маршрутизация Xray на Entware | Xkeen

[The_Same]

@Skrill0, а может быть дело в том, что @Pawant использует торрент клиент из opkg, поэтому соединения этого клиента не попадают в прокси, так как невозможно добавить в политику сам роутер?

[linkedu]

6 часов назад, Skrill0 сказал:

Доброго Вам дня!

Попробуйте указать Ваш интерфейс вручную в файле init.d.
В этой переменной

gateway_interface=""

 

А мой интерфейс это какой?

~ # ifconfig

br0   br1 cdc_br0 eth2 eth2.1 eth2.2 eth2.3 ezcfg0   

[Pawant]

27 минут назад, The_Same сказал:

@Pawant использует торрент клиент из opkg

Если я правильно понял, то торрент-клиент я использую родной Transmission, а не из opkg.

Его добавляю в политику Xkeen через консоль стандартной командой

torrent policy Policy2

(у меня это Xkeen)

[The_Same]

1 минуту назад, Pawant сказал:

Если я правильно понял, то торрент-клиент я использую родной Transmission, а не из opkg.

Его добавляю в политику Xkeen через консоль стандартной командой

torrent policy Policy2

(у меня это Xkeen)

Ну тогда я пас, больше мыслей нет😀

[Skrill0]

46 минут назад, linkedu сказал:

А мой интерфейс это какой?

~ # ifconfig

br0   br1 cdc_br0 eth2 eth2.1 eth2.2 eth2.3 ezcfg0   

Попробуйте br0, если не подойдет — br1

[Skrill0]

27 минут назад, Pawant сказал:

Если я правильно понял, то торрент-клиент я использую родной Transmission, а не из opkg.

Его добавляю в политику Xkeen через консоль стандартной командой

torrent policy Policy2

(у меня это Xkeen)

Давайте попробуем иначе.
Для теста отправим все соединение на Xray.

iptables -t nat -A PREROUTING -i br0 -p tcp -j REDIRECT --to-port 54836
iptables -t nat -A PREROUTING -i br0 -p udp -j REDIRECT --to-port 54836

Выполните 

xkeen -restart

А затем внесите выше указанные правила iptables и проверьте торрент.

Может пропасть доступ по ssh — не пугайтесь. 
Правила сбросятся после перезагрузки роутера.

[Klikson]

Полез смотреть логи xkeen и xray. Ошибок в логах вообще нет. Кусок из access.log приложил. Тут тоже всё хорошо. Помогите пожалуйста понять почему на сайты не заходит...
 

Скрытый текст

 

2023/10/28 14:18:43 tcp:192.168.1.56:60036 accepted tcp:ocsp.r2m02.amazontrust.com:80 [socks-in -> direct]
2023/10/28 14:18:46 tcp:192.168.1.56:60040 accepted tcp:nnmclub.to:443 [socks-in -> proxy]
2023/10/28 14:18:46 tcp:192.168.1.56:60041 accepted tcp:forum.keenetic.com:443 [socks-in -> direct]
2023/10/28 14:18:46 tcp:192.168.1.56:60043 accepted tcp:r3.o.lencr.org:80 [socks-in -> direct]
2023/10/28 14:18:47 tcp:192.168.1.56:60044 accepted tcp:nnmclub.to:443 [socks-in -> proxy]
2023/10/28 14:18:49 tcp:192.168.1.56:60048 accepted tcp:scorecard.api.mywot.com:443 [socks-in -> direct]
2023/10/28 14:18:50 tcp:192.168.1.56:60050 accepted tcp:ocsp.r2m01.amazontrust.com:80 [socks-in -> direct]

 

Скрытый текст

 

 

 

 

Дополнительно пробовал настроить через Другие подключения на роутере по инструкции из шапки. После включения в логах вижу это и интернет вообще отсутствует на компьютере. При этом если компьютер переношу в политику по умолчанию, то интернет работает:

Скрытый текст

 

Окт 29 21:12:17

 

 

ndnproxy

[B4D5] possible DNS-rebind attack detected: "192-168-1-33.HDDP.direct.quickconnect.to." IN A "192.168.1.33" (client 192.168.1.56).

 

Настроено так:

Скрытый текст

 

 

 

 

 

Edited October 29, 2023 by Klikson

[Alexey77]

7 часов назад, Skrill0 сказал:

В этой переменной

gateway_interface=""

Тоже похожая ошибка версия последняя

  Xray запущен
jq: error (at <stdin>:40): Cannot iterate over null (null)
jq: error (at <stdin>:40): Cannot iterate over null (null)

И не работает режим redirect не создаются правила iptables. Политику Xkeen создал. 

[linkedu]

31 минуту назад, Skrill0 сказал:

Попробуйте br0, если не подойдет — br1

Изменений нет

[Pawant]

1 час назад, Skrill0 сказал:

Давайте попробуем иначе.

Выполнил. С торрентом ничего не поменялось.

Также выполнил:

1. Установил на PC uTorrent

2. Запустил Nekobox, подключился к xRay-VPS

3. Проверил закачку. Торренты так же режутся.

4. В интерфейсе x-ui ВКЛючил правило блокировки торрентов. Рестарт панели.

