маршрутизация Xray на Entware | Xkeen

[Starpact]

Добрый день!
Я попробовал поискать по топику, но скажу честно, поиск по OpenVPN показывает совсем не то что мне нужно, поэтому прошу не бить если такое уже обсуждали.

У меня получилось все настроить:
- Свой сервер с vless-reality - работает
- Xkeen с конфигом через прокси - работает

На самом деле у меня почти все работает, траффик идет туда куда я указал в конфигах. Есть только одна проблема - если я пускаю свой ноут через прокси, у меня перестает подключаться мой рабочий OpenVPN (рабочий от слова работа, мне его выдали на работе). Если я ставлю ноуту политику по умолчанию, то все работает.
Подключение к рабочему vpn настроено на самом ноуте, роутер про него ничего не знает. Я использую tunnelblick на маке, но думаю что это никак не зависит от open vpn клиента.

Вот мой 10_routing.json:

Spoiler

{
  "routing": [
      {
        "inboundTag": ["socks-in"],
        "domain": [
          "whatismyipaddress.com",
          "ext:geosite_antifilter.dat:antifilter-community",
          "ext:geosite_v2fly.dat:openai",
          "ext:geosite_v2fly.dat:paypal",
          "ext:geosite_v2fly.dat:ebay",
          "ext:geosite_v2fly.dat:facebook",
          "ext:geosite_v2fly.dat:instagram",
          "kino.pub"
        ],
        "outboundTag": "reality-nl",
        "type": "field"
      },

      {
        "inboundTag": ["socks-in"],
        "ip": [
          "ext:geoip_v2fly.dat:facebook",
          "ext:geoip_v2fly.dat:netflix",
          "ext:geoip_v2fly.dat:twitter"
        ],
        "outboundTag": "reality-nl",
        "type": "field"
      },

      {
        "inboundTag": ["socks-in"],
        "outboundTag": "direct",
        "type": "field"
      }
    ]
  }
}

 

Edited January 25 by Starpact

[Mikhail_YAR]

Здравствуйте!)

Подскажите, пожалуйста, как вот в такой роутинг

Скрытый текст

// Настройка маршрутизации

{
  "routing": {
    "domainStrategy": "IPIfNonMatch",
    "rules": [
      // Настройка черного списка
      {
        "inboundTag": ["inside"],
        "domain": [
          "ext:geosite_v2fly.dat:category-ads-all",
          "google-analytics",
          "analytics.yandex",
      "appcenter.ms",
      "app-measurement.com",
      "firebase.io",
      "crashlytics.com"
        ],
        "outboundTag": "block",
        "type": "field"
      },
      
      // Блокируем соединение по уязвимым UDP портам
      {
        "inboundTag": ["inside"],
        "network": "udp",
        "port": "135, 137, 138, 139",
        "outboundTag": "block",
        "type": "field"
      },
            
      // Настройка прямых подключений с помощью доменных имен
      {
        "inboundTag": ["inside"],
        "domain": [
      "regexp:^([\\w\\-\\.]+\\.)ru$",  // .ru
          "regexp:^([\\w\\-\\.]+\\.)su$",  // .su
          "regexp:^([\\w\\-\\.]+\\.)xn--p1ai$",  // .рф
          "regexp:^([\\w\\-\\.]+\\.)xn--p1acf$",  // .рус
          "regexp:^([\\w\\-\\.]+\\.)xn--80asehdb$",  // .онлайн
          "regexp:^([\\w\\-\\.]+\\.)xn--c1avg$", // .орг
          "regexp:^([\\w\\-\\.]+\\.)xn--80aswg$",  // .сайт
          "regexp:^([\\w\\-\\.]+\\.)xn--80adxhks$",  // .москва
          "regexp:^([\\w\\-\\.]+\\.)moscow$",  //  .moscow
          "regexp:^([\\w\\-\\.]+\\.)xn--d1acj3b$",  // .дети
      "ext:geosite_v2fly.dat:youtube",
          "ext:geosite_v2fly.dat:category-gov-ru",
          "ext:geosite_v2fly.dat:yandex",
          "ext:geosite_v2fly.dat:xbox",
          "ext:geosite_v2fly.dat:playstation",
          "ext:geosite_v2fly.dat:steam",
          "ext:geosite_v2fly.dat:rockstar",
          "ext:geosite_v2fly.dat:gog",
          "ext:geosite_v2fly.dat:vk",
      "ext:geosite_v2fly.dat:private",
      "keenetic"
        ],
        "outboundTag": "direct",
        "type": "field"
      },
      
