маршрутизация Xkeen

[mr.robot]

7 hours ago, NoAdO said:

Логика работы в том, что AGH заменяет родной DNS сервер, то есть клиенты локальной сети всё так же работают с *.1 и внутри локалки это нешифрованные запросы. Сам AGH же имеет в основном списке серверов исключительно DoT, DoH вышестоящие серверы, нешифрованный DNS запрос идёт только к bootstrap серверам чтобы выяснить на каких IP живут DoH/DoT.

Спасибо за разъяснение))

Задача, как раз чтобы провайдер в рамках домашней сети, как раз не перехватывал. Я поставил AGH в Entware, есть ли смысл в настройках роутера отключать:
1. Отключать ДНС сервер от провайдера в интернет-фильтрах? 
2. Игнорировать ДНС в настройках подключения активировать?

Насколько я понимаю он автоматически уже переадресовывает все запросы на AGH, так как при настройке штатный отключается.

7 hours ago, NoAdO said:

Что касается телефона вне локальной сети, у меня белый IP и есть доменное имя, так что полученный сертификат добавлен в AGH и порт 853 открыт на роутер

В топике про AGH пишут, что нет смысла шифровать и так мол никаких проблем не будет. Но я тут неуверен, так как слабо разбираюсь в теме. Буду рад вашему комментарию.

Правильно ли я понял, что домен у вас не сервисный от кинетика прикручен к роутеру?

[NoAdO]

1 час назад, mr.robot сказал:

Я поставил AGH в Entware, есть ли смысл в настройках роутера отключать

По идее это не важно. Если все клиенты получают по параметрам сети IP роутера как DNS сервера, DNS сервером работает AGH а у него свой список куда стучаться, кто будет использовать эти неотключённые провайдерские сервера? Ради интереса отключил DNS провайдера в интернет-фильтрах - не изменилось вообще ничего. Если нет ни одного DNS там то AGH не резолвит ничего. Непонятно, как это связано, как будто транспорт запросов запрещается, но если есть хоть одна запись то резолвится по моим спискам вышестоящим, проверял на тех ресурсах которые у себя РФ забанили через DNS.

E билайна при смене оборудования нужно зайти по адресу internet.beeline.ru который провайдерский DNS раздаёт из внутренних. Придётся позвонить и IP спросить при смене роутера. 🙃

Но я не профессионал, могу ошибаться.

1 час назад, mr.robot сказал:

В топике про AGH пишут, что нет смысла шифровать и так мол никаких проблем не будет. Но я тут неуверен, так как слабо разбираюсь в теме. Буду рад вашему комментарию.

Внутри локалки - конечно нет смысла шифровать, мы её считаем достаточно доверенной сетью. А вот снаружи.. в AGH я не нашёл функционала бана клиентов по mac, только по IP. То есть мало того что нешифрованный DNS мне андроид скорее всего не даст прописать, проблема ещё и в том что если кто-то решит использовать мой сервер DNS (в обоих случаях) избавиться я от него могу только сменой моего IP потому что динамику и сотовые сети по айпи банить бесполезно. В общем это какая-то своеобразная паранойя, даже если и подцепится то в DNS сервере ничего нет кроме блокировок, но у меня открыт только 853, через это я вроде как не попадаюсь на поиск DNS серверов по порту..  и меня это устраивает.

1 час назад, mr.robot сказал:

Правильно ли я понял, что домен у вас не сервисный от кинетика прикручен к роутеру?

Верно, и это важно. 853 это DoT или QUIC и для установки шифрованного соединения нужен и домен и сертификат к нему. Но у меня белый IP и A-запись так что всё в порядке.

 

Попутно поделюсь грустью: на моем KN-3810 фактически получается разогнаться только до 150/250 Мбит, при чём как в freedom так и в VPS, дело в скорострельности на этапе роутинга, получается. То есть любой клиент, к которому применена политика в роутере подлежит разбору трафика на предмет того куда его слать дальше и это ограничивает скорость, если я правильно понимаю.

Edited February 1 by NoAdO

[mr.robot]

12 hours ago, NoAdO said:

Верно, и это важно. 853 это DoT или QUIC и для установки шифрованного соединения нужен и домен и сертификат к нему. Но у меня белый IP и A-запись так что всё в порядке.

