маршрутизация Xkeen

[L G]

Как через панель 3X-UI в браузере посмотреть логи кто куда заходит, используя XRay

Edited October 11 by L G

[yark]

Добрый день. Настраивал подключение по манулу, при применении к клиенту политики подключения через xkeen в логе error вижу ошибку

Скрытый текст

2024/10/12 11:47:19 [Warning] [4254354275] app/proxyman/outbound: failed to process outbound traffic > proxy/vless/outbound: failed to find an available destination > common/retry: [dial tcp: lookup <host> on 127.0.0.1:53: read udp 127.0.0.1:54540->127.0.0.1:53: i/o timeout dial tcp: lookup <host> on 127.0.0.1:53: read udp 127.0.0.1:50043->127.0.0.1:53: i/o timeout dial tcp: lookup <host>: operation was canceled] > common/retry: all retry attempts failed

Подскажите, пожалуйста, в чем может быть проблема. В <host> указан реальный существующий адрес, nslookup с ноутбука на него отрабатывает.

Edited Saturday at 12:10 PM by yark
Замена host

[jameszero]

39 минут назад, yark сказал:

Настраивал подключение по манулу, при применении к клиенту политики подключения через xkeen в логе error вижу ошибку

Добрый день!

Инструкция по правильной настройке в первом сообщении этой темы, там же ссылка на телеграм-чат с подробными рекомендациями от сообщества. Инструкцию с хабра, где используется socks5-прокси, забудьте, она не актуальна.

22 часа назад, L G сказал:

Как через панель 3X-UI в браузере посмотреть логи кто куда заходит, используя XRay

Такая возможность не предусмотрена.

[zombie665]

Xkeen стабильно работает в связке с xray 1.8.24 но не с последним релизом 24.9.30

Скрытый текст

~ # xkeen -v
  Текущая версия XKeen 1.1.3
~ # xray -version
Xray 1.8.24 (Xray, Penetrates Everything.) 6baad79 (go1.23.0 linux/mipsle)
A unified platform for anti-censorship.
~ #

Xray 24.9.30 (Xray, Penetrates Everything.) 3b06af8 (go1.23.1 linux/mipsle)
A unified platform for anti-censorship.
2024/10/12 13:04:05 Using confdir from env: /opt/etc/xray/configs
2024/10/12 13:04:05 [Info] infra/conf/serial: Reading config: &{Name:/opt/etc/xray/configs/01_log.json Format:json}
2024/10/12 13:04:05 [Info] infra/conf/serial: Reading config: &{Name:/opt/etc/xray/configs/02_transport.json Format:json}
2024/10/12 13:04:05 [Info] infra/conf/serial: Reading config: &{Name:/opt/etc/xray/configs/03_inbounds.json Format:json}2024/10/12 13:04:05 [Info] infra/conf: [/opt/etc/xray/configs/03_inbounds.json] appended inbound with tag: redirect
2024/10/12 13:04:05 [Info] infra/conf: [/opt/etc/xray/configs/03_inbounds.json] appended inbound with tag: tproxy
2024/10/12 13:04:05 [Info] infra/conf/serial: Reading config: &{Name:/opt/etc/xray/configs/04_outbounds.json Format:json}
2024/10/12 13:04:05 [Info] infra/conf: [/opt/etc/xray/configs/04_outbounds.json] prepend outbound with tag: vless-reality
2024/10/12 13:04:05 [Info] infra/conf: [/opt/etc/xray/configs/04_outbounds.json] prepend outbound with tag: direct
2024/10/12 13:04:05 [Info] infra/conf: [/opt/etc/xray/configs/04_outbounds.json] prepend outbound with tag: block
2024/10/12 13:04:05 [Info] infra/conf/serial: Reading config: &{Name:/opt/etc/xray/configs/05_routing.json Format:json}
2024/10/12 13:04:05 [Info] infra/conf/serial: Reading config: &{Name:/opt/etc/xray/configs/06_policy.json Format:json}
Failed to start: main: failed to load config files: [/opt/etc/xray/configs/01_log.json /opt/etc/xray/configs/02_transport.json /opt/etc/xray/configs/03_inbounds.json /opt/etc/xray/configs/04_outbounds.json /opt/etc/xray/configs/05_routing.json /opt/etc/xray/configs/06_policy.json] > common/errors: The feature Global transport config has been removed and migrated to streamSettings in inbounds and outbounds. Please update your config(s) according to release note and documentation.

