Jump to content

Recommended Posts

2 часа назад, Neytrino сказал:

VI-666, это возможно в 4.2, там клиенты VPN-сервера подчиняются политике сегмента (к которому подключаются)

Инфо с 4.2 beta 3- При доступе к Интернету через туннель клиенты приложений VPN-сервер IKEv1/IPsec и VPN-сервер IKEv2/IPsec теперь следуют политике подключения, выбранной для привязанного сегмента сети. [NDM-3431]

видимо на sstp не завезли, либо я что то не так делаю

Link to comment
Share on other sites

Друзья, подскажите пожалуйста:

1. Есть ли какой-то рабочий иструмент отследить маршрут через proxy vless?  (привычные инструменты tracer, tarceroute, mtr) не дают понимание пошел доступ к сайту через proxy или нет...)

2. Собственно для чего необходимо. Правило по умолчанию работает исправно (intel, chatgpt и пр.) открываются через прокси и вопросов нет, а вот один сайт упорно не открывается (greylog.org) показывает банер и внизу страницы виден мои реальный ip (не VPS). Пробовал этот сайт руками в роутинг прописывать (full:greylog.org, domain:greylog.org и пр.) не работает....

Не так, чтобы это сайт мне сильно нужен был, но это уже спортивный интерес, настроить так, чтобы и к нему был доступ... 

Link to comment
Share on other sites

10 часов назад, Neytrino сказал:

VI-666, это возможно в 4.2, там клиенты VPN-сервера подчиняются политике сегмента (к которому подключаются)

на заметку, sstp клиент в 4.2 идет в любом случае через интернет, игнорирует vpn'ы, вернул 4.1.7

Link to comment
Share on other sites

11 час назад, Neytrino сказал:

VI-666, это возможно в 4.2, там клиенты VPN-сервера подчиняются политике сегмента (к которому подключаются)

Здравствуйте, Установил 4.2, в sstp указал домашнюю сеть, ее же в приоритетах присвоил ей политику XKeen. может что то еще нужно сделать? Подскажите куда копать?

Скрытый текст

image.png.d434139f5c18aaab43857584cb7d2ace.png

image.png.4074248293e85077ff3b41a182a9ed29.png

 

Link to comment
Share on other sites

ith, добрый, в названее политики, "K" - должна быть маленькая: "Xkeen".

Ещё проверьте, что у вас установлены компоненты прошивки ipv6 и netfilter

Link to comment
Share on other sites

1 час назад, Neytrino сказал:

в названее политики, "K" - должна быть маленькая: "Xkeen"

Добрый день! Это не имеет никакого значения.

Даже вот так прекрасно работает:

 

Screenshot_3.png

Link to comment
Share on other sites

Здравствуйте! Помогите пожалуйста разобраться с настройками клиентов:

1. Политика xkeen создана

2. У всех клиентов выбрана политика по умолчанию

При этом все клиенты всё равно маршрутизирубтся в прокси, согласно файлу роутинга.

Вопрос: как наладить маршрутизацию, что бы некоторые клиенты работали только напрямую, без прокси?

 

Link to comment
Share on other sites

14 часа назад, i81 сказал:

все клиенты всё равно маршрутизирубтся в прокси

Добрый день!

Попробуйте следующей командой увеличить задержку автостарта XKeen до 15 секунд (время подберите экспериментально):

xkeen -d 15

 

Link to comment
Share on other sites

В 26.09.2024 в 10:50, jameszero сказал:

увеличить задержку автостарта XKeen

Правильно-ли я понимаю, что в теории работа xkeen должна поддаваться регулировке политиками доступа: если у клиента выбрана политика отличная от "xkeen" то трафик этого клиента не должен идти через проксю?

Link to comment
Share on other sites

@i81, правильно, но если XKeen запустится раньше, чем прошивка Кинетика применит политику XKeen, тогда маршрутизация применится ко всему сегменту сети и возможны ситуации, подобные вашим. Можно так же попробовать перезапустить xkeen -restart, если политика применится правильно, то это подтвердит необходимость увеличения задержки при старте XKeen.

