маршрутизация Xkeen

[monstrok]

Добрый день! Спасибо за поддержку такой важной, в наше время, темы.

Установил скриптом хкин на свой kn-1810, часть устройств в политике через него идёт, часть мимо. Роутинг сайтов работает, всё хорошо.

Но есть неприятная проблема - в разные промежутки времени (раз в 5...30 минут) обрывается соединение.

Если играть в онлайн игру - теряется соединение с сервером, если звонить по Vo-WiFI - разрывается разговор. Если  смотреть на ТВ "какие-нибудь" стриминговые видео сервисы, то проблема не чувствуется.

До поднятия xkeen на роутере использовал nekobox на компе, там такого эффекта не было, т.е. дело именно в роутере. Это ему не хватает железа, и если поменять роутер на 1811 есть шанс что пройдёт, как думаете?

Читал эту тему, видел про SSH сессии, но мой случай, кажется, другой.

[Rinaldus]

17 часов назад, jameszero сказал:

Добрый день! Вы установили xkeen с использованием не рекомендуемого способа подключения через встроенный socks5-прокси Кинетика по инструкции с постороннего сайта, а с проблемами пришли сюда. Спрашивайте там, где опубликована эта вредная инструкция. Информация по правильной настройке xkeen в первом сообщении этой темы, по ней с удовольствием проконсультируем.

Я воспользовался инструкцией оттуда, потому что она содержала также настройку Xray на сервере, а в вашей инструкции этого нет. Как я мог настраивать Xray, если я его увидел впервые в жизни?

Хорошо, я сделал настройку Xkeen по вашей инструкции, но с небольшой модификацией в соответствии с тем, что я уже успел сделать на сервере, сервер на 100% рабочий и я не хочу на нем менять никаких настроек.

Он в интернет теперь ходит, маршрутизация вроде тоже правильная, но проблема в том, что крайне медленно загружаются сайты и абсолютно ничего не пингуется. В чем может быть дело?

Вот конфиги:

03_inbounds.json

{
  "inbounds": [

    {
      "tag": "redirect",
      "port": мой_порт,
      "protocol": "dokodemo-door",
      "settings": {
        "network": "tcp",
        "followRedirect": true
      },
      "sniffing": {
        "enabled": true,
        "routeOnly": true,
        "destOverride": [
          "http",
          "tls",
          "quic"
        ]
      }
    },
	
    {
      "tag": "tproxy",
      "port": мой_порт,
      "protocol": "dokodemo-door",
      "settings": {
        "network": "udp",
        "followRedirect": true
      },
      "streamSettings": {
        "sockopt": {
          "tproxy": "tproxy"
        }
      },
      "sniffing": {
        "enabled": true,
        "routeOnly": true,
        "destOverride": [
          "http",
          "tls",
          "quic"
        ]
      }
    }

  ]
}

04_outbounds.json

{
    "outbounds": [

        {
            "tag": "vless-websocket-tls",    // Название соединения
            "protocol": "vless",
            "settings": {
                "vnext": [
                    {
                        "address": "адрес_сайта",    // IP адрес или доменное имя сервера
                        "port": 443,
                        "users": [
                            {
                                "encryption": "none",
                                "flow": "xtls-rprx-vision",
                                "id": "xxxxxxxxxxxxxxxxxxxxx"    // ID, присвоенный пользователю на сервере
                            }
                        ]
                    }
                ]
            },
            "streamSettings": {
                "network": "tcp",
                "security": "reality",
                "realitySettings": {
                     "publicKey": "xxxxxxxxxxxxxxxxxxxxxxxxxxxxx",
                     "fingerprint": "chrome",
                     "serverName": "yandex.ru",
                     "shortId": "xxxxxxxxxxxxxxxxxxxxxxxxxx",
                     "spiderX": "/"
                }
            }
        },

        // Провайдер
        {
            "tag": "direct",            
            "protocol": "freedom"            
        },

        // Блокировка
        {
            "tag": "block",
            "protocol": "blackhole",
            "settings": {
                "response": {
                    "type": "http"
                }
            }
        }

    ]
}

05_routing.json Я его пока не модифицировал для себя, взял целиком из вашей инструкции:

// Настройка маршрутизации
{
  "routing": {
    "rules": [

      // Блокировка  |   Уязвимые UDP порты
      {
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "block",
        "type": "field",
        "network": "udp",
        "port": "135, 137, 138, 139"
      },