 

[L G]

    // Блокировка | Реклама и аналитика
      {
        "inboundTag": ["redirect", "tproxy"],
      
"outboundTag": "block",
        "type": "field",    
"domain": [
"ext:geosite_v2fly.dat:category-ads-all",
"ext:geosite_v2fly.dat:adblock",
"ext:geosite_v2fly.dat:adblockplus",

в этот блок вбил adblock и adblock+ ребутнул прокси, но реклама все равно идет на сайтах, что еще надо сделать, чтобы резало рекламу? 

 

[ImmortAlex]

1 hour ago, zombie665 said:

Xkeen стабильно работает в связке с xray 1.8.24 но не с последним релизом 24.9.30

У вас не с xkeen проблема, а с конфигом, там несколько поменялись настройки, о чём xray достаточно корректно сообщает.

[zombie665]

24 минуты назад, ImmortAlex сказал:

У вас не с xkeen проблема, а с конфигом, там несколько поменялись настройки, о чём xray достаточно корректно сообщает.

Я умею читать, моё сообщение несёт информационный характер...

[yark]

Цитата

Инструкция по правильной настройке в первом сообщении этой темы, там же ссылка на телеграм-чат с подробными рекомендациями от сообщества. Инструкцию с хабра, где используется socks5-прокси, забудьте, она не актуальна.

Спасибо. Перенастроил по мануалу из темы, картина не поменялась.

Скрытый текст

// Исходящее соединение

{
  "inbounds": [

    {
      "tag": "redirect",
      "port": 61219,
      "protocol": "dokodemo-door",
      "settings": {
        "network": "tcp",
        "followRedirect": true
      },
      "sniffing": {
        "enabled": true,
        "routeOnly": true,
        "destOverride": [
          "http",
          "tls"
        ]
      }
    },
    
    {
      "tag": "tproxy",
      "port": 61219,
      "protocol": "dokodemo-door",
      "settings": {
        "network": "udp",
        "followRedirect": true
      },
      "streamSettings": {
        "sockopt": {
          "tproxy": "tproxy"
        }
      },
      "sniffing": {
        "enabled": true,
        "routeOnly": true,
        "destOverride": [
          "http",
          "tls"
        ]
      }
    }

  ]
}

Скрытый текст

// Настройка исходящих соединений

{
    "outbounds": [
    
        // VPS соединение  |  Основное
        {
            "tag": "vless-reality",    // Название соединения
            "protocol": "vless",
            "settings": {
                "vnext": [
                    {
                        "address": "...",    // IP адрес или доменное имя сервера
                        "port": 443,    // Порт Reality. 443 обязателен
                        "users": [
                            {
                             "id": "...",
                             "encryption": "none",
                             "flow": "xtls-rprx-vision",
                             "level": 0
                            }
                        ]
                    }
                ]
            },
            "streamSettings": {
                "network": "tcp", // type
                "security": "reality",
                "realitySettings": {
                    "publicKey": "...",    // Public Key, присвоенный пользователю на сервере
                    "fingerprint": "chrome",    // Finger Print, указанный на сервере
                    "serverName": "google.com",    // SNI, указанный на сервере
                    "shortId": "...",    // Short ID, присвоенный пользователю на сервере
                    "spiderX": "/" // spx
                }
            }
        },
        // Провайдер
        {
            "tag": "direct",            
            "protocol": "freedom"            
        },
        // Блокировка
        {
            "tag": "block",
            "protocol": "blackhole",
            "settings": {
                "response": {
                    "type": "http"
                }
            }
        }
        
    ]
}

Скрытый текст

// Настройка маршрутизации
{
  "routing": {
    "rules": [

      // Блокировка  |   Уязвимые UDP порты
      {
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "block",
        "type": "field",
        "network": "udp",
        "port": "135, 137, 138, 139"
      },

      // VPS подключение  |  Доменные имена
      {
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "vless-reality",
        "type": "field",
        "domain": [
          "ext:geosite_v2fly.dat:speedtest",
          "domain:browserleaks.com",
          "nperf",

          "ext:geosite_antifilter.dat:antifilter",
          "ext:geosite_antifilter.dat:antifilter-community",

          "ext:geosite_v2fly.dat:category-games",
          "ext:geosite_v2fly.dat:category-anticensorship",
          "ext:geosite_v2fly.dat:category-cryptocurrency",

          "ext:geosite_v2fly.dat:openai",
          "ext:geosite_v2fly.dat:bing",

          "ext:geosite_v2fly.dat:duckduckgo",
          "ext:geosite_v2fly.dat:google",

          "ext:geosite_v2fly.dat:apple",
          "ext:geosite_v2fly.dat:xiaomi",
          "ext:geosite_v2fly.dat:nvidia",
          "ext:geosite_v2fly.dat:intel",

