маршрутизация Xkeen

[VI-666]

2 часа назад, Neytrino сказал:

VI-666, это возможно в 4.2, там клиенты VPN-сервера подчиняются политике сегмента (к которому подключаются)

Инфо с 4.2 beta 3- При доступе к Интернету через туннель клиенты приложений VPN-сервер IKEv1/IPsec и VPN-сервер IKEv2/IPsec теперь следуют политике подключения, выбранной для привязанного сегмента сети. [NDM-3431]

видимо на sstp не завезли, либо я что то не так делаю

[Tungsten]

Друзья, подскажите пожалуйста:

1. Есть ли какой-то рабочий иструмент отследить маршрут через proxy vless?  (привычные инструменты tracer, tarceroute, mtr) не дают понимание пошел доступ к сайту через proxy или нет...)

2. Собственно для чего необходимо. Правило по умолчанию работает исправно (intel, chatgpt и пр.) открываются через прокси и вопросов нет, а вот один сайт упорно не открывается (greylog.org) показывает банер и внизу страницы виден мои реальный ip (не VPS). Пробовал этот сайт руками в роутинг прописывать (full:greylog.org, domain:greylog.org и пр.) не работает....

Не так, чтобы это сайт мне сильно нужен был, но это уже спортивный интерес, настроить так, чтобы и к нему был доступ... 

[VI-666]

10 часов назад, Neytrino сказал:

VI-666, это возможно в 4.2, там клиенты VPN-сервера подчиняются политике сегмента (к которому подключаются)

на заметку, sstp клиент в 4.2 идет в любом случае через интернет, игнорирует vpn'ы, вернул 4.1.7

[ith]

11 час назад, Neytrino сказал:

VI-666, это возможно в 4.2, там клиенты VPN-сервера подчиняются политике сегмента (к которому подключаются)

Здравствуйте, Установил 4.2, в sstp указал домашнюю сеть, ее же в приоритетах присвоил ей политику XKeen. может что то еще нужно сделать? Подскажите куда копать?

Скрытый текст

 

[Neytrino]

ith, добрый, в названее политики, "K" - должна быть маленькая: "Xkeen".

Ещё проверьте, что у вас установлены компоненты прошивки ipv6 и netfilter

[jameszero]

1 час назад, Neytrino сказал:

в названее политики, "K" - должна быть маленькая: "Xkeen"

Добрый день! Это не имеет никакого значения.

Даже вот так прекрасно работает:

 

[Neytrino]

В 24.09.2024 в 00:28, VI-666 сказал:

на заметку, sstp клиент в 4.2 идет в любом случае через интернет, игнорирует vpn'ы, вернул 4.1.7

Вам сюда...

[i81]

Здравствуйте! Помогите пожалуйста разобраться с настройками клиентов:

1. Политика xkeen создана

2. У всех клиентов выбрана политика по умолчанию

При этом все клиенты всё равно маршрутизирубтся в прокси, согласно файлу роутинга.

Вопрос: как наладить маршрутизацию, что бы некоторые клиенты работали только напрямую, без прокси?

 

[jameszero]

14 часа назад, i81 сказал:

все клиенты всё равно маршрутизирубтся в прокси

Добрый день!

Попробуйте следующей командой увеличить задержку автостарта XKeen до 15 секунд (время подберите экспериментально):

xkeen -d 15

 

[Kazantsev]

В 26.09.2024 в 08:50, jameszero сказал:

xkeen -d 15

а сток значение какое?

[jameszero]

3 минуты назад, Kazantsev сказал:

а сток значение какое?

3 секунды

[i81]

В 26.09.2024 в 10:50, jameszero сказал:

увеличить задержку автостарта XKeen

Правильно-ли я понимаю, что в теории работа xkeen должна поддаваться регулировке политиками доступа: если у клиента выбрана политика отличная от "xkeen" то трафик этого клиента не должен идти через проксю?

[jameszero]

@i81, правильно, но если XKeen запустится раньше, чем прошивка Кинетика применит политику XKeen, тогда маршрутизация применится ко всему сегменту сети и возможны ситуации, подобные вашим. Можно так же попробовать перезапустить xkeen -restart, если политика применится правильно, то это подтвердит необходимость увеличения задержки при старте XKeen.

