маршрутизация Xkeen

[Digger]

8 часов назад, Tomat Tema сказал:

все нормально. Это последовательные команды. Сначала идет установка курла, потом курлом скачивается скрипт, выдаются права, запускается скрипт.

Спасибо! Я и подумал, что иначе не работало бы, значит все нормально.

По маршрутизации только совсем темный лес, несколько сайтов по аналогии смог добавить, но что-то более серьезное уже совсем никак. Не хочу нарушать правил, но вижу тут маршрутизацию тоже обсуждают, сугубо НЕ для обхода чего-либо, а для "безопасности". Как бы сделать, что бы проксируемые сайты были через warp? Он в самой панели установлен и работает, но как это все в конфиге прописать? Поиском ничего похожего найти не смог. 

Изменено 10 сентября пользователем Digger

[TheD77]

В 02.09.2024 в 12:08, vector777 сказал:

И так, добился очень полезной вещи и оставлю это тут, чтобы другие не мучались как я (в форуме этого не нашёл):
На роутере поднят сервер Wireguard и я понял, как перенаправить трафик Wireguard в Xkeen, как если бы это было устройство из внутренней сети.

Технически, это делается это так же, как для домашних устройств, через политику приоритетов подключений, но только через команду CLI.

В моём случае команда CLI такая: ip hotspot policy Wireguard0 Policy0
Где: Wireguard0 это интерфейс Wireguard, а Policy0, это политика доступа в интернет xKeen (у вас номер Policy может отличаться, присваивается по порядку по мере добавления политик)

Интерфейс вовсе не обязательно должен быть Wireguard, и по идее это сработает с любыми интерфейсами.

Для возвращения настроек назад, должны сработать команды: ip hotspot policy Wireguard0 permit (где permit, это политика по умолчанию) или ip hotspot no policy Wireguard0.

Но есть вопрос: как добавить команду "ip hotspot policy Wireguard0 Policy0" в автозагрузку? А то после перезагрузки политика слетает. Видимо через running-config, но боязно его запороть.
Очень раздражает, что приходится собирать информацию о CLI по крупицам.😪

 

UPD: system configuration save - сохраняет изменения на века. Благодарность jameszero

А у вас таким образом несколько клиентов одновременно получают доступ в интернет? У меня только одно - кто первый подключился. Остальным доступна лишь локалка...

[i81]

Товарищи, а помогите пожалуйста понять как это всё работает. Настроил штатно, на пустом роутере xkeen по инструкции из группы в телеграмме, единственно - не стал переназначать порт 443 на роутере (на основном роутере активно использую KeenDNS и отказываться или менять порт не вариант). Вроде работает и без переназначения порта.

05_routing.json выбрал из инструкции в варианте "VPS-подключение используется для указанных IP-адресов и доменных имен (например, Google, Twitter, TikTok и др.)." Проверяю на ноутбуке, вроде адекватно показывает 2IP, Speedtest - меняется страна, но почему-то не могу понять почему на этом же ноутбуке трассировка идёт напрямую без прокси? Как такое возможно? Неужели xkeen маршрутизирует не только по адресам, но ещё и по портам назначения?

[jameszero]

3 минуты назад, i81 сказал:

почему на этом же ноутбуке трассировка идёт напрямую без прокси?

Пинги и трассировка через прокси не работают

Изменено 11 сентября пользователем jameszero

[i81]

1 час назад, jameszero сказал:

через прокси не работают

Спасибо.

[Max99]

Подскажите , а можно xkeen использовать только как тонель, что нужно установить ( не устанавливать)  в этом случае? Чтобы он вообще не маршрутизировал ничего, а  маршрутизацию я делал через интерфейс кинетика в пользовательских маршрутах. Так реально использовать xkeen?

[jameszero]

2 минуты назад, Max99 сказал:

Так реально использовать xkeen?

Нет. xkeen/xray это стороннее приложение, а маршрутизацию в интерфейсе Кинетика можно выполнять только для встроенных в прошивку протоколов.

[avn]

16 минут назад, Max99 сказал:

Подскажите , а можно xkeen использовать только как тонель, что нужно установить ( не устанавливать)  в этом случае? Чтобы он вообще не маршрутизировал ничего, а  маршрутизацию я делал через интерфейс кинетика в пользовательских маршрутах. Так реально использовать xkeen?

Возьми sing-box, он поднимает интерфейс tun.

[i81]

30 минут назад, Max99 сказал:

Так реально использовать xkeen?

Теоретически реально т.к. xkeen может запустить прокси. Я так пытался сделать (в теме если полистать с месяц назад), но так ничего и не получилось

Изменено 11 сентября пользователем i81

[i81]

13 минуты назад, avn сказал:

Возьми sing-box

А есть по нему тема?

[avn]

12 минуты назад, i81 сказал:

А есть по нему тема?

На githab полно тем.

[i81]

1 минуту назад, avn сказал:

githab

Не, это не про меня

Тут с помощью форумчан, с готовым софтом и то не получилось...