          "ext:geosite_v2fly.dat:bbc",
          "ext:geosite_v2fly.dat:twitter",
          "ext:geosite_v2fly.dat:linkedin",

          "ext:geosite_v2fly.dat:protonmail",
          "ext:geosite_v2fly.dat:tor",
          "ext:geosite_v2fly.dat:torproject",

          "ext:geosite_v2fly.dat:ebay",
          "ext:geosite_v2fly.dat:paypal",

          "ext:geosite_v2fly.dat:meta",
          "ext:geosite_v2fly.dat:adobe",
          "ext:geosite_v2fly.dat:tiktok",
          "ext:geosite_v2fly.dat:telegram",
          "ext:geosite_v2fly.dat:netflix",
          "ext:geosite_v2fly.dat:cloudflare",

          "rutor",
          "domain:nnmclub.to",
          "rutracker"
        ]
      },      
     
      // VPS подключение  |  IP адреса
      {
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "vless-reality",
        "type": "field",
        "ip": [
          "ext:geoip_v2fly.dat:google"
        ]
      },

      // Прямое подключение  |  Все остальное
      {
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "direct",
        "type": "field"
      }

    ]
  }
}

Лог

Скрытый текст

2024/10/12 16:50:33 [Warning] [410559531] app/proxyman/outbound: failed to process outbound traffic > proxy/vless/outbound: failed to find an available destination > common/retry: [dial tcp: lookup <host> on 127.0.0.1:53: read udp 127.0.0.1:49826->127.0.0.1:53: i/o timeout dial tcp: lookup <host> on 127.0.0.1:53: read udp 127.0.0.1:55754->127.0.0.1:53: i/o timeout dial tcp: lookup <host> on 127.0.0.1:53: read udp 127.0.0.1:52802->127.0.0.1:53: i/o timeout dial tcp: lookup <host> on 127.0.0.1:53: read udp 127.0.0.1:53606->127.0.0.1:53: i/o timeout dial tcp: lookup <host> on 127.0.0.1:53: read udp 127.0.0.1:53663->127.0.0.1:53: i/o timeout] > common/retry: all retry attempts failed

Edited Saturday at 04:55 PM by yark

[BuXaLo]

Стоит xkeen, все здраво работает.. вопрос - в нынешних условиях есть способ заставить дискорд работать?
в v2fly дискорда нет, как геосайт не добавить, но еще потенциально может выплыть проблема с голосом

[zombie665]

11 час назад, BuXaLo сказал:

Стоит xkeen, все здраво работает.. вопрос - в нынешних условиях есть способ заставить дискорд работать?
в v2fly дискорда нет, как геосайт не добавить, но еще потенциально может выплыть проблема с голосом

В телеграмм канале вчера про это писали, почитайте за вчерашний день, ближе к вечеру...

Скрытый текст

https://t.me/c/2138190368/23/53756

 

Edited Sunday at 05:06 AM by zombie665
ссылка

[jameszero]

14 часа назад, yark сказал:

Перенастроил по мануалу из темы, картина не поменялась.

Расскажите, как у вас настроен DNS. По логу видно, что xray обращается с DNS запросами сам к себе, а не к публичному серверу.

[yark]

Цитата

Расскажите, как у вас настроен DNS. По логу видно, что xray обращается с DNS запросами сам к себе, а не к публичному серверу.

Да, уже понял, что нужен был не автоматический DNS от провайдера, прописал гугловый и заработало. Спасибо.

[BL202]

В 07.10.2024 в 16:47, jameszero сказал:

Добрый день! Хray не предназначен для онлайн-игр, это не впн, а прокси со всеми его особенностями.Подробнее тут

спасибо! 
в статье помогли от лагов заблочить 433 порт для udp и указать порты для работы Xkeen только 80, 433
Сервера CS2 и L4D перестали лагать и выкидывать!

Edited Sunday at 12:18 PM by BL202

[Andre73]

Всем привет, вопрос к спецам, появился новый Giga KN-1012  он мощнее в плане процессора и ОЗУ чем ULTRA KN-1811? И по Viva, тоже обновили судя по характеристика изменили процессор с "EN7528DU 900 МГц, 2 ядра" на "MT7621A 880 МГц, 2 ядра", читал выше что процессоры с MT лучше чем EN, получается новый Viva лучше предыдущего?

 

Edited Monday at 08:07 AM by Andre73

[Kazantsev]

4 часа назад, Andre73 сказал:

ULTRA KN-1811?

