маршрутизация Xray на Entware | Xkeen

[ortizgen]

В 15.11.2023 в 17:25, jameszero сказал:

Клиента, который должен всегда подключаться через прокси, настройте через встроенный proxy Кинетика по socks5, а остальных, кому нужен выборочный обход, подключите через редирект. Разделить подключения можно с помощью inboundTag. Примерно так:

inbound

  Показать содержимое

{
  "inbounds": [
    {
      "listen": "192.168.1.1",
      "port": 1181,
      "protocol": "dokodemo-door",
      "settings": {
        "network": "tcp,udp",
        "followRedirect": true
      },
      "sniffing": {
        "enabled": true,
        "destOverride": [
           "http",
           "tls"
        ]
      },
      "tag": "redirect"
    },
    {
      "listen": "192.168.1.1",
      "port": 1080,
      "protocol": "socks",
      "sniffing": {
        "enabled": true,
        "destOverride": [
          "http",
          "tls"
        ]
      },
      "settings": {
        "udp": true
      },
      "tag": "socks"
    },
    {
      "listen": "192.168.1.1",
      "port": 1081,
      "protocol": "http",
      "sniffing": {
        "enabled": true,
        "destOverride": [
          "http",
          "tls"
        ]
      },
      "settings": {
        "udp": true
      },
      "tag": "http"
    }
  ]
}

 

routing

  Показать содержимое

{
  "routing": {
      "rules": [
      {
        "inboundTag": [
          "redirect"
        ],
        "domain": [
          "myip.tf",
          "nperf.com",
          "nperf.net"
        ],
        "type": "field",
        "outboundTag": "proxy"
      },
      {
        "inboundTag": [
          "redirect"
        ],
	"network": "tcp,udp",
        "type": "field",
        "outboundTag": "direct"
      },
      {
        "inboundTag": [
          "socks",
          "http"
        ],
	"network": "tcp,udp",
        "type": "field",
        "outboundTag": "proxy"
      }
    ]
  }
}

 

 

Всем доброго времени суток, пытаюсь по данной конфигурации настроить раздельное подключение для определенных клиентов по прокси клиенту кинетика, а для остальных через редирект (т.к нужно udp), по редиректу на определенные адреса подключается, а через клиент кинетика подключение идет на прямую. Я так понимаю что в приведенном примере в клиенте кинетика нужно указать SOCKS v5, 192.168.1.1:1080, я так и сделал, но подключается напрямую, причем сторонние клиенты например Firefox, через SOCKS v5 работает нормально, а вот клиент в кинетике не работает, трафик идет напрямую, подскажите в чем проблема, может в конфигурационных файлах нужно что-то поменять?

Edited November 18, 2023 by ortizgen

[jameszero]

@ortizgen, а политику доступа в интернет с socks5 подключением создаёте? Кстати, при редиректе тоже не работает udp.

[ortizgen]

Да все политики доступа настроены, но подключиться через клиент кинетика так и не удалось, решил подождать новую прошивку, в альфа версии вроде как добавили поддержку udp.

Edited November 19, 2023 by ortizgen

[Alexey77]

17 часов назад, ortizgen сказал:

подключиться через клиент кинетика так и не удалось

Добрый день не могли бы вы выложить скриншоты настроек политик и самого прокси клиента? 

[mafia-cheb]

Подскажите пожалуйста, это все надо на флешку устанавливать или в память роутера? Я же могу до всех манипуляций сделать бэкап и если вдруг что то не получиться у меня вернуть все настройки назад?

[Alexey77]

7 часов назад, mafia-cheb сказал:

Подскажите пожалуйста, это все надо на флешку устанавливать

Доброе утро да это нужно установить на флешку и если что просто вынуть флешку и лучше на выключенным роутере. Можно в настройках роутера сохранить и прошивку и настройки для верности. 

[dima8421]

Добрый день!

Посоветуйте, пожалуйста, можно ли добавить какие-то правила iptables, чтобы трафик удаленных клиентов, подключенных к роутеру по VPN редиректился с помощью xkeen/xray? Т.е., в идеале, весь трафик по портам 80 и 443 из подсети VPN клиентов заворачивать на xray.

