Jump to content

Recommended Posts

Подскажите, как включить туннелирование UDP через socks5?

interface Proxy0 proxy socks5-udp

сделал но udp все равно выходит напрямую

Link to comment
Share on other sites

В 27.09.2024 в 19:02, blz сказал:

udp все равно выходит напрямую

Каким способом вы направляете udp в прокси и как определили, что выходит напрямую? Когда upd не активирован для socks5-прокси, он будет блокироваться в нём, а не выходить напрямую.

Link to comment
Share on other sites

Всем привет! 
Настроил роутинг по типу, все на локальный, избранные на VDS.

Столкнулся с проблемой. При онлайн созвонах в zoom, discord, express, telemost, ktalk, skyeng, возникает одна и та же проблема - регулярные, кратковременные обрывы связи. Я продолжаю всех слышать, а мой поток данных обраывается секунд на 15. Кто знает, как победить? Есть ли у кого-то еще такая же проблема?

Роутер: keenetic Ultra (KN-1811) EAEU. Память сейчас занята на 45%, хотя не понятно чем. ЦП 3% загружен. Высокой загрузки (более 50%) у ЦП не видел.

Link to comment
Share on other sites

10 часов назад, ultramarine сказал:

проблема - регулярные, кратковременные обрывы связи

Добрый день!

Это особенность xray, он обрывает сессию, которую сочтёт устаревшей. Для некоторых программ можно попробовать исключить их из цепи проксирования (команда xkeen -ap 80,443) и они пойдут мимо xray, но если программа сама использует 80 или 443 порт, то ничего сделать нельзя. Xray, технически, не предназначен для онлайн-звонков, игр, видеоконференций и других подключений, требующих постоянный коннект, это прежде всего прокси, а не впн.

Link to comment
Share on other sites

18 hours ago, jameszero said:

Каким способом вы направляете udp в прокси и как определили, что выходит напрямую? Когда upd не активирован для socks5-прокси, он будет блокироваться в нём, а не выходить напрямую.

а его надо каким-то образом направлять? мне подумалось, что

(config)> interface Proxy0 proxy socks5-udp
Proxy::Interface: "Proxy0": enable SOCKS5 UDP mode.

должно именно это и делать.

определено было очень просто. в то время как на хосте (192.168.50.39), подключенном к LAN роутера, выполнялся резолв запрос А 123.com @8.8.4.4, на интерфейсе, к которому подключен WAN роутера, выполнялось tcpdump -i lanB host 8.8.4.4 and udp:

IP 192.168.50.39.59447 > dns.google.domain: 5+ A? 123.com. (25)
IP dns.google.domain > 192.168.50.39.59447: 5 2/0/0 A 188.114.97.1, A 188.114.96.1 (57)
IP 192.168.50.39.59448 > dns.google.domain: 6+ AAAA? 123.com. (25)
IP dns.google.domain > 192.168.50.39.59448: 6 2/0/0 AAAA 2a06:98c1:3121::1, AAAA 2a06:98c1:3120::1 (81)

отсюда видно, что трафик udp проходит напрямую, не через прокси

Link to comment
Share on other sites

9 минут назад, blz сказал:
(config)> interface Proxy0 proxy socks5-udp

Вообще-то включение UDP через прокси состоит из двух команд:

interface {name} proxy udpgw-upstream {ip} {port} — указать адрес сервера UDPGW
interface {name} proxy socks5-udp — включить UDP-режим для SOCKS5

 

Link to comment
Share on other sites

6 hours ago, jameszero said:

Вообще-то включение UDP через прокси состоит из двух команд:

interface {name} proxy udpgw-upstream {ip} {port} — указать адрес сервера UDPGW
interface {name} proxy socks5-udp — включить UDP-режим для SOCKS5

 

можно поподробнее с этого места? похоже, что для всей этой кухни используется badvpn? тогда в теории должно работать как-то так:

badvpn-udpgw слушает на localhost:$PORT (порт указывается в интерфейсе)
запросы форвардятся в прокси подключение (тоже в интерфейсе)
плюс interface {name} proxy udpgw-upstream 127.0.0.1 $PORT

сделал так, переподключил прокси соединение, но все равно udp успешненько работает через WAN.

