маршрутизация Xray на Entware | Xkeen

[stalker-dm]

Скиньте файлик /opt/etc/init.d/rc.unslung

Может у меня что-то не то в нём!

 

Может еще есть какие-то варианты автозапуска, мне достаточно xray запустить?

Edited December 28, 2023 by stalker-dm

[Alexey77]

24 минуты назад, stalker-dm сказал:

Может еще есть какие-то варианты автозапуска, мне достаточно xray запустить?

Попробуйте после редактирования файла выполнить chmod +x /opt/etc/init.d/S24xray

[stalker-dm]

30 минут назад, Alexey77 сказал:

Попробуйте после редактирования файла выполнить chmod +x /opt/etc/init.d/S24xray

Сделал, но не сработало!

Может быть можно xray запустить через cron как daemon?

[Alexey77]

36 минут назад, stalker-dm сказал:

Сделал, но не сработало!

Может у вас ошибка в конфигах? И как вы проверяете запуск xray? 

Edited December 28, 2023 by Alexey77

[stalker-dm]

7 минут назад, Alexey77 сказал:

Может у вас ошибка в конфигах? И как вы проверяете запуск xray? 

С конфигом все в порядке, xray запускается, конфиг reverse proxy одним файлом. Запускал через xkeen и "вчистую" xray run

 

[Alexey77]

Попробуйте этот файл. Конфиг переименуйте в config.json и положите в /opt/etc/xray/ выставьте права 755 на файл S24xray

S24xray

[stalker-dm]

Спасибо! xray запустился, то что надо!!!

[LexxWin]

В 25.12.2023 в 11:17, LexxWin сказал:

Здравствуйте!
Установил на Keenetic Hopper KN-3810. Работает через Redirect, "ленивая" конфигурация (пробовал 2 варианта).
Сайты открывает, всё хорошо. но вот в телеграмм при ответе на звонок, идёт переподключение, и не соединяет. Подскажите пожалуйста как это исправить.
 

Если оба устройства в одной сети, тогда нормально. Но если связь между устройством из этой сети, и из другой сети, тогда не соединяет.

Edited February 6 by LexxWin

[stalker-dm]

12 часа назад, Alexey77 сказал:

Попробуйте этот файл. Конфиг переименуйте в config.json и положите в /opt/etc/xray/ выставьте права 755 на файл S24xray

S24xray 363 \u0431 · 6 downloads

Подскажите, как проверить, запустился-ли xtay?
Сегодня перезагрузил роутер и минут 15 не мог зайти в локалку через реверс прокси. Может xray запускается не сразу после перезагрузки?

 

Edited December 29, 2023 by stalker-dm

[Alexey77]

4 часа назад, stalker-dm сказал:

Подскажите, как проверить, запустился-ли xtay?

Добрый день. Попробуйте xkeen -tpx или netstat -ltunp | grep xray

[stalker-dm]

Reverse proxy настроил, все работает, но две проблемы.
После перезгарузки роутера попасть с удаленного клиента в локальную сеть не могу сразу, только по истечении некоторого времени, минут 15-20, нашел с чем это связано, уважаемый Alexey77 помог отсечь необоснованные подозрения на автозагрузку.
1. Дело вот в чем, в конфиге на VPS, при параметре "ip": ["192.168.5.1"], клиент быстро заходит в локалку на 192.168.5.1 если же я задаю значение "ip": ["192.168.5.0/24"], то после перезагрузки минут через 20 только можно зайти на 192.168.5.1.

2. Скорость доступа к локальной сети через реверс прокси не превышает 1,2 МБ/сек.

Куда копать по этим двум вопросам, подскажите!

Часть конфига на VPS:

"rules": [
            {
                "type": "field",
                "inboundTag": ["incoming"],
       			"user": ["client"],
        		"ip": ["192.168.5.1"],
        		"port": "0-65535",
                "outboundTag": "home_portal"
            },
            {
                "type": "field",
                "inboundTag": ["incoming"],
        		"user": ["home"],
                "outboundTag": "home_portal"
        }
        ]

 

Edited December 29, 2023 by stalker-dm

[LexxWin]

В 28.12.2023 в 21:58, LexxWin сказал:

Если оба устройства в одной сети, тогда нормально. Но если связь между устройством из этой сети, и из другой сети, тогда не соединяет.