Link to comment
Share on other sites

Подскажите, как включить туннелирование UDP через socks5?

interface Proxy0 proxy socks5-udp

сделал но udp все равно выходит напрямую

Link to comment
Share on other sites

В 27.09.2024 в 19:02, blz сказал:

udp все равно выходит напрямую

Каким способом вы направляете udp в прокси и как определили, что выходит напрямую? Когда upd не активирован для socks5-прокси, он будет блокироваться в нём, а не выходить напрямую.

Link to comment
Share on other sites

Всем привет! 
Настроил роутинг по типу, все на локальный, избранные на VDS.

Столкнулся с проблемой. При онлайн созвонах в zoom, discord, express, telemost, ktalk, skyeng, возникает одна и та же проблема - регулярные, кратковременные обрывы связи. Я продолжаю всех слышать, а мой поток данных обраывается секунд на 15. Кто знает, как победить? Есть ли у кого-то еще такая же проблема?

Роутер: keenetic Ultra (KN-1811) EAEU. Память сейчас занята на 45%, хотя не понятно чем. ЦП 3% загружен. Высокой загрузки (более 50%) у ЦП не видел.

Link to comment
Share on other sites

10 часов назад, ultramarine сказал:

проблема - регулярные, кратковременные обрывы связи

Добрый день!

Это особенность xray, он обрывает сессию, которую сочтёт устаревшей. Для некоторых программ можно попробовать исключить их из цепи проксирования (команда xkeen -ap 80,443) и они пойдут мимо xray, но если программа сама использует 80 или 443 порт, то ничего сделать нельзя. Xray, технически, не предназначен для онлайн-звонков, игр, видеоконференций и других подключений, требующих постоянный коннект, это прежде всего прокси, а не впн.

Link to comment
Share on other sites

18 hours ago, jameszero said:

Каким способом вы направляете udp в прокси и как определили, что выходит напрямую? Когда upd не активирован для socks5-прокси, он будет блокироваться в нём, а не выходить напрямую.

а его надо каким-то образом направлять? мне подумалось, что

(config)> interface Proxy0 proxy socks5-udp
Proxy::Interface: "Proxy0": enable SOCKS5 UDP mode.

должно именно это и делать.

определено было очень просто. в то время как на хосте (192.168.50.39), подключенном к LAN роутера, выполнялся резолв запрос А 123.com @8.8.4.4, на интерфейсе, к которому подключен WAN роутера, выполнялось tcpdump -i lanB host 8.8.4.4 and udp:

IP 192.168.50.39.59447 > dns.google.domain: 5+ A? 123.com. (25)
IP dns.google.domain > 192.168.50.39.59447: 5 2/0/0 A 188.114.97.1, A 188.114.96.1 (57)
IP 192.168.50.39.59448 > dns.google.domain: 6+ AAAA? 123.com. (25)
IP dns.google.domain > 192.168.50.39.59448: 6 2/0/0 AAAA 2a06:98c1:3121::1, AAAA 2a06:98c1:3120::1 (81)

отсюда видно, что трафик udp проходит напрямую, не через прокси

Link to comment
Share on other sites

9 минут назад, blz сказал:
(config)> interface Proxy0 proxy socks5-udp

Вообще-то включение UDP через прокси состоит из двух команд:

interface {name} proxy udpgw-upstream {ip} {port} — указать адрес сервера UDPGW
interface {name} proxy socks5-udp — включить UDP-режим для SOCKS5

 

Link to comment
Share on other sites

6 hours ago, jameszero said:

Вообще-то включение UDP через прокси состоит из двух команд:

interface {name} proxy udpgw-upstream {ip} {port} — указать адрес сервера UDPGW
interface {name} proxy socks5-udp — включить UDP-режим для SOCKS5

 

можно поподробнее с этого места? похоже, что для всей этой кухни используется badvpn? тогда в теории должно работать как-то так:

badvpn-udpgw слушает на localhost:$PORT (порт указывается в интерфейсе)
запросы форвардятся в прокси подключение (тоже в интерфейсе)
плюс interface {name} proxy udpgw-upstream 127.0.0.1 $PORT

сделал так, переподключил прокси соединение, но все равно udp успешненько работает через WAN.

