маршрутизация Xray на Entware | Xkeen

[Skrill0]

6 минут назад, k0steg сказал:

К сожалению, это вообще не работает ни в каких xray-клиентах - торренты продолжают качаться. И это прям проблема. Ладно трафик - он может быть безлимитный. Но всего один клиент, запустивший качаться торрент - грузит впсный проц на 50-60%. Что с этим делать - не оч понятно.

Доброго Вам дня)

Попробуйте использовать направление BitTorrent в начале файла маршрутизации.
Пример можно посмотреть в шапке темы
Конфигурации Xray > Routing > Собранные примеры >  Block + VPS | Выбранные ресурсы + Direct | Все остальное

[mr.robot]

4 hours ago, NoAdO said:

На роутере установлен AdGuard Home ( далее AGH), который также используется как DoT сервер для телефона не из дома так что DNS мы не трогаем (так-то могли бы и DNS туда завернуть). Помним, что в этом варианте даже если AGH использует DoT/DoH или прочие защищённые протоколы, ему всё равно надо у кого-то сперва спросить, на каком IP находится домен с DoT у которого он потом всё спрашивать будет. Это в AGH называется bootstrap DNS и провайдер этот запрос увидит, хоть ничего незаконного в использовании защищённых DNS и нет.

Подскажите, как настраивали AdGuard Home для DoT/DoH на кинетике и телефоне?

[surfuser]

1 hour ago, k0steg said:

К сожалению, это вообще не работает ни в каких xray-клиентах - торренты продолжают качаться. И это прям проблема. Ладно трафик - он может быть безлимитный. Но всего один клиент, запустивший качаться торрент - грузит впсный проц на 50-60%. Что с этим делать - не оч понятно.

Возможно, ваш routing настроен так что все соединения идут через VPS, а RU-айпишники напрямую. Посмотрите пример конфига в первом посте ( Собранные примеры -> "Block + VPS | Выбранные ресурсы + Direct | Все остальное"). В режиме Mixed трафик с торрентов идёт напрямую.

Edited January 31 by surfuser

[Proms]

В 28.01.2024 в 11:07, vasek00 сказал:

 

 

Например для зоны RU который в AGH например - https://easylist-downloads.adblockplus.org/ruadlist.txt

 

 

Извините за оффтоп, разве этот лист будет работать с AGH? Посмотрел и сравнил с листами, которые "из коробки", там лишь домены в отличии от этого.

[Arabezar]

Спасибо большое за труды! Титаническая работа!

На самом деле,… ничё не понял, но очень интересно!

К сожалению, не нашёл простой инструкции, как всё это завести на своём Кинетике. Монументальный труд требует такого же монументального понимания и кучу времени для изучения.

Остаётся надеяться, что всё-таки не скоро придётся разбираться в тонкостях настройки… хотя, время покажет… а пока продолжить пользоваться Квасом,… хоть и потребовалось минимально разобраться во всяких установках Entware и пакетов под него, но он работает практически из коробки и конфигурируется значительно проще.

[Skrill0]

4 часа назад, Arabezar сказал:

Спасибо большое за труды! Титаническая работа!

На самом деле,… ничё не понял, но очень интересно!

К сожалению, не нашёл простой инструкции, как всё это завести на своём Кинетике. Монументальный труд требует такого же монументального понимания и кучу времени для изучения.

Остаётся надеяться, что всё-таки не скоро придётся разбираться в тонкостях настройки… хотя, время покажет… а пока продолжить пользоваться Квасом,… хоть и потребовалось минимально разобраться во всяких установках Entware и пакетов под него, но он работает практически из коробки и конфигурируется значительно проще.

Доброго Вам дня)

Нужно просто подставить данные своего сервера в конфиг outbounds.
Заготовки конфигураций идут в стандартном пакете XKeen)

[NoAdO]

18 часов назад, mr.robot сказал:

Подскажите, как настраивали AdGuard Home для DoT/DoH на кинетике и телефоне?

Логика работы в том, что AGH заменяет родной DNS сервер, то есть клиенты локальной сети всё так же работают с *.1 и внутри локалки это нешифрованные запросы. Сам AGH же имеет в основном списке серверов исключительно DoT, DoH вышестоящие серверы, нешифрованный DNS запрос идёт только к bootstrap серверам чтобы выяснить на каких IP живут DoH/DoT. Это, конечно, не очень хорошо, запрос может быть перехвачен, предоставлен неверный ответ, но в отзыве именно про это оговорка и есть. Таким образом единственный DNS для всех клиентов локалки это AGH, AGH не использует сервера провайдера, роутер не использует сервера провайдера а все запросы идут к списку с DoT/DoH серверами.

