маршрутизация Xray на Entware | Xkeen

[doc_bravn]

Доброго дня.

После последних обновлений перестал работать выборочный роутинг. Использую redirect и в политике только два смартфона для использования instagram. Показывает, что прокси клиент запущен, но требуемый ресурс не открывается. Такие ресурсы как rutracker и  kinozal тоже перестали открываться.

Как проверить в чем дело и выявить из-за чего перестал работать обход?

[Gmarapet]

18 минут назад, doc_bravn сказал:

Показывает, что прокси клиент запущен, но требуемый ресурс не открывается. Такие ресурсы как rutracker и  kinozal тоже перестали открываться.

Попробуйте назначить клиентам отдельный профиль DNS. Выше на этой странице писал, как это делается.

[dogoma]

В 26.01.2024 в 01:14, dogoma сказал:

Рассмотрел внимательнее заглавное сообщение в теме, раздел Предварительные настройки -> TProxy -> Варианты работы и сделал 3 вариант работы - По выбранным портам (порты такие, как в примере xkeen -ap 443,80). Теперь клиенты по WG нормально ходят через прокси по правилам роутинга.

С этой конфигурацией (никакого дополнительного json конфига для dns нет, я его просто удалил из папки с конфигами) поставил AdGuardHome. Отлично работает. Правда много запросов от 127.0.0.1, но это, я так понимаю, XRay разрешает адреса сайтов.

 

Версия 1.0.2 – работает, пока не трогаю...

 

UPD: До установки AdGuardHome все адреса разрешались системным резолвером.

Edited January 27 by dogoma

[doc_bravn]

В 27.01.2024 в 14:03, Gmarapet сказал:

Попробуйте назначить клиентам отдельный профиль DNS. Выше на этой странице писал, как это делается.

Сделал. Совершенно ничего не дало. Как не работало так и не работает. Как откатиться на последнюю стабильную версию 0.9.9 где все работало корректно?

диагностика выдает такое:

iptables: No chain/target/match by that name.

 

Полностью переустанавливал xray и xkeen, ничего не помогает. Не работает редирект и обход. Как-то можно починить не переустанавливая entware полностью?

[Alexey77]

2 часа назад, doc_bravn сказал:

Полностью переустанавливал

Посмотрите на флешке у вас осталась папка backups а в ней папка вида дата_xkeen_0.9.9  ? 

[doc_bravn]

2 минуты назад, Alexey77 сказал:

Посмотрите на флешке у вас осталась папка backups а в ней папка вида дата_xkeen_0.9.9  ? 

Я смог установить версию 0.9.9, но это не помогает. Похоже что-то поломалось и выдает сообщение

iptables: No chain/target/match by that name

при проверке и на версии 0.9.9. 

[Alexey77]

А что у вас находится в /opt/etc/ndm/netfilter.d/  ? 

И после какой команды выйдет iptables: No chain/target/match by that name

Edited January 27 by Alexey77

[Pawant]

Отчитываюсь об успешной работе сетапа после последнего обновления.

Под чутким руководством уважаемой Skrill0 получил работоспособную конфигурацию Tproxy (для доступа клиентов) + Redirect (для Torrent-клиента).

Что делалось:

• Полное удаление xkeen по инструкции из шапки
• Удаление вручную ВСЕХ конфигов из соответствующей папки config
• Установка последнего апдейта версии 1.0.6
• Ручное редактирование файлов outbound и inbound согласно шапке и параметрам VPS
• Выполнение команд

  xkeen -dp
  xkeen -ap 80,443

• Рестарт xkeen

В процессе тестирования наблюдался отвал доступа в интернет, но по неопределенным причинам (возможно, вина Кинетика).  Перезагрузка помогла. Продолжаю наблюдение.

 

Edited January 27 by Pawant

[Gmarapet]

2 минуты назад, Pawant сказал:

Установка последнего апдейта версии 1.0.6

Уже 1.0.6 появился или это опечатка?