[i81]

6 минут назад, jameszero сказал:

правильно

Большое спасибо

[blz]

Подскажите, как включить туннелирование UDP через socks5?

interface Proxy0 proxy socks5-udp

сделал но udp все равно выходит напрямую

[jameszero]

В 27.09.2024 в 19:02, blz сказал:

udp все равно выходит напрямую

Каким способом вы направляете udp в прокси и как определили, что выходит напрямую? Когда upd не активирован для socks5-прокси, он будет блокироваться в нём, а не выходить напрямую.

[ultramarine]

Всем привет! 
Настроил роутинг по типу, все на локальный, избранные на VDS.

Столкнулся с проблемой. При онлайн созвонах в zoom, discord, express, telemost, ktalk, skyeng, возникает одна и та же проблема - регулярные, кратковременные обрывы связи. Я продолжаю всех слышать, а мой поток данных обраывается секунд на 15. Кто знает, как победить? Есть ли у кого-то еще такая же проблема?

Роутер: keenetic Ultra (KN-1811) EAEU. Память сейчас занята на 45%, хотя не понятно чем. ЦП 3% загружен. Высокой загрузки (более 50%) у ЦП не видел.

[jameszero]

10 часов назад, ultramarine сказал:

проблема - регулярные, кратковременные обрывы связи

Добрый день!

Это особенность xray, он обрывает сессию, которую сочтёт устаревшей. Для некоторых программ можно попробовать исключить их из цепи проксирования (команда xkeen -ap 80,443) и они пойдут мимо xray, но если программа сама использует 80 или 443 порт, то ничего сделать нельзя. Xray, технически, не предназначен для онлайн-звонков, игр, видеоконференций и других подключений, требующих постоянный коннект, это прежде всего прокси, а не впн.

[blz]

18 hours ago, jameszero said:

Каким способом вы направляете udp в прокси и как определили, что выходит напрямую? Когда upd не активирован для socks5-прокси, он будет блокироваться в нём, а не выходить напрямую.

а его надо каким-то образом направлять? мне подумалось, что

(config)> interface Proxy0 proxy socks5-udp
Proxy::Interface: "Proxy0": enable SOCKS5 UDP mode.

должно именно это и делать.

определено было очень просто. в то время как на хосте (192.168.50.39), подключенном к LAN роутера, выполнялся резолв запрос А 123.com @8.8.4.4, на интерфейсе, к которому подключен WAN роутера, выполнялось tcpdump -i lanB host 8.8.4.4 and udp:

IP 192.168.50.39.59447 > dns.google.domain: 5+ A? 123.com. (25)
IP dns.google.domain > 192.168.50.39.59447: 5 2/0/0 A 188.114.97.1, A 188.114.96.1 (57)
IP 192.168.50.39.59448 > dns.google.domain: 6+ AAAA? 123.com. (25)
IP dns.google.domain > 192.168.50.39.59448: 6 2/0/0 AAAA 2a06:98c1:3121::1, AAAA 2a06:98c1:3120::1 (81)

отсюда видно, что трафик udp проходит напрямую, не через прокси

[jameszero]

9 минут назад, blz сказал:

(config)> interface Proxy0 proxy socks5-udp

Вообще-то включение UDP через прокси состоит из двух команд:

interface {name} proxy udpgw-upstream {ip} {port} — указать адрес сервера UDPGW
interface {name} proxy socks5-udp — включить UDP-режим для SOCKS5

 

[blz]

6 hours ago, jameszero said:

Вообще-то включение UDP через прокси состоит из двух команд:

interface {name} proxy udpgw-upstream {ip} {port} — указать адрес сервера UDPGW
interface {name} proxy socks5-udp — включить UDP-режим для SOCKS5

 

можно поподробнее с этого места? похоже, что для всей этой кухни используется badvpn? тогда в теории должно работать как-то так:

badvpn-udpgw слушает на localhost:$PORT (порт указывается в интерфейсе)
запросы форвардятся в прокси подключение (тоже в интерфейсе)
плюс interface {name} proxy udpgw-upstream 127.0.0.1 $PORT

сделал так, переподключил прокси соединение, но все равно udp успешненько работает через WAN.