[Владимир_Л]

Друзья, такой вопрос. Есть рабочий впн по протоколу OpenVPN. Провайдер у меня в городе блокирует Openvpn протокол. Если я сделаю "Все на VPS shadowsocks" смогу ли я с ноута подключаться через openvpn, не будет ли конфликтов? Спасибо.

Изменено 11 сентября пользователем Владимир_Л
добавил shadowsocks

[Tomat Tema]

22 часа назад, Digger сказал:

Спасибо! Я и подумал, что иначе не работало бы, значит все нормально.

По маршрутизации только совсем темный лес, несколько сайтов по аналогии смог добавить, но что-то более серьезное уже совсем никак. Не хочу нарушать правил, но вижу тут маршрутизацию тоже обсуждают, сугубо НЕ для обхода чего-либо, а для "безопасности". Как бы сделать, что бы проксируемые сайты были через warp? Он в самой панели установлен и работает, но как это все в конфиге прописать? Поиском ничего похожего найти не смог. 

А зачем варп нужен, если не секрет? Реддит/чатгпт блокирует доступ? В панели 3x-ui, раздел настроек х-рея, есть вкладка адвансед. В Routing Rules есть код с доменами, его правьте.

К примеру, включил варп в панели, добавил вручную доменах  "duckduckgo.com", по запросу показал айпи американского цдн. Можно через маску прописать по геосайту или через регэксп

Скрытый текст

 

Изменено 11 сентября пользователем Tomat Tema

[Kazantsev]

Здравствуйте! что-то есть лишнее у меня в inbounds? или может быть ещё добавить чего?

03_inbounds.json

[Neytrino]

В 11.09.2024 в 10:44, Max99 сказал:

Подскажите , а можно xkeen использовать только как тонель, что нужно установить ( не устанавливать)  в этом случае? Чтобы он вообще не маршрутизировал ничего, а  маршрутизацию я делал через интерфейс кинетика в пользовательских маршрутах. Так реально использовать xkeen?

Вполне. В инбаундс добавьте только прокси:
 

Скрытый текст

 

{
"inbounds": [
		 // Прокси
		{
		"tag": "proxy0",
		"listen": "0.0.0.0",
		"port": 1080,
		"protocol": "socks",
		"settings": {
			"auth": "noauth",
			"udp": false,
			"ip": "0.0.0.0"
			},
		"sniffing": {
			"destOverride": ["http", "tls"],
			"enabled": true,
			"metadataOnly": false
			}
		}
	]
}

В роутинге - всё через VPS:
 

Скрытый текст

 

{
"routing": {
	"rules": [
		 	// Прокси -> VPS
			{
			"inboundTag": ["proxy0"],
			"outboundTag": "vps1",
			"type": "field"
			}
		]
	}
}

В роутере - устанавливаете компонент Прокси-клиент, и подключаетесь в серверу созданному в Xkeen, а это прокси-подключение - уже используете в маршрутизации...

(возможно, скорость всего этого - будет ниже чем могла бы быть (при прямом подключении))

 

Kazantsev, у вас там 2 подключения, с одинаковым тегом - "tag": "socks". Вы уверены, что Xray поймёт, какое из них упомянуто в каком из правил роутинга?

Изменено 12 сентября пользователем Neytrino

[jameszero]

28 минут назад, Neytrino сказал:

В роутере - устанавливаете компонент Прокси-клиент, и подключаетесь в серверу созданному в Xkeen, а это прокси-подключение - уже используете в маршрутизации...

А зачем тогда xkeen?)

Не проще ли:

opkg install xray-core

Вопрос риторический)

[Zalov]

Здравствуйте. Пытаюсь установить xkeen по инструкции из телеграмм канала. Сразу столкнулся с проблемой установки панели на сервер. Не отрабатывает скрипт. Вообще тишина. Может у меня сервер какой кривой?

[Kazantsev]

3 часа назад, Neytrino сказал:

у вас там 2 подключения, с одинаковым тегом - "tag": "socks". Вы уверены, что Xray поймёт, какое из них упомянуто в каком из правил роутинга?

один socks убрать получается?)

[Tomat Tema]

@Zalov, я бы ставил из оригинального репозитория -

bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)

Ну или, если все равно не обработает, поднял бы через докер. Это проще, чем разбираться с зависимостями:

Скрытый текст

https://github.com/MHSanaei/3x-ui?tab=readme-ov-file#install-with-docker

 

 

[Neytrino]

Kazantsev, понимаете ли вы - зачем вам их два (как вы их планируете использовать)?

Лично у меня их 4, но я понимаю зачем мне они и как я их буду использовать...

Изменено 12 сентября пользователем Neytrino

[Kazantsev]

36 минут назад, Neytrino сказал:

Лично у меня их 4, но я понимаю зачем мне они и как я их буду использовать...

И для чего же они вам? Встречный вопрос )

Изменено 12 сентября пользователем Kazantsev

[Kazantsev]

49 минут назад, Neytrino сказал:

Kazantsev, понимаете ли вы - зачем вам их два (как вы их планируете использовать)?