Что касается телефона вне локальной сети, у меня белый IP и есть доменное имя, так что полученный сертификат добавлен в AGH и порт 853 открыт на роутер, что позволяет вписать доменное имя в строку "частный DNS сервер" прямо в настройках Android и получать данные так. Это нужно не столько для приватности, сколько для блокировки рекламы, которая реализована в AGH как списки доменов, для которых резолвится недействительный IP. В том числе поэтому я и не хочу от AGH избавляться.

[Alexey77]

4 часа назад, Arabezar сказал:

На самом деле,… ничё не понял, но очень интересно!

Добрый день. Возможно найдётся кто-то на форуме у кого есть возможность сделать видео по настройкам xkeen и xray на сервере новичкам станет проще. 

[Skrill0]

1 минуту назад, Alexey77 сказал:

Добрый день. Возможно найдётся кто-то на форуме у кого есть возможность сделать видео по настройкам xkeen и xray на сервере новичкам станет проще. 

Доброго Вам дня)

Видео уже есть от Skride. 
Только смонтировать надо)

Скоро будет)

[mr.robot]

7 hours ago, NoAdO said:

Логика работы в том, что AGH заменяет родной DNS сервер, то есть клиенты локальной сети всё так же работают с *.1 и внутри локалки это нешифрованные запросы. Сам AGH же имеет в основном списке серверов исключительно DoT, DoH вышестоящие серверы, нешифрованный DNS запрос идёт только к bootstrap серверам чтобы выяснить на каких IP живут DoH/DoT.

Спасибо за разъяснение))

Задача, как раз чтобы провайдер в рамках домашней сети, как раз не перехватывал. Я поставил AGH в Entware, есть ли смысл в настройках роутера отключать:
1. Отключать ДНС сервер от провайдера в интернет-фильтрах? 
2. Игнорировать ДНС в настройках подключения активировать?

Насколько я понимаю он автоматически уже переадресовывает все запросы на AGH, так как при настройке штатный отключается.

7 hours ago, NoAdO said:

Что касается телефона вне локальной сети, у меня белый IP и есть доменное имя, так что полученный сертификат добавлен в AGH и порт 853 открыт на роутер

В топике про AGH пишут, что нет смысла шифровать и так мол никаких проблем не будет. Но я тут неуверен, так как слабо разбираюсь в теме. Буду рад вашему комментарию.

Правильно ли я понял, что домен у вас не сервисный от кинетика прикручен к роутеру?

[NoAdO]

1 час назад, mr.robot сказал:

Я поставил AGH в Entware, есть ли смысл в настройках роутера отключать

По идее это не важно. Если все клиенты получают по параметрам сети IP роутера как DNS сервера, DNS сервером работает AGH а у него свой список куда стучаться, кто будет использовать эти неотключённые провайдерские сервера? Ради интереса отключил DNS провайдера в интернет-фильтрах - не изменилось вообще ничего. Если нет ни одного DNS там то AGH не резолвит ничего. Непонятно, как это связано, как будто транспорт запросов запрещается, но если есть хоть одна запись то резолвится по моим спискам вышестоящим, проверял на тех ресурсах которые у себя РФ забанили через DNS.

E билайна при смене оборудования нужно зайти по адресу internet.beeline.ru который провайдерский DNS раздаёт из внутренних. Придётся позвонить и IP спросить при смене роутера. 🙃

Но я не профессионал, могу ошибаться.

1 час назад, mr.robot сказал:

В топике про AGH пишут, что нет смысла шифровать и так мол никаких проблем не будет. Но я тут неуверен, так как слабо разбираюсь в теме. Буду рад вашему комментарию.

Внутри локалки - конечно нет смысла шифровать, мы её считаем достаточно доверенной сетью. А вот снаружи.. в AGH я не нашёл функционала бана клиентов по mac, только по IP. То есть мало того что нешифрованный DNS мне андроид скорее всего не даст прописать, проблема ещё и в том что если кто-то решит использовать мой сервер DNS (в обоих случаях) избавиться я от него могу только сменой моего IP потому что динамику и сотовые сети по айпи банить бесполезно. В общем это какая-то своеобразная паранойя, даже если и подцепится то в DNS сервере ничего нет кроме блокировок, но у меня открыт только 853, через это я вроде как не попадаюсь на поиск DNS серверов по порту..  и меня это устраивает.

1 час назад, mr.robot сказал:

Правильно ли я понял, что домен у вас не сервисный от кинетика прикручен к роутеру?

Верно, и это важно. 853 это DoT или QUIC и для установки шифрованного соединения нужен и домен и сертификат к нему. Но у меня белый IP и A-запись так что всё в порядке.