      // Прямые подключение  |  Доменные имена
      {
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "direct",
        "type": "field",
        "domain": [
          "regexp:^([\\w\\-\\.]+\\.)ru$",  // .ru
          "regexp:^([\\w\\-\\.]+\\.)su$",  // .su
          "regexp:^([\\w\\-\\.]+\\.)xn--p1ai$",  // .рф
          "regexp:^([\\w\\-\\.]+\\.)xn--p1acf$",  // .рус
          "regexp:^([\\w\\-\\.]+\\.)xn--80asehdb$",  // .онлайн
          "regexp:^([\\w\\-\\.]+\\.)xn--c1avg$", // .орг
          "regexp:^([\\w\\-\\.]+\\.)xn--80aswg$",  // .сайт
          "regexp:^([\\w\\-\\.]+\\.)xn--80adxhks$",  // .москва
          "regexp:^([\\w\\-\\.]+\\.)moscow$",  //  .moscow
          "regexp:^([\\w\\-\\.]+\\.)xn--d1acj3b$",  // .дети
          "ext:geosite_v2fly.dat:category-gov-ru",
          "ext:geosite_v2fly.dat:private",
          "ext:geosite_v2fly.dat:yandex",
          "ext:geosite_v2fly.dat:steam",
          "ext:geosite_v2fly.dat:vk"
        ]
      },

      // Прямое подключение  |  Торрент
      {
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "direct",
        "type": "field",
        "protocol": ["bittorrent"]
      },
      
      // VPS подключение
      {
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "vless-reality",
        "type": "field"
      }

    ]
  }
}

 

Edited September 8 by Rinaldus

[iDenfnatic]

14 часа назад, madsen сказал:

Вопросик, вот это точно блокирует рекламу на Youtube? Открыл geosite.dat. Там много доменов, но не пойму есть ли для youtube

 

есть ads.youtube.com

[jameszero]

15 часов назад, madsen сказал:

вот это точно блокирует рекламу на Youtube?

Роутингом вы не заблокируете рекламу на ютубе. Там реклама вшита в видео и отдаётся с тех же доменов, что и ведеопоток. С такой рекламой могут справятся только приложения, которые её убирают (SmartTube, YouTube ReVanced, AdGuard для Windows,...), дополнения к браузерам аналогичного назначения, либо покупка Premium на ютубе.

[Andre73]

Всем привет. Подскажите пожалуйста можно ли сделать так чтобы одно конкретное устройство полностью работало через VPN? Например Smart-TV и приставки работали как сейчас, кинопоиск через провайдера, а что прописано в роутингах через VPN, а XBOX полностью через VPN. Просто не знаю какие домены нужно прописать для XBOX.

Edited September 8 by Andre73

[madsen]

23 минуты назад, Andre73 сказал:

Всем привет. Подскажите пожалуйста можно ли сделать так чтобы одно конкретное устройство полностью работало через VPN? Например Smart-TV и приставки работали как сейчас, кинопоиск через провайдера, а что прописано в роутингах через VPN, а XBOX полностью через VPN. Просто не знаю какие домены нужно прописать для XBOX.

Можно. Нужно настроить xkeen, что бы он шёл только на VPS, а в дашборде кинетика применить политику к конкретному девайсу 

[jameszero]

45 минут назад, Andre73 сказал:

можно ли сделать так чтобы одно конкретное устройство полностью работало через VPN

Добрый день! Можно сделать по такому образцу, где 192.168.1.123 это IP-адрес Xbox:

{
  "routing": {
    "rules": [
      {
        "inboundTag": ["redirect", "tproxy"],
        "source": [
          "192.168.1.123"
        ],
        "outboundTag": "vless-reality",
        "type": "field"
      },
      {
        "inboundTag": ["redirect", "tproxy"],
        "domain": [
          "site1.ru",
          "site2.ru",
          "site3.ru"
        ],
        "outboundTag": "vless-reality",
        "type": "field"
      },
      {
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "direct",
        "type": "field"
      }
    ]
  }
}

 

[Andre73]

11 минуту назад, jameszero сказал:

Добрый день! Можно сделать по такому образцу, где 192.168.1.123 это IP-адрес Xbox:

{
  "routing": {
    "rules": [
      {
        "inboundTag": ["redirect", "tproxy"],
        "source": [
          "192.168.1.123"
        ],
        "outboundTag": "vless-reality",
        "type": "field"
      },
      {
        "inboundTag": ["redirect", "tproxy"],
        "domain": [
          "site1.ru",
          "site2.ru",
          "site3.ru"
        ],
        "outboundTag": "vless-reality",
        "type": "field"
      },
      {
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "direct",
        "type": "field"
      }
    ]
  }
}

 

Спасибо.

[Andre73]

И ещё есть вопрос, если ноут находится в политике Xkeen не могу подключиться по VPN к клиенту, используется Cisco AnyConnect.  Это можно как-то роутингами настроить или просто тут конфликт VPNов?