ЧЯДНТ?

Link to comment
Share on other sites

12 часа назад, blz сказал:

похоже, что для всей этой кухни используется badvpn?

Совершенно верно, в прошивке Кинетика используется badvpn. Об особенностях его работы, лучше спросите разработчиков прошивки. Ранние версии XKeen за неимением лучшего использовали socks5-прокси, но затем появились более совершенные режимы Redirect, Mixed и TProxy. С тех пор использование socks5 в XKeen не рекомендуется. Мы тут и в Телеграме до сих пор разгребаем вопросы тех, кто настроил XKeen через socks5 по инструкции с хабра, а с возникшими проблемами пошел не на хабр, а сюда.

Link to comment
Share on other sites

6 hours ago, jameszero said:

Совершенно верно, в прошивке Кинетика используется badvpn. Об особенностях его работы, лучше спросите разработчиков прошивки. Ранние версии XKeen за неимением лучшего использовали socks5-прокси, но затем появились более совершенные режимы Redirect, Mixed и TProxy. С тех пор использование socks5 в XKeen не рекомендуется. Мы тут и в Телеграме до сих пор разгребаем вопросы тех, кто настроил XKeen через socks5 по инструкции с хабра, а с возникшими проблемами пошел не на хабр, а сюда.

когда-то давно я использовал badvpn-tun2socks, но как именно там туннелируется udp, мне так и осталось не совсем понятным:

 

Quote

 

tun2socks can forward UDP, however this requires a forwarder daemon, badvpn-udpgw to run on the remote SSH server:

  badvpn-udpgw --listen-addr 127.0.0.1:7300

Then tell tun2socks to forward UDP via the forwarder:

  --udpgw-remote-server-addr 127.0.0.1:7300 

 

to run on the remote SSH server.
то есть это в принципе не может просто работать через сервер socks5 (в котором есть поддержка udp)?

но я где-то выше по постам видел, что у кого-то вроде бы как работало udp через прокси…

Link to comment
Share on other sites

Всем привет! спасибо за помощь с предыдущим вопросом. Вроде работает, пока не понял, есть ли обрывы, а это уже победа ))

 

Есть второй вопрос. У меня за роутером сидит NAS, который обновляет свой url по DDNS. И если его включить в правило xkeen, то перестают работать сервисы, поднятые на NAS. Он показывает, что url закрепляется за IP VDS, а не за IP моим локальным. 
 

Подскажите, как можно исключить работу DDNS из проксирования?

Link to comment
Share on other sites

5 часов назад, blz сказал:

я где-то выше по постам видел, что у кого-то вроде бы как работало udp через прокси

Я проверял, UDP действительно работает через socks5-прокси в Кинетике, только проверял не на DNS, а на OpenVPN подключении к серверу Pritunl, у него в веб-интерфейсе видно с какого IP выполнен коннект. DNS в Кинетике возможно не заворачивается в прокси вовсе или нужно какое-то дополнительное правило iptables. Ведь DNS работал, даже когда прокси был TCP-only, а значит DNS ходил напрямую.

Link to comment
Share on other sites

45 minutes ago, jameszero said:

Я проверял, UDP действительно работает через socks5-прокси в Кинетике, только проверял не на DNS, а на OpenVPN подключении к серверу Pritunl, у него в веб-интерфейсе видно с какого IP выполнен коннект. DNS в Кинетике возможно не заворачивается в прокси вовсе или нужно какое-то дополнительное правило iptables. Ведь DNS работал, даже когда прокси был TCP-only, а значит DNS ходил напрямую.

ovpn может и по tcp идти. в клиентском конфиге ovpn может быть несколько точек подключения, возможен и вариант что по факту клиент ovpn фактически подключился по tcp, так? или Вы точно удостоверились в логах что это было и udp и через сокс?

