ImmortAlex
-
Posts
32 -
Joined
-
Last visited
ImmortAlex's Achievements
Member (2/5)
6
Reputation
-
Понимаю, что немного за рамками этой темы, но всё равно касается xray... Короче, насколько безопасно выставлять inbound по протоколу socks (с паролем) наружу, в публичный интернет? Надо ли как-то защищаться от потенциально желающих побрутефорсить, например?
-
Ставил из entware, там даже поновее сейчас. Viva KN-1912 Когда ставлю floodfill=true, через некоторое время статус становится "OK - No Descriptors" Подскажите, что ему где добавить/убавить нужно?
-
Ещё раз - не надо никакого socks на стороне VPS, это чисто тема роутера. Ваш xray на кинетике общается в VPS по протоколу vless и никак иначе. Ваш клиент (комп, мобила) может общаться с xray на кинетике по протоколу socks. А может - через redirect+tproxy (напрямую, неявно, прозрачно), это как вы его настроите. Я вообще уже не понимаю - зачем вам socks, что вы к нему привязались, не настроив ещё даже базовое соединение? Не обязательно. Прокси клиент в кинетике работает как нахлобучка поверх socks в xray, чтобы вы могли эту проксю привязать к политике Xkeen. Т.е. там на вкладке, где клиенты к политикам привязываются, у вас помимо обычных железок (компов, мобил) будет указан "клиент прокси" (или как-то так, я сам живьём никогда не видел). Вероятно, это для чего-то нужно, но я не понял для чего, у меня браузер просто к самому xray неплохо подключается, без прокладок.
-
Да.
-
Нет. Вы путаете inbounds и outbounds. Ну, как будто по-прежнему не понимаете принципа работы xray. Вы на VPS создаёте подключение, которое затем прописываете в outbounds, т.е. настраиваете xray на кинетике на подключение к VPS. В inbounds у вас прописаны способы подключения клиентов xray, которые знать ничего не знаю про то, куда эти соединения уходят дальше.
-
Буквально вчера было описание, на предыдущей странице этой темы.
-
А вы, получается, начали с клиентской стороны, не создав ещё себе сервера?
-
Я тут обнаружил, что, кажись, имена в inboundTag воспринимаются не по полному совпадению, а по подстроке. Нигде не нашёл этого в документации (или глаз замылился), но иначе происходящее объяснить не могу. Т.е. если у меня есть инбаунды с именами "socks", "socks-2", "socks-3", то если я напишу в роутинге "inboundTag": "socks" они все три попадут в этот роутинг. На outboundTag это, ясно дело, не работает, там полное совпадание ищется. Я про такое читал только в описании балансировщика.
-
Именно так! И тогда у вас то приложение, которое подключается по socks, будет ходить на vless ровно по тем же правилам. А потом уже можно придумывать разносолы... У меня, например, три разных socks настроены для разных целей )
-
Я вначале прописывал (скопипастив откуда-то), потом оказалось, что и так работает. Во всяких мануалах и примерах могут рассчитывать на установку на комп, где может быть не один сетевой интерфейс, и в общем случае эта настройка может пригодиться. Но не на кинетике, у нас нигде локальный адрес, кажется, указывать не надо.
-
Я этого не говорил. Повторяю другими словами. Базовый конфиг у меня - ленивый в версии Mixed. Т.е. у меня есть типовые inbound "redirect" и "tproxy", есть политика Xkeen, и мобильники включены в неё, т.е. весь трафик с них идёт через xray. Большая часть трафика отправляется напрямую провайдеру, небольшая - на VPS, всё по канону. Но в 03_inbounds.json добавлено подключение socks, как я описал, и это подключение прописано в 05_routing.json в каждом "inboundTag" наравне с "redirect" и "tproxy". Комп, подключенный к кинетику по проводу, НЕ входит в политику Xkeen и НЕ обрабатывается xray автоматически. Но в браузере настроена SOCKS-прокси, и трафик браузера (и только браузера) идёт на xray. А трафик торрентов и всего остального идёт в обход xray. Для мобильников так делать неудобно, потому что в том же приложении Youtube прокси настраивать негде. Можно поставить приложение, которое будет изображать из себя подключение по VPN, пробрасывая трафик на прокси, но я пока что стараюсь избежать установки дополнительных приложений на мобилы, чтоб не усложнять себе администрирование домашнего зоопарка. ЗЫ: невзирая на всё вышесказанное на тему "учитесь, легче будет", мечтаю увидеть какие-нибудь строчки, которые можно выполнить в cli и завернуть подключение по IKEv2 на политику XKeen ))) Но судя по всему, в текущей даже 4.2 это невозможно.
-
Если вы базируете свой конфиг на базе "ленивого", то у вас в каждой секции роутинга (и там, где на VPS, и там где direct, и там, где block) написано одно и то же: "inboundTag": ["redirect", "tproxy"], Входящее по socks должно работать по тем же правилам, что и эти, поэтому такую строчку надо везде заменить на то, что я написал. Это неправильно. Не пытайтесь выкрутиться копипастой, лучше разберитесь. На самом деле, конфигурирование xray - штука очень простая. Для меня, например, там самое сложное было - это правильно описать исходящее соединение, которого у меня в формате конфига JSON не было. Мой конфиг уже перенос "ленивый", я им вас только запутаю.
-
Если по ленивой инструкции, то у вас для режима Mixed первыми идут инбаунды "redirect" и "tproxy", они, насколько я помню, должны быть первыми и с такими именами, чтобы xkeen их опознал и настроил правила для них. А вот третьим я втыкаю этот "socks". Называть (т.е. tag ставить) его можно как угодно, xkeen его никак особо не обрабатывает, насколько я понимаю.
-
Скорее всего, не работает тогда правило. Это опять же по логам можно понять. В конце концов, не зря хозяева VPN-ов всегда жалуются, что торрентовый траффик на 100% опознать невозможно, типа, в протоколе многое сделано, чтоб мимикрировать под всякое. Я именно поэтому сделал так, чтобы торренты вообще на опознание в xray не ходили, у меня проц дохлый, куда ему ещё...
-
По их английскому гайду. 03_inbounds.json: { "tag": "socks", "port": 25344, "protocol": "socks", "sniffing": { "enabled": true, "routeOnly": true, "destOverride": ["http","tls"] } } 05_routing.json: "inboundTag": ["redirect", "tproxy", "socks"], Всё. Никакого клиента socks в кинетике ставить не надо. У socks можно добавить логин-пароль, но без примочек сверху тот же фаерфокс в это не умеет, да и у меня оно наружу не выставлено, не надо.