ЧЯДНТ?

Link to comment
Share on other sites

12 часа назад, blz сказал:

похоже, что для всей этой кухни используется badvpn?

Совершенно верно, в прошивке Кинетика используется badvpn. Об особенностях его работы, лучше спросите разработчиков прошивки. Ранние версии XKeen за неимением лучшего использовали socks5-прокси, но затем появились более совершенные режимы Redirect, Mixed и TProxy. С тех пор использование socks5 в XKeen не рекомендуется. Мы тут и в Телеграме до сих пор разгребаем вопросы тех, кто настроил XKeen через socks5 по инструкции с хабра, а с возникшими проблемами пошел не на хабр, а сюда.

Link to comment
Share on other sites

6 hours ago, jameszero said:

Совершенно верно, в прошивке Кинетика используется badvpn. Об особенностях его работы, лучше спросите разработчиков прошивки. Ранние версии XKeen за неимением лучшего использовали socks5-прокси, но затем появились более совершенные режимы Redirect, Mixed и TProxy. С тех пор использование socks5 в XKeen не рекомендуется. Мы тут и в Телеграме до сих пор разгребаем вопросы тех, кто настроил XKeen через socks5 по инструкции с хабра, а с возникшими проблемами пошел не на хабр, а сюда.

когда-то давно я использовал badvpn-tun2socks, но как именно там туннелируется udp, мне так и осталось не совсем понятным:

 

Quote

 

tun2socks can forward UDP, however this requires a forwarder daemon, badvpn-udpgw to run on the remote SSH server:

  badvpn-udpgw --listen-addr 127.0.0.1:7300

Then tell tun2socks to forward UDP via the forwarder:

  --udpgw-remote-server-addr 127.0.0.1:7300 

 

to run on the remote SSH server.
то есть это в принципе не может просто работать через сервер socks5 (в котором есть поддержка udp)?

но я где-то выше по постам видел, что у кого-то вроде бы как работало udp через прокси…

Link to comment
Share on other sites

Всем привет! спасибо за помощь с предыдущим вопросом. Вроде работает, пока не понял, есть ли обрывы, а это уже победа ))

 

Есть второй вопрос. У меня за роутером сидит NAS, который обновляет свой url по DDNS. И если его включить в правило xkeen, то перестают работать сервисы, поднятые на NAS. Он показывает, что url закрепляется за IP VDS, а не за IP моим локальным. 
 

Подскажите, как можно исключить работу DDNS из проксирования?

Link to comment
Share on other sites

5 часов назад, blz сказал:

я где-то выше по постам видел, что у кого-то вроде бы как работало udp через прокси

Я проверял, UDP действительно работает через socks5-прокси в Кинетике, только проверял не на DNS, а на OpenVPN подключении к серверу Pritunl, у него в веб-интерфейсе видно с какого IP выполнен коннект. DNS в Кинетике возможно не заворачивается в прокси вовсе или нужно какое-то дополнительное правило iptables. Ведь DNS работал, даже когда прокси был TCP-only, а значит DNS ходил напрямую.

Link to comment
Share on other sites

45 minutes ago, jameszero said:

Я проверял, UDP действительно работает через socks5-прокси в Кинетике, только проверял не на DNS, а на OpenVPN подключении к серверу Pritunl, у него в веб-интерфейсе видно с какого IP выполнен коннект. DNS в Кинетике возможно не заворачивается в прокси вовсе или нужно какое-то дополнительное правило iptables. Ведь DNS работал, даже когда прокси был TCP-only, а значит DNS ходил напрямую.

ovpn может и по tcp идти. в клиентском конфиге ovpn может быть несколько точек подключения, возможен и вариант что по факту клиент ovpn фактически подключился по tcp, так? или Вы точно удостоверились в логах что это было и udp и через сокс?

DNS могло потому что при включении socks5-udp пакеты udp просто идут мимо прокси как хоббиты – туда и снова обратно.