DNS могло потому что при включении socks5-udp пакеты udp просто идут мимо прокси как хоббиты – туда и снова обратно.

Собственно остался вопрос к udpgw. Все везде (и в поддержке) пишут, что

Quote

interface {name} proxy udpgw-upstream {ip} {port} — указать адрес сервера UDPGW

в смысле это должен быть отдельный сервер для обработки трафика udp, который пойдет не через socks? Потому что есть такая команда в socks – UDP ASSOCIATE (RFC1928) и если tun2socks умеет ей пользоваться, тогда никакие udpgw ессно не нужны.

А если tun2socks, который в кинетике, этого не умеет, то в нем по сути нет поддержки udp (потому что она только через UDP ASSOCIATE), а есть просто костылик от badvpn, который требует дополнительной серверной части?

Link to comment
Share on other sites

10 часов назад, blz сказал:

ovpn может и по tcp идти. в клиентском конфиге ovpn может быть несколько точек подключения, возможен и вариант что по факту клиент ovpn фактически подключился по tcp, так? или Вы точно удостоверились в логах что это было и udp и через сокс?

Серьёзно?)) Это вопрос из рубрики: "Как обидеть админа? Сказать ему: Заходи, гостем будешь!")) С сетями почти 20 лет работаю, протоколы уж точно не перепутаю. Если уровень моих ответов не кажется убедительным, могу только умыть руки)

Позволю себе повториться. Об особенностях работы socks5-прокси спросите разработчиков прошивки в соответствующем разделе форума, а здесь мы с вами развели оффтоп на эту тему.

Link to comment
Share on other sites

4 hours ago, jameszero said:

Серьёзно?)) Это вопрос из рубрики: "Как обидеть админа? Сказать ему: Заходи, гостем будешь!")) С сетями почти 20 лет работаю, протоколы уж точно не перепутаю. Если уровень моих ответов не кажется убедительным, могу только умыть руки)

Позволю себе повториться. Об особенностях работы socks5-прокси спросите разработчиков прошивки в соответствующем разделе форума, а здесь мы с вами развели оффтоп на эту тему.

у разработчиков я уточнил, действительно используется реализация tun2socks от badvpn. а там единственный способ работать с udp – это udpgw. я смотрел, были какие-то попытки реализовать UDP ASSOCIATE в форках badvpn но и там нет полноценных решений. Поэтому либо у Вас где-то рядом с сервером socks стоял udpgw, либо сработала добрая магия (поделитесь плз, какая). Думаю, что это многим будет весьма полезно в итоге.

Нисколько не было цели Вас обидеть, есть просто цель внести окончательную ясность в вопрос.

Link to comment
Share on other sites

2 часа назад, blz сказал:

у разработчиков я уточнил, действительно используется реализация tun2socks от badvpn. а там единственный способ работать с udp – это udpgw. я смотрел, были какие-то попытки реализовать UDP ASSOCIATE в форках badvpn но и там нет полноценных решений. Поэтому либо у Вас где-то рядом с сервером socks стоял udpgw, либо сработала добрая магия (поделитесь плз, какая). Думаю, что это многим будет весьма полезно в итоге.

Нисколько не было цели Вас обидеть, есть просто цель внести окончательную ясность в вопрос.

https://github.com/ambrop72/badvpn/pull/71/commits

Вот это было затянуто для socks-udp. При этом оно не тестировалось полноценно, потому что нет нормального независимого сервера с реализацией. Если есть по существу что-то, то пишите.

Link to comment
Share on other sites

38 minutes ago, Le ecureuil said:

https://github.com/ambrop72/badvpn/pull/71/commits

Вот это было затянуто для socks-udp. При этом оно не тестировалось полноценно, потому что нет нормального независимого сервера с реализацией. Если есть по существу что-то, то пишите.

про это я и упоминал когда говорил о форках:

However, this implementation is currently limited to localhost SOCKS5 servers.