      // Настойка прямых подключений с помощью IP
      {
        "inboundTag": ["inside"],
        "ip": [
          "ext:geoip_v2fly.dat:ru",
          "ext:geoip_v2fly.dat:private"
        ],
        "outboundTag": "direct",
        "type": "field"
      },
      
      // Направление остальных соединений на VPS
      {
        "inboundTag": ["inside"],
        "outboundTag": "proxy",
        "type": "field"
      }
    ]
  }
}

добавить отдельный домен (который входит в общие списки для direct) или его маску, которые требуется пустить через proxy?

Например, нужно пустить туда отдельный сайт зоны .ru. Правильно ли я понимаю, что это будет выглядеть как-то вот так?

Скрытый текст

{
        "inboundTag": ["inside"],
        "domain": [
          "2ip.ru"
        ],
        "outboundTag": "proxy",
        "type": "field"
      }

В такой конструкции смущает то, что в том числе этот же домен определён выше регуляркой для direct. Как оно будет сосуществовать?

Спасибо.

Edited January 25 by Mikhail_YAR

[jameszero]

@Mikhail_YAR, добрый вечер! Файл routing.json обрабатывается сверху вниз. Правило, которое встретится раньше, будет иметь преимущество. Разместите ваше правило для 2ip.ru выше правила ru>>direct и всё получится.

 

2 часа назад, Alexey77 сказал:

Проверил у меня закрыт порт 443 ( ip серый) на работу tproxy не влияет. 

Белый IP не требуется для tproxy, нужно чтобы порт не был закрыт фаирволом провайдера, это сложно проверить.

[Mikhail_YAR]

5 часов назад, Skrill0 сказал:

Пожалуйста, тестируйте, и отпишитесь о результатах)

Добрый вечер.

Вот такая ещё штука стрельнула при обновлении. Выглядит вроде не особо смертельно.

Скрытый текст

 

[Keokuk]

Здравствуйте! Хотелось поблагодарить @Skrill0 за помощь в настройке и пожелать проекту долгой жизни!

Отдельно выражаю огромную благодарность @jameszero за его великолепный Zkeen. Прекрасно работает и идеально подходит в нынешних реалиях. Все просто и понятно. Спасибо большое!

[Gmarapet]

5 часов назад, Starpact сказал:

у меня перестает подключаться мой рабочий OpenVPN

Попробуйте добавить c маской /32 ip адрес(а) VPN сервера с работы в параметр "ipv4_exclude=". Это 66 строка файла /opt/etc/init.d/S24xray

Edited January 25 by Gmarapet

[Starpact]

54 minutes ago, Gmarapet said:

Попробуйте добавить ip адрес(а) VPN сервера с работы в параметр "ipv4_exclude=". Это 66 строка файла /opt/etc/init.d/S24xray

Не помогло. Я правда вижу что там остальные указаны не совсем адреса, а скорее диапозоны типа 198.51.100.0/24. Я не очень в этом разбираюсь, но просто добавить айпишники в список и перезапустить xkeen не помогло.

UPD: Однако помогло прописать маршруты до айпишников рабочего впн в админке роутера, просто указал адреса и чтобы шли всегда напрямую в интерфейс.

Спасибо за наводку!

Edited January 25 by Starpact
Дополнил

[Varodero]

Товарищи, недели две назад настроил и всё работало (трафик распределялся как указано в routing), но ровно один день, с утра вся схема перестала работать (отвалился vps и ещё неделю лагал.. просто безбожно - тупо не работал)

Сейчас (после обновления xkeen -uk), кстати vps настроился (сам). ВЕСЬ трафик заворачивается на VPS, что бы я не делал, как не менял routing, не помогает.

2) В outbounds настройки согласно старой версии, где указана настройка на VPS и внизу: // Прямое соединение
        {
            "protocol": "freedom",
            "tag": "direct"
        }, 

Подскажите, куда копать или что ещё можно приложить

[Gmarapet]

6 минут назад, Starpact сказал:

Я правда вижу что там остальные указаны не совсем адреса

Я исправил, нужно указывать ip/32

[dogoma]

6 часов назад, dogoma сказал:

Поменял в inbounds "listen" c 127.0.0.1 на 0.0.0.0 — вроде приложения (запрещёнограм, например) на клиентах VPN'a как-то начало крутится (но не полноценно). Сайты открываются не через XRay (добавил чтобы http://ipinfo.io/ шёл через XRay).

