маршрутизация Xkeen

[VT-i]

1 час назад, Skrill0 сказал:

Доброго Вам вечера!

Похоже, что у Вас по какой-то причине установилась версия 1.7.5. 

Такая ошибка иногда встречается, но ее причину не удалось отловить.

Проверить можно командой:

xray -version

Возможное исправление:

xkeen -rx

Добрый вечер!

Действительно, установлена старая версия: Xray 1.7.5.

Вероятно новая не ставится из-за отсутствия достаточного места на внутренней памяти в процессе распаковки.

Можете поделиться ссылкой на репозиторий откуда xkeen скачивает последние версии?

Я положу вручную свежую версию без переустановки. Архитектура mips32.

[beubasser]

1 hour ago, VT-i said:

Добрый вечер!

Действительно, установлена старая версия: Xray 1.7.5.

Вероятно новая не ставится из-за отсутствия достаточного места на внутренней памяти в процессе распаковки.

Можете поделиться ссылкой на репозиторий откуда xkeen скачивает последние версии?

Я положу вручную свежую версию без переустановки. Архитектура mips32.

https://github.com/XTLS/Xray-core/releases

[VT-i]

Обновился до версии 1.8.7.

Со стороны клиента теперь посыпались ошибки вида:

[Warning] [2476795358] app/proxyman/outbound: failed to process outbound traffic > proxy/vless/outbound: failed to find an available destination > common/retry: [tls: first record does not look like a TLS handshake] > common/retry: all retry attempts failed
[Info] [2476795358] app/proxyman/inbound: connection ends > proxy/dokodemo: connection ends > proxy/dokodemo: failed to transport response > io: read/write on closed pipe

Со стороны сервера:

[Info] transport/internet/tcp: REALITY: processed invalid connection
REALITY remoteAddr: X.X.X.X:49606        hs.c.handshakeStatus: false

На сервере и клиенте версии одинаковые. Никак не хотят взлетать😔

[beubasser]

24 minutes ago, VT-i said:

Обновился до версии 1.8.7.

Со стороны клиента теперь посыпались ошибки вида:

[Warning] [2476795358] app/proxyman/outbound: failed to process outbound traffic > proxy/vless/outbound: failed to find an available destination > common/retry: [tls: first record does not look like a TLS handshake] > common/retry: all retry attempts failed
[Info] [2476795358] app/proxyman/inbound: connection ends > proxy/dokodemo: connection ends > proxy/dokodemo: failed to transport response > io: read/write on closed pipe

Со стороны сервера:

[Info] transport/internet/tcp: REALITY: processed invalid connection
REALITY remoteAddr: X.X.X.X:49606        hs.c.handshakeStatus: false

На сервере и клиенте версии одинаковые. Никак не хотят взлетать😔

Проверьте чтобы настройки в конфиге клиента и сервера совпадали, в частности encryption, flow, id, publicKey, fingerprint, serverName, shortId и spiderX.

Мой outbounds на клиенте:

Spoiler

{
  "outbounds": [
    {
      "domainStrategy": "UseIPv4",
      "protocol": "vless",
      "settings": {
        "vnext": [
          {
            "address": "X.X.X.X",
            "port": 443,
            "users": [
              {
                "encryption": "none",
                "flow": "xtls-rprx-vision",
                "id": "29917268-09b0-46f8-834b-a60ff6925734"
              }
            ]
          }
        ]
      },
      "streamSettings": {
        "network": "tcp",
        "security": "reality",
        "realitySettings": {
          "publicKey": "nMKOFMQDf6Ut74eEpuRyxq40ivemWEt4oLe8K8XbL18",
          "fingerprint": "firefox",
          "serverName": "google.com",
          "shortId": "5171500c",
          "spiderX": "/"
        }
      },
      "tag": "proxy"
    }
  ]
}

 

На сервере:

Spoiler

 

Edited February 4 by beubasser

[beubasser]

3 hours ago, VT-i said:

Запустил через Mixed. Сайты, которые должны работать напрямую через провайдера - работают.

Те, что должны идти через VPS не работают, в логах ошибка: app/proxyman/outbound: failed to process outbound traffic > proxy/vless/outbound: XTLS only supports TCP, mKCP and DomainSocket for now.