Даже с таким "10_routing" у меня не работает Telegram:

Скрытый текст

{
  "routing": {
    "domainStrategy": "IPIfNonMatch",
    "rules": [
            
      // Настройка соединений на VPS с помощью доменных имен
      {
        "inboundTag": ["socks-in"],
        "domain": [
          "rutracker.org" 
        ],
        "outboundTag": "proxy",
        "type": "field"
      },
      
      // Направление остальных соединений на DIRECT
      {
        "inboundTag": ["socks-in"],
        "outboundTag": "direct",
        "type": "field"
      }
    ]
  }
}

Edited February 6 by LexxWin

[Alexey77]

59 минут назад, LexxWin сказал:

Даже с таким "10_routing" у меня не работает Telegram:

Добрый день. Попробуйте выполнить xkeen -ap "80 443" может поможет. Это для режима redirect. 

Edited December 30, 2023 by Alexey77

[jameszero]

@LexxWin, приветствую! Попробуйте в 41 строке файла \etc\init.d\S24xray убрать протокол udp, вот так:

protocols="tcp" # Протоколы подключения | Можно убирать или добавлять через пробел

 

Edited December 30, 2023 by jameszero

[LexxWin]

1 час назад, jameszero сказал:

@LexxWin, приветствую! Попробуйте в 41 строке файла \etc\init.d\S24xray убрать протокол udp, вот так:

protocols="tcp" # Протоколы подключения | Можно убирать или добавлять через пробел

 

Здравствуйте!

Спасибо большое за помощь, работает!

Edited December 30, 2023 by LexxWin

[LexxWin]

2 часа назад, Alexey77 сказал:

Добрый день. Попробуйте выполнить xkeen -ap "80 443" может поможет. Это для режима redirect. 

Здравствуйте!

Спасибо большое за помощь, так тоже работает!

[LexxWin]

Спасибо @Alexeу77 и @jameszero

Теперь хотел бы выяснить, что будет лучше именно для моего случая, для режима Redirect, чтобы в дальнейшем было меньше ошибок, и лучше работало.

Подправить в строках файла \etc\init.d\S24Xray:

donor_port="80 443"

или 

protocols="tcp" ?

Или использовать сразу два метода?

Edited January 20 by LexxWin

[jameszero]

Используйте оба твика. Для интернет серфинга достаточно портов 80 и 443, а протокол udp в текущей реализации xkeen не работает (звонки через интернет обычно используют этот протокол). Ожидаем новую версию xkeen, в ней должна появиться поддержка udp.

PS

donor_port="80 443"

Параметр не должен содержать -status, непонятно откуда он у вас появился.

 

[LexxWin]

1 час назад, jameszero сказал:

Используйте оба твика. Для интернет серфинга достаточно портов 80 и 443, а протокол udp в текущей реализации xkeen не работает (звонки через интернет обычно используют этот протокол). Ожидаем новую версию xkeen, в ней должна появиться поддержка udp.

PS

donor_port="80 443"

Параметр не должен содержать -status, непонятно откуда он у вас появился.

 

Насчёт "-status", это я ошибся при наборе в сообщении, а в файле всё правильно.

Спасибо!

[AdamJensen]

Здравствуйте. Пытаюсь настроить конфиг для vps. Сделал все по  инстркуции из шапки. Использовал 07_s_inbounds.json, 08_outbounds.json, 10_p_routing.json. 
Прокси настроил под клиента. Xray слушает нужный порт. 
Проблема в том, что у меня не открывется ничего кроме моего сервера с vps. В access логах только соединения с vps появляются. По любым другим сайтам никуда не заходит. Могу только в панель vps попасть и все.

[Niyaz]

Проверял кто на KN-1811 прошивка 4.0.7?

[D@nge1]

3 часа назад, Niyaz сказал:

Проверял кто на KN-1811 прошивка 4.0.7?

Установлен и работает.

[Alexey77]

Доброе утро. Поздравляю ВАС с наступающим новым новым! Мне 4.0.7 не понравилась откатился. Насколько помню были проблемы с dns. 

Edited December 31, 2023 by Alexey77
Дополнил

[Niyaz]

Всех с наступающим!!!

Такой вопрос, каждый день автоматом делает бэкап, как это отключить?

