VI-666 Posted September 23 Share Posted September 23 2 часа назад, Neytrino сказал: VI-666, это возможно в 4.2, там клиенты VPN-сервера подчиняются политике сегмента (к которому подключаются) Инфо с 4.2 beta 3- При доступе к Интернету через туннель клиенты приложений VPN-сервер IKEv1/IPsec и VPN-сервер IKEv2/IPsec теперь следуют политике подключения, выбранной для привязанного сегмента сети. [NDM-3431] видимо на sstp не завезли, либо я что то не так делаю Quote Link to comment Share on other sites More sharing options...
Tungsten Posted September 23 Share Posted September 23 Друзья, подскажите пожалуйста: 1. Есть ли какой-то рабочий иструмент отследить маршрут через proxy vless? (привычные инструменты tracer, tarceroute, mtr) не дают понимание пошел доступ к сайту через proxy или нет...) 2. Собственно для чего необходимо. Правило по умолчанию работает исправно (intel, chatgpt и пр.) открываются через прокси и вопросов нет, а вот один сайт упорно не открывается (greylog.org) показывает банер и внизу страницы виден мои реальный ip (не VPS). Пробовал этот сайт руками в роутинг прописывать (full:greylog.org, domain:greylog.org и пр.) не работает.... Не так, чтобы это сайт мне сильно нужен был, но это уже спортивный интерес, настроить так, чтобы и к нему был доступ... Quote Link to comment Share on other sites More sharing options...
VI-666 Posted September 23 Share Posted September 23 10 часов назад, Neytrino сказал: VI-666, это возможно в 4.2, там клиенты VPN-сервера подчиняются политике сегмента (к которому подключаются) на заметку, sstp клиент в 4.2 идет в любом случае через интернет, игнорирует vpn'ы, вернул 4.1.7 Quote Link to comment Share on other sites More sharing options...
ith Posted September 23 Share Posted September 23 11 час назад, Neytrino сказал: VI-666, это возможно в 4.2, там клиенты VPN-сервера подчиняются политике сегмента (к которому подключаются) Здравствуйте, Установил 4.2, в sstp указал домашнюю сеть, ее же в приоритетах присвоил ей политику XKeen. может что то еще нужно сделать? Подскажите куда копать? Скрытый текст Quote Link to comment Share on other sites More sharing options...
Neytrino Posted September 24 Share Posted September 24 ith, добрый, в названее политики, "K" - должна быть маленькая: "Xkeen". Ещё проверьте, что у вас установлены компоненты прошивки ipv6 и netfilter Quote Link to comment Share on other sites More sharing options...
jameszero Posted September 24 Share Posted September 24 1 час назад, Neytrino сказал: в названее политики, "K" - должна быть маленькая: "Xkeen" Добрый день! Это не имеет никакого значения. Даже вот так прекрасно работает: Quote Link to comment Share on other sites More sharing options...
Neytrino Posted September 25 Share Posted September 25 В 24.09.2024 в 00:28, VI-666 сказал: на заметку, sstp клиент в 4.2 идет в любом случае через интернет, игнорирует vpn'ы, вернул 4.1.7 Вам сюда... Quote Link to comment Share on other sites More sharing options...
i81 Posted September 25 Share Posted September 25 Здравствуйте! Помогите пожалуйста разобраться с настройками клиентов: 1. Политика xkeen создана 2. У всех клиентов выбрана политика по умолчанию При этом все клиенты всё равно маршрутизирубтся в прокси, согласно файлу роутинга. Вопрос: как наладить маршрутизацию, что бы некоторые клиенты работали только напрямую, без прокси? Quote Link to comment Share on other sites More sharing options...
jameszero Posted September 26 Share Posted September 26 14 часа назад, i81 сказал: все клиенты всё равно маршрутизирубтся в прокси Добрый день! Попробуйте следующей командой увеличить задержку автостарта XKeen до 15 секунд (время подберите экспериментально): xkeen -d 15 Quote Link to comment Share on other sites More sharing options...
