маршрутизация Xray на Entware | Xkeen

[xLamoSx]

Доброго вечера всем.

Что-то у меня не выходит каменный цветок и по этой причине прошу немного помощи, начнем с малого, нигде в теме не нашел, а как вообще проверить с кинетика или из под xray - устанавливает ли он соединение с сервером на котором поднят Vless

[Alexey77]

1 час назад, xLamoSx сказал:

соединение с сервером на котором поднят Vless

Добрый вечер для начала вам нужно убедиться в работоспособности сервера. Подключитесь к нему например с телефона. 

[xLamoSx]

7 минут назад, Alexey77 сказал:

Добрый вечер для начала вам нужно убедиться в работоспособности сервера. Подключитесь к нему например с телефона. 

Сервер работает не один месяц, с телефона конечно же соединение работает как по протоколу shadowsocks так и по  vless 

[Alexey77]

Я смотрел соединение по логам. Например кеенетик 2023/10/22 18:31:23 192.168.2.37:38074 accepted tcp:176.31.195.20:443 [socks-in -> proxy]
2023/10/22 18:31:24 192.168.2.37:38076 accepted tcp:176.31.195.20:443 [socks-in -> proxy] и сервер 2023/10/22 18:31:24 104.28.214.127:53882 accepted tcp:65efa6cd-a7bb-4161-896b-64e2ec5fdf88-ws-ipv4.nperf.com:443 [vless_tls >> direct]

2023/10/22 18:31:25 104.28.214.127:48346 accepted tcp:65efa6cd-a7bb-4161-896b-64e2ec5fdf88-ws.nperf.com:443 [vless_tls >> direct] соединение прошло. 

 

Edited October 22, 2023 by Alexey77

[xLamoSx]

1 час назад, Alexey77 сказал:

Я смотрел соединение по логам. 

 

Можно немного подробнее, где и как вы смотрите логи на кинетике? Ранее не был знаком с кинетиками. ВПН пользуюсь уже более полу года, сейчас встал вопрос дома организовать нормальное соединение всех клиентов домашней сети.

Купил Ultra 1811 - но нифига не выходит. Сделано все по инструкции, но работает, можно сказать не работает. Частично работают сайты в сегменте ru и то не все - все что касается чего либо другого вообще не работает.

На сервере Vless трафика вообще не вижу.

На кинетике в прокси-сервере трафик виден.

 

[Alexey77]

В конфиге xray есть файл 01_log.json моя конфигурация 

// Настройки журнала — что и куда записывать в журнал.

{
    "log": 
        {
            "access": "/opt/tmp/xray/access.log",     // Запись доступа
            "error": "/opt/tmp/xray/error.log",       // Запись ошибок
            "loglevel": "debug",    // Уровень журнала: от минимального до максимального: "none", "error", "warning", "info", "debug"
            "dnsLog": false        // Включить / Выключить отслеживание DNS запросов: false, true
        }
}

В папке tmp/xray и смотрю. 

[D@nge1]

26 минут назад, xLamoSx сказал:

Купил Ultra 1811 - но нифига не выходит. Сделано все по инструкции, но работает, можно сказать не работает.

Забей, есть более простые решения.

[Alexey77]

Только что, D@nge1 сказал:

Забей, есть более простые решения.

Подскажите что за решения? 

[Alexey77]

30 минут назад, xLamoSx сказал:

Частично работают сайты в сегменте ru и то не все - все что касается чего либо другого вообще не работает.

Это как раз проблема конфигов и возможно и роутинга на сервере.

[xLamoSx]

43 минуты назад, Alexey77 сказал:

В конфиге xray есть файл 01_log.json моя конфигурация 

// Настройки журнала — что и куда записывать в журнал.

{
    "log": 
        {
            "access": "/opt/tmp/xray/access.log",     // Запись доступа
            "error": "/opt/tmp/xray/error.log",       // Запись ошибок
            "loglevel": "debug",    // Уровень журнала: от минимального до максимального: "none", "error", "warning", "info", "debug"
            "dnsLog": false        // Включить / Выключить отслеживание DNS запросов: false, true
        }
}

В папке tmp/xray и смотрю. 

Пусто у меня в этой папке - нет ни каких логов

[Alexey77]

1 минуту назад, D@nge1 сказал:

Согласен, но настройка этого решения для новичков

Согласен сам был новичком но если сам не захочешь учится так и останешься новичком. 

