маршрутизация Xkeen

[x-tropic]

@ImmortAlex, добрый день! То есть, для того чтобы xkeen не обрабатывал bittorrent, достаточно вот такой заглушки?

      {
        "inboundTag": ["redirect", "socks"],
        "protocol": ["bittorrent"],
        "outboundTag": "direct",
        "type": "field"
      },

 

[ImmortAlex]

6 minutes ago, x-tropic said:

для того чтобы xkeen не обрабатывал bittorrent, достаточно вот такой заглушки

Я этого не говорил.

Повторяю другими словами.

Базовый конфиг у меня - ленивый в версии Mixed. Т.е. у меня есть типовые inbound "redirect" и "tproxy", есть политика Xkeen, и мобильники включены в неё, т.е. весь трафик с них идёт через xray. Большая часть трафика отправляется напрямую провайдеру, небольшая - на VPS, всё по канону.

Но в 03_inbounds.json добавлено подключение socks, как я описал, и это подключение прописано в 05_routing.json в каждом "inboundTag" наравне с "redirect" и "tproxy".

Комп, подключенный к кинетику по проводу, НЕ входит в политику Xkeen и НЕ обрабатывается xray автоматически. Но в браузере настроена SOCKS-прокси, и трафик браузера (и только браузера) идёт на xray. А трафик торрентов и всего остального идёт в обход xray.

Для мобильников так делать неудобно, потому что в том же приложении Youtube прокси настраивать негде. Можно поставить приложение, которое будет изображать из себя подключение по VPN, пробрасывая трафик на прокси, но я пока что стараюсь избежать установки дополнительных приложений на мобилы, чтоб не усложнять себе администрирование домашнего зоопарка.

 

ЗЫ: невзирая на всё вышесказанное на тему "учитесь, легче будет", мечтаю увидеть какие-нибудь строчки, которые можно выполнить в cli и завернуть подключение по IKEv2 на политику XKeen ))) Но судя по всему, в текущей даже 4.2 это невозможно.

Edited September 5 by ImmortAlex

[Kazantsev]

27 минут назад, ImmortAlex сказал:

подключение прописано в 05_routing.json в каждом "inboundTag" наравне с "redirect" и "tproxy".

нужно ли ещё прописать listen или без него в inbounds?

Edited September 5 by Kazantsev

[ImmortAlex]

8 minutes ago, Kazantsev said:

нужно ли ещё прописать listen или без него в inbounds?

Я вначале прописывал (скопипастив откуда-то), потом оказалось, что и так работает.

Во всяких мануалах и примерах могут рассчитывать на установку на комп, где может быть не один сетевой интерфейс, и в общем случае эта настройка может пригодиться. Но не на кинетике, у нас нигде локальный адрес, кажется, указывать не надо.

Edited September 5 by ImmortAlex

[Kazantsev]

14 минуты назад, ImmortAlex сказал:

Я вначале прописывал (скопипастив откуда-то), потом оказалось, что и так работает.

Во всяких мануалах и примерах могут рассчитывать на установку на комп, где может быть не один сетевой интерфейс, и в общем случае эта настройка может пригодиться. Но не на кинетике, у нас нигде локальный адрес, кажется, указывать не надо.

кажется я понял с socks, нужно так сделать во всех правилах роутинга или нет? добавить к inbound tag socks? 

Edited September 5 by Kazantsev

[ImmortAlex]

16 minutes ago, Kazantsev said:

нужно так сделать во всех правилах роутинга или нет? добавить к inbound tag socks?

Именно так! И тогда у вас то приложение, которое подключается по socks, будет ходить на vless ровно по тем же правилам.

А потом уже можно придумывать разносолы... У меня, например, три разных socks настроены для разных целей )

[Neytrino]

Kazantsev, "inboundTag" - это откуда (из какого входного соединения) пойдёт трафик. Если стоят квадратные скобки и внутри перечислены теги (через запятую) - это список (чтобы не писать одинаковые правила, можно написать одно для первого, второго, третьего ... n'ного тега входного соединения). У каждого подключения в инбаундс - есть поле "tag" (вот это они и есть, по ним они и различаются)

"outboundTag" - это выходное подключение (куда (по данному правилу) пойдёт трафик с входных соединений). В аутбаундс у подключений - тоже есть tag'и...