 

Попутно поделюсь грустью: на моем KN-3810 фактически получается разогнаться только до 150/250 Мбит, при чём как в freedom так и в VPS, дело в скорострельности на этапе роутинга, получается. То есть любой клиент, к которому применена политика в роутере подлежит разбору трафика на предмет того куда его слать дальше и это ограничивает скорость, если я правильно понимаю.

Edited February 1 by NoAdO

[mr.robot]

12 hours ago, NoAdO said:

Верно, и это важно. 853 это DoT или QUIC и для установки шифрованного соединения нужен и домен и сертификат к нему. Но у меня белый IP и A-запись так что всё в порядке.

Извиняюсь за оффтоп. Финализирую обсуждение по AGH. Если я правильно получается примерно следующее: 

Spoiler

Настройка домена

Добавляем A запись dns.site.ru и указываем белый IP адрес роутера

Entware
— Ставим ca-bundle и ca-certificates 
— Настраиваем Nginx для домена dns.site.ru
— Настраиваем Let's Encrypt по инструкции

AdguardHome

— Имя сервера → dns.site.ru
— Добавляем Сертификаты и приватный ключ из Enware

Подскажите, есть ли разница именного для мобильно устройства, где стоит AGH на роутере и vps? 

Edited February 2 by mr.robot
доп.вопрос

[NoAdO]

3 часа назад, mr.robot сказал:

есть ли разница именного для мобильно устройства, где стоит AGH на роутере и vps? 

А чем ваш DNS сервер на роутере или на VPS отличается от любого другого DoT/DoH сервера?) По мне разницы особо нет.

[Fixxxer]

Доброго времени суток! 
Спасибо за проект!
Только знакомлюсь с XRay и есть вопрос. Ограничение по скорости у всех присутствует или только моя проблема? Подскажите куда копать, пожалуйста.
Для теста имеется впн у Fornex. На любом устройстве все ок, спидтест дотягивается до показателей 250-300мб, на Кинетике 25, с трудом 30.
Железка Hopper KN3610
Настроен Redirect через политику доступа.
inbounds взят из мануала в шапке.
outbounds

Скрытый текст

{
    "outbounds": [

        // VPS снаружи РФ
        {
            "tag": "Fornex",    // Название соединения
            "protocol": "vless",
            "settings": {
                "vnext": [
                    {
                        "address": "из настроек",    // IP адрес или доменное имя сервера
                        "port": 143,    // Порт Reality. 443 обязателен
                        "users": [
                            {
                                "encryption": "none",
                                "id": "из настроек"    // ID, присвоенный пользователю на сервере
                            }
                        ]
                    }
                ]
            },
            "streamSettings": {
                "network": "tcp",
                "security": "reality",
                "realitySettings": {
                    "publicKey": "из настроек",    // Public Key, присвоенный пользователю на сервере
                    "fingerprint": "chrome",    // Finger Point, указанный на сервере
                    "serverName": "www.microsoft.com",    // SNI, указанный на сервере
                    "shortId": "из настроек",    // Short ID, присвоенный пользователю на сервере
                    "spiderX": "/"
                },
                "sockopt": {
                    "tcpFastOpen": false,
                    "tcpMptcp": false,
                    "tcpNoDelay": false
                }
            }
        },
    ]
}

 

[jameszero]

@Fixxxer, добрый день! На сайте Fornex, написано, что они предлагают скорость 100Мбс, так что 250-300 у них не утилизируете.

Особой просадки скорости не наблюдаю, провайдер даёт честные 200Мбс, VPS тоже заявлено 200Мбс, но обычно ниже. Скорость через xray 180 загрузка, 160 отдача. Сейчас подключён через tproxy, но и на redirect было +- так же. Роутер Keenetic Viva, примерно аналогичен вашему по производительности.

Выполните оптимизацию сервера по рекомендации @Skrill0

Замерьте скорость интернета на VPS

Почему у вас в outbound три последних параметра false?

[Fixxxer]

@jameszero
У меня не ВПС там, а именно ВПН как услуга. Пока решил потестить именно так. Поэтому оптимизировать я могу только на роутере. 
Три последних параметра в outbound исходя из настроек, которые  даёт Fornex. К слову, при изменении их на true ничего не меняется.
На скрине скорость в данный период времени, при поднятии соединения с компа.

[jameszero]

Посмотрите нагрузку на процессор Кинетика. Если зашкаливает, удалите компонент "Служба классификации трафика", он очень прожорливый.

