маршрутизация Xray на Entware | Xkeen

[rolink]

51 минуту назад, Gmarapet сказал:

На других устройствах проверяли? С них Reality подключается?

Да на других устройствах подключается. 

Я сейчас попробовал все на читсую переустановить. 
Я не знаю какие настройки нужно делать после запуска команды

Цитата

xkeen -i

В этот раз я везде нажал пропустить. 

Ввел указаные вами параметры, в итоге посыпались ошибки.
 

Скрытый текст

~ # 2024/01/22 12:48:32 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/01_log.json
-sh: Failed to start: mai2024/01/22: not foundn: fa
iled to load config files: [/opt/etc/xray/configs/01_log.json /opt/etc/xray/configs/02_stats.json /opt/etc/xray/configs/03_dns.json /opt/etc/xray/configs/04_reverse.json /opt/etc/xray/configs/05_fake-dns.json /opt/etc/xray/configs/06_transport.json /opt/etc/xray/configs/07_inbounds.json /opt/etc/xray/configs/08~ # 2024/01/22 12:48:32 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/02_stats.json
-sh: 2024/01/22: not found
~ # 2024/01/22 12:48:32 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/03_dns.json
-sh: 2024/01/22: not found
~ # 2024/01/22 12:48:32 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/04_reverse.json
-sh: 2024/01/22: not found
~ # 2024/01/22 12:48:32 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/05_fake-dns.json
-sh: 2024/01/22: not found
~ # 2024/01/22 12:48:32 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/06_transport.json
-sh: 2024/01/22: not found
~ # 2024/01/22 12:48:32 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/07_inbounds.json
-sh: 2024/01/22: not found
~ # 2024/01/22 12:48:32 [Info] infra/conf: [/opt/etc/xray/configs/07_inbounds.json] appended inbound with tag: socks-in
-sh: 2024/01/22: not found
~ # 2024/01/22 12:48:32 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/08_outbounds.json
-sh: 2024/01/22: not found
~ # 2024/01/22 12:48:32 [Info] infra/conf: [/opt/etc/xray/configs/08_outbounds.json] prepend outbound with tag: proxy
-sh: 2024/01/22: not found
~ # 2024/01/22 12:48:32 [Info] infra/conf: [/opt/etc/xray/configs/08_outbounds.json] prepend outbound with tag: direct
-sh: 2024/01/22: not found
~ # 2024/01/22 12:48:32 [Info] infra/conf: [/opt/etc/xray/configs/08_outbounds.json] prepend outbound with tag: block
-sh: 2024/01/22: not found
~ # 2024/01/22 12:48:32 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/09_policy.json
-sh: 2024/01/22: not found
~ # 2024/01/22 12:48:32 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/10_routing.json
-sh: 2024/01/22: not found
~ # 2024/01/22 12:48:32 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/11_fallbacks.json
-sh: 2024/01/22: not found
~ # Failed to start: main: failed to load config files: [/opt/etc/xray/configs/01_log.json /opt/etc/xray/configs/02_stats.json /opt/etc/xray/configs/03_
dns.json /opt/etc/xray/configs/04_reverse.json /opt/etc/xray/configs/05_fake-dns.json /opt/etc/xray/configs/06_transport.json /opt/etc/xray/configs/07_i
nbounds.json /opt/etc/xray/configs/08_outbounds.json /opt/etc/xray/configs/09_policy.json /opt/etc/xray/configs/10_routing.json /opt/etc/xray/configs/11
_fallbacks.json] > infra/conf: invalid field rule > infra/
-sh: can't create infra/conf:: nonexistent directory
~ #

2. Еще вопрос, я же могу менять айпи с 192.168.1.1 на тот который у меня вручную присвоен роутеру. У меня еще настроены VAN для каждого коннектора, это может как-то влиять?

[Gmarapet]

8 минут назад, rolink сказал:

Failed to start: mai2024/01/22: not foundn: fa
iled to load config files

У вас файлы кофигурации не создались при установке. Пропускать всё не надо.

Вот тут просмотрите, как ставится xkeen через терминал. Там есть гифка.