Со стороны VPS ошибка:

xray[18821]: REALITY remoteAddr: Х.Х.Х.Х:57358        hs.c.handshakeStatus: false
xray[18821]: [Info] transport/internet/tcp: REALITY: processed invalid connection

Не могу понять в чём дело, все ключи/пароли перепроверил.

И ещё тут, в логах буквально говорится "XTLS пока поддерживает только TCP, mKCP и DomainSocket". Значит, Вы на клиенте указали что-то другое вместо TCP, mKCP или DomainSocket. Используйте TCP.

Неправильно:

Spoiler

{
  "outbounds": [
    {
      "streamSettings": {
        "network": "quic", // или любое другое
        "security": "reality",
        "realitySettings": {
          ...
        }
      }
    }
  ]
}

 

Правильно:

Spoiler

{
  "outbounds": [
    {
      "streamSettings": {
        "network": "tcp", // самый поддерживаемый вариант
        "security": "reality",
        "realitySettings": {
          ...
        }
      }
    }
  ]
}

Опять же, должно соответствовать с сервером. На нём тоже надо поменять на TCP.

Edited February 4 by beubasser

[Илья Хрупалов]

В связи с https://www.rbc.ru/technology_and_media/05/02/2024/65c100119a79470206469b9e прошу участников этой и похожих тем вести обсуждение, максимально избегая чувствительных ключевых слов. Иначе теме в любой момент придется переезжать куда-то еще.

(Можно даже по-доброму сигналить админам, если кто-то из пользователей допустил слишком открытое упоминание. Чтобы оперативно поправили.)

[Skrill0]

2 часа назад, Илья Хрупалов сказал:

В связи с https://www.rbc.ru/technology_and_media/05/02/2024/65c100119a79470206469b9e прошу участников этой и похожих тем вести обсуждение, максимально избегая чувствительных ключевых слов. Иначе теме в любой момент придется переезжать куда-то еще.

(Можно даже по-доброму сигналить админам, если кто-то из пользователей допустил слишком открытое упоминание. Чтобы оперативно поправили.)

Доброго Вам вечера)

Благодарю!)
Добавила соответствующие предупреждения в шапку темы.
Постараемся избегать подобного)

[VT-i]

В 04.02.2024 в 23:13, VT-i сказал:

[Warning] [2476795358] app/proxyman/outbound: failed to process outbound traffic > proxy/vless/outbound: failed to find an available destination > common/retry: [tls: first record does not look like a TLS handshake] > common/retry: all retry attempts failed

Такая ошибка возникает из-за того, что сервер с Reality ссылается на подменный сайт, который не поддерживает TLSv3.

[Arabezar]

В 01.02.2024 в 11:10, Skrill0 сказал:

Нужно просто подставить данные своего сервера в конфиг outbounds

Это к серверу ShadowSocks тоже относится? Вот так просто?

А добавлять/исключать сайты тоже просто как в Квасе?

И, как всегда, разумеется пытаюсь найти преимущества текущего подхода (над Квасом). Сейчас я вижу как минимум то, что списки сайтов более полные, не приходится самому их создавать. А ещё говорят, что XRay - более защищённая среда. Поэтому я бы всё же попробовал XKeen, если б была ясна/проста процедура установки/настройки.

В 01.02.2024 в 12:19, Skrill0 сказал:

Видео уже есть от Skride. 
Только смонтировать надо)

Скоро будет)

Ждёмс... Было бы реально круто! Но видео уже сейчас пойду изучать.

В 01.02.2024 в 11:36, NoAdO сказал:

Что касается телефона вне локальной сети, у меня белый IP и есть доменное имя, так что полученный сертификат добавлен в AGH и порт 853 открыт на роутер, что позволяет вписать доменное имя в строку "частный DNS сервер" прямо в настройках Android и получать данные так.

О, как! Я чёт даже не подумал, что так можно сделать без всяких VPN до роутера! Надо попробовать!

[VT-i]

.

Edited February 8 by VT-i

[Marassa]

В 06.02.2024 в 14:33, Arabezar сказал:

А добавлять/исключать сайты тоже просто как в Квасе?