Kazantsev Posted September 27 Share Posted September 27 В 26.09.2024 в 08:50, jameszero сказал: xkeen -d 15 а сток значение какое? Quote Link to comment Share on other sites More sharing options...
jameszero Posted September 27 Share Posted September 27 3 минуты назад, Kazantsev сказал: а сток значение какое? 3 секунды Quote Link to comment Share on other sites More sharing options...
i81 Posted September 27 Share Posted September 27 В 26.09.2024 в 10:50, jameszero сказал: увеличить задержку автостарта XKeen Правильно-ли я понимаю, что в теории работа xkeen должна поддаваться регулировке политиками доступа: если у клиента выбрана политика отличная от "xkeen" то трафик этого клиента не должен идти через проксю? Quote Link to comment Share on other sites More sharing options...
jameszero Posted September 27 Share Posted September 27 @i81, правильно, но если XKeen запустится раньше, чем прошивка Кинетика применит политику XKeen, тогда маршрутизация применится ко всему сегменту сети и возможны ситуации, подобные вашим. Можно так же попробовать перезапустить xkeen -restart, если политика применится правильно, то это подтвердит необходимость увеличения задержки при старте XKeen. Quote Link to comment Share on other sites More sharing options...
i81 Posted September 27 Share Posted September 27 6 минут назад, jameszero сказал: правильно Большое спасибо Quote Link to comment Share on other sites More sharing options...
blz Posted September 27 Share Posted September 27 Подскажите, как включить туннелирование UDP через socks5? interface Proxy0 proxy socks5-udp сделал но udp все равно выходит напрямую Quote Link to comment Share on other sites More sharing options...
jameszero Posted September 29 Share Posted September 29 В 27.09.2024 в 19:02, blz сказал: udp все равно выходит напрямую Каким способом вы направляете udp в прокси и как определили, что выходит напрямую? Когда upd не активирован для socks5-прокси, он будет блокироваться в нём, а не выходить напрямую. Quote Link to comment Share on other sites More sharing options...
ultramarine Posted September 29 Share Posted September 29 Всем привет! Настроил роутинг по типу, все на локальный, избранные на VDS. Столкнулся с проблемой. При онлайн созвонах в zoom, discord, express, telemost, ktalk, skyeng, возникает одна и та же проблема - регулярные, кратковременные обрывы связи. Я продолжаю всех слышать, а мой поток данных обраывается секунд на 15. Кто знает, как победить? Есть ли у кого-то еще такая же проблема? Роутер: keenetic Ultra (KN-1811) EAEU. Память сейчас занята на 45%, хотя не понятно чем. ЦП 3% загружен. Высокой загрузки (более 50%) у ЦП не видел. Quote Link to comment Share on other sites More sharing options...
jameszero Posted September 30 Share Posted September 30 10 часов назад, ultramarine сказал: проблема - регулярные, кратковременные обрывы связи Добрый день! Это особенность xray, он обрывает сессию, которую сочтёт устаревшей. Для некоторых программ можно попробовать исключить их из цепи проксирования (команда xkeen -ap 80,443) и они пойдут мимо xray, но если программа сама использует 80 или 443 порт, то ничего сделать нельзя. Xray, технически, не предназначен для онлайн-звонков, игр, видеоконференций и других подключений, требующих постоянный коннект, это прежде всего прокси, а не впн. Quote Link to comment Share on other sites More sharing options...
blz Posted September 30 Share Posted September 30 18 hours ago, jameszero said: Каким способом вы направляете udp в прокси и как определили, что выходит напрямую? Когда upd не активирован для socks5-прокси, он будет блокироваться в нём, а не выходить напрямую. а его надо каким-то образом направлять? мне подумалось, что (config)> interface Proxy0 proxy socks5-udp Proxy::Interface: "Proxy0": enable SOCKS5 UDP mode. должно именно это и делать. определено было очень просто. в то время как на хосте (192.168.50.39), подключенном к LAN роутера, выполнялся резолв запрос А 123.com @8.8.4.4, на интерфейсе, к которому подключен WAN роутера, выполнялось tcpdump -i lanB host 8.8.4.4 and udp: IP 192.168.50.39.59447 > dns.google.domain: 5+ A? 123.com. (25) IP dns.google.domain > 192.168.50.39.59447: 5 2/0/0 A 188.114.97.1, A 188.114.96.1 (57) IP 192.168.50.39.59448 > dns.google.domain: 6+ AAAA? 123.com. (25) IP dns.google.domain > 192.168.50.39.59448: 6 2/0/0 AAAA 2a06:98c1:3121::1, AAAA 2a06:98c1:3120::1 (81) отсюда видно, что трафик udp проходит напрямую, не через прокси Quote Link to comment Share on other sites More sharing options...
jameszero Posted September 30 Share Posted September 30 9 минут назад, blz сказал: (config)> interface Proxy0 proxy socks5-udp Вообще-то включение UDP через прокси состоит из двух команд: interface {name} proxy udpgw-upstream {ip} {port} — указать адрес сервера UDPGW interface {name} proxy socks5-udp — включить UDP-режим для SOCKS5 Quote Link to comment Share on other sites More sharing options...