ЧЯДНТ?

[jameszero]

12 часа назад, blz сказал:

похоже, что для всей этой кухни используется badvpn?

Совершенно верно, в прошивке Кинетика используется badvpn. Об особенностях его работы, лучше спросите разработчиков прошивки. Ранние версии XKeen за неимением лучшего использовали socks5-прокси, но затем появились более совершенные режимы Redirect, Mixed и TProxy. С тех пор использование socks5 в XKeen не рекомендуется. Мы тут и в Телеграме до сих пор разгребаем вопросы тех, кто настроил XKeen через socks5 по инструкции с хабра, а с возникшими проблемами пошел не на хабр, а сюда.

[blz]

6 hours ago, jameszero said:

Совершенно верно, в прошивке Кинетика используется badvpn. Об особенностях его работы, лучше спросите разработчиков прошивки. Ранние версии XKeen за неимением лучшего использовали socks5-прокси, но затем появились более совершенные режимы Redirect, Mixed и TProxy. С тех пор использование socks5 в XKeen не рекомендуется. Мы тут и в Телеграме до сих пор разгребаем вопросы тех, кто настроил XKeen через socks5 по инструкции с хабра, а с возникшими проблемами пошел не на хабр, а сюда.

когда-то давно я использовал badvpn-tun2socks, но как именно там туннелируется udp, мне так и осталось не совсем понятным:

 

Quote

 

tun2socks can forward UDP, however this requires a forwarder daemon, badvpn-udpgw to run on the remote SSH server:

  badvpn-udpgw --listen-addr 127.0.0.1:7300

Then tell tun2socks to forward UDP via the forwarder:

  --udpgw-remote-server-addr 127.0.0.1:7300 

 

to run on the remote SSH server.
то есть это в принципе не может просто работать через сервер socks5 (в котором есть поддержка udp)?

но я где-то выше по постам видел, что у кого-то вроде бы как работало udp через прокси…

[ultramarine]

Всем привет! спасибо за помощь с предыдущим вопросом. Вроде работает, пока не понял, есть ли обрывы, а это уже победа ))

 

Есть второй вопрос. У меня за роутером сидит NAS, который обновляет свой url по DDNS. И если его включить в правило xkeen, то перестают работать сервисы, поднятые на NAS. Он показывает, что url закрепляется за IP VDS, а не за IP моим локальным. 
 

Подскажите, как можно исключить работу DDNS из проксирования?

[jameszero]

5 часов назад, blz сказал:

я где-то выше по постам видел, что у кого-то вроде бы как работало udp через прокси

Я проверял, UDP действительно работает через socks5-прокси в Кинетике, только проверял не на DNS, а на OpenVPN подключении к серверу Pritunl, у него в веб-интерфейсе видно с какого IP выполнен коннект. DNS в Кинетике возможно не заворачивается в прокси вовсе или нужно какое-то дополнительное правило iptables. Ведь DNS работал, даже когда прокси был TCP-only, а значит DNS ходил напрямую.

[blz]

45 minutes ago, jameszero said:

Я проверял, UDP действительно работает через socks5-прокси в Кинетике, только проверял не на DNS, а на OpenVPN подключении к серверу Pritunl, у него в веб-интерфейсе видно с какого IP выполнен коннект. DNS в Кинетике возможно не заворачивается в прокси вовсе или нужно какое-то дополнительное правило iptables. Ведь DNS работал, даже когда прокси был TCP-only, а значит DNS ходил напрямую.

ovpn может и по tcp идти. в клиентском конфиге ovpn может быть несколько точек подключения, возможен и вариант что по факту клиент ovpn фактически подключился по tcp, так? или Вы точно удостоверились в логах что это было и udp и через сокс?

DNS могло потому что при включении socks5-udp пакеты udp просто идут мимо прокси как хоббиты – туда и снова обратно.

