маршрутизация Xray на Entware | Xkeen

[Konstantin Rezvykh]

5 минут назад, Sirex сказал:

Здравствуйте. При перезагрузки роутера xkeen не стартует, как можно это исправить?
Модель роутера: kn-1811

Cценарий initrc: /opt/etc/init.d/rc.unslung

Выполнял xkeen -ri

start_delay=20

Логи при старте xkeen:

  Скрыть содержимое

~ # xkeen -status

  Прокси-клиент не запущен

~ # xkeen -start

Xray 1.8.7 (Xray, Penetrates Everything.) 3f0bc13 (go1.21.5 linux/arm64)

A unified platform for anti-censorship.

2024/01/23 15:07:31 Using confdir from env: /opt/etc/xray/configs

2024/01/23 15:07:31 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/01_log.json

2024/01/23 15:07:31 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/02_stats.json

2024/01/23 15:07:31 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/03_dns.json

2024/01/23 15:07:31 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/04_reverse.json

2024/01/23 15:07:31 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/05_fake-dns.json

2024/01/23 15:07:31 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/06_transport.json

2024/01/23 15:07:31 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/07_inbounds.json

2024/01/23 15:07:31 [Info] infra/conf: [/opt/etc/xray/configs/07_inbounds.json] prepend outbound with tag: out-russia

2024/01/23 15:07:31 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/08_outbounds.json

2024/01/23 15:07:32 [Info] infra/conf: [/opt/etc/xray/configs/08_outbounds.json] appended inbound with tag: tproxy

2024/01/23 15:07:32 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/09_policy.json

2024/01/23 15:07:32 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/10_routing.json

2024/01/23 15:07:32 [Info] infra/conf/serial: Reading config: /opt/etc/xray/configs/11_fallbacks.json

  Прокси-клиент запущен

 

Проверьте права файла S24xray.

Edited January 23 by Konstantin Rezvykh

[jameszero]

4 минуты назад, Sirex сказал:

как можно это исправить?

Добрый день. Уменьшайте количество dat-файлов, подключенных в 10_routing.json

[Sirex]

5 минут назад, jameszero сказал:

Уменьшайте количество dat-файлов, подключенных в 10_routing.json

У меня этот файл пустой, весь трафик идет через xray

[jameszero]

Тогда, можно попробовать откатить версию xray на 1.8.4, с ней меньше всего было проблем.

[Mikhail_YAR]

9 часов назад, jameszero сказал:

попробуйте отключить QUIC в браузере и проверьте авторизацию на openai и геолокацию на whoer

Попробовал. К сожалению, ничего не изменилось.

[jameszero]

22 часа назад, Mikhail_YAR сказал:

На сервере xray в правилах маршрутизации на текущий момент настроено geosite:openai -> warp

Для чего warp? Отключите и проверьте доступ через xray сервер без костылей.

[Gmarapet]

22 минуты назад, Sirex сказал:

При перезагрузки роутера xkeen не стартует, как можно это исправить?

А start_delay какой стоит?

/opt/etc/init.d/S24xray строка 75

[Sirex]

1 минуту назад, Gmarapet сказал:

А start_delay какой стоит?

Стоит число 20

11 минуту назад, jameszero сказал:

Тогда, можно попробовать откатить версию xray на 1.8.4, с ней меньше всего было проблем.

Полазил по шапке, но так и не нашел как это можно сделать. Подскажите, пожалуйста

[Mikhail_YAR]

5 минут назад, jameszero сказал:

Для чего warp? Отключите и проверьте доступ через xray сервер без костылей.

Да, это я тоже уже пробовал неоднократно. Стабильно ловлю вот такое. В IP адрес VPS.

Скрытый текст

 

Edited January 23 by Mikhail_YAR

[Gmarapet]

9 минут назад, Mikhail_YAR сказал:

Стабильно ловлю вот такое. В IP адрес VPS.

Whoer чей IP при этом показывает?

[Mikhail_YAR]

12 минуты назад, Gmarapet сказал:

Whoer чей IP при этом показывает?

Показывает IP VPS. Локацию определяет как РФ.

[jameszero]

VPS в штатах, а локацию показывает РФ? 😳

Где-то у вас утечка. Меняйте для начала DNS, лучше на DoH или DoT и лучше на малоизвестные, которые не имеют серверов в России.

[Mikhail_YAR]

20 минут назад, jameszero сказал:

Где-то у вас утечка.