На мой взгляд гораздо проще. Насколько помню, в Квасе для просмотра "белого списка" нужно выполнять команду в консоли, для удаления/добавления доменов/адресов тоже. Здесь все списки (их может быть много, например для разных серверов/протоколов) лежат в файле routing.json, просто редактируете его, рестартуете xray одной командой, и всё.

PS Добавлю небольшой лайфхак прямо сюда, чтобы не зафлуживать тему. Если Вы так же ленивы, как и я, и Вас гнетёт необходимость запускать xkeen -restart после каждого изменения конфигурационных файлов, делай раз-два-три:

Скрытый текст

1. Ставим из entware утилиту incron:

opkg install incron

2. Создаём файл /opt/etc/incron.d/root, содержащий одну строчку:

/opt/etc/xray/configs IN_MODIFY xkeen -restart

3. Запускаем incrond (или можно просто перезагрузить роутер, при каждой загрузке оно будет грузиться само):

/opt/etc/init.d/S12incron start

Всё. Теперь после любого изменения любого файла в директории /opt/etc/xray/configs будет автоматически выполняться команда xkeen -restart.

ОСТОРОЖНО: Если Вы имеете обыкновение быстро-быстро править файл за файлом, то возможно xkeen -restart будет запускаться, не дождавшись завершения предыдущей команды, что теоретически может привести к непредсказуемым последствиям.

 

Edited February 8 by Marassa

[Tano]

Всем доброго вечера, есть идея входит в админку роутеров без белого IP через реверс прокси, я так понял, что XRAY это умеет. Может есть уже опыт настройки, не поделитесь готовыми конфигами.

У меня на VPS стоит 3X-UI и на той стороне через веб панель можно настроить PORTAL, осталось осилить BRIDGE на роутере. Спасибо.

[VT-i]

Всем привет!

Может кто-нибудь объяснить как пользоваться ext:geoip_v2fly.dat или ext:geosite_v2fly.dat? Чем они отличаются и как посмотреть весь список их содержимого?

Например:

ext:geosite_v2fly.dat:whatsapp

ext:geosite_v2fly.dat:adobe

ext:geosite_v2fly.dat: что ещё там есть, как посмотреть?

Есть ли такие списки по странам?

Edited February 9 by VT-i

[jameszero]

11 минуту назад, VT-i сказал:

ext:geosite_v2fly.dat:whatsapp

ext:geosite_v2fly.dat:adobe

ext:geosite_v2fly.dat: что ещё там есть, как посмотреть?

https://github.com/v2fly/domain-list-community/blob/master/data/whatsapp

https://github.com/v2fly/domain-list-community/blob/master/data/adobe

https://github.com/v2fly/domain-list-community/blob/master/data/

[VT-i]

.

Edited February 9 by VT-i

[maxsmeller]

Объективно: инструкция - полная ерунда, прочитали с коллегой 2 раза шапку, поняли - ничего. Настроить не смогли. Уровень вхождения очень высокий, надо понимать многие вещи, даже не скажу какие, т.к. я даже не понял в чем разобраться, чтобы начать разбираться. Было бы неплохо написать инструкцию так, чтобы человек с 0 мог настроить базу и дальше разбираться и уже вникать. А так - только для сетевых инженеров. Какая то высшая математика.

[Mamay]

3 часа назад, maxsmeller сказал:

 чтобы человек с 0 мог настроить базу и дальше разбираться и уже вникать. А так - только для сетевых инженеров. Какая то высшая математика.

То есть нужна инструкция, которая сначала научит человека читать и писать, и только тогда он поймёт? Вы в здравом уме? Это технический форум. Здесь нет домохозяек, обсуждающих макраме.

3 часа назад, maxsmeller сказал:

Объективно: инструкция - полная ерунда, прочитали с коллегой 2 раза шапку, поняли - ничего. 

Это называется неблагодарность. Человек создал ПО, а вы, в силу своего скудоумия ещё и ерундой называете. Стыдно должно быть вам.

[UnFear TARANTULA]

4 часа назад, maxsmeller сказал:

Объективно: инструкция - полная ерунда, прочитали с коллегой 2 раза шапку, поняли - ничего. 