[Skrill0]

Всем доброй ночи!

Поздравляю всех с новым годом, у кого уже наступил и с наступающим, у кого только наступает)
Надеюсь, что у всех вас все было хорошо в 2023 году.
Но в новом желаю, чтобы все было еще лучше)

Пусть все поставленные цели будут достигнуты, а также побольше положительных моментов, крепкого здоровья и общего благополучия вам и вашим близким)

 

Edited December 31, 2023 by Skrill0

[madsen]

В 26.12.2023 в 20:50, beubasser сказал:

 

Добрый день. Спасибо за советы, но к сожалению, это не помогает. Всё снова упирается в слабый процессор роутера, который еле тянет работу xray.

Конфиг на роутере:

• 07_inbounds.json:
    Показать содержимое

  {
    "inbounds": [
      {
        "listen": "192.168.1.1",
        "port": 54836,
        "protocol": "dokodemo-door",
        "settings": {
          "network": "tcp,udp",
          "followRedirect": true
        },
        "sniffing": {
          "enabled": true,
          "destOverride": [
            "http",
            "tls"
          ]
        },
        "tag": "socks-in"
      }
    ]
  }
  

• 08_outbounds.json:
    Показать содержимое

  {
    "outbounds": [
      {
        "domainStrategy": "UseIPv4",
        "protocol": "vless",
        "settings": {
          "vnext": [
            {
              "address": "***",
              "port": 443,
              "users": [
                {
                  "encryption": "none",
                  "flow": "xtls-rprx-vision",
                  "id": "***"
                }
              ]
            }
          ]
        },
        "streamSettings": {
          "network": "tcp",
          "security": "reality",
          "realitySettings": {
            "publicKey": "***",
            "fingerprint": "firefox",
            "serverName": "google.com",
            "shortId": "***",
            "spiderX": "/"
          }
        },
        "tag": "proxy"
      },
      {
        "protocol": "freedom",
        "tag": "direct"
      },
      {
        "protocol": "blackhole",
        "tag": "block"
      }
    ]
  }

 

Конфиг на VPS:

• Inbound:
    Показать содержимое

  

• Клиент - роутер:
    Показать содержимое

  

 

Твики на VPS:

  Показать содержимое

root@inexpensive-pen:~# cat /etc/sysctl.conf
...
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_congestion_control = bbr
net.core.default_qdisc=fq
net.ipv4.tcp_congestion_control=bbr
net.core.rmem_max = 67108864
net.core.wmem_max = 67108864
net.core.netdev_max_backlog = 10000
net.core.somaxconn = 4096
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_keepalive_time = 1200
net.ipv4.tcp_keepalive_probes = 5
net.ipv4.tcp_keepalive_intvl = 30
net.ipv4.tcp_max_syn_backlog = 8192
net.ipv4.tcp_max_tw_buckets = 5000
net.ipv4.tcp_fastopen = 3
net.ipv4.tcp_mem = 25600 51200 102400
net.ipv4.udp_mem = 25600 51200 102400
net.ipv4.tcp_rmem = 4096 87380 67108864
net.ipv4.tcp_wmem = 4096 65536 67108864
net.ipv4.tcp_mtu_probing = 1
net.ipv4.tcp_slow_start_after_idle=0

Neofetch на VPS:

  Показать содержимое

Лог запуска/остановки xkeen:

  Показать содержимое

Со всем этим, результаты получились такие (все тесты с xray без правил маршрутизации, весь трафик идёт через VPS без исключений):

• Htop во время бездействия:
    Показать содержимое

  На роутере:
  

  На raspberry:
  

• Прямой тест без xray, скорость провайдера:
    Показать содержимое

  

  Htop на роутере при тесте скачивания:

  

• Тест с xray через NekoBox Android, прямое подключение к VPS по его IP:
    Показать содержимое

  

  Htop на роутере при тесте скачивания:

  

• Тест с xray через NekoBox Android, подключение к raspberry pi в локальной сети по SOCKS, на которой стоит xray клиент с outbound на мою VPS:
    Показать содержимое

  

  Htop на роутере при тесте скачивания:
  

  Htop на raspberry при тесте скачивания:

  

• Тест с xray через NekoBox Android, подключение к raspberry pi в локальной сети по WireGuard inbound (MTU 1400), на которой стоит xray клиент с outbound на мою VPS:
    Показать содержимое

  

  И я только тут понял, что WireGuard inbound в xray как раз и является ботлнеком, а не роутер. Фикса пока не нашёл.