[ImmortAlex]

Я тут обнаружил, что, кажись, имена в inboundTag воспринимаются не по полному совпадению, а по подстроке. Нигде не нашёл этого в документации (или глаз замылился), но иначе происходящее объяснить не могу.

Т.е. если у меня есть инбаунды с именами "socks", "socks-2", "socks-3", то если я напишу в роутинге

"inboundTag": "socks"

они все три попадут в этот роутинг. На outboundTag это, ясно дело, не работает, там полное совпадание ищется.

Я про такое читал только в описании балансировщика.

[Kazantsev]

43 минуты назад, ImmortAlex сказал:

"inboundTag": "socks"

сделал вроде как, теперь что дальше? создать подключение 3xUI или что вообще по настройкам? про создание socks в кинетике так и не понял, надо его устанавливать или что?

[jameszero]

8 часов назад, hellog888 сказал:

infra/conf: Failed to build REALITY config. > infra/conf: empty "publicKey"

Добрый день!

Вы не внесли данные своего сервера в файл outbounds.json.

Сообщение "Отсутствует политика «XKeen» в Web роутера. Не определены целевые порты для XKeen. Клиент xray будет запущен для всего устройств" это не ошибка, а один из режимов работы xkeen. Подробнее о режимах работы и как их настраивать смотрите в инструкции.

[Dmitrii_S]

Установил, настроил, , создал политику, на локальных все работает, все нравится. А как сделать так, чтобы устройства, подключенные через wireguard к кинетику тоже дальше маршрутизировались через xkeen? 

[ImmortAlex]

1 hour ago, Kazantsev said:

создать подключение 3xUI или что вообще по настройкам?

А вы, получается, начали с клиентской стороны, не создав ещё себе сервера?

[ImmortAlex]

14 minutes ago, Dmitrii_S said:

А как сделать так, чтобы устройства, подключенные через wireguard к кинетику тоже дальше маршрутизировались через xkeen? 

Буквально вчера было описание, на предыдущей странице этой темы.

[Kazantsev]

11 минуту назад, ImmortAlex сказал:

создав ещё себе сервера

Создал, но vless у меня в 3x ui, а надо дополнительно ещё socks подключение создать, так?

Edited September 5 by Kazantsev

[ImmortAlex]

10 minutes ago, Kazantsev said:

Создал, но vless у меня в 3x ui, а надо дополнительно ещё socks подключение создать, так?

Нет. Вы путаете inbounds и outbounds. Ну, как будто по-прежнему не понимаете принципа работы xray.

Вы на VPS создаёте подключение, которое затем прописываете в outbounds, т.е. настраиваете xray на кинетике на подключение к VPS.

В inbounds у вас прописаны способы подключения клиентов xray, которые знать ничего не знаю про то, куда эти соединения уходят дальше.

[Kazantsev]

57 минут назад, ImmortAlex сказал:

Нет. Вы путаете inbounds и outbounds. Ну, как будто по-прежнему не понимаете принципа работы xray.

Вы на VPS создаёте подключение, которое затем прописываете в outbounds, т.е. настраиваете xray на кинетике на подключение к VPS.

В inbounds у вас прописаны способы подключения клиентов xray, которые знать ничего не знаю про то, куда эти соединения уходят дальше.

вот и вот, и ещё вот, что ещё не сделал? у меня vless надо создавать клиента в x3ui или всё? настройка завершена?

Edited September 5 by Kazantsev

[ImmortAlex]

10 minutes ago, Kazantsev said:

у меня vless надо создавать клиента в x3ui или всё? настройка завершена?

Да.

[Kazantsev]

44 минуты назад, ImmortAlex сказал:

Да.

добавить подключение socks в x3 ui и установить прокси клиент в кинетике socks? просто видел что нужно установить ещё прокси клиент на кинетик
пароль нужно делать в x3 ui для socks?