[chapay10]

Подскажите, пожалуйста, что я делаю не так?  KN-1810, Хочу настроить в режиме REDIRECT и пускать весь трафик

1. Создана политика доступа XKeen:

Скрытый текст

2. 07_inbounds.json

Скрытый текст

{
    "inbounds": [
        {
            "tag": "redirect",
            "listen": "127.0.0.1",
            "port": 61219,
            "protocol": "dokodemo-door",
            "settings": {
                "network": "tcp",
                "followRedirect": true
            },
            "sniffing": {
                "enabled": true,
                "destOverride": [
                    "http",
                    "tls",
                    "quic"
                ]
            }
        }
    ]
}

 

3. 08_outbounds.json (убрал адрес VPS, в конфиге на роутере всё как надо прописано)

Скрытый текст

{
    "outbounds": [
        {
            "tag": "vless-reality",
            "protocol": "vless",
            "settings": {
                "vnext": [
                    {
                        "address": "Адрес VPS",
                        "port": 443,
                        "users": [
                            {
                                "encryption": "none",
                                "flow": "xtls-rprx-vision",
                                "id": "19eab9d0-b281-4fe1-9234-ec63e8e967a6"
                            }
                        ]
                    }
                ]
            },
            "streamSettings": {
                "network": "tcp",
                "security": "reality",
                "realitySettings": {
                    "publicKey": "RuSKtHw63CZHuLjjmZVgjO104tjFygASYeVqFQ1vCnU",
                    "fingerprint": "chrome",
                    "serverName": "fc24.offside.top",
                    "shortId": "bfd83add",
                    "spiderX": "/"
                },
                "sockopt": {
                    "tcpFastOpen": true,
                    "tcpMptcp": true,
                    "tcpNoDelay": true
                }
            }
        }
    ]
}

 

4. 10_routing.json

Скрытый текст

{}

 

В итоге после запуска XKeen и назначения девайсу политики доступа с этого девайса не открывается ни один сайт, в 3x-ui указано, что клиент offline.

 

В логах никаких ошибок нет

iptables -t nat -nL PREROUTING -v

Скрытый текст

Chain PREROUTING (policy ACCEPT 193K packets, 18M bytes)

pkts bytes target     prot opt in     out     source               destination         

2775  282K _NDM_PREROUTING_MC  all  --  *      *       0.0.0.0/0            224.0.0.0/4         

193K   18M _NDM_IPSEC_PREROUTING  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

193K   18M _NDM_HOTSPOT_PRERT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

/opt/etc/xray/configs # iptables -t nat -nL PREROUTING -v

Chain PREROUTING (policy ACCEPT 2194 packets, 194K bytes)

pkts bytes target     prot opt in     out     source               destination         

4754  450K _NDM_DNAT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

4754  450K _NDM_DNS_REDIRECT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

4754  450K _NDM_EZ_BYPASS  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

4611  440K _NDM_UPNP_REDIRECT_SYS  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

    6   384 _NDM_HTTP_DNAT_WAN_NDNS_  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80

4611  440K _NDM_UPNP_REDIRECT_0  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

    0     0 xkeen      all  --  *      *       0.0.0.0/0            0.0.0.0/0            connmark match  0xffffd00 ! ctstate INVALID

iptables -t nat -nL xkeen -v

Скрытый текст

Chain xkeen (1 references)

pkts bytes target     prot opt in     out     source               destination         

    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/8           

    0     0 RETURN     all  --  *      *       0.0.0.0/0            10.0.0.0/8          

    0     0 RETURN     all  --  *      *       0.0.0.0/0            100.64.0.0/10       

    0     0 RETURN     all  --  *      *       0.0.0.0/0            127.0.0.0/8         

    0     0 RETURN     all  --  *      *       0.0.0.0/0            169.254.0.0/16      

    0     0 RETURN     all  --  *      *       0.0.0.0/0            172.16.0.0/12       

    0     0 RETURN     all  --  *      *       0.0.0.0/0            192.0.0.0/24        

    0     0 RETURN     all  --  *      *       0.0.0.0/0            192.0.2.0/24        

    0     0 RETURN     all  --  *      *       0.0.0.0/0            192.168.0.0/16      

    0     0 RETURN     all  --  *      *       0.0.0.0/0            198.18.0.0/15       

    0     0 RETURN     all  --  *      *       0.0.0.0/0            198.51.100.0/24     

    0     0 RETURN     all  --  *      *       0.0.0.0/0            203.0.113.0/24      

    0     0 RETURN     all  --  *      *       0.0.0.0/0            224.0.0.0/4         

    0     0 RETURN     all  --  *      *       0.0.0.0/0            240.0.0.0/4         

    0     0 RETURN     all  --  *      *       0.0.0.0/0            255.255.255.255     

    0     0 REDIRECT   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            redir ports 61219

 

[jameszero]

@chapay10, при редиректе в параметре listen нужно указывать не 127.0.0.1, а адрес роутера -  192.168.1.1.