[Alexey77]

6 минут назад, xLamoSx сказал:

конфиге xray есть файл 01_log.json моя конфигурация

Вы переписали этот файл? Если да то xkeen - stop

xkeen - start

[xLamoSx]

10 минут назад, Alexey77 сказал:

Вы переписали этот файл? Если да то xkeen - stop

xkeen - start

Если речь об этом то такие файлы есть но по другому пути 
 

Скрытый текст

access.log

Error пустой 

Edited October 22, 2023 by xLamoSx

[xLamoSx]

Я предлагаю по другому.
Сейчас я все распишу что делал в плоть до настроек на самом кинетике.
может из целой картинки вы подскажите где я накосячил и что сделал не так.

[Alexey77]

 расположение логов не важно. Мне удобнее в tmp xray. Судя по логам xray у вас работает. Loglevel поменяйте на debug. 

 

Edited October 22, 2023 by Alexey77

[xLamoSx]

4 минуты назад, Alexey77 сказал:

Судя по логам xray у вас работает. 

Да работает - единственное он не стартует сам если перегрузить роутер, но это сейчас не самое главное - его можно запустить принудительно.

Скрытый текст

 

[Alexey77]

1 минуту назад, xLamoSx сказал:

но это сейчас не самое главное

А в чем проблема? Со стартом xkeen почитайте мои посты пару предыдущих страниц тоже была проблема с рестартом. 

[adk]

15 минут назад, Alexey77 сказал:

почитайте мои посты пару предыдущих страниц тоже была проблема с рестартом. 

Добрый вечер!

Всё хотел у Вас спросить: а Вы не пробовали поменять значение в 168 строке?

Скрытый текст

 

[xLamoSx]

19 минут назад, Alexey77 сказал:

А в чем проблема? Со стартом xkeen почитайте мои посты пару предыдущих страниц тоже была проблема с рестартом. 

Да с этим разберусь потом - сейчас важнее что - либо трафик не идет через сервер, либо что вообще не правильно настроено

 

[Alexey77]

10 часов назад, adk сказал:

Всё хотел у Вас спросить: а Вы не пробовали поменять значение в 168 строке?

Давно поменял походу у нас либо разные файлы либо редакторы. Замените sleep $delay на sleep 10. На скриншоте видно где менять. 

Edited October 23, 2023 by Alexey77
Дополнил

[Alexey77]

7 минут назад, xLamoSx сказал:

либо трафик не идет через сервер

А здесь уже нужно смотреть логи сервера. Была уже проблема с x-ui. 

[xLamoSx]

И так все по порядку.
Роутер Keenetic KN-1811
Entware установлен на флешку 4 Гб

Скрытый текст

Xray запущен и интернет соединение работает

Скрытый текст

Прокси запущен

Скрытый текст

Внутренности такие

Скрытый текст

Чтоб не ругался на DNS они прописаны по DNS-over-TLS и DNS-over-HTTPS

Скрытый текст

Приоритет соединений на сколько я понял выставлен правильно

Скрытый текст

Применение политик на комп с которого тестирую то же стоит

Скрытый текст

Файлы конфигурации взяты из ленивого, хотя уже по форуму пробовал разные варианты их, но работа не изменилась.

07_inbounds – вроде все прописано верно

Скрытый текст

10_routing – ничего не менял из конфигурации ленивого

Скрытый текст

{

  "routing": {

    "domainStrategy": "IPIfNonMatch",

    "rules": [

      // Настройка черного списка

      {

        "inboundTag": ["socks-in"],

        "domain": [

          "ext:geosite_v2fly.dat:category-ads-all",

          "google-analytics",  // Могут быть проблемы с сервисами Google. Нужны тесты

          "analytics.yandex"  // Могут быть проблемы с сервисами Yandex. Нужны тесты

        ],

        "outboundTag": "block",

        "type": "field"

      },

     

      // Блокируем соединение по уязвимым UDP портам

      {

        "inboundTag": ["socks-in"],

        "network": "udp",

        "port": "135, 137, 138, 139",

        "outboundTag": "block",

        "type": "field"

      },

           