[Skrill0]

8 минут назад, dima8421 сказал:

Добрый день!

Посоветуйте, пожалуйста, можно ли добавить какие-то правила iptables, чтобы трафик удаленных клиентов, подключенных к роутеру по VPN редиректился с помощью xkeen/xray? Т.е., в идеале, весь трафик по портам 80 и 443 из подсети VPN клиентов заворачивать на xray.

Доброго Вам времени суток!
Если клиенты помещены в политику Xkeen, то они будут заворачиваться на Xray.

Далее можно добавить заворот только конкретных портов, к примеру, 443 и 80, как Вы говорите.

xkeen -ap "80 443"

Итого все клиенты из политики Xkeen будут работать с Xray только на 443 и 80 портах.

[Pawant]

Многоуважаемые автор и сообщество! Подскажите, пожалуйста, почему при подключении через xkeen практически ни один VPN-сервис не может подключиться? Настроен режим redirect, если это важно.

[Alexey77]

49 минут назад, Pawant сказал:

практически ни один VPN-сервис не может подключиться?

Добрый день. Как это понимать? 

[Atercat]

1 час назад, Pawant сказал:

Многоуважаемые автор и сообщество! Подскажите, пожалуйста, почему при подключении через xkeen практически ни один VPN-сервис не может подключиться? Настроен режим redirect, если это важно.

За все сервисы не скажу, но пару дней назад успешно подключался к Proton. Наверное стоит уточнить, что я весь трафик с компа редиректил на xray.

[jameszero]

1 час назад, Pawant сказал:

при подключении через xkeen практически ни один VPN-сервис не может подключиться? Настроен режим redirect

Доброго дня! Вероятно эти VPN-сервисы используют UDP-протокол, который при редиректе не работает. Если VPN приложение поддерживает прокси сервер socks5 (например OpenVPN), то подключиться к VPN можно.

[Alexey77]

23 минуты назад, Atercat сказал:

За все сервисы не скажу, но пару дней назад успешно подключался к Proton. Наверное стоит уточнить, что я весь трафик с компа редиректил на xray.

А зачем это нужно подключаться через xray к другому vpn? Для смены ip? 

[Atercat]

14 минуты назад, Alexey77 сказал:

А зачем это нужно подключаться через xray к другому vpn? Для смены ip? 

Да. Сэкономил... Купил на Аезе шведский VPS по промо тарифу (1EUR/мес). А IP оказался не совсем шведский. На некоторых сервисах определяется как российский. В частности ChatGPT не хотела со мной разговаривать. Пришлось маслить масленое 🙂

Edited November 22, 2023 by Atercat
Опечатка

[jameszero]

1 час назад, Alexey77 сказал:

зачем это нужно подключаться через xray к другому vpn?

Еще таким образом можно попробовать завернуть весь трафик клиентов, включая UDP-протокол. Поднять, например, на сервере с xray wireguard и Кинетиком подключаться к нему внутри трафика xray. Для клиентов создать политику доступа в интернет через wireguard. Это всё теория, на практике я не пробовал, но вполне может взлететь и при такой схеме можно обойти ограничения redirect-а.

[jameszero]

@Skrill0, приветствую!

В /etc/ndm/xray.sh значение gateway_interfaces задвоено. Так задумано?

Цитата

...
policy_mark="0xffffd01"
dokodemo_port="1181"
donor_port="80 443"
gateway_interfaces="br0 br0"
...

В S24xray я этот параметр не задавал, определяется автоматически.

 

[Skrill0]

4 минуты назад, jameszero сказал:

@Skrill0, приветствую!

В /etc/ndm/xray.sh значение gateway_interfaces задвоено. Так задумано?

В S24xray я этот параметр не задавал, определяется автоматически.

Доброго Вам времени суток!

Нет, должен был определиться только 1 интерфейс.
В ближайшем обновлении будет исправлено множество ошибок. Благодарю Вас)
Но для спокойствия, ничего страшного в дубликате нет. На производительность не влияет)

Edited November 22, 2023 by Skrill0

[NGaGe39]

8 часов назад, Atercat сказал:

 В частности ChatGPT не хотела со мной разговаривать. Пришлось маслить масленое 🙂

Быть может не секрет, но ChatGPT успешно работает через WARP, так что вам ничего не мешает на сервере в него заворачивать запросы к openai

[doc_bravn]

Доброго дня!