[Pawant]

Только что, Gmarapet сказал:

Уже 1.0.6 появился или это опечатка?

[Mikhail_YAR]

9 минут назад, Gmarapet сказал:

Уже 1.0.6 появился или это опечатка?

ХФ вероятно. В шапке тоже есть отсылка к этой версии.

[doc_bravn]

2 часа назад, Alexey77 сказал:

А что у вас находится в /opt/etc/ndm/netfilter.d/  ? 

И после какой команды выйдет iptables: No chain/target/match by that name

Выдает после команды iptables -t nat -nL xkeen -v

По пути /opt/etc/ndm/netfilter.d/ есть два файла: proxy.sh и xray.sh

[Alexey77]

xkeen -stop потом удалите их xkeen -start

[black_mamba]

Добрый вечер Всем!

Кто подскажет как настроить выборочную маршрутизацию с помощью Xray|Xkeen? 

У меня из имеющегося есть VPS в Нидерландах, KN-1811 с entware и AdGuardHome. На данный момент обход осуществляется через OpenVPN и VPS.

[Gmarapet]

1 час назад, black_mamba сказал:

Кто подскажет как настроить обход блокировок с помощью Xray|Xkeen? 

• Настроить vps по этому или вот этому руководству. 
• Проверить, что сервер работает с помощью клиента на  PC или телефоне.
• Установить на Keenetic Entware.
• Установить и настроить XKeen на Kinetic согласно руководства в шапке и дальнейшим комментариям этой ветки форума.

[dok]

Всем привет!

Кто подскажет, как грамотно прописать в routing блок, чтобы завернуть трафик на AdGuardHome, установленный на роутере?

Сейчас настроен redirect через политику XKeen + все идет напрямую, кроме пары нужных мне сайтов, которые идут через  VPS. И на данный момент все кто есть в политике XKeen идет в обход AGH. Хотя бы прямой трафик можно завернуть, чтобы рекламу резало?

[Gmarapet]

8 минут назад, dok сказал:

прямой трафик можно завернуть, чтобы рекламу резало?

Вот такие настройки в файле routing.json отлично режут рекламу без всякого AdGuardHome. При желании можно добавить еще правила.

Скрытый текст

      // Настройка черного списка
      {
        "inboundTag": ["socks-in"],
        "domain": [
          "ext:geosite_v2fly.dat:category-ads-all",
          "google-analytics",  // Могут быть проблемы с сервисами Google. Нужны тесты
          "analytics.yandex",  // Могут быть проблемы с сервисами Yandex. Нужны тесты
          "appcenter.ms",
          "app-measurement.com",
          "firebase.io",
          "crashlytics.com"
        ],
        "outboundTag": "block",
        "type": "field"
      },

 

 

[dok]

2 минуты назад, Gmarapet сказал:

Вот такие настройки в файле routing.json отлично режут рекламу без всякого AdGuardHome. При желании можно добавить еще правила.

  Скрыть содержимое

      // Настройка черного списка
      {
        "inboundTag": ["socks-in"],
        "domain": [
          "ext:geosite_v2fly.dat:category-ads-all",
          "google-analytics",  // Могут быть проблемы с сервисами Google. Нужны тесты
          "analytics.yandex",  // Могут быть проблемы с сервисами Yandex. Нужны тесты
          "appcenter.ms",
          "app-measurement.com",
          "firebase.io",
          "crashlytics.com"
        ],
        "outboundTag": "block",
        "type": "field"
      },

 

 

 

Скрытый текст

"routing": {
    "domainStrategy": "IPIfNonMatch",
    "rules": [
      // Настройка черного списка
      {
        "inboundTag": ["socks-in"],
        "domain": [
          "ext:geosite_v2fly.dat:category-ads-all",
          "google-analytics",  // Могут быть проблемы с сервисами Google. Нужны тесты
          "analytics.yandex"  // Могут быть проблемы с сервисами Yandex. Нужны тесты
        ],
        "outboundTag": "block",
        "type": "field"
      },
      