      // Настройка прямых подключений с помощью доменных имен

      {

        "inboundTag": ["socks-in"],

        "domain": [

          "regexp:^([\\w\\-\\.]+\\.)ru$",  // .ru

          "regexp:^([\\w\\-\\.]+\\.)su$",  // .su

          "regexp:^([\\w\\-\\.]+\\.)xn--p1ai$",  // .рф

          "regexp:^([\\w\\-\\.]+\\.)xn--p1acf$",  // .рус

          "regexp:^([\\w\\-\\.]+\\.)xn--80asehdb$",  // .онлайн

          "regexp:^([\\w\\-\\.]+\\.)xn--c1avg$", // .орг

          "regexp:^([\\w\\-\\.]+\\.)xn--80aswg$",  // .сайт

          "regexp:^([\\w\\-\\.]+\\.)xn--80adxhks$",  // .москва

          "regexp:^([\\w\\-\\.]+\\.)moscow$",  //  .moscow

          "regexp:^([\\w\\-\\.]+\\.)xn--d1acj3b$",  // .дети

          "ext:geosite_v2fly.dat:category-gov-ru",

          "ext:geosite_v2fly.dat:yandex",

          "ext:geosite_v2fly.dat:xbox",

          "ext:geosite_v2fly.dat:playstation",

          "ext:geosite_v2fly.dat:steam",

          "ext:geosite_v2fly.dat:rockstar",

          "ext:geosite_v2fly.dat:epicgames",

          "ext:geosite_v2fly.dat:gog",

          "ext:geosite_v2fly.dat:vk"

        ],

        "outboundTag": "direct",

        "type": "field"

      },

                 

      // Настойка прямых подключений с помощью IP

      {

        "inboundTag": ["socks-in"],

        "ip": [

          "ext:geoip_v2fly.dat:ru",

          "ext:geoip_v2fly.dat:private"

        ],

        "outboundTag": "direct",

        "type": "field"

      },

                 

      // Направление остальныех соединений на VPS

      {

        "inboundTag": ["socks-in"],

        "outboundTag": "proxy",

        "type": "field"

      }

    ]

  }

}

Настройки сервера такие

Скрытый текст

Сам клиент такой

Скрытый текст

Файл 08_outbounds – вроде так же отредактирован правильно

Скрытый текст

{

    "outbounds": [

        // VPS соединение

        {

            "domainStrategy": "UseIPv4", // Если Ваш сервер не поддерживает IPv6, то рекомендую оставить IPv4

            "protocol": "vless",

            "settings": {

                "vnext": [

                    {

                        "address": "80.76.32.29", // IP или доменное имя сервера

                        "port": 443, // Порт должен совпадать на сервере. Для конфигурации с Reality настоятельно рекомендуется 443

                        "users": [

                            {

                                "encryption": "none",

                                "flow": "xtls-rprx-vision",

                                "id": "7479f478-6239-4cec-b865-e1d038cf5ae1" // ID, присвоенный пользователю на сервере

                            }

                        ]

                    }

                ]

            },

            "streamSettings": {

                "network": "tcp",

                "security": "reality",

                "realitySettings": {

                    "publicKey": "-2_Xlh3w……………………………………………",  // Public Key, присвоенный пользователю на сервере

                    "fingerprint": "chrome",  // Finger Point, указанный на сервере

                    "serverName": "microsoft.com",  // SNI, указанный на сервере

                    "shortId": "185bd81f",  // Short ID, присвоенный пользователю на сервере

                    "spiderX": "/"

                }

            },

            "tag": "proxy"

        },

       

        // Прямое соединение

        {

            "protocol": "freedom",

            "tag": "direct"

        },

       

        // Блокировка соединения

        {

            "protocol": "blackhole",

            "tag": "block"

        }

    ]

}
 

Собственно вопрос – что делаю не так – на сервере трафика НОЛЬ по данному соединению

Скрытый текст

Ну и собственно интернет можно сказать не работает при таком исполнении - открывается яндекс, но только стартовая страница, поиск не работает, что то может работать в зоне RU но сильно не тестировал, все остальное тупо не открывается

При изменении каких либо конфигов и манипуляций в роутере - всегда перегружаю роутер и делаю старт стоп Xkeen командами 
xkeen -stop
xkeen -start
 

 

[Alexey77]

7 минут назад, xLamoSx сказал:

Удалите 10_routing.json потом

xkeen -stop
xkeen -start

И результат сюда. 

Edited October 22, 2023 by Alexey77

[xLamoSx]

16 минут назад, Alexey77 сказал:

И результат сюда. 

Если я правильно понял под результатом access.log подразумевалось

access.log

10_routing.json - выглядит сейчас так

Скрытый текст

 

Edited October 22, 2023 by xLamoSx

[Alexey77]

10 минут назад, xLamoSx сказал:

Если я правильно понял под результатом access.log

Могу предположить сюдя по логам сервер не даёт ответа. Вам бы ещё приложить лог сервера но с x-ui не знаю где он находится. 

Edited October 22, 2023 by Alexey77

[xLamoSx]

11 минуту назад, Alexey77 сказал:

Могу предположить сюдя по логам сервер не даёт ответа. 

и что с этим делать?

Собственно первым вопросом и было как вообще можно понять Xray подключается к VPN серверу или нет.