Edited September 5 by Kazantsev

[x-tropic]

Нужно сделать так, чтобы один из доменов открывался используя другой DNS. Видел что это можно сделать через ADH. А средствами xray это возможно?

Не актуально.

Edited September 5 by x-tropic

[ImmortAlex]

2 hours ago, Kazantsev said:

добавить подключение socks в x3 ui

Ещё раз - не надо никакого socks на стороне VPS, это чисто тема роутера. Ваш xray на кинетике общается в VPS по протоколу vless и никак иначе. Ваш клиент (комп, мобила) может общаться с xray на кинетике по протоколу socks. А может - через redirect+tproxy (напрямую, неявно, прозрачно), это как вы его настроите.

Я вообще уже не понимаю - зачем вам socks, что вы к нему привязались, не настроив ещё даже базовое соединение?

 

2 hours ago, Kazantsev said:

видел что нужно установить ещё прокси клиент на кинетик

Не обязательно. Прокси клиент в кинетике работает как нахлобучка поверх socks в xray, чтобы вы могли эту проксю привязать к политике Xkeen. Т.е. там на вкладке, где клиенты к политикам привязываются, у вас помимо обычных железок (компов, мобил) будет указан "клиент прокси" (или как-то так, я сам живьём никогда не видел). Вероятно, это для чего-то нужно, но я не понял для чего, у меня браузер просто к самому xray неплохо подключается, без прокладок.

[Kazantsev]

17 минут назад, ImmortAlex сказал:

базовое

что подразумевается под базовым соединением? vless в 3x ui у меня работает, в xkeen тоже, если это имеется ввиду
что нужно делать дальше? я в inbounds скопировал tag с socks, в роутинг добавил "inboundTag": ["redirect", "tproxy", "socks"], как понять теперь что всё работает, объясните уже)

[freshment]

Всем привет!

Подскажите пожалуйста как сделать исключение? У меня установлены все GeoSite по всем источникам, но при этом MS Teams отваливается при попытке соединиться. Как мне вывести Microsoft Teams из-под VPS соединения? Как я понял он прописан в каком-то источнике, а мне это не нужно, мне нужно прямое соединение.
И еще бы сделать так, что бы MS Teams шел напрямую, а Copilot через VPS.

Может кто подскажет?

05_routing.json

[Kazantsev]

23 минуты назад, freshment сказал:

Всем привет!

Подскажите пожалуйста как сделать исключение? У меня установлены все GeoSite по всем источникам, но при этом MS Teams отваливается при попытке соединиться. Как мне вывести Microsoft Teams из-под VPS соединения? Как я понял он прописан в каком-то источнике, а мне это не нужно, мне нужно прямое соединение.
И еще бы сделать так, что бы MS Teams шел напрямую, а Copilot через VPS.

Может кто подскажет?

05_routing.json 2.07 \u041a\u0431 · 0 downloads

у меня предчувствие  что майкрософт тимс идёт через прокси из-за того что он в списке ext:geosite_zkeen.dat:domains там находится майкрософт.com,
попробуй создать правило с // Пойдёт напрямую вне зависимости от правил ниже c microsoft.com 

Edited September 5 by Kazantsev

[freshment]

33 minutes ago, Kazantsev said:

у меня предчувствие  что майкрософт тимс идёт через прокси из-за того что он в списке ext:geosite_zkeen.dat:domains там находится майкрософт.com,
попробуй создать правило с // Пойдёт напрямую вне зависимости от правил ниже c microsoft.com 

Большое спасибо! Если вы имели ввиду закомментировать эту строчку, то я так и сделал - не помогло, все равно идет через VPS
//        "ext:geosite_zkeen.dat:domains",
Если имелось ввиду что-то другое, подскажите пожалуйста что именно

Мне кажется майкрософт.com находится в списке каком-нибудь антизапрете или v2fly или antifilter.

Как действовать не пойму - получается отключать все и в ручном режиме прописывать все в домены самому? Такой только вариант?