Собственно остался вопрос к udpgw. Все везде (и в поддержке) пишут, что

Quote

interface {name} proxy udpgw-upstream {ip} {port} — указать адрес сервера UDPGW

в смысле это должен быть отдельный сервер для обработки трафика udp, который пойдет не через socks? Потому что есть такая команда в socks – UDP ASSOCIATE (RFC1928) и если tun2socks умеет ей пользоваться, тогда никакие udpgw ессно не нужны.

А если tun2socks, который в кинетике, этого не умеет, то в нем по сути нет поддержки udp (потому что она только через UDP ASSOCIATE), а есть просто костылик от badvpn, который требует дополнительной серверной части?

[jameszero]

10 часов назад, blz сказал:

ovpn может и по tcp идти. в клиентском конфиге ovpn может быть несколько точек подключения, возможен и вариант что по факту клиент ovpn фактически подключился по tcp, так? или Вы точно удостоверились в логах что это было и udp и через сокс?

Серьёзно?)) Это вопрос из рубрики: "Как обидеть админа? Сказать ему: Заходи, гостем будешь!")) С сетями почти 20 лет работаю, протоколы уж точно не перепутаю. Если уровень моих ответов не кажется убедительным, могу только умыть руки)

Позволю себе повториться. Об особенностях работы socks5-прокси спросите разработчиков прошивки в соответствующем разделе форума, а здесь мы с вами развели оффтоп на эту тему.

[blz]

4 hours ago, jameszero said:

Серьёзно?)) Это вопрос из рубрики: "Как обидеть админа? Сказать ему: Заходи, гостем будешь!")) С сетями почти 20 лет работаю, протоколы уж точно не перепутаю. Если уровень моих ответов не кажется убедительным, могу только умыть руки)

Позволю себе повториться. Об особенностях работы socks5-прокси спросите разработчиков прошивки в соответствующем разделе форума, а здесь мы с вами развели оффтоп на эту тему.

у разработчиков я уточнил, действительно используется реализация tun2socks от badvpn. а там единственный способ работать с udp – это udpgw. я смотрел, были какие-то попытки реализовать UDP ASSOCIATE в форках badvpn но и там нет полноценных решений. Поэтому либо у Вас где-то рядом с сервером socks стоял udpgw, либо сработала добрая магия (поделитесь плз, какая). Думаю, что это многим будет весьма полезно в итоге.

Нисколько не было цели Вас обидеть, есть просто цель внести окончательную ясность в вопрос.

[Le ecureuil]

2 часа назад, blz сказал:

у разработчиков я уточнил, действительно используется реализация tun2socks от badvpn. а там единственный способ работать с udp – это udpgw. я смотрел, были какие-то попытки реализовать UDP ASSOCIATE в форках badvpn но и там нет полноценных решений. Поэтому либо у Вас где-то рядом с сервером socks стоял udpgw, либо сработала добрая магия (поделитесь плз, какая). Думаю, что это многим будет весьма полезно в итоге.

Нисколько не было цели Вас обидеть, есть просто цель внести окончательную ясность в вопрос.

https://github.com/ambrop72/badvpn/pull/71/commits

Вот это было затянуто для socks-udp. При этом оно не тестировалось полноценно, потому что нет нормального независимого сервера с реализацией. Если есть по существу что-то, то пишите.

[blz]

38 minutes ago, Le ecureuil said:

https://github.com/ambrop72/badvpn/pull/71/commits

Вот это было затянуто для socks-udp. При этом оно не тестировалось полноценно, потому что нет нормального независимого сервера с реализацией. Если есть по существу что-то, то пишите.

про это я и упоминал когда говорил о форках:

However, this implementation is currently limited to localhost SOCKS5 servers.

«полноценные» серверы и клиенты с реализацией – есть. в частности, в качестве клиента, вот этот tun2socks и gost в роли сервера. есть и другие реализации. у проксиселлеров сейчас появилось достаточно много предложений по socks c udp.

проверено в продакшене в том числе и на openwrt. вот пакетики из реального обмена