5. Проверил загрузку. То же ограничение в 5 кБ/с

6. В интерфейсе x-ui ВЫКЛючил правило блокировки торрентов. Рестарт панели.

7. Проверил загрузку. То же ограничение в 5 кБ/с. Никаких изменений.

Может сервер быть виноват? Настройки все стандартные. Напомню: x-ui поднят на VPS, который разрешает торренты, через WireGuard и Proxy-сервера на том же VPS закачка идет в нормальном режиме.

Или же p2p-трафик не маскируется протоколом, и провайдер его видит?

 

Edited October 29, 2023 by Pawant

[Skrill0]

12 часа назад, Pawant сказал:

Выполнил. С торрентом ничего не поменялось.

Также выполнил:

1. Установил на PC uTorrent

2. Запустил Nekobox, подключился к xRay-VPS

3. Проверил закачку. Торренты так же режутся.

4. В интерфейсе x-ui ВКЛючил правило блокировки торрентов. Рестарт панели.

5. Проверил загрузку. То же ограничение в 5 кБ/с

6. В интерфейсе x-ui ВЫКЛючил правило блокировки торрентов. Рестарт панели.

7. Проверил загрузку. То же ограничение в 5 кБ/с. Никаких изменений.

Может сервер быть виноват? Настройки все стандартные. Напомню: x-ui поднят на VPS, который разрешает торренты, через WireGuard и Proxy-сервера на том же VPS закачка идет в нормальном режиме.

Или же p2p-трафик не маскируется протоколом, и провайдер его видит?

Проверить свое соединение можно с помощью NtopNG. Он отобразит, что именно видит провайдер

Edited October 30, 2023 by Skrill0

[jameszero]

9 часов назад, Pawant сказал:

1. Установил на PC uTorrent

2. Запустил Nekobox, подключился к xRay-VPS

Попробуйте в настройках uTorrent включить socks прокси. Только порт поставьте тот, который указан в Nekobox и не забудьте галку на p2p, как на скриншоте.

Скрытый текст

 

Edited October 30, 2023 by jameszero

[Pawant]

3 часа назад, jameszero сказал:

Попробуйте в настройках uTorrent включить socks прокси. Только порт поставьте тот, который указан в Nekobox и не забудьте галку на p2p, как на скриншоте.

  Скрыть содержимое

 

Есть, так заработало! А теперь как это можно реализовать на Кинетике?

[Pawant]

12 часа назад, Skrill0 сказал:

Проверить свое соединение можно с помощью NtopNG. Он отобразит, что именно видит провайдер

Его на VPS нужно поднимать? Если да, то там проблемно будет что-то фильтровать, у меня несколько пользователей висит на разных протоколах. Да и ресурсов он, я так понимаю, жрет прилично, а у меня сервер самый простенький, чисто для VPN.

[The_Same]

18 минут назад, Pawant сказал:

Есть, так заработало! А теперь как это можно реализовать на Кинетике?

[Pawant]

20 минут назад, The_Same сказал:

Насколько я знаю, прокси можно использовать только для доступа к Transmission, а не для подключения Transmission к пирам и закачки. Либо я что-то не так понимаю. Никаких настроек прокси, кроме удаленного доступа, не нашел.

[jameszero]

45 минут назад, Pawant сказал:

Есть, так заработало!

Значит провайдер не блокирует. Теперь нужно разобраться, как это сделать на кинетике. Возможно дело в UDP-протоколе через который работает торрент или же кинетик ходит в интернет напрямую, минуя xray.

[The_Same]

1 час назад, jameszero сказал:

кинетик ходит в интернет напрямую, минуя xray.

Вот в этом проблема, как мне кажется. Я уже писал, что роутер никак не может добавить в политику сам себя.

[Maynel]

Всем доброго времени суток! Большое спасибо за проделанную работу. Очень подробно, вполне спокойно прочитал все страницы топика)

Вариант с Socks получилось настроить, но нужны UDP. При попытке конфигурации редиректа трафик весь идёт напрямую. Подскажите, пожалуйста, куда копать. Выход в интернет выполнен цепочкой ПК 192.168.1.100-->Кинетик 192.168.1.1 -->Оптоволоконный ротуер ростелекома в режиме мост 192.168.0.1 

07_r_inbounds

Скрытый текст

// Настройка исходящих соединений

{
    "inbounds": [
        {
            "listen": "192.168.1.1",    // Адрес Вашего шлюза
            "port": 54836,    // Порт на котором будет слушать Xray. Рекомендуется выбрать порт от 49152 до 65535
            "protocol": "dokodemo-door",
            "settings": {
                "network": "tcp,udp",
                "followRedirect": true
            },
            "sniffing": {
                "enabled": true,
                "destOverride": [
                    "http",
                    "tls"
                ]
            },
            "tag": "socks-in"
        }
    ]
}
 