blz Posted September 30 Share Posted September 30 6 hours ago, jameszero said: Вообще-то включение UDP через прокси состоит из двух команд: interface {name} proxy udpgw-upstream {ip} {port} — указать адрес сервера UDPGW interface {name} proxy socks5-udp — включить UDP-режим для SOCKS5 можно поподробнее с этого места? похоже, что для всей этой кухни используется badvpn? тогда в теории должно работать как-то так: badvpn-udpgw слушает на localhost:$PORT (порт указывается в интерфейсе) запросы форвардятся в прокси подключение (тоже в интерфейсе) плюс interface {name} proxy udpgw-upstream 127.0.0.1 $PORT сделал так, переподключил прокси соединение, но все равно udp успешненько работает через WAN. ЧЯДНТ? Quote Link to comment Share on other sites More sharing options...
jameszero Posted October 1 Share Posted October 1 12 часа назад, blz сказал: похоже, что для всей этой кухни используется badvpn? Совершенно верно, в прошивке Кинетика используется badvpn. Об особенностях его работы, лучше спросите разработчиков прошивки. Ранние версии XKeen за неимением лучшего использовали socks5-прокси, но затем появились более совершенные режимы Redirect, Mixed и TProxy. С тех пор использование socks5 в XKeen не рекомендуется. Мы тут и в Телеграме до сих пор разгребаем вопросы тех, кто настроил XKeen через socks5 по инструкции с хабра, а с возникшими проблемами пошел не на хабр, а сюда. Quote Link to comment Share on other sites More sharing options...
blz Posted October 1 Share Posted October 1 6 hours ago, jameszero said: Совершенно верно, в прошивке Кинетика используется badvpn. Об особенностях его работы, лучше спросите разработчиков прошивки. Ранние версии XKeen за неимением лучшего использовали socks5-прокси, но затем появились более совершенные режимы Redirect, Mixed и TProxy. С тех пор использование socks5 в XKeen не рекомендуется. Мы тут и в Телеграме до сих пор разгребаем вопросы тех, кто настроил XKeen через socks5 по инструкции с хабра, а с возникшими проблемами пошел не на хабр, а сюда. когда-то давно я использовал badvpn-tun2socks, но как именно там туннелируется udp, мне так и осталось не совсем понятным: Quote tun2socks can forward UDP, however this requires a forwarder daemon, badvpn-udpgw to run on the remote SSH server: badvpn-udpgw --listen-addr 127.0.0.1:7300 Then tell tun2socks to forward UDP via the forwarder: --udpgw-remote-server-addr 127.0.0.1:7300 to run on the remote SSH server. то есть это в принципе не может просто работать через сервер socks5 (в котором есть поддержка udp)? но я где-то выше по постам видел, что у кого-то вроде бы как работало udp через прокси… Quote Link to comment Share on other sites More sharing options...
ultramarine Posted October 1 Share Posted October 1 Всем привет! спасибо за помощь с предыдущим вопросом. Вроде работает, пока не понял, есть ли обрывы, а это уже победа )) Есть второй вопрос. У меня за роутером сидит NAS, который обновляет свой url по DDNS. И если его включить в правило xkeen, то перестают работать сервисы, поднятые на NAS. Он показывает, что url закрепляется за IP VDS, а не за IP моим локальным. Подскажите, как можно исключить работу DDNS из проксирования? Quote Link to comment Share on other sites More sharing options...
jameszero Posted October 1 Share Posted October 1 5 часов назад, blz сказал: я где-то выше по постам видел, что у кого-то вроде бы как работало udp через прокси Я проверял, UDP действительно работает через socks5-прокси в Кинетике, только проверял не на DNS, а на OpenVPN подключении к серверу Pritunl, у него в веб-интерфейсе видно с какого IP выполнен коннект. DNS в Кинетике возможно не заворачивается в прокси вовсе или нужно какое-то дополнительное правило iptables. Ведь DNS работал, даже когда прокси был TCP-only, а значит DNS ходил напрямую. Quote Link to comment Share on other sites More sharing options...