Помню на какой-то версии начального поста как раз говорилось, что роутер можно будет использовать как портал в интернет со всех устройств, даже находясь не дома (у меня, в общем, так раньше и было, только "клиент WG -> WG (сервер и клиент) на роутере -> WG (сервер) на VPS"), но сейчас такого упоминания нет. Хочется реализовать схему "клиент WG (или любой другой VPN) -> WG (клиент или любой другой VPN) на роутере, XRay клиент на роутере -> XRay на VPS"

Рассмотрел внимательнее заглавное сообщение в теме, раздел Предварительные настройки -> TProxy -> Варианты работы и сделал 3 вариант работы - По выбранным портам (порты такие, как в примере xkeen -ap 443,80). Теперь клиенты по WG нормально ходят через прокси по правилам роутинга.

[Alexey77]

10 часов назад, jameszero сказал:

нужно чтобы порт не был закрыт фаирволом провайдера, это сложно проверить.

Доброе утро. Поэтому и спрашивал как проверить. Сервисы по проверке портов показывают что порт закрыт. При подключении через xray сервисы уже показывают что 443 порт открыт. 

[jameszero]

12 часа назад, Starpact сказал:

перестает подключаться мой рабочий OpenVPN

Добрый день! Вы не написали, каким методом настроили подключение xkeen. OpenVPN по умолчанию использует udp-протокол и при подключении, например, по методу Redirect он работать не будет. Решение есть, но оно зависит от того, используете вы Redirect или нет.

 

 

[jameszero]

33 минуты назад, Alexey77 сказал:

При подключении через xray сервисы уже показывают что 443 порт открыт. 

Значит у вас провайдер не фильтрует порты. В анонсе версии xkeen с поддержкой Tproxy @Skrill0 указала, что некоторые провайдеры могут закрывать этот порт, а у Beeline, например, пользователи сами могут отключить фильтрацию в личном кабинете.

[Mikhail_YAR]

Доброе утро!

Вчера столкнулся с такой фичей, что некоторые тесты определяют наличие ВПН-туннеля по двустороннему пингу.

Решение на первый взгляд простое: нужно запретить ответ на icmp на стороне сервера, для этого можно, например, добавить в /etc/sysctl.conf строчку

net.ipv4.icmp_echo_ignore_all = 1

И в теории оно не должно вызвать никаких побочек (кроме отсутствия возможности проверить доступность VPS по пингу, разумеется). Если это действительно так, то можно подумать о добавлении этого в скрипт оптимизации настроек сервера.

[Sirex]

Добрый день.

Возможно ли сделать пинг, хотя бы ложный, так как некоторые приложения показывают, что нет интернета?

На роутере установлен торрент-клиент, но он не работает. Я попробовал удалить политику xkeen и указать порты, интернет работает, но торрент на роутере не запускается.

Могли бы вы, пожалуйста, подсказать, как можно это исправить?

[Skrill0]

Не актуально

Edited January 27 by Skrill0

[Pawant]

18 часов назад, Skrill0 сказал:

Вышло обновление 1.0.2

Здравствуйте! После обновления клиент стартует штатно, но при применении на устройство политики xkeen наглухо пропадает любая связь, в том числе и с роутером. Откат на версию 1.0.0 не помог, я в растерянности.

Что и где можно посмотреть? Конфигурационные файлы никакие не трогал, вообще ничего не менял.

[Skrill0]

4 минуты назад, Pawant сказал:

Здравствуйте! После обновления клиент стартует штатно, но при применении на устройство политики xkeen наглухо пропадает любая связь, в том числе и с роутером. Откат на версию 1.0.0 не помог, я в растерянности.

Что и где можно посмотреть? Конфигурационные файлы никакие не трогал, вообще ничего не менял.

Доброго Вам дня!