Собственно остался вопрос к udpgw. Все везде (и в поддержке) пишут, что

Quote

interface {name} proxy udpgw-upstream {ip} {port} — указать адрес сервера UDPGW

в смысле это должен быть отдельный сервер для обработки трафика udp, который пойдет не через socks? Потому что есть такая команда в socks – UDP ASSOCIATE (RFC1928) и если tun2socks умеет ей пользоваться, тогда никакие udpgw ессно не нужны.

А если tun2socks, который в кинетике, этого не умеет, то в нем по сути нет поддержки udp (потому что она только через UDP ASSOCIATE), а есть просто костылик от badvpn, который требует дополнительной серверной части?

Link to comment
Share on other sites

10 часов назад, blz сказал:

ovpn может и по tcp идти. в клиентском конфиге ovpn может быть несколько точек подключения, возможен и вариант что по факту клиент ovpn фактически подключился по tcp, так? или Вы точно удостоверились в логах что это было и udp и через сокс?

Серьёзно?)) Это вопрос из рубрики: "Как обидеть админа? Сказать ему: Заходи, гостем будешь!")) С сетями почти 20 лет работаю, протоколы уж точно не перепутаю. Если уровень моих ответов не кажется убедительным, могу только умыть руки)

Позволю себе повториться. Об особенностях работы socks5-прокси спросите разработчиков прошивки в соответствующем разделе форума, а здесь мы с вами развели оффтоп на эту тему.

Link to comment
Share on other sites

4 hours ago, jameszero said:

Серьёзно?)) Это вопрос из рубрики: "Как обидеть админа? Сказать ему: Заходи, гостем будешь!")) С сетями почти 20 лет работаю, протоколы уж точно не перепутаю. Если уровень моих ответов не кажется убедительным, могу только умыть руки)

Позволю себе повториться. Об особенностях работы socks5-прокси спросите разработчиков прошивки в соответствующем разделе форума, а здесь мы с вами развели оффтоп на эту тему.

у разработчиков я уточнил, действительно используется реализация tun2socks от badvpn. а там единственный способ работать с udp – это udpgw. я смотрел, были какие-то попытки реализовать UDP ASSOCIATE в форках badvpn но и там нет полноценных решений. Поэтому либо у Вас где-то рядом с сервером socks стоял udpgw, либо сработала добрая магия (поделитесь плз, какая). Думаю, что это многим будет весьма полезно в итоге.

Нисколько не было цели Вас обидеть, есть просто цель внести окончательную ясность в вопрос.

Link to comment
Share on other sites

2 часа назад, blz сказал:

у разработчиков я уточнил, действительно используется реализация tun2socks от badvpn. а там единственный способ работать с udp – это udpgw. я смотрел, были какие-то попытки реализовать UDP ASSOCIATE в форках badvpn но и там нет полноценных решений. Поэтому либо у Вас где-то рядом с сервером socks стоял udpgw, либо сработала добрая магия (поделитесь плз, какая). Думаю, что это многим будет весьма полезно в итоге.

Нисколько не было цели Вас обидеть, есть просто цель внести окончательную ясность в вопрос.

https://github.com/ambrop72/badvpn/pull/71/commits

Вот это было затянуто для socks-udp. При этом оно не тестировалось полноценно, потому что нет нормального независимого сервера с реализацией. Если есть по существу что-то, то пишите.

Link to comment
Share on other sites

38 minutes ago, Le ecureuil said:

https://github.com/ambrop72/badvpn/pull/71/commits

Вот это было затянуто для socks-udp. При этом оно не тестировалось полноценно, потому что нет нормального независимого сервера с реализацией. Если есть по существу что-то, то пишите.

про это я и упоминал когда говорил о форках:

However, this implementation is currently limited to localhost SOCKS5 servers.

«полноценные» серверы и клиенты с реализацией – есть. в частности, в качестве клиента, вот этот tun2socks и gost в роли сервера. есть и другие реализации. у проксиселлеров сейчас появилось достаточно много предложений по socks c udp.

проверено в продакшене в том числе и на openwrt. вот пакетики из реального обмена

udpassoc1.png

udpassoc0.png

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...