blz Posted October 1 Share Posted October 1 45 minutes ago, jameszero said: Я проверял, UDP действительно работает через socks5-прокси в Кинетике, только проверял не на DNS, а на OpenVPN подключении к серверу Pritunl, у него в веб-интерфейсе видно с какого IP выполнен коннект. DNS в Кинетике возможно не заворачивается в прокси вовсе или нужно какое-то дополнительное правило iptables. Ведь DNS работал, даже когда прокси был TCP-only, а значит DNS ходил напрямую. ovpn может и по tcp идти. в клиентском конфиге ovpn может быть несколько точек подключения, возможен и вариант что по факту клиент ovpn фактически подключился по tcp, так? или Вы точно удостоверились в логах что это было и udp и через сокс? DNS могло потому что при включении socks5-udp пакеты udp просто идут мимо прокси как хоббиты – туда и снова обратно. Собственно остался вопрос к udpgw. Все везде (и в поддержке) пишут, что Quote interface {name} proxy udpgw-upstream {ip} {port} — указать адрес сервера UDPGW в смысле это должен быть отдельный сервер для обработки трафика udp, который пойдет не через socks? Потому что есть такая команда в socks – UDP ASSOCIATE (RFC1928) и если tun2socks умеет ей пользоваться, тогда никакие udpgw ессно не нужны. А если tun2socks, который в кинетике, этого не умеет, то в нем по сути нет поддержки udp (потому что она только через UDP ASSOCIATE), а есть просто костылик от badvpn, который требует дополнительной серверной части? Quote Link to comment Share on other sites More sharing options...
jameszero Posted October 2 Share Posted October 2 10 часов назад, blz сказал: ovpn может и по tcp идти. в клиентском конфиге ovpn может быть несколько точек подключения, возможен и вариант что по факту клиент ovpn фактически подключился по tcp, так? или Вы точно удостоверились в логах что это было и udp и через сокс? Серьёзно?)) Это вопрос из рубрики: "Как обидеть админа? Сказать ему: Заходи, гостем будешь!")) С сетями почти 20 лет работаю, протоколы уж точно не перепутаю. Если уровень моих ответов не кажется убедительным, могу только умыть руки) Позволю себе повториться. Об особенностях работы socks5-прокси спросите разработчиков прошивки в соответствующем разделе форума, а здесь мы с вами развели оффтоп на эту тему. Quote Link to comment Share on other sites More sharing options...
blz Posted October 2 Share Posted October 2 4 hours ago, jameszero said: Серьёзно?)) Это вопрос из рубрики: "Как обидеть админа? Сказать ему: Заходи, гостем будешь!")) С сетями почти 20 лет работаю, протоколы уж точно не перепутаю. Если уровень моих ответов не кажется убедительным, могу только умыть руки) Позволю себе повториться. Об особенностях работы socks5-прокси спросите разработчиков прошивки в соответствующем разделе форума, а здесь мы с вами развели оффтоп на эту тему. у разработчиков я уточнил, действительно используется реализация tun2socks от badvpn. а там единственный способ работать с udp – это udpgw. я смотрел, были какие-то попытки реализовать UDP ASSOCIATE в форках badvpn но и там нет полноценных решений. Поэтому либо у Вас где-то рядом с сервером socks стоял udpgw, либо сработала добрая магия (поделитесь плз, какая). Думаю, что это многим будет весьма полезно в итоге. Нисколько не было цели Вас обидеть, есть просто цель внести окончательную ясность в вопрос. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted October 2 Share Posted October 2 2 часа назад, blz сказал: у разработчиков я уточнил, действительно используется реализация tun2socks от badvpn. а там единственный способ работать с udp – это udpgw. я смотрел, были какие-то попытки реализовать UDP ASSOCIATE в форках badvpn но и там нет полноценных решений. Поэтому либо у Вас где-то рядом с сервером socks стоял udpgw, либо сработала добрая магия (поделитесь плз, какая). Думаю, что это многим будет весьма полезно в итоге. Нисколько не было цели Вас обидеть, есть просто цель внести окончательную ясность в вопрос. https://github.com/ambrop72/badvpn/pull/71/commits Вот это было затянуто для socks-udp. При этом оно не тестировалось полноценно, потому что нет нормального независимого сервера с реализацией. Если есть по существу что-то, то пишите. Quote Link to comment Share on other sites More sharing options...
blz Posted October 2 Share Posted October 2 38 minutes ago, Le ecureuil said: https://github.com/ambrop72/badvpn/pull/71/commits Вот это было затянуто для socks-udp. При этом оно не тестировалось полноценно, потому что нет нормального независимого сервера с реализацией. Если есть по существу что-то, то пишите. про это я и упоминал когда говорил о форках: However, this implementation is currently limited to localhost SOCKS5 servers. «полноценные» серверы и клиенты с реализацией – есть. в частности, в качестве клиента, вот этот tun2socks и gost в роли сервера. есть и другие реализации. у проксиселлеров сейчас появилось достаточно много предложений по socks c udp. проверено в продакшене в том числе и на openwrt. вот пакетики из реального обмена Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.