      // Блокируем соединение по уязвимым UDP портам
      {
        "inboundTag": ["socks-in"],
        "network": "udp",
        "port": "135, 137, 138, 139",
        "outboundTag": "block",
        "type": "field"
      },
      
      // Настройка подключений через VPS с помощью доменных имен
      {
        "inboundTag": ["socks-in"],
        "domain": [
          "speedtest.net",
          "nnmclub.to",
          "rutracker.org",
          "flibusta.is",
          "proton.me",
          "ext:geosite_v2fly.dat:facebook",
          "ext:geosite_v2fly.dat:instagram"
        ],
        "outboundTag": "proxy",
        "type": "field"
      },
      
      // Настройка подключений через VPS с помощью IP
      {
        "inboundTag": ["socks-in"],
        "ip": [
          "ext:geoip_v2fly.dat:facebook"
        ],
        "outboundTag": "proxy",
        "type": "field"
      },

      // Напряимик
      {
        "inboundTag": ["socks-in"],
        "outboundTag": "direct",
        "type": "field"
      }
    ]
  }
}

Да, это все уже прописано. Надо было сразу привести свой файл routing

Но интересует все же как заставить через AGH ходить

[Skrill0]

3 часа назад, dok сказал:

  Показать содержимое

"routing": {
    "domainStrategy": "IPIfNonMatch",
    "rules": [
      // Настройка черного списка
      {
        "inboundTag": ["socks-in"],
        "domain": [
          "ext:geosite_v2fly.dat:category-ads-all",
          "google-analytics",  // Могут быть проблемы с сервисами Google. Нужны тесты
          "analytics.yandex"  // Могут быть проблемы с сервисами Yandex. Нужны тесты
        ],
        "outboundTag": "block",
        "type": "field"
      },
      
      // Блокируем соединение по уязвимым UDP портам
      {
        "inboundTag": ["socks-in"],
        "network": "udp",
        "port": "135, 137, 138, 139",
        "outboundTag": "block",
        "type": "field"
      },
      
      // Настройка подключений через VPS с помощью доменных имен
      {
        "inboundTag": ["socks-in"],
        "domain": [
          "speedtest.net",
          "nnmclub.to",
          "rutracker.org",
          "flibusta.is",
          "proton.me",
          "ext:geosite_v2fly.dat:facebook",
          "ext:geosite_v2fly.dat:instagram"
        ],
        "outboundTag": "proxy",
        "type": "field"
      },
      
      // Настройка подключений через VPS с помощью IP
      {
        "inboundTag": ["socks-in"],
        "ip": [
          "ext:geoip_v2fly.dat:facebook"
        ],
        "outboundTag": "proxy",
        "type": "field"
      },

      // Напряимик
      {
        "inboundTag": ["socks-in"],
        "outboundTag": "direct",
        "type": "field"
      }
    ]
  }
}

Да, это все уже прописано. Надо было сразу привести свой файл routing

Но интересует все же как заставить через AGH ходить

Доброг Вам утра!

Если Вы не настраивали DNS от Xray (В конфигурациях dns.json пустой), то DNS запросы разрешаются средствами прошивки | ADH.
Xray получает уже разрешенные доменные имена.

[dok]

4 часа назад, Skrill0 сказал:

Доброг Вам утра!

Если Вы не настраивали DNS от Xray (В конфигурациях dns.json пустой), то DNS запросы разрешаются средствами прошивки | ADH.
Xray получает уже разрешенные доменные имена.

Доброе утро!

dns.json - такого файла нет. изначально давно был поставлен ADH на роутер - все ок, вопросов нет, реклама режется, DNS отдаются какие прописал. Затем попробовал XKeen redirect - все круто (спасибо, кстати), все работает, но в статистике вебморды ADH явно видно, что устройства, которые в политике XKeen не учитываются. То есть я иду на сайт проверки блокировки рекламы будучи в XKeen политике - в ADH не меняется ничего в статистике. убираю устройство из политики и опять иду на сайт - в ADH явно видны изменения. так же и с dnsleaktest.com.