Извиняюсь за оффтоп. Финализирую обсуждение по AGH. Если я правильно получается примерно следующее: 

Spoiler

Настройка домена

Добавляем A запись dns.site.ru и указываем белый IP адрес роутера

Entware
— Ставим ca-bundle и ca-certificates 
— Настраиваем Nginx для домена dns.site.ru
— Настраиваем Let's Encrypt по инструкции

AdguardHome

— Имя сервера → dns.site.ru
— Добавляем Сертификаты и приватный ключ из Enware

Подскажите, есть ли разница именного для мобильно устройства, где стоит AGH на роутере и vps? 

Edited February 2 by mr.robot
доп.вопрос

[NoAdO]

3 часа назад, mr.robot сказал:

есть ли разница именного для мобильно устройства, где стоит AGH на роутере и vps? 

А чем ваш DNS сервер на роутере или на VPS отличается от любого другого DoT/DoH сервера?) По мне разницы особо нет.

[Fixxxer]

Доброго времени суток! 
Спасибо за проект!
Только знакомлюсь с XRay и есть вопрос. Ограничение по скорости у всех присутствует или только моя проблема? Подскажите куда копать, пожалуйста.
Для теста имеется впн у Fornex. На любом устройстве все ок, спидтест дотягивается до показателей 250-300мб, на Кинетике 25, с трудом 30.
Железка Hopper KN3610
Настроен Redirect через политику доступа.
inbounds взят из мануала в шапке.
outbounds

Скрытый текст

{
    "outbounds": [

        // VPS снаружи РФ
        {
            "tag": "Fornex",    // Название соединения
            "protocol": "vless",
            "settings": {
                "vnext": [
                    {
                        "address": "из настроек",    // IP адрес или доменное имя сервера
                        "port": 143,    // Порт Reality. 443 обязателен
                        "users": [
                            {
                                "encryption": "none",
                                "id": "из настроек"    // ID, присвоенный пользователю на сервере
                            }
                        ]
                    }
                ]
            },
            "streamSettings": {
                "network": "tcp",
                "security": "reality",
                "realitySettings": {
                    "publicKey": "из настроек",    // Public Key, присвоенный пользователю на сервере
                    "fingerprint": "chrome",    // Finger Point, указанный на сервере
                    "serverName": "www.microsoft.com",    // SNI, указанный на сервере
                    "shortId": "из настроек",    // Short ID, присвоенный пользователю на сервере
                    "spiderX": "/"
                },
                "sockopt": {
                    "tcpFastOpen": false,
                    "tcpMptcp": false,
                    "tcpNoDelay": false
                }
            }
        },
    ]
}

 

[jameszero]

@Fixxxer, добрый день! На сайте Fornex, написано, что они предлагают скорость 100Мбс, так что 250-300 у них не утилизируете.

Особой просадки скорости не наблюдаю, провайдер даёт честные 200Мбс, VPS тоже заявлено 200Мбс, но обычно ниже. Скорость через xray 180 загрузка, 160 отдача. Сейчас подключён через tproxy, но и на redirect было +- так же. Роутер Keenetic Viva, примерно аналогичен вашему по производительности.

Выполните оптимизацию сервера по рекомендации @Skrill0

Замерьте скорость интернета на VPS

Почему у вас в outbound три последних параметра false?

[Fixxxer]

@jameszero
У меня не ВПС там, а именно ВПН как услуга. Пока решил потестить именно так. Поэтому оптимизировать я могу только на роутере. 
Три последних параметра в outbound исходя из настроек, которые  даёт Fornex. К слову, при изменении их на true ничего не меняется.
На скрине скорость в данный период времени, при поднятии соединения с компа.

[jameszero]

Посмотрите нагрузку на процессор Кинетика. Если зашкаливает, удалите компонент "Служба классификации трафика", он очень прожорливый.

[Fixxxer]

Хм. Спасибо за совет, убрал. Но ситуация не поменялась. Во время прохода теста ЦП загружается на 95-99. Смотрю на среднюю нагрузку, 2-10. Из домашних никто не нагружает, youtube, spotify. 

[jameszero]

Хотелось бы взглянуть на все ваши конфиги и скриншоты настроек роутера, ибо скорость 25 - 30 и при этом полная загрузка процессора это уж очень странно.

[miksher07]

Падение скорости есть. В телеграм канале это обсуждали. У меня без xkeen скорость 900 туда обратно, после включения устройства в политику  скорость падает до 220 на загрузку и 400 на отдачу (это спидтест не через VPS, а напрямую через моего провайдера), загрузка процессора до 100 доходит. Получается такое вот падение скорости. Много пользователей подтвердило такое поведение.