10_d_routing

Скрытый текст

// Настройка маршрутизации

{
  "routing": {
    "domainStrategy": "IPIfNonMatch",
    "rules": [
      // Настройка черного списка
      {
        "inboundTag": ["socks-in"],
        "domain": [
          "ext:geosite_v2fly.dat:category-ads-all",
          "google-analytics",  // Могут быть проблемы с сервисами Google. Нужны тесты
          "analytics.yandex"  // Могут быть проблемы с сервисами Yandex. Нужны тесты
        ],
        "outboundTag": "block",
        "type": "field"
      },
      
      // Блокируем соединение по уязвимым UDP портам
      {
        "inboundTag": ["socks-in"],
        "network": "udp",
        "port": "135, 137, 138, 139",
        "outboundTag": "block",
        "type": "field"
      },
      
      // Настройка подключений через VPS с помощью доменных имен
      {
        "inboundTag": ["socks-in"],
        "domain": [
          "speedtest.net",
          "ext:geosite_antifilter.dat:antifilter-community",
          "ext:geosite_v2fly.dat:openai",
          "ext:geosite_v2fly.dat:paypal",
          "ext:geosite_v2fly.dat:ebay",
          "ext:geosite_v2fly.dat:facebook",
          "ext:geosite_v2fly.dat:instagram"
        ],
        "outboundTag": "proxy",
        "type": "field"
      },
      
      // Настройка подключений через VPS с помощью IP
      {
        "inboundTag": ["socks-in"],
        "ip": [
          "ext:geoip_antifilter.dat:antifilter",
          "ext:geoip_antifilter.dat:antifilter-community",
          "ext:geoip_v2fly.dat:facebook",
          "ext:geoip_v2fly.dat:netflix",
          "ext:geoip_v2fly.dat:twitter"
        ],
        "outboundTag": "proxy",
        "type": "field"
      },

      // Направление остальныех соединений на VPS
      {
        "inboundTag": ["socks-in"],
        "outboundTag": "direct",
        "type": "field"
      }
    ]
  }
}

 

Полная переустановка с 0 не помогла. В настройках кинетика прокси соединение удалено, дополнительная маршрутизация не настраивалась.

Edited October 30, 2023 by Maynel

[bigpu]

6 минут назад, Maynel сказал:

При попытке конфигурации редиректа трафик весь идёт напрямую

а политики корректно на Кинетик настроены?

[Maynel]

7 минут назад, bigpu сказал:

а политики корректно на Кинетик настроены?

Для настройки редирект вместо прокси удалил старое подключение и политику, соответственно. Осталась только основная

[bigpu]

9 минут назад, Maynel сказал:

Для настройки редирект вместо прокси удалил старое подключение и политику, соответственно. Осталась только основная

плохо вы все страницы топика прочитали, перечитайте несколько последних)

[bigpu]

28 минут назад, Maynel сказал:

прочитал все страницы топика)

https://forum.keenetic.com/topic/16899-xray-на-entware-xkeen/?do=findComment&comment=173490

[Maynel]

31 минуту назад, bigpu сказал:

https://forum.keenetic.com/topic/16899-xray-на-entware-xkeen/?do=findComment&comment=173490

Спасибо вам большое, все помогло) Видимо, уже от нетерпения пролетел мимо сообщений... В заблуждение еще ввело то, что без очистки кэша спидтест все равно загружался с белым айпи, а не удаленного сервера.

[bigpu]

1 минуту назад, Maynel сказал:

Спасибо вам большое

спасибо лучше говорить @Skrill0 это ее проект)

[adk]

Коллеги, а кто-то использует МП Keenetic? Ни у кого на устройствах, которые используют xkeen, не наблюдается долгая прогрузка данных по клиентам и отсутствие месячной статистики входящего\исходящего трафика?
Как только устройство вывожу из политики - сразу же всё оперативно подгружается...

Такое ощущение, что трафик идёт через VPS. Пытался внести домены для прямого доступа - но всё тщетно.

[bigpu]

3 минуты назад, adk сказал:

не наблюдается долгая прогрузка данных по клиентам и отсутствие месячной статистики входящего\исходящего трафика?

когда пускал на Xkeen только 80 и 443 порт, все работало корректно с трафиком. Хотя долго не наблюдал)

[adk]

1 минуту назад, bigpu сказал:

когда пускал на Xkeen только 80 и 443 порт, все работало корректно с трафиком. Хотя долго не наблюдал)

Это же отсюда? А есть негативные последствия для пользователей пуска исключительно 80 и 443, не подскажете?

[bigpu]

1 минуту назад, adk сказал:

Это же отсюда?

да

1 минуту назад, adk сказал:

А есть негативные последствия для пользователей

я как раз позитивные увидел - торрент-клиент на десктопе стал качать с полной скоростью)

[Pawant]

4 часа назад, The_Same сказал:

Я уже писал, что роутер никак не может добавить в политику сам себя.

Да не, торрент же спокойно добавляется в нужную политику. Иначе бы у меня и через WireGuard торренты не качались, если б Кинетик напрямую ходил в инет. В том именно и дело, что торрент спокойно идет по предназначенной политике, но конкретно с Xkeen это не работает. Ну, то есть, работает, но что-то надо докрутить в конфигах, чтобы p2p шло через прокси с нужным портом (как это предлагали и как успешно получилось с компа в обсуждении выше).