На самом деле я даже соглашусь. К слову, я сам настроил, хоть и не без помощи коллег и более внятный мануал действительно не помешал бы, где по шагам все расписано понятным для ширкого круга языком. Написать его не сложно, только время нужно )

[Mamay]

18 минут назад, UnFear TARANTULA сказал:

На самом деле я даже соглашусь.

Ну уж коли вы согласны, да ещё прошли самостоятельно путь самурая - напишите! Избавьте творца от рутины. Пусть он дальше усовершенствует ПО.

[Alexey77]

7 часов назад, maxsmeller сказал:

Объективно: инструкция - полная ерунда, прочитали с коллегой 2 раза шапку, поняли - ничего.

Добрый день. Сейчас в шапке собрана вся необходимая информация. Раньше когда не было этой темы приходилось всё искать самому вот где было трудно. Если вы не можете понять шапку вам ещё рано использовать xkeen. Если не можете сами просите за донат что бы вам настроили. 

Edited February 11 by Alexey77
Дополнил

[UnFear TARANTULA]

2 часа назад, Mamay сказал:

Ну уж коли вы согласны, да ещё прошли самостоятельно путь самурая - напишите! Избавьте творца от рутины. Пусть он дальше усовершенствует ПО.

Да я не против, ранее писал подобные мануалы. Но, как и написал выше - нужно время выделить, а его, как водится, нет.

[akelboy]

В 11.02.2024 в 11:23, Mamay сказал:

Ну уж коли вы согласны, да ещё прошли самостоятельно путь самурая - напишите! Избавьте творца от рутины. Пусть он дальше усовершенствует ПО.

Так автор знает больше, она и должна написать. Вот честно, инструкция похожа на старый фельетон в исполнении Винокура и Оганезова: "Здесь играем, здесь не играем, переворачиваем - играем, здесь не играем. А здесь рыбу заворачивали.".

Может стоит вложенность пересмотреть и написать для всё для одного метода, потом для другого. Или сделать относительные ссылки, если движок форума позволяет, мол дальше сюда. Считаю необходимым какое-то вводное слово. У кого завёрнут судак - сюда, у кого щука - сюда.

[Deepcrasher]

37 минут назад, akelboy сказал:

... она и должна написать...

А вот с этого места поподробнее, кому, что и за что должна автор?

[akelboy]

18 минут назад, Deepcrasher сказал:

А вот с этого места поподробнее, кому, что и за что должна автор?

 

57 минут назад, akelboy сказал:

Так автор знает больше

 

[Arabezar]

53 минуты назад, akelboy сказал:

она и должна написать

В корне неправильная позиция. Автор уже крута в том, что заставила это всё работать, к тому же ещё и объяснила, как настроить... Да, на своём языке (хоть он для меня и близок к птичьему, но это моя проблема), но объяснил!

Друзья, не надо спорить по этому поводу, все мы в конце концов в одной лодке.

Делаем и помогаем все, - кто что может. Думаю, рано или поздно найдётся человек, который опишет процедуру более простым языком, и это будет реальной помощью обычным людям в приобщении к более глубоким знаниям, не так хорошо знакомым со специфическими знаниями. Мы обязательно научиммся, дайте нам шанс ))

[Mamay]

1 час назад, Arabezar сказал:

Мы обязательно научиммся, дайте нам шанс ))

Позиция ребят чуть выше понятна, что аж специально зарегистрировались, для того чтобы донести свою мысль.

Но и позиция автора крайне проста. Проблемы индейцев, шерифа не волнуют, так как автор никому ничего тут не должен.

1 час назад, Arabezar сказал:

Друзья, не надо спорить по этому поводу, все мы в конце концов в одной лодке.

Так плывите тихонечко сидючи, не поливая говном имярек. Весь сыр бор именно из-за этого: Я в этом ничего не понимаю - сделайте мне быстро пребыстро хорошо. Это так не работает!

Edited February 12 by Mamay

[Yevrashka]

3 часа назад, akelboy сказал:

Может стоит вложенность пересмотреть и написать для всё для одного метода, потом для другого.