Выполните

rm /opt/etc/ndm/netfilter.d/proxy.sh

О проблеме знаю, в ближайшие 2 часа уже будет исправление)

[Pawant]

7 минут назад, Skrill0 сказал:

Выполните

Сделал, доступ к админке роутера появился, но интернета так и нет. Ждем обновление )

[Skrill0]

Вышло обновление 1.0.3

Журнал

Скрытый текст

Hot fixes

1. Корректировка DNS для режима Mixed_1 
2. Исключения CIDR локальной сети
3. Исключение IP адреса провайдера
4. Исправление маршрута до сервера
5. Определение интерфейса
6. Генерация правил, если Xray не включился
7. Повторные попытки перезапуска сети через хук
8. Очистка журнала прокси-клиента перед стартом
9. Исправление инсталлятора

Обновиться можно командой

xkeen -uk

Для обновления с версии 1.0.1 или 1.0.2 перед командой обновления выполнить

rm /opt/etc/ndm/netfilter.d/proxy.sh

Откатиться на предыдущую версию можно командой

xkeen -kbr

Пожалуйста, тестируйте, и отпишитесь о результатах)

[Pawant]

12 минуты назад, Skrill0 сказал:

Пожалуйста, тестируйте, и отпишитесь о результатах)

После обновления при старте вот такое:

~ # xkeen -start
/opt/etc/init.d/S24xray: line 107: can't create /opt/var/logs/xray/access.log: nonexistent directory

Создал каталог вручную, клиент стартует, но проксирования нет. Везде мой прямой ip адрес, прокси на торренте тоже не поднимается.

Edited January 26 by Pawant

[Sirex]

1 час назад, Skrill0 сказал:

Доброго Вам дня)

Вы встретились с такой проблемой?)
Сперва проверьте, есть ли она у Вас: 2ip

Проблема детекта VPN связана с Вашим VPS)
Для России можно попробовать использовать timeweb.
Некоторые знакомые пользуются и не встречали такой проблемы.

Для зарубежа я указала сервера в теме, в разделе VPS)

Я из Казахстана, использую сервер в Нидерландах. Уверен что проблема в ping, так как в логах пишет что не может пропинговать google.com, потом openwrt.org, после этого ошибка проверьте доступ к интернету.

Или пинг работает и это я накосячил?)

[Skrill0]

10 минут назад, Pawant сказал:

После обновления при старте вот такое:

~ # xkeen -start
/opt/etc/init.d/S24xray: line 107: can't create /opt/var/logs/xray/access.log: nonexistent directory

Создал каталог вручную, клиент стартует, но проксирования нет. Везде мой прямой ip адрес, прокси на торренте тоже не поднимается.

1. Ошибку уже исправила. Перезалив архив, не стала менять версию. Там буквально опечатка в переменной)
Можно выполнить переустановку чистую с помощью скрипта установки из шапки.
2. Скажите, пожалуйста, какой режим Вы используете?
3. Вернули ли Вы клиента в политику?

[Pawant]

50 минут назад, Skrill0 сказал:

2. Скажите, пожалуйста, какой режим Вы используете?
3. Вернули ли Вы клиента в политику?

Режим для клиентов Tproxy, для торрента - redirect. Вот мой inbounds:

Скрытый текст

// Настройка входящих соединений

{
    "inbounds": [
        {
            
            "listen": "127.0.0.1",
            "port": 54836,
            "protocol": "dokodemo-door",
            "settings": {
                "network": "tcp,udp",
                "followRedirect": true
            },
            "sniffing": {
            "enabled": true,
                "destOverride": [
                    "http", 
                    "tls", 
                    "quic"
                ]
            },
            "streamSettings": {
                "sockopt": {
                  "tproxy": "tproxy"
                }
              },
            "tag": "socks-in"
        },      
        {
            "listen": "192.168.1.1",    // Адрес Вашего шлюза
            "port": 54837,    // Порт на котором будет слушать Xray. Рекомендуется выбрать порт от 49152 до 65535
            "protocol": "socks",
            "settings": {
                "auth": "noauth",
                "udp": true,
                "ip": "192.168.1.1"
            },
            "sniffing": {
                "destOverride": ["http", "tls", "quic"],
                "enabled": true,
                "metadataOnly": false
            },
            "tag": "torrent"
        }
    ]
}

Клиента в политику вернул, конечно же. Результат тот же, прямой ip провайдера. При этом торрент поднялся.