Прошу прощения за вопросы. Уже несколько раз прочитал первую страницу с описанием и пока никак не пойму как настроить под мои нужды. Требуется мне следующее:

1. весь трафик ко всем основным ресурсам пускать напрямую через канал провайдера.

2. через VPN пускать трафик только до определенных заблокированных ресурсов(таких как инстаграм и сайты торрент трекеров)

Пытаюсь понять как настроить редирект в роутере, что нужно делать чтобы настроить? Нет ли какого-то более подробного руководства?

[bigpu]

7 минут назад, doc_bravn сказал:

Нет ли какого-то более подробного руководства?

куда уж подробнее, тем более все есть в шапке:

 

[doc_bravn]

40 минут назад, bigpu сказал:

куда уж подробнее, тем более все есть в шапке:

Добрый день!

Настроил с использованием редиректа. Создал политику, добавил в нее устройство которое должно через нее работать. Вопрос нужно ли в политике устанавливать галку?

Edited November 23, 2023 by doc_bravn

[Skrill0]

13 минуты назад, doc_bravn сказал:

Добрый день!

Настроил с использованием редиректа. Создал политику, добавил в нее устройство которое должно через нее работать. Вопрос нужно ли в политике устанавливать галку?

Доброго Вам дня!
Да, галку на подключение нужно установить.

[doc_bravn]

26 минут назад, Skrill0 сказал:

Доброго Вам дня!
Да, галку на подключение нужно установить.

И вам доброго дня!

Спасибо!

Т.е. должна стоять галка также как и на политике по умолчанию?

[bigpu]

1 минуту назад, doc_bravn сказал:

Т.е. должна стоять галка также как и на политике по умолчанию?

ну логично же, что должна стоять галка на подключении, которое требуется использовать для политики!

[Skrill0]

26 минут назад, doc_bravn сказал:

И вам доброго дня!

Спасибо!

Т.е. должна стоять галка также как и на политике по умолчанию?

Да, все правильно.
По-сути, этой галкой Вы даете доступ к интернету.
Галка на политике Xkeen позволяет ей доступ в сеть и обеспечивает работоспособность Xray.

Политика Xkeen изолирована от других)

Edited November 23, 2023 by Skrill0

[doc_bravn]

22 минуты назад, Skrill0 сказал:

Да, все правильно.
По-сути, этой галкой Вы даете доступ к интернету.
Галка на политике Xkeen позволяет ей доступ в сеть и обеспечивает работоспособность Xray.

Политика Xkeen изолирована от других)

Благодарю!

В роутинге я настроил так:

{
  "routing": {
    "domainStrategy": "IPIfNonMatch",
    "rules": [
       {
        "inboundTag": ["socks-in"],
        "domain": [
          "speedtest.net",
          "ext:geosite_antifilter.dat:antifilter-community",
          "ext:geosite_v2fly.dat:openai",
          "ext:geosite_v2fly.dat:paypal",
          "ext:geosite_v2fly.dat:ebay",
          "ext:geosite_v2fly.dat:facebook",
          "ext:geosite_v2fly.dat:instagram"
        ],
        "outboundTag": "proxy",
        "type": "field"
      },
      

    {
        "inboundTag": ["socks-in"],
        "ip": [
          "ext:geoip_antifilter.dat:antifilter",
          "ext:geoip_antifilter.dat:antifilter-community",
          "ext:geoip_v2fly.dat:facebook",
          "ext:geoip_v2fly.dat:netflix",
          "ext:geoip_v2fly.dat:twitter"
        ],
        "outboundTag": "proxy",
        "type": "field"
      },

      
      {
        "inboundTag": ["socks-in"],
        "outboundTag": "direct",
        "type": "field"
      }
    ]
  }
}

Пытался добиться чтобы трафик до заблокированных ресурсов пошел через VPS, а все остальное шло напрямую через канал провайдера. Верные настройки?