[chapay10]

20 минут назад, jameszero сказал:

@chapay10, при редиректе в параметре listen нужно указывать не 127.0.0.1, а адрес роутера -  192.168.1.1.

Спасибо, заработало!

[Mikhail_YAR]

Добрый вечер.

У кого-нибудь получилось настроить роутинг чтоб был доступен chat.openai.com? openai.com при этом доступен. На сервере xray в правилах маршрутизации на текущий момент настроено geosite:openai -> warp... По идее должно работать, но нет.

[Skrill0]

9 минут назад, Mikhail_YAR сказал:

Добрый вечер.

У кого-нибудь получилось настроить роутинг чтоб был доступен chat.openai.com? openai.com при этом доступен. На сервере xray в правилах маршрутизации на текущий момент настроено geosite:openai -> warp... По идее должно работать, но нет.

Доброго Вам вечера!

Маршрутизация настраивается на стороне клиента. Не сервера.
В маршрутизацию с тегом outbound для VPS нужно добавить строку в доменную секцию:

"ext:geosite_v2fly.dat:openai"

 

Edited January 22 by Skrill0

[Mikhail_YAR]

18 минут назад, Skrill0 сказал:

Маршрутизация настраивается на стороне клиента. Не сервера.

Добрый вечер!)

Всё верно, у меня в настройках роутинга клиента на VPS идёт всё кроме указанного для direct, openai в списки direct не попадает. Я так понимаю, что проблема возникает уже после VPS и вот там как раз важны настройки маршрутизации на сервере. Но могу ошибаться.

Edited January 22 by Mikhail_YAR

[iandrew]

@beubasser со второго захода с помощью Вашей поддержки получилось, спасибо!

Проблема скорее всего была в выставлении статических настроек, сегодня решил все с нуля сделать, помогла эта ссылка https://serverfault.com/questions/1006634/nmcli-set-static-ip-address-without-the-dhcp

И в конфиге в inbounds я дописал блок

"streamSettings": {
  "sockopt": {
    "tproxy": "tproxy"
  }
}

без него тоже не работало (но вчера пробовал и с ним, и без него, и redirect, так что основная проблема была не здесь).

В 22.01.2024 в 13:25, beubasser сказал:

Я, конечно, ответил как типичный поверхностный гайд или чатгпт

Я бы сказал, что ответы были очень хорошими. Они помогли понять, в какую сторону копать))

Edited January 23 by iandrew

[Yevrashka]

27 минут назад, Mikhail_YAR сказал:

Добрый вечер!)

Всё верно, у меня в настройках роутинга клиента на VPS идёт всё кроме указанного для direct, openai в списки direct не попадает. Я так понимаю, что проблема возникает уже после VPS и вот там как раз важны настройки маршрутизации на сервере. Но могу ошибаться.

Заходит спокойно с такими строками в роутинге:

"ext:geosite_antifilter.dat:antifilter-community"
"ext:geosite_zkeen.dat:domains"
"ext:geoip_antifilter.dat:antifilter-community"

Не смотрел в каком из этих списков прописан openai

[Mikhail_YAR]

4 минуты назад, Yevrashka сказал:

Заходит спокойно с такими строками в роутинге

У меня роутинг вот такой:

Скрытый текст

// Настройка маршрутизации

{
  "routing": {
    "domainStrategy": "IPIfNonMatch",
    "rules": [
      // Настройка черного списка
      {
        "inboundTag": ["inside"],
        "domain": [
          "ext:geosite_v2fly.dat:category-ads-all",
          "google-analytics",
          "analytics.yandex",
      "appcenter.ms",
      "app-measurement.com",
      "firebase.io",
      "crashlytics.com"
        ],
        "outboundTag": "block",
        "type": "field"
      },
      