«полноценные» серверы и клиенты с реализацией – есть. в частности, в качестве клиента, вот этот tun2socks и gost в роли сервера. есть и другие реализации. у проксиселлеров сейчас появилось достаточно много предложений по socks c udp.

проверено в продакшене в том числе и на openwrt. вот пакетики из реального обмена

udpassoc1.png

udpassoc0.png

Link to comment
Share on other sites

2 минуты назад, blz сказал:

у проксиселлеров сейчас появилось достаточно много предложений по socks c udp.

Покажите-ка. Хочу проверить именно с нормальными серверами, за которые денежки берут, а не с пионерской самодеятельностью.

Ну и по ссылке у вас все на go, а это изначально "непроходное" условие в роутер.

Link to comment
Share on other sites

Доброго всем! Люди добрые, подскажите не программисту, я правильно понял из прочтённого здесь мануала и сделать на старом роутере Extra примерно вот такого плана назначить политику; Wireguard-установить по гайду Xkeen-перенаправить трафик Wireguard в Xkeen (по этому посту) - в роутере настроить маршрутизацию (нужны всего пару сайтов)  ?

Link to comment
Share on other sites

5 hours ago, Le ecureuil said:

Покажите-ка. Хочу проверить именно с нормальными серверами, за которые денежки берут, а не с пионерской самодеятельностью.

Ну и по ссылке у вас все на go, а это изначально "непроходное" условие в роутер.

тысячи их. гуглите-выбираете, пишете в поддержку чтобы уточнить (потому что маркетинг и наебизнес никто не отменял и я с таким сталкивался) и покупаете. у многих есть триал.

если это непосильно, я могу как будет свободное время, найти и проверить. у меня в кармане их нет, потому что целесообразнее купить vps и развернуть то, что нужно.

про пионерское – не совсем понятно. большинство этих сервисов конечно пионеры, лет так 15 назад их не было но какое это имеет значение?

понятия не имею насчет непроходного условия – ну у каждого своя религия. конечно это тупо не полезет на младшие модели и скорее всего и не потянут они это процом. но на железе среднего ценового сегмента это работает. пока я не видел функционально аналогичных реализаций (в частности та реализация tun2socks поодерживает не только socks/tcp но и многие другие транспорты от gost, что дает немного надежды на то, чтобы иметь неблокируемые туннели и при более злобных чебурнетах), однако вероятно они есть, просто никто как следует не искал.

  • Confused 1
Link to comment
Share on other sites

17 часов назад, Le ecureuil сказал:

Покажите-ка. Хочу проверить именно с нормальными серверами, за которые денежки берут, а не с пионерской самодеятельностью.

Ну и по ссылке у вас все на go, а это изначально "непроходное" условие в роутер.

Добрый день. Посмотрите проект hev-socks5-tunnel на роутере кеенетик ultra kn-1811 файл запускается. 

Link to comment
Share on other sites

Про SOCKS в другом ключе вопрос: если я сделаю inbound с SOCKS (с паролем) и выставлю его наружу (на белом IP) - каковы шансы, что его будут долбать боты? И есть ли защита от такого (какая-нибудь прокси поверх прокси с защитой от брутфорса)?

Есть потребность организовать для себя проксю вне домашней сети, но боюсь это делать.

Link to comment
Share on other sites

7 часов назад, Sergey Sarychev сказал:

Доброго времени.

Пытался по Вашей инструкции заставить PuTTY подключится к роутеру.

Очень внимательно шаг за шагом.

И получаю интересный итог: открыв PuTTY, после всех предварительных манипуляций, ввожу root, пытаюсь ввести пасворд keenetic, но ничего не печатается в окне, вообще ничего. Решил, что сделал что-то не так, всё убрал и сделал заново, но ничего не изменилось.
Нет ли каких подсказок, почему?

Заранее благодарю.

Он вводится, просто не отображается. Ведите пароль и нажимайте ввод.