[Fixxxer]

Хм. Спасибо за совет, убрал. Но ситуация не поменялась. Во время прохода теста ЦП загружается на 95-99. Смотрю на среднюю нагрузку, 2-10. Из домашних никто не нагружает, youtube, spotify. 

[jameszero]

Хотелось бы взглянуть на все ваши конфиги и скриншоты настроек роутера, ибо скорость 25 - 30 и при этом полная загрузка процессора это уж очень странно.

[miksher07]

Падение скорости есть. В телеграм канале это обсуждали. У меня без xkeen скорость 900 туда обратно, после включения устройства в политику  скорость падает до 220 на загрузку и 400 на отдачу (это спидтест не через VPS, а напрямую через моего провайдера), загрузка процессора до 100 доходит. Получается такое вот падение скорости. Много пользователей подтвердило такое поведение.

[jameszero]

Тем более, нужно разобраться, чтобы понять, можно ли это победить. Очевидно, что есть ограничение процессоров и ожидать от Giga, Viva или Hoppera гигабит через xray не стоит, но у человека 20-30Мбс, это совсем печаль.

[VladimirM]

К сожалению одна ссылка больше не работает

https://github.com/schebotar/antifilter-domain/releases/latest/download/geosite.dat

надо бы новое зеркало. или хотя бы старый файл у кого есть выложите - ибо в скрипте обновления ошибка, и файлы заменились на мусор из 9 байт

 

Edited February 3 by VladimirM

[UnFear TARANTULA]

18 часов назад, Fixxxer сказал:

Только знакомлюсь с XRay и есть вопрос. Ограничение по скорости у всех присутствует или только моя проблема? Подскажите куда копать, пожалуйста.
Для теста имеется впн у Fornex. На любом устройстве все ок, спидтест дотягивается до показателей 250-300мб, на Кинетике 25, с трудом 30.
Железка Hopper KN3610
Настроен Redirect через политику доступа.

 

У меня тоже Хоппер, тоже редирект. Впн гигабит в США у Хосткей. Тариф дом.ру 300 мбит. 

Спидтест с рандомным сервером в США - 90мбит
Нперф с рандомным же сервером - 120мбит

PS: упс, у меня 3810

Edited February 3 by UnFear TARANTULA

[Gmarapet]

5 часов назад, VladimirM сказал:

или хотя бы старый файл у кого есть выложите

Пока вот.

Отключите на время обновление geosite и geoip.

Старый репозиторий его хозяин закрыл.Skrill0 обещала в скором времени начать сбор собственной версии антифильтра для обновлений.

geoip_antifilter.dat geosite_antifilter.dat

[LDude]

Хм, опять лыжи не едут. Стоял у меня Xkeen 0.9.9 xray 1.8.4 и  и всё было отлично, кроме UDP. И проц не грузило. Причём с телефона скорость была больше, чем с ноута, странно.

On 1/2/2024 at 10:30 AM, LDude said:

ХЗ, что у него не так, но у меня на том же проце (KN-1910) и с меньшей оперативой около 300 мбит в среднем, зависит от доступа до VPS. Бывает и до 500 доходит.

Да, ещё у меня Wireguard и OVPN подняты для других устройств на этом роутере.

И MESH ещё, ХЗ, влияет ли на проц.

И решил я обновиться UDP ради. Обновился - писец, скорость упала, проц загружен (разные режимы пробовал). Откатил всё обратно (-xb, -kb, -cb). Не особо помогло. Конфиги копировал на ноут перед обновлением, вернул все обратно поверх - неа.

И непонятно, что за ххх. Причём ранее было с ноута 200-300 мбит, через телефон до 500, и проц до 30%. А сейчас с ноута до 150, с телефона до 25!!! (правда телефон сейчас другой, но не в этом дело, думаю), и проц под сотку при тесте скорости, даже когда 25 на телефоне, в проц типа упирается. И пинг в speedtest.net был 80 с чем-то, а сейчас меньше 100 не бывает.

 

PS: Ух ты! Попробовал через другое подключение (Wireguard) скорость потестить - тоже нагрузка на проц более 90%.

Edited February 3 by LDude

[Skrill0]

Всем доброго вечера!

Вышло обновление 1.0.8

Журнал

Скрытый текст

Исправлено

1. Источник GeoIP AntiFilter заменен на собственный
2. Источник GeoSite AntiFilter заменен на собственный

Улучшено

1. Получение портов
2. Получение протоколов
3. Запуск прокси-клиента | Теперь можно подключить больше устройств по Wi-Fi. Для KN-1811 порог увеличился до ~90
4. Получение IP
5. Конфигурации из стандартного комплекта

Добавлено
Конфигурация 06_policy в стандартный комплект

Как использовать Policy

Скрытый текст

Конфигурация избавляющая от простоя соединений.
Стандартное время поддержки соединения, которое не используется: 5 минут.