[jameszero]

26 минут назад, Andre73 сказал:

не могу подключиться по VPN к клиенту, используется Cisco AnyConnect

Решение

[jameszero]

В 08.09.2024 в 03:11, Rinaldus сказал:

Он в интернет теперь ходит, маршрутизация вроде тоже правильная, но проблема в том, что крайне медленно загружаются сайты и абсолютно ничего не пингуется. В чем может быть дело?

Добрый день! В конфигурации вижу нестыковку. В outbounds у вас на подключении к vps используется тег vless-websjcken-tls, а в рутинге вы направляете трафик на тег vless-reality. Если сервер настроили по websocket, то он не заработает с outbounds tcp+Reality. У вас получилась сборная солянка из двух инструкций. Надеюсь хоть socks5-прокси в роутере вы не используете) А пингами прокси не проверяют, ping не ходит через прокси в принципе, это другой уровень OSI.

В первом сообщении темы есть ссылка на телеграм чат, в котором и инструкция по настройке сервера, и генератор outbounds конфига, и видеоролики по настройке, и сборник часто задаваемых вопросов... Очень рекомендую новичкам.

[jameszero]

В 07.09.2024 в 19:49, Chuzhba сказал:

Скажите, а если ip на этих сайтах показываются разные - это л чем говорит?

Добрый день! Это говорит о том, что раздельная маршрутизация работает корректно.

В 07.09.2024 в 19:49, Chuzhba сказал:

как понять, что Lampa на телевизоре потребляет трафик напрямую через оператора, а не через сервер с 3х-ui?

Визуального анализатора трафика в программе нет, что направите на прокси, то через него и пойдёт.

[Galileo]

Добрый день!

Не могу разобраться с 2-мя активными подключениями на Giga (KN-1011) EAEU. После добавления в файл 04_outbounds ворого подключения, при рестаре хкиин устанавливается только одно (первое прописанное) соединение. Ворое соединение просто не поднимается. Возможно дело в файле обновления Xray, но при замене файла из архива https://github.com/XTLS/Xray-core/releases/tag/v1.8.24, при старте хкиин выдает ошибку синтаксиса и не запускается. 

 

[Neytrino]

Galileo, у меня 2 подключения - всё прекрасно работает... Покажите сообщение об ошибке, покажите аутбаундс (с удалёнными личными данными)...

[Galileo]

5 часов назад, Neytrino сказал:

Galileo, у меня 2 подключения - всё прекрасно работает... Покажите сообщение об ошибке, покажите аутбаундс (с удалёнными личными данными)...

В том то и дело, что ошибок никаких нет в логах. Просто нет соединения с другими серверами, только тот, что первый прописан.

 

Edited September 9 by Galileo

[Digger]

Здравствуйте!

Сейчас еще обнаружил, что при установки xkeen следующие строки:

1. Цитата

    

   1. opkg install curl
   2. curl -sOfL https://raw.githubusercontent.com/Skrill0/XKeen/main/install.sh
   3. chmod +x ./install.sh
   4. ./install.sh

    

вводил не все сразу, а по строчкам и нажимал Интер. Я новичек, а из той инструкции казалось, что надо именно так, т.к.там стояли цифры на против строк 1,2,3,4 - думал именно по порядку надо. Все остальное в точности по инструкции сделано. Но все работает без проблем, может можно было и так? Или стоит все переустановить с нуля? Но тогда бы оно не работало наверное изначально

Edited September 9 by Digger

[Tomat Tema]

В 07.09.2024 в 19:49, Chuzhba сказал:

И ещё вопрос: как понять, что Lampa на телевизоре потребляет трафик напрямую через оператора, а не через сервер с 3х-ui?

У 3x-ui есть великолепно работающие показатели по скорости-траффику. Ограничьте все устройства, кроме целевого, через политику от ходьбы через впс (на время теста), включите лампу и просто посмотрите на показатели в вебморде 3x-ui. Сразу будет видно разницу. Кмк, самый быстрый и удобный вариант без лишних для вас инструментов.

А вообще, если вы ограничили порты до 80 и 443 (что, имхо, желательно делать), торссерв или что там еще с лампой пользуется, не будет ходить через впс железно.

@Digger, все нормально. Это последовательные команды. Сначала идет установка курла, потом курлом скачивается скрипт, выдаются права, запускается скрипт.

Edited September 10 by Tomat Tema

[Digger]

8 часов назад, Tomat Tema сказал:

все нормально. Это последовательные команды. Сначала идет установка курла, потом курлом скачивается скрипт, выдаются права, запускается скрипт.

Спасибо! Я и подумал, что иначе не работало бы, значит все нормально.

По маршрутизации только совсем темный лес, несколько сайтов по аналогии смог добавить, но что-то более серьезное уже совсем никак. Не хочу нарушать правил, но вижу тут маршрутизацию тоже обсуждают, сугубо НЕ для обхода чего-либо, а для "безопасности". Как бы сделать, что бы проксируемые сайты были через warp? Он в самой панели установлен и работает, но как это все в конфиге прописать? Поиском ничего похожего найти не смог. 

