24xray)

@Gmarapet, @jameszero Спасибо. Это сработало. Проблема скорее всего была в том, что ставил Entware на внутреннюю память, и при установке XKeen в какой-то момент видимо не хватило. Удивительно, что вообще работало. Переустановил все на флешку, поправил S24xray - теперь все работает идеально.

[Xray на Entware | Xkeen]

11 minutes ago, Gmarapet said:

А версия xkeen у вас какая?

1.0.0

[Xray на Entware | Xkeen]

13 minutes ago, jameszero said:

66 срока файла /etc/init.d/S24xray

У меня нет /etc/init.d/

Есть /opt/etc/init.d/S24xray, но там нет 66 строк и нет параметра ipv4_exclude:

Spoiler

#!/bin/sh

# Информация о службе
# Краткое описание: Запуск / Остановка Xray
# Версия: 1.7
# Если указать в версии «x.x» без кавычек — файл не будет обновляться

# Окружение
path="/opt/bin:/opt/sbin:/sbin:/bin:/usr/sbin:/usr/bin"

# Цвета
            fi
            echo -e "  Прокси-клиент ${color_yellow}остановлен${color_reset}"
            log_info_router "Прокси-клиент остановлен"
            return 0
        done
        echo -e "  Прокси-клиент ${color_red}не остановлен${color_reset}"
        log_error_terminal "Не удалось остановить прокси-клиент"
    fi
}

# Менеджер команд
case "${1}" in
start)
    proxy_start ${2}
    ;;
stop)
    proxy_stop
    ;;
status)
	if proxy_status; then
		echo -e "  Прокси-клиент ${color_green}запущен${color_reset}"
	else
		echo -e "  Прокси-клиент ${color_red}не запущен${color_reset}"
	fi
    ;;
restart)
    proxy_stop
    proxy_start ${2}
    ;;
*)
    echo -e "  Команды: ${color_green}start${color_reset} | ${color_red}stop${color_reset} | ${color_yellow}restart${color_reset} | status"
    ;;
esac

 

 

[Xray на Entware | Xkeen]

Здравствуйте. Сервер vless-xtls-reality. На кинетике xkeen нормально работает и в режиме Redirect и в режиме TProxy. По варианту с политикой. Роутинг настроил чтобы основной трафик шел напрямую, а до интересующих хостов через VPS. Работает.

Но есть необходимость иногда подключаться к vless напрямую с клиентских устройств. И если клиент в политике xkeen - то прямое подключение к vless-серверу не работает. Подключается, но сайты не открываются. Логи xkeen показывают, что accepted [tproxy -> direct]. А nekobox-лог полон сообщений вида 

ERROR[0030] [4209779073 107ms] inbound/tun[tun-in]: reality verification failed

То есть:

• если клиент только в политике - все работает
• если клиент не в политике и подключается к vless-серверу напрямую - все работает
• если в политике и плюс подключается к vless-серверу сам - интернет не работает

Куда копать?

Update - Решение: (спасибо @jameszero и @Gmarapet)

1. В файле /opt/etc/init.d/S24xray на 66й строке в список ipv4_exclude добавить IP сервера с /32 маской.
2. Если в файле нет такой строки - xkeen установился некорректно (у меня - потому что ставил Entware на внутреннюю память и ее не хватило. переставил все на флешку - стало все ок)