  Htop на роутере при тесте скачивания:
  

  Htop на raspberry при тесте скачивания:

• Тест с xkeen на роутере, REDIRECT, политика "xkeen" есть, клиент в неё занесён:
    Показать содержимое

  

  Htop на роутере при тесте скачивания:
  

• Тест с xray на raspberry, роутер подключается к raspberry по стоковому SOCKS5 из веб-интерфейса, предварительно выполнена команда interface Proxy0 proxy socks5-udp, создана политика "VPN" с приоритетом подключения к прокси, клиент в неё занесён:
    Показать содержимое

  

  Htop на роутере при тесте скачивания:
  

  (клиент SOCKS кинетика даже не утилизирует процессор полностью)

  Htop на raspberry при тесте скачивания:
  

• Тест с xray на raspberry, роутер подключается к raspberry по стоковому WireGuard из веб-интерфейса, создана политика "VPN" с приоритетом подключения к WG-туннелю, клиент в неё занесён:
    Показать содержимое

  

  Htop на роутере при тесте скачивания:
  

  Htop на raspberry при тесте скачивания:
  

 

В общем, выглядит печально. Но в документации v2fly я увидел какую-то конфигурацию, когда IP raspberry ставится как основной шлюз на клиентах. В нашем случае можно перевести кинетик в режим Relay и вписать туда IP raspberry, которая и будет заниматься маршрутизацией. Пока буду копать в эту сторону.

  Показать содержимое

а вам удалось продвинуться в этом вопросе? Конечно расстроен, что скорость сильно режется(

[LDude]

10 hours ago, madsen said:

а вам удалось продвинуться в этом вопросе? Конечно расстроен, что скорость сильно режется(

ХЗ, что у него не так, но у меня на том же проце (KN-1910) и с меньшей оперативой около 300 мбит в среднем, зависит от доступа до VPS. Бывает и до 500 доходит.

Да, ещё у меня Wireguard и OVPN подняты для других устройств на этом роутере.

И MESH ещё, ХЗ, влияет ли на проц.

Edited January 2 by LDude
добавил

[beubasser]

On 1/1/2024 at 11:35 PM, madsen said:

а вам удалось продвинуться в этом вопросе? Конечно расстроен, что скорость сильно режется(

Вообще, костыльно получилось, но не работают интернет-звонки. Всё ещё не понимаю почему.

Spoiler

В Gateway IP пишется IP другого локального сервака типа распберри. На нём не нужно подрубать DHCP сервер, он останется на роутере, просто роутер будет давать всем клиентам другой IP шлюза вместо 192.168.1.1. Потом клиенты переподключаются или можно перезагрузить роутер.

Важно на этом локальном серваке отключить DHCP клиент и назначить IP шлюза вручную, т.е. 192.168.1.1, а то при перезапуске он будет ссылаться на самого себя и подключиться к нему не получится, а у других не будет интернета.

На этом сервере включается IP forwarding:

Spoiler

net.ipv4.ip_forward=1

И выполняются команды из xkeen:

Spoiler

iptables -t nat -N "XRAY_IPV4"
iptables -t nat -A "XRAY_IPV4" -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 0.0.0.0/8 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 10.0.0.0/8 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 127.0.0.0/8 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 169.254.0.0/16 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 172.16.0.0/12 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 192.168.0.0/16 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 224.0.0.0/4 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 240.0.0.0/4 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 255.255.255.255/32 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -p tcp -j REDIRECT --to-port 10810
iptables -t nat -A XRAY_IPV4 -p udp -j REDIRECT --to-port 10810
iptables -t nat -A PREROUTING -i eth0 -j "XRAY_IPV4"

Можно сделать iptables-persistent или добавлять правила скриптом при запуске.

Правила буквально перенаправляют любой трафик, приходящий на сервер с интерфейса eth0 и не адресованый самому серверу на порт 10810. На этом порту запущен xray с режимом dokodemo-door.