      // Блокируем соединение по уязвимым UDP портам
      {
        "inboundTag": ["inside"],
        "network": "udp",
        "port": "135, 137, 138, 139",
        "outboundTag": "block",
        "type": "field"
      },
            
      // Настройка прямых подключений с помощью доменных имен
      {
        "inboundTag": ["inside"],
        "domain": [
      "regexp:^([\\w\\-\\.]+\\.)ru$",  // .ru
          "regexp:^([\\w\\-\\.]+\\.)su$",  // .su
          "regexp:^([\\w\\-\\.]+\\.)xn--p1ai$",  // .рф
          "regexp:^([\\w\\-\\.]+\\.)xn--p1acf$",  // .рус
          "regexp:^([\\w\\-\\.]+\\.)xn--80asehdb$",  // .онлайн
          "regexp:^([\\w\\-\\.]+\\.)xn--c1avg$", // .орг
          "regexp:^([\\w\\-\\.]+\\.)xn--80aswg$",  // .сайт
          "regexp:^([\\w\\-\\.]+\\.)xn--80adxhks$",  // .москва
          "regexp:^([\\w\\-\\.]+\\.)moscow$",  //  .moscow
          "regexp:^([\\w\\-\\.]+\\.)xn--d1acj3b$",  // .дети
      "ext:geosite_v2fly.dat:youtube",
          "ext:geosite_v2fly.dat:category-gov-ru",
          "ext:geosite_v2fly.dat:yandex",
          "ext:geosite_v2fly.dat:xbox",
          "ext:geosite_v2fly.dat:playstation",
          "ext:geosite_v2fly.dat:steam",
          "ext:geosite_v2fly.dat:rockstar",
          "ext:geosite_v2fly.dat:gog",
          "ext:geosite_v2fly.dat:vk",
      "ext:geosite_v2fly.dat:private",
      "keenetic"
        ],
        "outboundTag": "direct",
        "type": "field"
      },
      
      // Настойка прямых подключений с помощью IP
      {
        "inboundTag": ["inside"],
        "ip": [
          "ext:geoip_v2fly.dat:ru",
          "ext:geoip_v2fly.dat:private"
        ],
        "outboundTag": "direct",
        "type": "field"
      },
      
      // Направление остальныех соединений на VPS
      {
        "inboundTag": ["inside"],
        "outboundTag": "proxy",
        "type": "field"
      }
    ]
  }
}

В директе не вижу openai нигде.

[Gmarapet]

1 час назад, Mikhail_YAR сказал:

настроить роутинг чтоб был доступен chat.openai.com?

Немного выше писали, что для авторизации на chat.openai.com нужно, чтобы работал не только tcp, но и udp.

Следовательно — метод настройки нужно выбирать TProxy.

С redirect и other авторизоваться не удастся.

И да, строка "ext:geosite_v2fly.dat:openai" должна присутствовать в списке проксируемых доменов. Если, конечно не весь трафик целиком заворачивается в прокси.

[Mikhail_YAR]

1 минуту назад, Gmarapet сказал:

Следовательно — метод настройки нужно выбирать TProxy.

Так и настроено.

1 минуту назад, Gmarapet сказал:

Если, конечно не весь трафик целиком заворачивается в прокси.

Весь, кроме ресурсов, указанных в direct. Выше конфиг привёл свой.

[NGaGe39]

46 минут назад, Gmarapet сказал:

С redirect и other авторизоваться не удастся.

Неправда ведь

Всё прекрасно работает через Redirect и Reality

Надеюсь, не нужно вставлять скриншоты trace у openai и работающий ChatGPT?

Правильно заворачивать в WARP как раз на сервере, потому что по неизвестной причине OpenAi не забанил некоторые регионы WARPa, а как всем известно, WARPу присваивается самый близкий сервер CF того места, откуда выход происходит

Edited January 22 by NGaGe39

[NGaGe39]

1 час назад, Mikhail_YAR сказал:

На сервере xray в правилах маршрутизации на текущий момент настроено geosite:openai -> warp... По идее должно работать, но нет.

У вас мало вводных, локация сервера, что показывает https://chat.openai.com/cdn-cgi/trace

[Mikhail_YAR]

8 минут назад, NGaGe39 сказал:

что показывает https://chat.openai.com/cdn-cgi/trace

Хм, прикольно. По факту VPS в штатах и сервисы типа 2ip это подтверждают.