Link to comment
Share on other sites

5 hours ago, ImmortAlex said:

Про SOCKS в другом ключе вопрос: если я сделаю inbound с SOCKS (с паролем) и выставлю его наружу (на белом IP) - каковы шансы, что его будут долбать боты? И есть ли защита от такого (какая-нибудь прокси поверх прокси с защитой от брутфорса)?

Есть потребность организовать для себя проксю вне домашней сети, но боюсь это делать.

в смысле поднять прокси сервер на внешнем например vps? да никаких там проблем. их по миру миллионы. главное изменить порт по умолчанию и не делать анонимный доступ. а «защиты от брутфорса» это уже напиливайте например в nft или заюзайте fail2ban

Edited by blz
Link to comment
Share on other sites

12 hours ago, blz said:

в смысле поднять прокси сервер на внешнем например vps?

Нет, я про XKeen всё-таки. Точнее, про xray на роутере. У меня есть в конфиге вот такой inbound:

	{
		"tag": "socks",
		"port": 25344,
		"protocol": "socks",
.....
	},

Я его использую в локалке для некоторых нужд.

Так вот есть желание выпустить его в интернет, чтобы использовать не только в локалке. Понятно, что порт рандомный, понятно, что под логином. Не понятно только (потому что я в этом месте чайник) нужно ли что-то сделать, чтоб не сбрутфорсили или чем усилить на случай если в xray бага есть.

Link to comment
Share on other sites

Добрый день!

С утра бьюсь с keenetic 4g. Устанавливается без ошибок, но при попытке xkeen -start вываливается ошибка
"Прокси-клиент не запустить

Ошибка: Не удалось запустить прокси-клиент"

Делаю xkeen -rx и так же есть оишбки:

 "Проверка
     Ошибка: Файл xray.list не найден в директории «/opt/lib/opkg/info/»
     Ошибка: Файл xray.control не найден в директории «/opt/lib/opkg/info/»
     Успешно: Запись Xray найдена в «/opt/lib/opkg/status»"

Xkeen -fixed проходит нормально, но опять все по кругу. Уже заново энтвейр ставил с 0 под чистую, устанавливаю на флешку.


 

Link to comment
Share on other sites

Добрый день уважаемые пользователи форума

не могли бы вы мне помочь разобраться в одном  вопросе

Сколько не искал в гугле, так и не могу понять откуда берутся эти строки

image.png.45b494fe6166b803b95b34ec462aed06.png

 

Где посмотреть полный список этих выборок (тегов) для каждого файла с расширением dat, который поставляется в комплекте с xkeen?

  • Upvote 1
Link to comment
Share on other sites

26 minutes ago, zaknafein said:

я читал инструкцию и не совсем понимаю

Инструкция на notion, которая в шапке.

Раздел "настройка xray".

Ваш вариант outbound называется "VPS + Direct + Block", где вам надо правильно заполнить описание подключения к VPS, а остальное не трогать.

Ваш вариант routing называется "Block + VPS | Выбранные ресурсы + Direct | Все остальное", где вам нужно правильно заполнить домены и IP адреса, которые должны уйти на VPS.

Что среди этого вам непонятно - уточняйте конкретно.

Link to comment
Share on other sites

7 минут назад, ImmortAlex сказал:

Инструкция на notion, которая в шапке.

Раздел "настройка xray".

Ваш вариант outbound называется "VPS + Direct + Block", где вам надо правильно заполнить описание подключения к VPS, а остальное не трогать.

Ваш вариант routing называется "Block + VPS | Выбранные ресурсы + Direct | Все остальное", где вам нужно правильно заполнить домены и IP адреса, которые должны уйти на VPS.

Что среди этого вам непонятно - уточняйте конкретно.

спасибо. как раз с пониманием какой пункт настроек мне нужен был. а еще вопрос: я же правильно понял, что заворачиваются на прокси только те клиенты которые добавлены в правила применение политик на роутере? т.е. можно сделать что бы заворачивалось на прокси все? а клиентов не добавлять которым не нужно?   

Edited by zaknafein
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...