 

Подскажите, пожалуйста, куда копать?

 

[Alexey77]

1 час назад, dok сказал:

dns.json - такого файла нет

Доброе утро. Тоже пытаюсь настроить чтобы dns разрешался через ADH. Когда файл dns.json есть всё работает как и должно через xray. Убираю файл dns.json интернет есть но он опять идёт через xray 2024/01/28 06:01:30 192.168.10.56:1187 accepted udp:192.168.10.1:53 [transparent -> dns-out] . Убираю из routing json секцию gns-out интернет пропадает 2024/01/28 06:10:02 192.168.10.56:40251 accepted udp:192.168.10.1:53 [transparent -> direct]. Проверил правила iptables 

~ # iptables -t mangle -nL xkeen -v
Chain xkeen (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 RETURN     all  --  *      *       0.0.0.0/0            176.97.44.69
    0     0 RETURN     all  --  *      *       0.0.0.0/0            255.255.255.255
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/8
    0     0 RETURN     all  --  *      *       0.0.0.0/0            10.0.0.0/8
    0     0 RETURN     all  --  *      *       0.0.0.0/0            100.64.0.0/10
    0     0 RETURN     all  --  *      *       0.0.0.0/0            127.0.0.0/8
    0     0 RETURN     all  --  *      *       0.0.0.0/0            169.254.0.0/16
    0     0 RETURN     all  --  *      *       0.0.0.0/0            172.16.0.0/12
    0     0 RETURN     all  --  *      *       0.0.0.0/0            192.0.0.0/24
    0     0 RETURN     all  --  *      *       0.0.0.0/0            192.0.2.0/24
    0     0 RETURN     all  --  *      *       0.0.0.0/0            198.18.0.0/15
    0     0 RETURN     all  --  *      *       0.0.0.0/0            198.51.100.0/24
    0     0 RETURN     all  --  *      *       0.0.0.0/0            203.0.113.0/24
  123 21305 RETURN     all  --  *      *       0.0.0.0/0            224.0.0.0/4
    0     0 RETURN     all  --  *      *       0.0.0.0/0            240.0.0.0/4
 2731  267K TPROXY     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            TPROXY redirect 127.0.0.1:54836 mark 0x111/0xffffffff
 1213 92267 TPROXY     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            TPROXY redirect 127.0.0.1:54836 mark 0x111/0xffffffff
~ #

Добавил правило iptables -t mangle -I xkeen -d 192.168.0.0/16 -j RETURN после этого интернет появился и в статистике веб морды ADH видно разрешение dns с адреса 192.168.10.1 - это адрес роутера. 

Был не внимателен у вас режим redirect поэтому может быть другая причина 

Edited January 28 by Alexey77
Дополнил

[vasek00]

10 часов назад, Gmarapet сказал:

Вот такие настройки в файле routing.json отлично режут рекламу без всякого AdGuardHome. При желании можно добавить еще правила.

Чуток не в тему, но все же. В отличие от вашего списка из строк

"google-analytics",  // Могут быть проблемы с сервисами Google. Нужны тесты
"analytics.yandex",  // Могут быть проблемы с сервисами Yandex. Нужны тесты
"appcenter.ms",
"app-measurement.com",
"firebase.io",
"crashlytics.com"

 в AGH этот список во много раз больше.

Нет например "clck.yandex.ru", "report.appmetrica.yandex.net", "startup.mobile.yandex.net", "mobile.yandexadexchange.net", "startup-mobile.ap.yandex-net.ru", "googleads.g.doubleclick.net", "firebaselogging.googleapis.com", "xtwptx-conversions.appsflyersdk.com" и т.д.

 

[Gmarapet]

1 час назад, vasek00 сказал:

отличие от вашего списка из строк

Доброе утро.