Edited September 10 by Digger

[TheD77]

В 02.09.2024 в 12:08, vector777 сказал:

И так, добился очень полезной вещи и оставлю это тут, чтобы другие не мучались как я (в форуме этого не нашёл):
На роутере поднят сервер Wireguard и я понял, как перенаправить трафик Wireguard в Xkeen, как если бы это было устройство из внутренней сети.

Технически, это делается это так же, как для домашних устройств, через политику приоритетов подключений, но только через команду CLI.

В моём случае команда CLI такая: ip hotspot policy Wireguard0 Policy0
Где: Wireguard0 это интерфейс Wireguard, а Policy0, это политика доступа в интернет xKeen (у вас номер Policy может отличаться, присваивается по порядку по мере добавления политик)

Интерфейс вовсе не обязательно должен быть Wireguard, и по идее это сработает с любыми интерфейсами.

Для возвращения настроек назад, должны сработать команды: ip hotspot policy Wireguard0 permit (где permit, это политика по умолчанию) или ip hotspot no policy Wireguard0.

Но есть вопрос: как добавить команду "ip hotspot policy Wireguard0 Policy0" в автозагрузку? А то после перезагрузки политика слетает. Видимо через running-config, но боязно его запороть.
Очень раздражает, что приходится собирать информацию о CLI по крупицам.😪

 

UPD: system configuration save - сохраняет изменения на века. Благодарность jameszero

А у вас таким образом несколько клиентов одновременно получают доступ в интернет? У меня только одно - кто первый подключился. Остальным доступна лишь локалка...

[i81]

Товарищи, а помогите пожалуйста понять как это всё работает. Настроил штатно, на пустом роутере xkeen по инструкции из группы в телеграмме, единственно - не стал переназначать порт 443 на роутере (на основном роутере активно использую KeenDNS и отказываться или менять порт не вариант). Вроде работает и без переназначения порта.

05_routing.json выбрал из инструкции в варианте "VPS-подключение используется для указанных IP-адресов и доменных имен (например, Google, Twitter, TikTok и др.)." Проверяю на ноутбуке, вроде адекватно показывает 2IP, Speedtest - меняется страна, но почему-то не могу понять почему на этом же ноутбуке трассировка идёт напрямую без прокси? Как такое возможно? Неужели xkeen маршрутизирует не только по адресам, но ещё и по портам назначения?

[jameszero]

3 минуты назад, i81 сказал:

почему на этом же ноутбуке трассировка идёт напрямую без прокси?

Пинги и трассировка через прокси не работают

Edited September 11 by jameszero

[i81]

1 час назад, jameszero сказал:

через прокси не работают

Спасибо.

[Max99]

Подскажите , а можно xkeen использовать только как тонель, что нужно установить ( не устанавливать)  в этом случае? Чтобы он вообще не маршрутизировал ничего, а  маршрутизацию я делал через интерфейс кинетика в пользовательских маршрутах. Так реально использовать xkeen?

[jameszero]

2 минуты назад, Max99 сказал:

Так реально использовать xkeen?

Нет. xkeen/xray это стороннее приложение, а маршрутизацию в интерфейсе Кинетика можно выполнять только для встроенных в прошивку протоколов.

[avn]

16 минут назад, Max99 сказал:

Подскажите , а можно xkeen использовать только как тонель, что нужно установить ( не устанавливать)  в этом случае? Чтобы он вообще не маршрутизировал ничего, а  маршрутизацию я делал через интерфейс кинетика в пользовательских маршрутах. Так реально использовать xkeen?

Возьми sing-box, он поднимает интерфейс tun.

[i81]

30 минут назад, Max99 сказал:

Так реально использовать xkeen?

Теоретически реально т.к. xkeen может запустить прокси. Я так пытался сделать (в теме если полистать с месяц назад), но так ничего и не получилось

Edited September 11 by i81

[i81]

13 минуты назад, avn сказал:

Возьми sing-box

А есть по нему тема?

[avn]

12 минуты назад, i81 сказал:

А есть по нему тема?

На githab полно тем.

[i81]

1 минуту назад, avn сказал:

githab

Не, это не про меня

Тут с помощью форумчан, с готовым софтом и то не получилось...

[Владимир_Л]

Друзья, такой вопрос. Есть рабочий впн по протоколу OpenVPN. Провайдер у меня в городе блокирует Openvpn протокол. Если я сделаю "Все на VPS shadowsocks" смогу ли я с ноута подключаться через openvpn, не будет ли конфликтов? Спасибо.

Edited September 11 by Владимир_Л
добавил shadowsocks