В инструкции и так вложенность именно такая как вы хотите. Режим работы и под ним варианты конфигов. Может просто стоит перечитать ПОСЛЕДОВАТЕЛЬНО и вдумчиво..

[Skrill0]

Всем доброго вечера!

Вышло обновление 1.0.9

Журнал

Скрытый текст

Добавлено
Общий режим для всего роутера  |  Beta

Исправлено

1. Появление скрытых файлов в конфигурациях
2. Гостевые сети
3. Клиенты из других подсетей

Улучшено

1. Определение IP
2. Режимы TProxy и Mixed | Теперь обязателен модуль socket
3. Работа с DNS запросами
4. Конфигурации из стандартных комплектаций
5. Конфигурации из шапки темы

Как использовать общий режим

Скрытый текст

Достаточно удалить политику «XKeen» и выбранные порты.
В таком случае будет настроена работа для всего роутера.

Также это значит, что IKEv2 и SSTP вновь актуальны.

Где получить модуль socket для TProxy и Mixed

Скрытый текст

Он находится в компоненте роутера «Модули ядра Netfilter». 
Компонент появится только в случае установки IPv6.

Как и раньше, после установки можно выполнить

xkeen -modules

А затем удалить эти компоненты.

Какие изменения внесены в конфигурации

Скрытый текст

02_transport.json
domainStrategy заменена на AsIs для работы с routeOnly

03_inbounds.json
Добавлен параметр routeOnly.
Использовать, если есть уверенность, что DNS запрос будет разрешен корректно.
Выполняет маршрутизацию только по доменному имени, не сопоставляя параллельно IP адреса.
Иными словами при использовании нормальных DNS-провайдеров параметр рекомендован к использованию.
В связке с AsIs позволяет избежать избыточных разрешений экономя ресурсы системы.

Убран Sniffing из TProxy | Mixed для UDP.
С новыми правилами XKeen он не требуется и отнимает ресурсы системы.

Убраны listen за ненадобностью из всех режимов.

Упрощенная справка по параметру domainStrategy

Скрытый текст

Существуют 3 режима

1. AsIs  |  GeoIP не работают
   Для маршрутизации используется только доменное имя.
   Xray захватывает доменное имя, на которое Вы пытаетесь перейти и сопоставляет его со списком Routing. 
    
2. IPIfNonMatch
   Для маршрутизации используется доменное имя, в случае его отсутствия в Routing IP адрес.
   Xray захватывает доменное имя, на которое Вы пытаетесь перейти, сопоставляет его со списком routing. 
   В случае отсутствия этого доменного имени, выполняет разрешение в IP адрес и повторно проверяется на совпадение со списком Routing.
    
3. IPOnDemand
   Для маршрутизации используется доменное имя, но если в Routing есть GeoIP | IP | CIDR, оно будет сразу разрешено в IP и проверка на совпадение будет идти по нему.

Обновиться можно командой

xkeen -uk

Откатиться на предыдущую версию можно командой

xkeen -kbr

В случае возникновения проблем, пожалуйста, присылайте файл диагностики

xkeen -diag

Внимание
     В файле содержится Ваш IP адрес. Можно присылать в личные сообщения.

Пожалуйста, тестируйте, и отпишитесь о результатах)

Edited February 13 by Skrill0

[Kirill1]

Всем привет!

Не очень понял момент: возможно ли весь трафик определенных IP адресов прокинуть через xkeen (vless) без использования прокси в админке роутера?

Ситуация такая: весь трафик идет через несколько разных Wireguard туннелей, настроенных на самом роутере с нужными мне политиками, маршрутами и пр. Я бы хотел сохранить такую конфигурацию не тронутой.

Далее, необходимо весь трафик этих Wireguard туннелей (IP не меняются) направить на xkeen.

Сейчас такое без проблем можно пробросить на PPTP, L2TP, OpenVPN и прочие соединения через маршрутизацию и если не ставлю галочку "использовать для выхода в интернет". Но никак не могу сообразить, как это реализовать на xkeen (трафик просто не идет, хотя настраивал по инструкциям).

Спасибо!

[Neytrino]

А если оно вот так?