Лично у меня их 4, но я понимаю зачем мне они и как я их буду использовать...

Один явно для анидеск, второй забыл уже вообще для чего)

[Neytrino]

Kazantsev, у меня 2 VPS. 1 и 2 прокси - напрямую к своему VPS. 3-ий через балансер (реализующий резервирование) на один из двух VPS. 4-ый (через тот-же балансер) но уже с фильтрацией (на нужные  сайты через VPS, всё остальное напрямую)...

 

14 минуты назад, Kazantsev сказал:

Один явно для анидеск, второй забыл уже вообще для чего)

Если вам таки нужны 2 отдельных прокси - у них должны быть разные теги...

[Zalov]

2 часа назад, Tomat Tema сказал:

@Zalov, я бы ставил из оригинального репозитория -

bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)

 

Так это инструкция из этого сообщества. Там помимо панели ещё куча всего устанавливается. 

"Я в свою очередь подготовил скрипт обертку для Ubuntu 20/22 который дополнительно настроить firewall, установит вебсервер caddy для реверспроксирования, т.к. панель по умолчанию работает на http, с автоматическим получением и продлением ssl сертификата если у вас есть домен/сабдомен для сервера либо с автоматическим выпуском самоподписанного сертификата если работать без домена. Дополнительно для повышения безопасности, что бы ни кто перебором дефолтных портов не наткнулся на адрес веб интерфейса в скрипте реализован запуск вебсервера на рандомном порту."

Может сервер плохой. Я как-то пытался через докер поставить. Там докер компос нужен был. Тоже не получилось. Но я тот ещё сисадмин.

[Kazantsev]

1 час назад, Neytrino сказал:

Kazantsev, у меня 2 VPS. 1 и 2 прокси - напрямую к своему VPS. 3-ий через балансер (реализующий резервирование) на один из двух VPS. 4-ый (через тот-же балансер) но уже с фильтрацией (на нужные  сайты через VPS, всё остальное напрямую)...

 

Если вам таки нужны 2 отдельных прокси - у них должны быть разные теги...

и как назвал свои теги? можешь показать

Изменено 12 сентября пользователем Kazantsev

[Neytrino]

Kazantsev, proxy0 - proxy3 (назвать их можно - как нравится, только у отдельных подключений - должны быть индивидуальные названия, и если будете менять их в инбаундс - не забудьте поменять их и в правилах роутинга (на такие-же))...

[Kazantsev]

13 минуты назад, Neytrino сказал:

Kazantsev, proxy0 - proxy3 (назвать их можно - как нравится, только у отдельных подключений - должны быть индивидуальные названия, и если будете менять их в инбаундс - не забудьте поменять их и в правилах роутинга (на такие-же))...

понял, но inbounds можешь скинуть свой чтобы всё правильно было, для сверки

[robot_21]

Добрый день.

Есть ли опыт использования XKeen в рамках WI-Fi системы Keenetic на базе нескольких устройств?

Достаточно ли выполнить установки и настройку XKeen только на контроллере WI-Fi системы ?

[Neytrino]

Kazantsev, во

Скрытый текст

т:

{
"inbounds": [
		// Политика Xkeen
		{
		"tag": "redirect",
		"port": 61219,
		"protocol": "dokodemo-door",
		"settings": {
			"network": "tcp",
			"followRedirect": true
			},
		"sniffing": {
			"enabled": true,
			"routeOnly": true,
			"destOverride": [
				"http",
				"tls",
				"quic"
				]
			}
		},

		 // Прокси 1
		{
		"tag": "proxy0",
		"listen": "0.0.0.0",
		"port": 1080,
		"protocol": "socks",
		"settings": {
			"auth": "noauth",
			"udp": false,
			"ip": "0.0.0.0"
			},
		"sniffing": {
			"destOverride": ["http", "tls"],
			"enabled": true,
			"metadataOnly": false
			}
		},

		// Прокси 2
		{
		"tag": "proxy1",
		"listen": "0.0.0.0",
		"port": 1081,
		"protocol": "socks",
		"settings": {
			"auth": "noauth",
			"udp": false,
			"ip": "0.0.0.0"
			},
		"sniffing": {
			"destOverride": ["http", "tls"],
			"enabled": true,
			"metadataOnly": false
			}
		},

		// Прокси 3
		{
		"tag": "proxy2",
		"listen": "0.0.0.0",
		"port": 1082,
		"protocol": "socks",
		"settings": {
			"auth": "noauth",
			"udp": false,
			"ip": "0.0.0.0"
			},
		"sniffing": {
			"destOverride": ["http", "tls"],
			"enabled": true,
			"metadataOnly": false
			}
		},

		// Прокси 4
		{
		"tag": "proxy3",
		"listen": "0.0.0.0",
		"port": 1083,
		"protocol": "socks",
		"settings": {
			"auth": "noauth",
			"udp": false,
			"ip": "0.0.0.0"
			},
		"sniffing": {
			"destOverride": ["http", "tls"],
			"enabled": true,
			"metadataOnly": false
			}
		}
	]
}

robot_21, есть - достаточно.