[jameszero]

Тем более, нужно разобраться, чтобы понять, можно ли это победить. Очевидно, что есть ограничение процессоров и ожидать от Giga, Viva или Hoppera гигабит через xray не стоит, но у человека 20-30Мбс, это совсем печаль.

[VladimirM]

К сожалению одна ссылка больше не работает

https://github.com/schebotar/antifilter-domain/releases/latest/download/geosite.dat

надо бы новое зеркало. или хотя бы старый файл у кого есть выложите - ибо в скрипте обновления ошибка, и файлы заменились на мусор из 9 байт

 

Edited February 3 by VladimirM

[UnFear TARANTULA]

18 часов назад, Fixxxer сказал:

Только знакомлюсь с XRay и есть вопрос. Ограничение по скорости у всех присутствует или только моя проблема? Подскажите куда копать, пожалуйста.
Для теста имеется впн у Fornex. На любом устройстве все ок, спидтест дотягивается до показателей 250-300мб, на Кинетике 25, с трудом 30.
Железка Hopper KN3610
Настроен Redirect через политику доступа.

 

У меня тоже Хоппер, тоже редирект. Впн гигабит в США у Хосткей. Тариф дом.ру 300 мбит. 

Спидтест с рандомным сервером в США - 90мбит
Нперф с рандомным же сервером - 120мбит

PS: упс, у меня 3810

Edited February 3 by UnFear TARANTULA

[Gmarapet]

5 часов назад, VladimirM сказал:

или хотя бы старый файл у кого есть выложите

Пока вот.

Отключите на время обновление geosite и geoip.

Старый репозиторий его хозяин закрыл.Skrill0 обещала в скором времени начать сбор собственной версии антифильтра для обновлений.

geoip_antifilter.dat geosite_antifilter.dat

[LDude]

Хм, опять лыжи не едут. Стоял у меня Xkeen 0.9.9 xray 1.8.4 и  и всё было отлично, кроме UDP. И проц не грузило. Причём с телефона скорость была больше, чем с ноута, странно.

On 1/2/2024 at 10:30 AM, LDude said:

ХЗ, что у него не так, но у меня на том же проце (KN-1910) и с меньшей оперативой около 300 мбит в среднем, зависит от доступа до VPS. Бывает и до 500 доходит.

Да, ещё у меня Wireguard и OVPN подняты для других устройств на этом роутере.

И MESH ещё, ХЗ, влияет ли на проц.

И решил я обновиться UDP ради. Обновился - писец, скорость упала, проц загружен (разные режимы пробовал). Откатил всё обратно (-xb, -kb, -cb). Не особо помогло. Конфиги копировал на ноут перед обновлением, вернул все обратно поверх - неа.

И непонятно, что за ххх. Причём ранее было с ноута 200-300 мбит, через телефон до 500, и проц до 30%. А сейчас с ноута до 150, с телефона до 25!!! (правда телефон сейчас другой, но не в этом дело, думаю), и проц под сотку при тесте скорости, даже когда 25 на телефоне, в проц типа упирается. И пинг в speedtest.net был 80 с чем-то, а сейчас меньше 100 не бывает.

 

PS: Ух ты! Попробовал через другое подключение (Wireguard) скорость потестить - тоже нагрузка на проц более 90%.

Edited February 3 by LDude

[Skrill0]

Всем доброго вечера!

Вышло обновление 1.0.8

Журнал

Скрытый текст

Исправлено

1. Источник GeoIP AntiFilter заменен на собственный
2. Источник GeoSite AntiFilter заменен на собственный

Улучшено

1. Получение портов
2. Получение протоколов
3. Запуск прокси-клиента | Теперь можно подключить больше устройств по Wi-Fi. Для KN-1811 порог увеличился до ~90
4. Получение IP
5. Конфигурации из стандартного комплекта

Добавлено
Конфигурация 06_policy в стандартный комплект

Как использовать Policy

Скрытый текст

Конфигурация избавляющая от простоя соединений.
Стандартное время поддержки соединения, которое не используется: 5 минут.

Policy позволяет сократить его до 30 секунд параметром: 

"connIdle": 30

Иными словами, если Вы не пользуетесь установленным соединением 30 секунд — оно закрывается.