Policy позволяет сократить его до 30 секунд параметром: 

"connIdle": 30

Иными словами, если Вы не пользуетесь установленным соединением 30 секунд — оно закрывается.

Для использования уровня (level) policy к Вашему подключению нужно его добавить.
VLESS выглядит так:

{
    "vnext": [
        {
            "address": "",    // IP адрес или доменное имя сервера
            "port": 443,      // Порт Reality. 443 обязателен
            "users": [
                {
                    "id": "",    // ID, присвоенный пользователю на сервере
                    "encryption": "none",
                    "flow": "xtls-rprx-vision",
                    "level": 0
                }
            ]
        }
    ]
}

Где "level": 0 — уровень политики.

Обновиться можно командой

xkeen -uk

Откатиться на предыдущую версию можно командой

xkeen -kbr

В случае возникновения проблем, пожалуйста, присылайте файл диагностики

xkeen -diag

Внимание
     В файле содержится Ваш IP адрес. Можно присылать в личные сообщения.

Пожалуйста, тестируйте, и отпишитесь о результатах)

Edited February 3 by Skrill0

[Gmarapet]

45 минут назад, Skrill0 сказал:

Вышло обновление 1.0.8

Добрый вечер.

Больше спасибо!

Обновился.
Файлы с базами GeoSite и GeoIP снова обновляются. Остальное тоже работает хорошо.

Обновление GeoIP или GeoSite при остановленном XKeen после обновления баз запускает XKeen без спросу. ) Наверное так было и раньше, не замечал.

Edited February 3 by Gmarapet

[dogoma]

Цитата

{
    "inbounds": [
        {
            "tag": "redirect",
            "listen": "192.168.1.1",    // IP адрес роутера, через который заходите в Web-интерфейс
            "port": 61219,

Всем привет.

Обновил Xkeen, заодно переконфигурировал на работа в режиме mixed. Соответственно перестали работать (выходить в сеть) клиенты WG подключенные к роутеру, на котором работает Xkeen.

По аналогии с режимом tproxy, прописал и для redirect в "listen" - 0.0.0.0, клиенты WG стали работать.

Соответственно вопрос, важно ли прописывать туда именно 192.168.1.1, везде упоминается именно этот адрес, и комментарий есть.

 

Плюс сейчас смотрел снова все настройки, и так и не понял до конца по поводу правила для Переадресации портов в web-настройках роутера, нужно ли там указывать "Направлять на порт" тот, который указан в Inbounds? Или оставить так же 443.

Так же интересует, если если у меня режим работа Xkeen "3. По выбранным портам", и там 443 и 80 порты, то надо ли добавить правило в Переадресацию портов?

 

 

 

[Skrill0]

1 час назад, dogoma сказал:

Всем привет.

Обновил Xkeen, заодно переконфигурировал на работа в режиме mixed. Соответственно перестали работать (выходить в сеть) клиенты WG подключенные к роутеру, на котором работает Xkeen.

По аналогии с режимом tproxy, прописал и для redirect в "listen" - 0.0.0.0, клиенты WG стали работать.

Соответственно вопрос, важно ли прописывать туда именно 192.168.1.1, везде упоминается именно этот адрес, и комментарий есть.

 

Плюс сейчас смотрел снова все настройки, и так и не понял до конца по поводу правила для Переадресации портов в web-настройках роутера, нужно ли там указывать "Направлять на порт" тот, который указан в Inbounds? Или оставить так же 443.

Так же интересует, если если у меня режим работа Xkeen "3. По выбранным портам", и там 443 и 80 порты, то надо ли добавить правило в Переадресацию портов?

Доброй Вам ночи)

Можно поступить лучше.
Вовсе удалить listen из конфига inbounds как для TProxy, так и для Redirect)

Давно думала так сделать, благодарю за напоминание)

Для TProxy или Mixed теперь нужно только:
1. Перенос SSL от Keenetic на другой порт 
2. Модуль TProxy

Edited February 3 by Skrill0

[Skrill0]

3 часа назад, Gmarapet сказал:

Добрый вечер.

Больше спасибо!

Обновился.
Файлы с базами GeoSite и GeoIP снова обновляются. Остальное тоже работает хорошо.

Обновление GeoIP или GeoSite при остановленном XKeen после обновления баз запускает XKeen без спросу. ) Наверное так было и раньше, не замечал.

Доброй Вам ночи)

Да, так и было раньше.
Чтобы при обновлении ночью Xray сам перезапустился)

Нужно ли добавить проверку текущего статуса в случае обновления?)