Буду очень благодарен за ответы!

[Kazantsev]

31 минуту назад, freshment сказал:

Большое спасибо! Если вы имели ввиду закомментировать эту строчку, то я так и сделал - не помогло, все равно идет через VPS
//        "ext:geosite_zkeen.dat:domains",
Если имелось ввиду что-то другое, подскажите пожалуйста что именно

Мне кажется майкрософт.com находится в списке каком-нибудь антизапрете или v2fly или antifilter.

Как действовать не пойму - получается отключать все и в ручном режиме прописывать все в домены самому? Такой только вариант?

Буду очень благодарен за ответы!

попробуй создать над впн подключением  такое правило  "// Пойдёт напрямую вне зависимости от правил ниже" впиши туда microsoft.com, можешь на всякий случай также вписать teams.live.com, может получится

Edited September 5 by Kazantsev

[freshment]

32 minutes ago, Kazantsev said:

попробуй создать над впн подключением  такое правило  "// Пойдёт напрямую вне зависимости от правил ниже" впиши туда microsoft.com, можешь на всякий случай также вписать teams.live.com, может получится

Большое спасибо, но к сожалению не помогло.
Добавил этот блок в самое начало и в качестве тестового еще добавил instagram.com чтобы было наглядно.
К сожалению Instagram.com идет через VPS вне зависимости от нахождения в этом блоке, с Teams такая же история.

05_routing.json

[Kazantsev]

19 минут назад, freshment сказал:

Большое спасибо, но к сожалению не помогло.
Добавил этот блок в самое начало и в качестве тестового еще добавил instagram.com чтобы было наглядно.
К сожалению Instagram.com идет через VPS вне зависимости от нахождения в этом блоке, с Teams такая же история.

05_routing.json 2.3 \u041a\u0431 · 0 downloads

странно...
я загрузил себе твой конфиг, в инсту сразу же перестало заходить, в error.log домен "teams.live.com" идёт через моего домашнего провайдера
 xkeen -restart сделали в entware? если не сделать, то конечно же будет пускать

Edited September 5 by Kazantsev

[freshment]

24 minutes ago, Kazantsev said:

странно...
я загрузил себе твой конфиг, в инсту сразу же перестало заходить, в error.log домен "teams.live.com" идёт через моего домашнего провайдера

А может у меня с Outbound или Inbound что-то не так... Иначе даже не пойму куда копать
Может мне нужно отключить (удалить) все GeoSite и GeoIp

 

Edited September 5 by freshment

[freshment]

18 minutes ago, Kazantsev said:

странно...
я загрузил себе твой конфиг, в инсту сразу же перестало заходить, в error.log домен "teams.live.com" идёт через моего домашнего провайдера
 xkeen -restart сделали в entware? если не сделать, то конечно же будет пускать

Хотя да, вы правы - Instagram.com работает, идет напрямую, Теперь и microsoft.com идет напрямую. 
А вот MS Teams у меня все еще идет через VPS т.е. этих двух доменов недостаточно (teams.live.com / microsoft.com). Надо мне еще что-то добавлять.

Я на всякий случай сломал microsoft.com в файле geosite_zkeen.dat изменив последнюю букву на p

Спасибо вам огромное!!!
Хотя цели я и не достиг, буду экспериментировать с доменами, чтобы еще туда добавить...

[Kazantsev]

11 минуту назад, freshment сказал:

Хотя да, вы правы - Instagram.com работает, идет напрямую, Теперь и microsoft.com идет напрямую. 
А вот MS Teams у меня все еще идет через VPS т.е. этих двух доменов недостаточно (teams.live.com / microsoft.com). Надо мне еще что-то добавлять.

Я на всякий случай сломал microsoft.com в файле geosite_zkeen.dat изменив последнюю букву на p

Спасибо вам огромное!!!
Хотя цели я и не достиг, буду экспериментировать с доменами, чтобы еще туда добавить...

Есть ещё вариант прописать весь Майкрософт в прямые подключения вбив "ext:geosite_v2fly.dat:microsoft