ULTRA всегда будет круче, достаточно сравнить характеристики, но всё зависит от бюджета и задач

Edited Monday at 11:53 AM by Kazantsev

[jameszero]

4 часа назад, Andre73 сказал:

читал выше что процессоры с MT лучше чем EN, получается новый Viva лучше предыдущего?

В итоге так и есть, но вы пропустили одну модель Viva

1 - KN-1910 - MT7621A

2 - KN-1912 - EN7528DU

3 - KN-1913 - MT7621A

В последней версии разработчики выполнили работу над ошибками) и вернули полноценный процессор, правда ценой одного USB и LAN порта, но это другая история.

[Kazantsev]

В 12.10.2024 в 20:16, BuXaLo сказал:

Стоит xkeen, все здраво работает.. вопрос - в нынешних условиях есть способ заставить дискорд работать?
в v2fly дискорда нет, как геосайт не добавить, но еще потенциально может выплыть проблема с голосом

вписали ip? работает?

Edited Monday at 03:32 PM by Kazantsev

[jameszero]

Прошу не обсуждать тут обходы блокировок, если не хотите, чтобы тему удалили.

В теме рассматриваются технические аспекты защиты соединения.

[Anatoly4649]

Всем привет! Почему то сайты которые проверяют ip показывают разное адреса (фото)

Как это исправить?

 

[zombie665]

9 часов назад, Anatoly4649 сказал:

Всем привет! Почему то сайты которые проверяют ip показывают разное адреса (фото)

Как это исправить?

 

Но очевидно же что один через впс а второй директом прёт... не вижу проблемы. В роутинге настраивается. К примеру 2ip.ru и myip.com будут разные адреса резолвить

Edited Tuesday at 03:46 AM by zombie665

[Grach2bass]

Всем здравствуйте. Настроил на кинетике xkeen, но теперь весь трафик идет через прокси. Даже если подключение xray выключено, и не стоит галка "использовать для выхода в интернет". Что я сделал не так? 

[SLT-Ghost]

Всем привет.

тотально полтергейстная ситуация. Бьюсь третьи сутки и никак не победить.

уже 2+ год как куплена впска у ihor и исправно работает xray + reality

Недавно товарищ по моему совету так же купил, я ему за час настроил сервер xray + reality + xkeen (beeline smartbox giga) и всё успешно работает.

И вот позавчера купили ещё одну впску там же и ниииивкакую не запустить. Грешил и на дебиан (пробовал 10, 11, 12) и на версии xray. ставил и 1.8.1 и 1.8.8 и 1.8.24 и 3x-ui с последним релизным 24.9.30. Проверял ключи по сто раз. Да даже взял просто конфиг своего сервера, где всё работает и ничего. Клиент ниикак не может подрубиться.

Логи xray вообще мрак - никакой информации вообще.. единственное, что есть - REALITY processed invalid connection. Перерыл уже все упоминания в итернете по этому совпадению - и ничего.

openssl s_client -connect ип_впски:443  - серт отдаёт того сайта под кого маскируюсь.

-

напоследок проверил в 3х-панели коннект вообще без тлс, без реалити - вот такой:

Скрытый текст

    "outbounds": [
        {
            "domain_strategy": "",
            "flow": "",
            "packet_encoding": "",
            "server": "185.х.х.х",
            "server_port": 443,
            "tag": "proxy",
            "type": "vless",
            "uuid": "4b309235-3deb-4a53-9cf8-0901976b9d43"
        }

- работает, как часы

как отдебажить reality? что ему не хватает - ума ни приложу.

[jameszero]

13 часа назад, SLT-Ghost сказал:

что ему не хватает - ума ни приложу.

Добрый день!

SNI пробовали менять?

[sergin]

Всем привет!
Переехал на xKeen 1.1.3. В смысле, установил xKeen в первый раз
Полет нормальный
Но обратил внимание, что монитор трафика показывает только тот трафик клиентов, который идет в direct

Это побочный эффект или нужно чего докрутить?
keenetic os 4.2.1

 

 

[Kazantsev]

для DNS over vless нужно дополнительно прописать в 04_outbounds.json этот протокол? больше ничего дополнительно не нужно прописать в этот файл 04_outbounds.json?
 https://jameszero.net/3398.htm

 "protocol": "freedom",

      "settings": {

        "domainStrategy": "UseIPv4"

Edited Wednesday at 11:41 AM by Kazantsev

[jameszero]

30 минут назад, Kazantsev сказал:

больше ничего дополнительно не нужно прописать

Не совсем понятен вопрос. В статье приведен полный листинг файла для описываемой задачи. Обязательны три секции - подключение к прокси, секция прямого трафика с указанием доменной стратегии и секция с dns-протоколом. Если вам нужно блокировать рекламу, добавляйте секцию block, если у вас больше одного прокси, добавляйте и их, всё это индивидуально и выходит за рамки статьи.