 

UPD. Удалил xkeen, установил заново. При запуске:

Скрытый текст

~ # xkeen -start
find: ‘/opt/etc/on/configs’: No such file or directory
find: ‘/opt/etc/on/configs’: No such file or directory
/opt/etc/init.d/S24xray: line 107: can't create /opt/var/log/on/access.log: nonexistent directory
 

Создал нужные директории. При запуске:

Скрытый текст

~ #  xkeen -start
/opt/etc/init.d/S24xray: line 823: on: not found
/opt/etc/init.d/S24xray: line 823: on: not found
/opt/etc/init.d/S24xray: line 823: on: not found
/opt/etc/init.d/S24xray: line 823: on: not found
/opt/etc/init.d/S24xray: line 823: on: not found
/opt/etc/init.d/S24xray: line 823: on: not found
/opt/etc/init.d/S24xray: line 823: on: not found
/opt/etc/init.d/S24xray: line 823: on: not found
/opt/etc/init.d/S24xray: line 823: on: not found
/opt/etc/init.d/S24xray: line 823: on: not found
  Прокси-клиент не запустить
  Ошибка: Не удалось запустить прокси-клиент

Короче, я все сломал )) Бэкапы конфигов сделал, как все вернуть теперь в рабочее состояние?

Edited January 26 by Pawant

[doc_bravn]

32 минуты назад, Skrill0 сказал:

Вышло обновление 1.0.3

Журнал

  Показать содержимое

Hot fixes

1. Корректировка DNS для режима Mixed_1 
2. Исключения CIDR локальной сети
3. Исключение IP адреса провайдера
4. Исправление маршрута до сервера
5. Определение интерфейса
6. Генерация правил, если Xray не включился
7. Повторные попытки перезапуска сети через хук
8. Очистка журнала прокси-клиента перед стартом
9. Исправление инсталлятора

Обновиться можно командой

xkeen -uk

Добрый день!

А после выполнения команды xkeen -uk он должен хоть что-то ответить?

[Alexey77]

18 часов назад, Mikhail_YAR сказал:

Добрый вечер.

Вот такая ещё штука стрельнула при обновлении. Выглядит вроде не особо смертельно.

  Скрыть содержимое

 

Вот пример вывода команды xkeen -uk

[Gmarapet]

3 часа назад, Skrill0 сказал:

Вышло обновление 1.0.3

Пожалуйста, можете добавить в описание релиза, что в директории с конфигами нумерация по-умолчанию изменилась и файлов теперь меньше?
И еще одна маленькая просьба: можно в следующих релизах добавить проверку прав S24xray? Хотя бы при запуске с ключом -ri. Я каким-то образом потерял права на исполнение и долго не понимал, почему перестала работать автозагрузка xkeen.

[Skrill0]

Вышло еще одно горячее обновление 1.0.4)

Журнал

Скрытый текст

Hot fixes

1. Исправлена миграция переменных
2. Исправлено журналирование
3. Исправлено обновление автозапуска

Добавлено
Автоматическая проверка и выдача прав файлу автозапуска

Обновиться можно командой

xkeen -uk

Для обновления с версии 1.0.1 или 1.0.2 перед командой обновления выполнить

rm /opt/etc/ndm/netfilter.d/proxy.sh

Откатиться на предыдущую версию можно командой

xkeen -kbr

 

[Alexey77]

2 часа назад, Pawant сказал:

/opt/etc/init.d/S24xray: line 823: on: not found

Вот эта строка "${name_client}" run -C "${directory_user_settings}" & у вас нет директории с настройками создайте папки  mkdir /opt/etc/xray/configs/ и mkdir /opt/etc/xray/dat/ в папку configs положите файлы настроек в папку dat положите geosite и geoip 

[Skrill0]

16 минут назад, Alexey77 сказал:

Вот эта строка "${name_client}" run -C "${directory_user_settings}" & у вас нет директории с настройками создайте папки  mkdir /opt/etc/xray/configs/ и mkdir /opt/etc/xray/dat/ в папку configs положите файлы настроек в папку dat положите geosite и geoip 

Там была моя ошибка)
При миграции старых переменных в новую версию файла автозапуска получилось так, что в имя прокси попал статус автозапуска)

В результате клиент стал называться «on» и оттуда такие ошибки…
В 1.0.4 исправила как раз

Edited January 26 by Skrill0