Для использования уровня (level) policy к Вашему подключению нужно его добавить.
VLESS выглядит так:

{
    "vnext": [
        {
            "address": "",    // IP адрес или доменное имя сервера
            "port": 443,      // Порт Reality. 443 обязателен
            "users": [
                {
                    "id": "",    // ID, присвоенный пользователю на сервере
                    "encryption": "none",
                    "flow": "xtls-rprx-vision",
                    "level": 0
                }
            ]
        }
    ]
}

Где "level": 0 — уровень политики.

Обновиться можно командой

xkeen -uk

Откатиться на предыдущую версию можно командой

xkeen -kbr

В случае возникновения проблем, пожалуйста, присылайте файл диагностики

xkeen -diag

Внимание
     В файле содержится Ваш IP адрес. Можно присылать в личные сообщения.

Пожалуйста, тестируйте, и отпишитесь о результатах)

Edited February 3 by Skrill0

[Gmarapet]

45 минут назад, Skrill0 сказал:

Вышло обновление 1.0.8

Добрый вечер.

Больше спасибо!

Обновился.
Файлы с базами GeoSite и GeoIP снова обновляются. Остальное тоже работает хорошо.

Обновление GeoIP или GeoSite при остановленном XKeen после обновления баз запускает XKeen без спросу. ) Наверное так было и раньше, не замечал.

Edited February 3 by Gmarapet

[dogoma]

Цитата

{
    "inbounds": [
        {
            "tag": "redirect",
            "listen": "192.168.1.1",    // IP адрес роутера, через который заходите в Web-интерфейс
            "port": 61219,

Всем привет.

Обновил Xkeen, заодно переконфигурировал на работа в режиме mixed. Соответственно перестали работать (выходить в сеть) клиенты WG подключенные к роутеру, на котором работает Xkeen.

По аналогии с режимом tproxy, прописал и для redirect в "listen" - 0.0.0.0, клиенты WG стали работать.

Соответственно вопрос, важно ли прописывать туда именно 192.168.1.1, везде упоминается именно этот адрес, и комментарий есть.

 

Плюс сейчас смотрел снова все настройки, и так и не понял до конца по поводу правила для Переадресации портов в web-настройках роутера, нужно ли там указывать "Направлять на порт" тот, который указан в Inbounds? Или оставить так же 443.

Так же интересует, если если у меня режим работа Xkeen "3. По выбранным портам", и там 443 и 80 порты, то надо ли добавить правило в Переадресацию портов?

 

 

 

[Skrill0]

1 час назад, dogoma сказал:

Всем привет.

Обновил Xkeen, заодно переконфигурировал на работа в режиме mixed. Соответственно перестали работать (выходить в сеть) клиенты WG подключенные к роутеру, на котором работает Xkeen.

По аналогии с режимом tproxy, прописал и для redirect в "listen" - 0.0.0.0, клиенты WG стали работать.

Соответственно вопрос, важно ли прописывать туда именно 192.168.1.1, везде упоминается именно этот адрес, и комментарий есть.

 

Плюс сейчас смотрел снова все настройки, и так и не понял до конца по поводу правила для Переадресации портов в web-настройках роутера, нужно ли там указывать "Направлять на порт" тот, который указан в Inbounds? Или оставить так же 443.

Так же интересует, если если у меня режим работа Xkeen "3. По выбранным портам", и там 443 и 80 порты, то надо ли добавить правило в Переадресацию портов?

Доброй Вам ночи)

Можно поступить лучше.
Вовсе удалить listen из конфига inbounds как для TProxy, так и для Redirect)

Давно думала так сделать, благодарю за напоминание)

Для TProxy или Mixed теперь нужно только:
1. Перенос SSL от Keenetic на другой порт 
2. Модуль TProxy

Edited February 3 by Skrill0

[Skrill0]

3 часа назад, Gmarapet сказал:

Добрый вечер.

Больше спасибо!

Обновился.
Файлы с базами GeoSite и GeoIP снова обновляются. Остальное тоже работает хорошо.

Обновление GeoIP или GeoSite при остановленном XKeen после обновления баз запускает XKeen без спросу. ) Наверное так было и раньше, не замечал.

Доброй Вам ночи)

Да, так и было раньше.
Чтобы при обновлении ночью Xray сам перезапустился)

Нужно ли добавить проверку текущего статуса в случае обновления?)

[Gmarapet]

13 минуты назад, Skrill0 сказал:

Нужно ли добавить проверку текущего статуса в случае обновления?

Совершенно не приоритетное пожелание. Но, мне кажется, это было бы логично.

Если, конечно, не будет мешать апдейтам.

[VT-i]

Приветствую!