Скрытый текст

visit_scheme=https
uag=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
colo=EWR
sliver=none
http=http/2
loc=RU
tls=TLSv1.3
sni=plaintext
warp=on
gateway=off
rbi=off
kex=X25519

 

[Gmarapet]

26 минут назад, Mikhail_YAR сказал:

По факту VPS в штатах и сервисы типа 2ip это подтверждают.

А whoer что говорит?

Можно ещё на browserleaks посмотреть.

[Hellheym]

Друзья/братцы/коллеги по кинетику, помогите пожалуйста разобраться, что не так с конфигурацией.

 

Преамбула:

Есть Keenetic Giga (KN-1011), есть оплаченный VPN-провайдер, есть конфиг Shadowsocks.

Сопсна установил Entware, установил Xkeen/Xray, обновил GeoSite/GeoIP, настроил прокси-соединение на роутере, настроил политики, добавил клиентов в политики, поднял Xray на роутере, по статусу всё ок.

 

Суть:

В целом прокси работает, через 2ip айпишник отображается как должен (настраивал Польшу), работает инста, рутрекер, твиттер и т.д., но есть пара нюансов:

1. Не работают некоторые сайты (особенно интересует meta.com и всё что с ней связано), не грузят с ошибкой DNS_PROBE_FINISHED_NXDOMAIN

2. На одном из клиентов очень плохо работает инет в принципе (не работает гугл, инста очень медленно грузит). Клиент - iPhone, возможно там какие то настройки есть особенные, но не нашёл.

Устанавливал на комп v2rayN и NekoRay, подключался через тот же самый конфиг (собственно конфиг для Xray был выгружен из NekoRay и вставлен кусками в файлы), всё работает отлично, открывается абсолютно всё что хотелось.

 

Конфигурация на Xray сейчас такая (данные от впн заменены на русские заглушки):

inbounds:

Скрытый текст

// Настройка исходящих соединений

// Если Вы используете redirect или tproxy — соединение по протоколу dokodemo-door должно быть первым.

{
    "inbounds": [
        {
            "listen": "127.0.0.1",
            "port": 61219,
            "protocol": "dokodemo-door",
            "settings": {
                "followRedirect": true,
                "network": "tcp,udp"
            },
            "sniffing": {
                "destOverride": [
                    "http",
                    "tls",
                    "quic"
                ],
                "enabled": true
            },
            "streamSettings": {
                "sockopt": {
                    "tproxy": "tproxy"
                }
            },
            "tag": "tproxy"
        },
        {
            "listen": "127.0.0.1",
            "port": 2080,
            "protocol": "socks",
            "settings": {
                "udp": true
            },
            "sniffing": {
                "destOverride": [
                    "http",
                    "tls",
                    "quic"
                ],
                "enabled": true,
                "metadataOnly": false,
                "routeOnly": true
            },
            "tag": "socks-in"
        },
        {
            "listen": "127.0.0.1",
            "port": 2081,
            "protocol": "http",
            "sniffing": {
                "destOverride": [
                    "http",
                    "tls",
                    "quic"
                ],
                "enabled": true,
                "metadataOnly": false,
                "routeOnly": true
            },
            "tag": "http-in"
        }
    ]
}

outbounds:

Скрытый текст

// Настройка входящих соединений

{
    "outbounds": [
        {
            "domainStrategy": "AsIs",
            "protocol": "shadowsocks",
            "settings": {
                "servers": [
                    {
                        "address": "адрес_впн_сервера",
                        "method": "chacha20-ietf-poly1305",
                        "password": "пароль",
                        "port": 9000,
                        "uot": false
                    }
                ]
            },
            "sockopt": {
                "tcpFastOpen": true,
                "tcpMptcp": true,
                "tcpNoDelay": true
            },
            "streamSettings": {
                "network": "tcp"
            },
            "tag": "proxy"
        },
        {
            "domainStrategy": "",
            "protocol": "freedom",
            "tag": "direct"
        },
        {
            "domainStrategy": "",
            "protocol": "freedom",
            "tag": "bypass"
        },
        {
            "protocol": "blackhole",
            "tag": "block"
        },
        {
            "protocol": "dns",
            "proxySettings": {
                "tag": "proxy",
                "transportLayer": true
            },
            "settings": {
                "address": "8.8.8.8",
                "network": "tcp",
                "port": 53,
                "userLevel": 1
            },
            "tag": "dns-out"
        }
    ]
}

routing:

Скрытый текст

// Настройка маршрутизации 

{
    "routing": {
        "domainStrategy": "AsIs",
        "rules": [
            {
                "inboundTag": [
                    "socks-in",
                    "http-in"
                ],
                "outboundTag": "dns-out",
                "port": "53",
                "type": "field"
            },
            {
                "outboundTag": "proxy",
                "port": "0-65535",
                "type": "field"
            }
        ]
    }
}

dns (если вдруг важно, учитывая ошибку):

Скрытый текст

// Настройки DNS
{
            "dns": {
        "disableFallback": true,
        "servers": [
            {
                "address": "https://8.8.8.8/dns-query",
                "domains": [
                ],
                "queryStrategy": ""
            },
            {
                "address": "localhost",
                "domains": [
                    "full:домен_от_впн"
                ],
                "queryStrategy": ""
            }
        ],
        "tag": "dns"
    }
}
 

 

Подскажите пожалуйста, что мне поменять/подправить/куда вообще копать, чтобы всё открывалось корректно?

[Alexey77]

6 часов назад, Hellheym сказал:

routing": {
        "domainStrategy": "AsIs",
        "rules": [
            {
                "inboundTag": [
                    "socks-in",
                    "http-in"

Доброе утро. Вот здесь нужно удалить socks-in и http-in и написать "tproxy" и лучше вам взять файлы из шапки темы а ваши удалить. 

[Mikhail_YAR]

8 часов назад, Gmarapet сказал:

А whoer что говорит?

Можно ещё на browserleaks посмотреть.

whoer говорит RU, а browserleaks - USA.

[jameszero]

11 час назад, Gmarapet сказал:

Немного выше писали, что для авторизации на chat.openai.com нужно, чтобы работал не только tcp, но и udp.

Немного не так. Openai для определения IP-адреса использует QUIC протокол по udp, но только если QUIC работает (не заблокирован и правильно перенаправлен), иначе для определения IP используется HTTP/2 по tcp.

@Mikhail_YAR попробуйте отключить QUIC в браузере и проверьте авторизацию на openai и геолокацию на whoer. В Firefox QUIC отключается параметром "network.http.http3.enable" -  false, а в Chrome перейдите в chrome://flags/ и отключите "Experimental QUIC protocol"

Edited January 23 by jameszero

[k0steg]

Здравствуйте. Сервер vless-xtls-reality. На кинетике xkeen нормально работает и в режиме Redirect и в режиме TProxy. По варианту с политикой. Роутинг настроил чтобы основной трафик шел напрямую, а до интересующих хостов через VPS. Работает.

Но есть необходимость иногда подключаться к vless напрямую с клиентских устройств. И если клиент в политике xkeen - то прямое подключение к vless-серверу не работает. Подключается, но сайты не открываются. Логи xkeen показывают, что accepted [tproxy -> direct]. А nekobox-лог полон сообщений вида 

ERROR[0030] [4209779073 107ms] inbound/tun[tun-in]: reality verification failed

То есть:

• если клиент только в политике - все работает
• если клиент не в политике и подключается к vless-серверу напрямую - все работает
• если в политике и плюс подключается к vless-серверу сам - интернет не работает

Куда копать?

Update - Решение: (спасибо @jameszero и @Gmarapet)

1. В файле /opt/etc/init.d/S24xray на 66й строке в список ipv4_exclude добавить IP сервера с /32 маской.
2. Если в файле нет такой строки - xkeen установился некорректно (у меня - потому что ставил Entware на внутреннюю память и ее не хватило. переставил все на флешку - стало все ок)

Edited January 23 by k0steg

[jameszero]

@k0steg

Добрый день! Попробуйте добавить IP-адрес сервера с 32 маской в параметр ipv4_exclude (66 срока файла /etc/init.d/S24xray).