Политикой я выбрал те устройства которые будут к xkeen обращаться. Выбранное политикой устройство весь свой трафик будет отправлять через VPS или используя настройки роутинга xkeen пойдет к заблокированным через VPS, а к остальным напрямую в канал провайдера?

 

Edited November 23, 2023 by doc_bravn

[Skrill0]

6 минут назад, doc_bravn сказал:

Благодарю!

В роутинге я настроил так:

{
  "routing": {
    "domainStrategy": "IPIfNonMatch",
    "rules": [
       {
        "inboundTag": ["socks-in"],
        "domain": [
          "speedtest.net",
          "ext:geosite_antifilter.dat:antifilter-community",
          "ext:geosite_v2fly.dat:openai",
          "ext:geosite_v2fly.dat:paypal",
          "ext:geosite_v2fly.dat:ebay",
          "ext:geosite_v2fly.dat:facebook",
          "ext:geosite_v2fly.dat:instagram"
        ],
        "outboundTag": "proxy",
        "type": "field"
      },
      

    {
        "inboundTag": ["socks-in"],
        "ip": [
          "ext:geoip_antifilter.dat:antifilter",
          "ext:geoip_antifilter.dat:antifilter-community",
          "ext:geoip_v2fly.dat:facebook",
          "ext:geoip_v2fly.dat:netflix",
          "ext:geoip_v2fly.dat:twitter"
        ],
        "outboundTag": "proxy",
        "type": "field"
      },

      
      {
        "inboundTag": ["socks-in"],
        "outboundTag": "direct",
        "type": "field"
      }
    ]
  }
}

Пытался добиться чтобы трафик до заблокированных ресурсов пошел через VPS, а все остальное шло напрямую через канал провайдера. Верные настройки?

Политикой я выбрал те устройства которые будут к xkeen обращаться. Выбранное политикой устройство весь свой трафик будет отправлять через VPS или используя настройки роутинга xkeen пойдет к заблокированным через VPS, а к остальным напрямую в канал провайдера?

Да, все правильно.
Но antifilter-community может не содержать всех нужных доменов. 
Если Вам такие не встретятся, то рекомендую оставить его.

Если появятся, то используйте просто antifilter)

[doc_bravn]

3 минуты назад, Skrill0 сказал:

Да, все правильно.
Но antifilter-community может не содержать всех нужных доменов. 
Если Вам такие не встретятся, то рекомендую оставить его.

Если появятся, то используйте просто antifilter)

Благодарю!

Проверю. По сути мне нужны домены инстаграма, рутрекера и кинозала да и все. Они есть в antifilter-community?

Политикой я выбрал те устройства которые будут к xkeen обращаться. Выбранное политикой устройство весь свой трафик будет отправлять через VPS или используя настройки роутинга xkeen пойдет к заблокированным через VPS, а к остальным напрямую в канал провайдера?

[Skrill0]

1 минуту назад, doc_bravn сказал:

Благодарю!

Проверю. По сути мне нужны домены инстаграма, рутрекера и кинозала да и все. Они есть в antifilter-community?

Насколько я помню, должны быть
 

2 минуты назад, doc_bravn сказал:

Политикой я выбрал те устройства которые будут к xkeen обращаться. Выбранное политикой устройство весь свой трафик будет отправлять через VPS или используя настройки роутинга xkeen пойдет к заблокированным через VPS, а к остальным напрямую в канал провайдера?

Добавленное в политиику устройство будет направлять все соединение локально на Xray.
А Xray уже выполнит маршрутизацию, согласно 10_routing, отправить через провайдера запрос или через VPS.

К примеру, если Xray увидит, что доменное имя, допустим, instagram есть в списке antifilter-community — он отправит запрос через VPS.

[doc_bravn]

33 минуты назад, Skrill0 сказал:

Добавленное в политиику устройство будет направлять все соединение локально на Xray.
А Xray уже выполнит маршрутизацию, согласно 10_routing, отправить через провайдера запрос или через VPS.

К примеру, если Xray увидит, что доменное имя, допустим, instagram есть в списке antifilter-community — он отправит запрос через VPS.

Огромное вам спасибо за помощь!

А почему xkeen пишет в своих логах время по UTC и не учитывает реальное время кинетика?