Была утечка WebRTC, устранил. DNS сменил, российские сервера из списка пропали. Whoer всё равно говорит, что РФ... Буду дальше копать.

[jameszero]

Вы warp сейчас используете? Он в заголовках пакетов передаёт реальный IP-клиента и тем деанонимизирует.

[Mikhail_YAR]

8 минут назад, jameszero сказал:

Вы warp сейчас используете?

warp не использую. Для меня пока не очень понятно откуда берутся утечки:

Скрытый текст

В роутере DNS настроен так:

Скрытый текст

Похоже чего-то не учитываю и надо ещё где-то DNS настраивать.

[Yevrashka]

@Mikhail_YAR Вообще странно. whoer.net у меня тоже видит мой айпишник хотя доступ к нему прописан в роутинге через vps... Единственное что могло выдавать это WebRTC браузера. Вырубил, но толку 0. Все остальное что указано ходить через vps через него и ходит и ip-адрес видит его. DNS настроено через DoT. WARP на VPS не настроен.

Есть у кого из гуру идеи?

UPD: С телефона подключенного к тому же кинетику видит адрес VPS.. магия какая-то..

Edited January 23 by Yevrashka

[Mikhail_YAR]

1 минуту назад, Yevrashka сказал:

whoer.net у меня тоже видит мой айпишник

У меня он как раз видит не мой айпишник, а айпишник сервера. Но локацию определяет РФ.

[k0steg]

А возможно ли сделать так, чтобы создаваемые в админке кинетика ВПН (Other connections) подключались через имеющееся соединение XKeen-XRay-Vless?

Или хотя бы чтобы OpenVPN- соединения заворачивались через XKeen? Что-то подправить в конфиге openvpn может?

Edited January 23 by k0steg

[Gmarapet]

1 час назад, Mikhail_YAR сказал:

У меня он как раз видит не мой айпишник, а айпишник сервера. Но локацию определяет РФ.

У меня такое только, когда метод redirect, tproxy показывает и IP и страну VPS.

[Hellheym]

17 часов назад, Alexey77 сказал:

Доброе утро. Вот здесь нужно удалить socks-in и http-in и написать "tproxy" и лучше вам взять файлы из шапки темы а ваши удалить. 

Спасибо за совет, отчасти сработало, но не совсем(

Сперва заменил теги на "tproxy", заработал сайт меты, сайт окулуса (oculus.com), но приложение oculus не заработало ("Отсутствует подключение к интернету"). Через NetLimiter глянул, что оно ломиться в домены oculus.com, facebook.com и oculuscdn.com через 443 порт. Попробовал добавить этот порт в роутинг в правило с tproxy, не помогло (наоборот, отвалилось вообще почти всё).

Далее попробовал взять файлы из шапки, подставить свой конфиг и заменить, не помогло, работает как было до замены тегов на tproxy (т.е. как описано в первоначальном посте).

Сопсна вот что получилось:

Скрытый текст

inbounds

Скрытый текст

{
    "inbounds": [
        {
            "tag": "tproxy",
            "listen": "127.0.0.1",
            "port": 61219,
            "protocol": "dokodemo-door",
            "settings": {
                "network": "tcp,udp",
                "followRedirect": true
            },
            "sniffing": {
                "enabled": true,
                "destOverride": [
                    "http",
                    "tls",
                    "quic"
                ]
            },
            "streamSettings": {
                "sockopt": {
                    "tproxy": "tproxy"
                }
            }
        }
    ]
}

outbounds

Скрытый текст

{
    "outbounds": [
        {
            "tag": "shadowsocks",
            "protocol": "shadowsocks",
            "settings": {
                "servers": [
                    {
                        "address": "адрес_впн_сервера",
                        "method": "chacha20-ietf-poly1305",
                        "password": "пароль",
                        "port": 9000,
                        "uot": true
                    }
                ]
            },
            "streamSettings": {
                "network": "tcp"
            },
            "sockopt": {
                "tcpMptcp": true,
                "tcpFastOpen": true,
                "tcpNoDelay": true
            }
        }

    ]
}

routing

Скрытый текст

{
    "routing": {
        "domainStrategy": "AsIs",
        "rules": [
            {
                "outboundTag": "shadowsocks",
                "port": "0-65535",
                "type": "field"
            }
        ]
    }
}

 

 

Может быть есть ещё какие-то идеи, как мне оживить приложение oculus'а (да и в целом чтобы всё работало)? Заранее спасибо

[Sirex]

9 часов назад, Konstantin Rezvykh сказал:

Проверьте права файла S24xray.