[k0steg]

13 minutes ago, jameszero said:

66 срока файла /etc/init.d/S24xray

У меня нет /etc/init.d/

Есть /opt/etc/init.d/S24xray, но там нет 66 строк и нет параметра ipv4_exclude:

Spoiler

#!/bin/sh

# Информация о службе
# Краткое описание: Запуск / Остановка Xray
# Версия: 1.7
# Если указать в версии «x.x» без кавычек — файл не будет обновляться

# Окружение
path="/opt/bin:/opt/sbin:/sbin:/bin:/usr/sbin:/usr/bin"

# Цвета
            fi
            echo -e "  Прокси-клиент ${color_yellow}остановлен${color_reset}"
            log_info_router "Прокси-клиент остановлен"
            return 0
        done
        echo -e "  Прокси-клиент ${color_red}не остановлен${color_reset}"
        log_error_terminal "Не удалось остановить прокси-клиент"
    fi
}

# Менеджер команд
case "${1}" in
start)
    proxy_start ${2}
    ;;
stop)
    proxy_stop
    ;;
status)
	if proxy_status; then
		echo -e "  Прокси-клиент ${color_green}запущен${color_reset}"
	else
		echo -e "  Прокси-клиент ${color_red}не запущен${color_reset}"
	fi
    ;;
restart)
    proxy_stop
    proxy_start ${2}
    ;;
*)
    echo -e "  Команды: ${color_green}start${color_reset} | ${color_red}stop${color_reset} | ${color_yellow}restart${color_reset} | status"
    ;;
esac

 

 

[jameszero]

52 минуты назад, k0steg сказал:

/opt/etc/init.d/S24xray

Это и есть нужный файл, только он у вас какой-то неполный.

Между

# Цвета

и

            fi

пропущен кусок кода.

 

[Gmarapet]

1 час назад, k0steg сказал:

Есть /opt/etc/init.d/S24xray, но там нет 66 строк

А версия xkeen у вас какая?

xkeen -v

[k0steg]

11 minutes ago, Gmarapet said:

А версия xkeen у вас какая?

1.0.0

[Gmarapet]

26 минут назад, k0steg сказал:

1.0.0

Попробуйте удалить /opt/etc/init.d/S24xray и сделать xkeen -ri

[k0steg]

2 hours ago, jameszero said:

Добрый день! Попробуйте добавить IP-адрес сервера с 32 маской в параметр ipv4_exclude (66 срока файла /opt/etc/init.d/S24xray)

@Gmarapet, @jameszero Спасибо. Это сработало. Проблема скорее всего была в том, что ставил Entware на внутреннюю память, и при установке XKeen в какой-то момент видимо не хватило. Удивительно, что вообще работало. Переустановил все на флешку, поправил S24xray - теперь все работает идеально.

[Sirex]

Здравствуйте. При перезагрузки роутера xkeen не стартует, как можно это исправить?
Модель роутера: kn-1811

Cценарий initrc: /opt/etc/init.d/rc.unslung

Выполнял xkeen -ri

start_delay=20

Логи при старте xkeen:

Скрытый текст

~ # xkeen -status

  Прокси-клиент не запущен

~ # xkeen -start

Xray 1.8.7 (Xray, Penetrates Everything.) 3f0bc13 (go1.21.5 linux/arm64)

A unified platform for anti-censorship.

2024/01/23 15:07:31 Using confdir from env: /opt/etc/xray/configs

2024/01/23 15:07:31 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/01_log.json

2024/01/23 15:07:31 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/02_stats.json

2024/01/23 15:07:31 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/03_dns.json

2024/01/23 15:07:31 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/04_reverse.json

2024/01/23 15:07:31 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/05_fake-dns.json

2024/01/23 15:07:31 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/06_transport.json

2024/01/23 15:07:31 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/07_inbounds.json

2024/01/23 15:07:31 [Info] infra/conf: [/opt/etc/xray/configs/07_inbounds.json] prepend outbound with tag: out-russia

2024/01/23 15:07:31 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/08_outbounds.json

2024/01/23 15:07:32 [Info] infra/conf: [/opt/etc/xray/configs/08_outbounds.json] appended inbound with tag: tproxy

2024/01/23 15:07:32 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/09_policy.json

2024/01/23 15:07:32 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/10_routing.json

2024/01/23 15:07:32 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/11_fallbacks.json

  Прокси-клиент запущен