На сервере сделано следующее:
 

Скрытый текст

Защита от брутфорса

Защитим сервер от взлома через брутфорс:

apt install fail2ban -y && apt install ufw -y && apt install nano -y

 

touch /etc/fail2ban/jail.local && nano /etc/fail2ban/jail.local

Откроется редактор, вставим в него код:

[sshd]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
logpath = /var/log/auth.log
findtime = 600
maxretry = 3
bantime = 43200

Нажимаем ctlr + x, далее Y и enter, чтобы сохранить.

Отключаем двухсторонний пинг

Чтобы улучшить нашу маскировку, отключим пинг

 nano /etc/ufw/before.rules

Меняем концовку следующего выражения с ACCEPT на DROP:

-A ufw-before-input -p icmp --icmp-type echo-request -j DROP

Нажимаем ctlr + x, далее y + enter, чтобы сохранить.

Фаервол таков

Скрытый текст

С телефона любое из созданных подключений на сервере работает без каких либо проблем

Скрытый текст

 

Edited October 22, 2023 by xLamoSx

[Skrill0]

44 минуты назад, xLamoSx сказал:

  Скрыть содержимое

Файл 08_outbounds – вроде так же отредактирован правильно

  Скрыть содержимое

{

    "outbounds": [

        // VPS соединение

        {

            "domainStrategy": "UseIPv4", // Если Ваш сервер не поддерживает IPv6, то рекомендую оставить IPv4

            "protocol": "vless",

            "settings": {

                "vnext": [

                    {

                        "address": "80.76.32.29", // IP или доменное имя сервера

                        "port": 443, // Порт должен совпадать на сервере. Для конфигурации с Reality настоятельно рекомендуется 443

                        "users": [

                            {

                                "encryption": "none",

                                "flow": "xtls-rprx-vision",

                                "id": "7479f478-6239-4cec-b865-e1d038cf5ae1" // ID, присвоенный пользователю на сервере

                            }

                        ]

                    }

                ]

            },

            "streamSettings": {

                "network": "tcp",

                "security": "reality",

                "realitySettings": {

                    "publicKey": "-2_Xlh3w……………………………………………",  // Public Key, присвоенный пользователю на сервере

                    "fingerprint": "chrome",  // Finger Point, указанный на сервере

                    "serverName": "microsoft.com",  // SNI, указанный на сервере

                    "shortId": "185bd81f",  // Short ID, присвоенный пользователю на сервере

                    "spiderX": "/"

                }

            },

            "tag": "proxy"

        },

       

        // Прямое соединение

        {

            "protocol": "freedom",

            "tag": "direct"

        },

       

        // Блокировка соединения

        {

            "protocol": "blackhole",

            "tag": "block"

        }

    ]

}
 

Доброй Вам ночи!

У Вас на сервере и в клиентском файле outbounds не совпадают flow.
Должно быть 

xtls-rprx-vision

Также, попробуйте использовать другой ServerName. С microsoft бывают проблемы)

Если не получится, пожалуйста, приложите файл error.log.
Находится по пути

/opt/var/log/xray/error.log

 

Edited October 22, 2023 by Skrill0

[Alexey77]

31 минуту назад, xLamoSx сказал:

С телефона любое из созданных подключений на сервере работает без каких либо проблем

У телефона другая маршрутизация сам столкнулся с такой проблемой. Добавил на роутере сайт 2ip.ru для проверки работы xray а сервер блокировал домены   *.ru а я думал что не работает. 

Edited October 22, 2023 by Alexey77

[xLamoSx]

41 минуту назад, Skrill0 сказал:

У Вас на сервере и в клиентском файле outbounds не совпадают flow.
Должно быть 

xtls-rprx-vision

 

Спасибо - связь с сервером появилась - интернет работает, поиск работает, по сайтам бегает в разных зонах.
Из быстрых тестов - speedtest определяет ip адрес забугорного сервера - но скорость при тесте не режет совсем как есть от провайдера 500 Мб так и показывает с небольшим запасом сверху.

Ну и при данных настройках - инста, рутракер, кинопаб - не открываются интел.ком перекидывает в зону RU

Будем разбираться дальше.

Edited October 22, 2023 by xLamoSx

[Skrill0]

5 минут назад, xLamoSx сказал:

Спасибо - связь с сервером появилась - интернет работает, поиск работает, по сайтам бегает в разных зонах.
Из быстрых тестов - speedtest определяет ip адрес забугорного сервера - но скорость при тесте не режет совсем как есть от провайдера 500 Мб так и показывает с небольшим запасом сверху.

Ну и при данных настройках - инста, рутракер, кинопаб - не открываются интел.ком перекидывает в зону RU

Будем разбираться дальше.

Вы же чистили routing?
Самое время восстановить его)
На Speedtest должен быть IP сервера.