Кажется все нормально:

/opt/etc/init.d # ls -l

-rwxr-xr-x    1 root     root          1788 Jan 23 20:04 S05crond

-rwxr-xr-x    1 root     root         23283 Jan 23 21:36 S24xray

-rwxr-xr-x    1 root     root           736 May 27  2023 S51dropbear

-rw-r--r--    1 root     root          2842 Aug  8 14:46 rc.func

-rwxr-xr-x    1 root     root           950 Aug  8 14:46 rc.unslung

[Alexey77]

9 часов назад, Mikhail_YAR сказал:

Для меня пока не очень понятно откуда берутся утечки:

Доброе утро. Пришлите вывод команды resolvectl status на сервере полагаю у вас там будет DNS Servers: 1.1.1.1 

[Alexey77]

12 часа назад, Sirex сказал:

start_delay=20

Поменяйте на 10 если не поможет попробуйте поставить 2. И не забудьте после редактирования выставить права 755 на S24xray

Edited January 24 by Alexey77

[prokuror2]

10 часов назад, Mikhail_YAR сказал:

У меня он как раз видит не мой айпишник, а айпишник сервера. Но локацию определяет РФ.

Может по времени на компе или системному языку в  компе?

 

[Mikhail_YAR]

2 часа назад, Alexey77 сказал:

Доброе утро. Пришлите вывод команды resolvectl status на сервере полагаю у вас там будет DNS Servers

Доброе утро.

Гугловый ДНС:

Скрытый текст

 

[jameszero]

@Mikhail_YAR

Доброе утро!

Проверьте, в настройках Chrome не включено ли "Использовать безопасный DNS-сервер" и не установлен ли у вас AdGuard для Windows с фильтрацией DNS?

Ещё можно глянуть, как себя ведёт другой браузер, например Firefox.

[Alexey77]

8 часов назад, Hellheym сказал:

outbounds

Попробуйте такой

{
  "outbounds": [
    {
      "protocol": "shadowsocks",
      "settings": {
        "servers": [
          {
            "address": "адрес впн",
            "method": "chacha20-ietf-poly1305",
            "password": "пароль",
            "port": 9000,
            "uot": true
          }
        ]
      },
      "streamSettings": {
        "network": "tcp"
      },
      "tag": "proxy"
    },
    {
      "protocol": "freedom",
      "tag": "direct"
    },
    {
      "protocol": "blackhole",
      "tag": "block"
    }
  ]
}

И routing 

{
  "routing": {
    "domainStrategy": "IPIfNonMatch",
    "rules": [
      {
        "type": "field",
        "inboundTag": "tproxy",
        "outboundTag": "proxy"
      }
    ]
  }
}

[Mikhail_YAR]

18 минут назад, jameszero сказал:

Ещё можно глянуть, как себя ведёт другой браузер, например Firefox.

Здравствуйте!

Перебирал различные варианты, в разных браузерах с разными настройками поведение одинаково.

Вообще, я задаю не очень корректные вопросы, надо начинать с основ)

Вот смотрите, у меня в роутере настроен DNS DoT 8.8.8.8 с запретом транзита запросов. Я перехожу на какой-нибудь условный whoer и делаю тест на DNSleak. Получаю ответ о наличии утечки и вижу список гугловых DNS-серверов с различными адресами. Вроде бы всё логично (что настроено, то и получено). Но в чём заключается утечка? Тест вообще не должен возвращать мне никакие записи о DNS?

Edited January 24 by Mikhail_YAR

[Alexey77]

18 минут назад, Mikhail_YAR сказал:

Тест вообще не должен возвращать мне никакие записи о DNS?

Тест должен возвращать dns которые у вас настроены кроме них других быть не должно. 

[jameszero]

Выше на скриншотах вы показали, что у вас не гугл DNS, а 9.9.9.9 и при этом непонятно откуда пробивается DNS Cloudflare. На этом основании и было предположено, что у вас утечки, ну а если в тестах у вас отображается тот DNS, который прописан в роутере и ничего лишнего, то всё в порядке, надписи на сайтах об утечке DNS можете игнорировать, это всего лишь реклама VPN.