Spoiler

{
  "inbounds": [
    {
      "listen": "192.168.1.127",
      "port": 10810,
      "protocol": "dokodemo-door",
      "settings": {
        "network": "tcp,udp",
        "followRedirect": true
      },
      "sniffing": {
        "enabled": true,
        "destOverride": [
          "http",
          "tls"
        ]
      },
      "tag": "doko-in"
    }
  ]
}

Скорость нормальная, распберри загружена на 2/4, 3/4 при тесте скорости.

Но, опять же, звонки в том же дискорде не работают. Я не знаю почему. Поэтому ищу другие варианты, типа попробовать поднять другой tun2socks клиент на роутере. "По-простому" пока не получается. Стоковый SOCKS5 прокси на кинетике использует badvpn-tun2socks. Он медленный и даже не полностью нагружает роутер при тесте скорости.

[beubasser]

21 hours ago, LDude said:

ХЗ, что у него не так, но у меня на том же проце (KN-1910) и с меньшей оперативой около 300 мбит в среднем, зависит от доступа до VPS. Бывает и до 500 доходит.

Да, ещё у меня Wireguard и OVPN подняты для других устройств на этом роутере.

И MESH ещё, ХЗ, влияет ли на проц.

А тесты точно идут через xray? Или идут только порты 80 и 443? Какая конфигурация?

[Skrill0]

14 минуты назад, beubasser сказал:

Вообще, костыльно получилось, но не работают интернет-звонки. Всё ещё не понимаю почему.

  Показать содержимое

В Gateway IP пишется IP другого локального сервака типа распберри. На нём не нужно подрубать DHCP сервер, он останется на роутере, просто роутер будет давать всем клиентам другой IP шлюза вместо 192.168.1.1. Потом клиенты переподключаются или можно перезагрузить роутер.

Важно на этом локальном серваке отключить DHCP клиент и назначить IP шлюза вручную, т.е. 192.168.1.1, а то при перезапуске он будет ссылаться на самого себя и подключиться к нему не получится, а у других не будет интернета.

На этом сервере включается IP forwarding:

  Показать содержимое

net.ipv4.ip_forward=1

И выполняются команды из xkeen:

  Показать содержимое

iptables -t nat -N "XRAY_IPV4"
iptables -t nat -A "XRAY_IPV4" -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 0.0.0.0/8 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 10.0.0.0/8 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 127.0.0.0/8 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 169.254.0.0/16 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 172.16.0.0/12 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 192.168.0.0/16 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 224.0.0.0/4 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 240.0.0.0/4 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -d 255.255.255.255/32 -j ACCEPT
iptables -t nat -A XRAY_IPV4 -p tcp -j REDIRECT --to-port 10810
iptables -t nat -A XRAY_IPV4 -p udp -j REDIRECT --to-port 10810
iptables -t nat -A PREROUTING -i eth0 -j "XRAY_IPV4"

Можно сделать iptables-persistent или добавлять правила скриптом при запуске.

Правила буквально перенаправляют любой трафик, приходящий на сервер с интерфейса eth0 и не адресованый самому серверу на порт 10810. На этом порту запущен xray с режимом dokodemo-door.

  Показать содержимое

{
  "inbounds": [
    {
      "listen": "192.168.1.127",
      "port": 10810,
      "protocol": "dokodemo-door",
      "settings": {
        "network": "tcp,udp",
        "followRedirect": true
      },
      "sniffing": {
        "enabled": true,
        "destOverride": [
          "http",
          "tls"
        ]
      },
      "tag": "doko-in"
    }
  ]
}

Скорость нормальная, распберри загружена на 2/4, 3/4 при тесте скорости.

Но, опять же, звонки в том же дискорде не работают. Я не знаю почему. Поэтому ищу другие варианты, типа попробовать поднять другой tun2socks клиент на роутере. "По-простому" пока не получается. Стоковый SOCKS5 прокси на кинетике использует badvpn-tun2socks. Он медленный и даже не полностью нагружает роутер при тесте скорости.

Доброго Вам утра!

Да, звонки не работают, так как Redirect не поддерживает UDP.
В текущей версии 0.9.9 есть только 2 режима.
Other и Redirect.

Для решения проблемы нужно подождать обновления.
На данном этапе я сделала TPROXY для клиентов Xray и Sing-box.
Также полноценный TUN для sing-box.

Сейчас переписываю код. Пришлось очень много переделать)
С обновлением все заработает. Включая DoQ, при желании)