Не в целях, помериться, а просто для пояснения: вы упустили волшебную строчку  ext:geosite_v2fly.dat:category-ads-all

Там несколько тысяч записей.

И конечно:

11 час назад, Gmarapet сказал:

При желании можно добавить еще правила.

 

 

Edited January 28 by Gmarapet

[Alexey77]

22 минуты назад, Alexey77 сказал:

Добавил правило iptables -t mangle -I xkeen -d 192.168.0.0/16 -j RETURN после этого интернет появился

Поэтому вопрос почему нет этого правила и приходится его добавлять вручную? 

[Skrill0]

Всем доброго утра)

О проблемах с крайней версией знаю.
Благодаря @Keokuk и прочим отзывам из темы удалось локализовать проблему.
Всем большое спасибо)

Сегодня будет еще одно обновление. Надеюсь, стабильное уже)
Также, кто встречается с проблемами, можете присылать свои файлы диагностики, созданные ключом

xkeen -diag

** В файле будет присутствовать Ваш IP адрес, нужен для проверки корректности определения)

 

Edited January 28 by Skrill0

[vasek00]

1 час назад, Gmarapet сказал:

Доброе утро.

Не в целях, померяться, а просто для пояснения: вы упустили волшебную строчку  ext:geosite_v2fly.dat:category-ads-all

Там несколько тысяч записей.

 

Конечно не мерятся, и рекламу убирает вопрос только вы пишите отлично .... без всякого AdGuardHome

Если данного набора вам хватает, то это хорошо для других может и не хватать.

 

https://habr.com/ru/articles/760052/

В GeoSite v2fly нет зоны Ru.

Реклама

• ext:geosite_v2fly.dat:category-ads-all — Компиляция * EasyList, AdGuard DNS Filter, Peter Lowe,  Dan Pollok

Для справки про v2fly.dat:category-ads-all

https://github.com/v2fly/domain-list-community/blob/master/data/category-ads-all

и основная строка "include:category-ads" и что-то в перечне *-ads не увидел например от простого того же yandex или что-то для зоны RU. А по EasyList как я понял всего то - easylist.to lanik.us

 

Например для зоны RU который в AGH например - https://easylist-downloads.adblockplus.org/ruadlist.txt

 

 

Edited January 28 by vasek00

[0xConstantine]

Здравствуйте. Подскажите пожалуйста, направьте на путь истинный.

Я имею маршрутизатор Keenetic с одной стороны и VPN провайдера с другой строны.

Провайдер предоставил мне ss:// ключ.

Я настроил xRay на роутере. Создал одно единственное соединение "outbounds" с протоколом "shadowsocks". Всё работает. Весть трафик пошел через ВПН.

Вопрос заключается в том, что я не могу настроить, чтобы запросы к российским сайтам шли мимо этого ВПН. Ну например конопоиск.

Я пытался применить разные конфиги для Routing с этого форума, но это не помогает. Такое ощущение, что эти настройки для Routing должны делаться на сервере. Или нет? Опытные коллеги, подскажите пожалуйста, как это правильно сделать.

[Skrill0]

2 часа назад, 0xConstantine сказал:

Здравствуйте. Подскажите пожалуйста, направьте на путь истинный.

Я имею маршрутизатор Keenetic с одной стороны и VPN провайдера с другой строны.

Провайдер предоставил мне ss:// ключ.

Я настроил xRay на роутере. Создал одно единственное соединение "outbounds" с протоколом "shadowsocks". Всё работает. Весть трафик пошел через ВПН.

Вопрос заключается в том, что я не могу настроить, чтобы запросы к российским сайтам шли мимо этого ВПН. Ну например конопоиск.

Я пытался применить разные конфиги для Routing с этого форума, но это не помогает. Такое ощущение, что эти настройки для Routing должны делаться на сервере. Или нет? Опытные коллеги, подскажите пожалуйста, как это правильно сделать.

Доброго Вам дня!