При запуске выдаёт вот такую ошибку:

xkeen -start

  Ошибка:
  Отсутствует политика «XKeen» в Web роутера
  Не определены целевые порты для XKeen
  Клиент xray не будет запущен, пока не будет выполнено хотя бы 1 из условий выше

 

Подскажите, про какие политики и целевые порты речь?

Edited February 4 by VT-i

[Yevrashka]

30 минут назад, VT-i сказал:

Подскажите, про какие политики и целевые порты речь?

Еще раз перечитайте инструкцию, там все написано про создание политики XKeen и включении в нее клиентов. Под заголовком ВАРИАНТЫ РАБОТЫ.

Edited February 4 by Yevrashka

[VT-i]

34 минуты назад, Yevrashka сказал:

Еще раз перечитайте инструкцию, там все написано про создание политики XKeen и включении в нее клиентов. Под заголовком ВАРИАНТЫ РАБОТЫ.

Прочитал в 20-й раз, спасибо, но не понятно!

Какой вариант нужно выбирать если хочу использовать встроенный socks-прокси? Настройки для него будут какие-то отдельные? Хотя настроек то там нет никаких кроме адреса сервера и порта...

[VT-i]

При старте выдаёт такую ошибку:

/opt/etc/xray/configs # xkeen -start
/opt/bin/sh: xray: not found
/opt/bin/sh: xray: not found

Entware установлена на внутреннюю память роутера, соответственно место ограничено. При установке, вероятно не хватет места.

Как указать установщику xkeen временную папку, наподобие: opkg --tmp-dir чтобы скачивание происходило на USB накопитель?

Можно ли настроить скачивание и хранение, например, баз GeoIP или GeoSite на USB?

[Yevrashka]

11 минуту назад, VT-i сказал:

При старте выдаёт такую ошибку:

/opt/etc/xray/configs # xkeen -start
/opt/bin/sh: xray: not found
/opt/bin/sh: xray: not found

Entware установлена на внутреннюю память роутера, соответственно место ограничено. При установке, вероятно не хватет места.

Как указать установщику xkeen временную папку, наподобие: opkg --tmp-dir чтобы скачивание происходило на USB накопитель?

Можно ли настроить скачивание и хранение, например, баз GeoIP или GeoSite на USB?

Уже было у кого-то что места во внутренней памяти не хватало. Ставьте entware на флешку.

[Yevrashka]

26 минут назад, VT-i сказал:

Прочитал в 20-й раз, спасибо, но не понятно!

Какой вариант нужно выбирать если хочу использовать встроенный socks-прокси? Настройки для него будут какие-то отдельные? Хотя настроек то там нет никаких кроме адреса сервера и порта...

Под каждым из 4 режимов работы все описано, и собственно создание политики везде где оно необходимо - идентичное..

Встроенный сокс-прокси вроде с версии 1.0.0 уже не используется..

Edited February 4 by Yevrashka

[VT-i]

Запустил через Mixed. Сайты, которые должны работать напрямую через провайдера - работают.

Те, что должны идти через VPS не работают, в логах ошибка: app/proxyman/outbound: failed to process outbound traffic > proxy/vless/outbound: XTLS only supports TCP, mKCP and DomainSocket for now.

Со стороны VPS ошибка:

xray[18821]: REALITY remoteAddr: Х.Х.Х.Х:57358        hs.c.handshakeStatus: false
xray[18821]: [Info] transport/internet/tcp: REALITY: processed invalid connection

Не могу понять в чём дело, все ключи/пароли перепроверил.

[Skrill0]

35 минут назад, VT-i сказал:

Запустил через Mixed. Сайты, которые должны работать напрямую через провайдера - работают.

Те, что должны идти через VPS не работают, в логах ошибка: app/proxyman/outbound: failed to process outbound traffic > proxy/vless/outbound: XTLS only supports TCP, mKCP and DomainSocket for now.

Со стороны VPS ошибка:

xray[18821]: REALITY remoteAddr: Х.Х.Х.Х:57358        hs.c.handshakeStatus: false
xray[18821]: [Info] transport/internet/tcp: REALITY: processed invalid connection

Не могу понять в чём дело, все ключи/пароли перепроверил.

Доброго Вам вечера!

Похоже, что у Вас по какой-то причине установилась версия 1.7.5. 

Такая ошибка иногда встречается, но ее причину не удалось отловить.

Проверить можно командой:

xray -version

Возможное исправление:

xkeen -rx