[Kazantsev]

5 часов назад, jameszero сказал:

Не совсем понятен вопрос. В статье приведен полный листинг файла для описываемой задачи. Обязательны три секции - подключение к прокси, секция прямого трафика с указанием доменной стратегии и секция с dns-протоколом. Если вам нужно блокировать рекламу, добавляйте секцию block, если у вас больше одного прокси, добавляйте и их, всё это индивидуально и выходит за рамки статьи.

всё сделал как описано в инструкции, но почему-то после перезагрузки xkeen перестаёт работать полностью интернет, ошибок нет
может ещё где что добавить нужно? вот файлы, все данные данные для подключения  04_outbounds.json скрыл) домены на всякий случай тоже потёр

03_inbounds.json dns.json

04_outbounds.json

05_routing.json

Edited Wednesday at 06:20 PM by Kazantsev

[Neytrino]

В 27.09.2024 в 17:27, jameszero сказал:

правильно, но если XKeen запустится раньше, чем прошивка Кинетика применит политику XKeen, тогда маршрутизация применится ко всему сегменту сети и возможны ситуации, подобные вашим. Можно так же попробовать перезапустить xkeen -restart, если политика применится правильно, то это подтвердит необходимость увеличения задержки при старте XKeen.

Наблюдается косяк - Политика создана, инбаундс такой:

 

{
"inbounds": [

		{
		"tag": "redirect",
		"port": 61219,
		"protocol": "dokodemo-door",
		"settings": {
			"network": "tcp",
			"followRedirect": true
			},
		"sniffing": {
			"enabled": true,
			"routeOnly": true,
			"destOverride": [
				"http",
				"tls"
				]
			}
		},
	
		{
		"tag": "tproxy",
		"port": 61219,
		"protocol": "dokodemo-door",
		"settings": {
			"network": "udp",
			"followRedirect": true
			},
		"streamSettings": {
        		"sockopt": {
				"tproxy": "tproxy"
				},
			"sniffing": {
				"enabled": true,
				"routeOnly": true,
				"destOverride": [
					"http",
					"tls"
					]
				}
			}
		}

	]
}

При "Xkeen -start" - всё работает как должно (устройства в политике - попадают на впс, устройства вне её - идут напрямую).

Если перезагрузить роутер - все устройства начинают работать через впс (вне зависимости от политик), если сделать "xkeen -restart" - всё начинает работать как надо.

увеличиваю задержку (кстати, похоже это задержка не автостарта, а задержка старта - т.к. она присутствует и при ручном перезапуске) до 15с - никакого влияния (после перезагрузки роутера - все устройства направляются через впс)

Увеличиваю задержку до 45с - после перезагрузки - устройства работают напрямую с провайдером, но в течении минуты (точное время не засекал) - начинают работать через впс (вне зависимости от политик)...

Edited Wednesday at 02:11 PM by Neytrino

[jameszero]

4 часа назад, Neytrino сказал:

начинают работать через впс (вне зависимости от политик)

Если прошивка 4.2.1, то пишите сюда

[SLT-Ghost]

11 час назад, jameszero сказал:

Добрый день!

SNI пробовали менять?

я тоже подумал, что может чёто с сайтом маскировки.

Пробовал выставлять microsoft.com, yahoo.com, fastly.com, samsung.com - вообще ничего не меняется

Офигеть. Врубил show: true, log.level: debug и начал ломать - специально на клиенте менять циферку в uuid и cat лога на серваке делать. хоть что то что бы увидеть.

Да, сначала пожаловался на uuid. потом вернул uuid поменял на клиенте reality sid - увидел ошибку по reality. Затем поменял на клиенте SNI на другой сайт, рандомный. И в ошибке он мне выдал - ошибка говорит в SNI. Сервер вернул вот такие вот SANы в серте, а эти SANы вообще даже близко не те, что я в клиенте прописал и вообще не те, что на сервере прописаны - т.е. ваааще не ясно откуда он их взял. В итоге я просто прописал этот сайт из лога на серваке и клиенте и победа! всё закрутилось.

Спасибо вам большое за участие и за подсказку идеи в какую сторону всё же копать.

Edited Wednesday at 10:38 PM by SLT-Ghost