Настройки маршрутизации делаются на клиенте.

Вот пример конфигурации Routing, в которой:
Доменные зоны России (ru, su…) идут напрямую
Остальные через Ваше VPS подключение

Для ее работы нужны GeoIP и GeoSite от V2Fly
За помощь в составлении конфигурации спасибо @jameszero

Скрытый текст

// Настройка маршрутизации

{
  "routing": {
    "rules": [
      // Блокировка  |  Реклама и аналитика
      {
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "block",
        "type": "field",
        "domain": [
          "ext:geosite_v2fly.dat:category-ads-all",
          "google-analytics",
          "analytics.yandex",
          "appcenter.ms",
          "app-measurement.com",
          "firebase.io",
          "crashlytics.com"
        ]
      },
      
      // Блокировка  |   Уязвимые UDP порты
      {
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "block",
        "type": "field",
        "network": "udp",
        "port": "135, 137, 138, 139"
      },
            
      // Прямые подключение  |  Доменные имена
      {
        "inboundTag": ["redirect", "tproxy"],
        "domain": [
          "regexp:^([\\w\\-\\.]+\\.)ru$",  // .ru
          "regexp:^([\\w\\-\\.]+\\.)su$",  // .su
          "regexp:^([\\w\\-\\.]+\\.)xn--p1ai$",  // .рф
          "regexp:^([\\w\\-\\.]+\\.)xn--p1acf$",  // .рус
          "regexp:^([\\w\\-\\.]+\\.)xn--80asehdb$",  // .онлайн
          "regexp:^([\\w\\-\\.]+\\.)xn--c1avg$", // .орг
          "regexp:^([\\w\\-\\.]+\\.)xn--80aswg$",  // .сайт
          "regexp:^([\\w\\-\\.]+\\.)xn--80adxhks$",  // .москва
          "regexp:^([\\w\\-\\.]+\\.)moscow$",  //  .moscow
          "regexp:^([\\w\\-\\.]+\\.)xn--d1acj3b$",  // .дети
          "ext:geosite_v2fly.dat:category-gov-ru",
          "ext:geosite_v2fly.dat:yandex",
          "ext:geosite_v2fly.dat:vk",
          "ext:geosite_v2fly.dat:private"
        ],
        "outboundTag": "direct",
        "type": "field"
      },
	  
      // Прямые подключение  |  IP адреса
      {
        "inboundTag": ["redirect", "tproxy"],
        "ip": [
      	  "ext:geoip_v2fly.dat:ru",
      	  "ext:geoip_v2fly.dat:private"
        ],
        "outboundTag": "direct",
        "type": "field"
      },
	  
      // VPS подключение
      {
        "inboundTag": ["redirect", "tproxy"],
        "outboundTag": "shadowsocks",
        "type": "field"
      }
	  
    ]
  }
}

 

Edited January 28 by Skrill0

[Gmarapet]

3 часа назад, 0xConstantine сказал:

Создал одно единственное соединение "outbounds" с протоколом "shadowsocks".

А в outbounds запись для direct есть?

// Прямое соединение
{ "protocol": "freedom", "tag": "direct" }

Ещё полезно block добавить

// Блокировка соединения
{"protocol": "blackhole", "tag": "block" }

Посмотрите примеры в шапке.

3 часа назад, 0xConstantine сказал:

Такое ощущение, что эти настройки для Routing должны делаться на сервере.

На клиенте в первую очередь.

Edited January 28 by Gmarapet

[Alexey77]

2 часа назад, Gmarapet сказал:

А в outbounds запись для direct есть?

// Прямое соединение
{ "protocol": "freedom", "tag": "direct" }

Ещё полезно block добавить

// Блокировка соединения

{"protocol": "blackhole", "tag": "block" }

Раньше была ленивая конфигурация там это было сразу записано и вопросов от новичков было меньше. Может вернуть ленивою конфигурацию ? 

Edited January 28 by Alexey77