маршрутизация Xray на Entware | Xkeen

[miksher07]

Всем привет. Опять пытаюсь настроить и ничего не получается. Может кто-то удаленно ко мне подключиться и настройку сделать, сделаю донат на конфеты\пиво. У меня уже настроен VPS сервер, через клиент на винде все работает, хочу чтобы на роутере ходило через VPS только на те сайты, какие я укажу, на остальные напрямую через моего провайдера. Никаких geoip, антизапретов из ленивой конфигурации не нужно.

Помогли))

Edited January 20 by miksher07

[iRustik]

1 час назад, miksher07 сказал:

Опять пытаюсь настроить и ничего не получается.

Такая же история, жду инструкцию для чайников благо Skrill0 обещает выпустит в скором времени, возможно даже видео. Тут только ждать или реально просить за донат помощи.

[Gmarapet]

2 часа назад, Alexey77 сказал:

Предполагаю что они используют dns роутера и вдобавок ещё dns от гугла. 

Спасибо, посмотрю в эту сторону.

А не скажете, почему они могут конфликтовать? По идее должны отдавать одно и то же. Провайдерский DNS у меня отключен, системная политика сейчас на DNS гугла, политика xkeen на DoH и Dot.

Самое странное, что конфликт возникает только в режиме tproxy, в режиме redirect такого не наблюдаю.

Edited January 20 by Gmarapet

[LexxWin]

Добрый вечер!

Вопрос немного не по теме, но касается установки Netfilter на Keenetic.
Имеется два роутера от Keenetic: первый Giga-1011, а второй Hopper-3810. На них установлен OPKG.

У обоих версия KeeneticOS - 4.07.

 

Установил Xkeen на них, настраиваю через режим Tproxy.

Hopper настроил с помощью форума, всё работает.

 

А вот с Giga пришлось немного повозится, у меня на нём почему-то нет в пакетах для установки - "Модули ядра подсистемы Netfilter".

Скрытый текст

Я скопировал с Hopper на Giga файлы,  по пути "opt\lib\modules", которые появились после команды из руководства:

Скрытый текст

xkeen -modules

файлы:

 

Так вроде работает. Мне в принципе и не нужен установленный компонент Netfilter на роутере.

Но мне интересно, почему на GIga он отсутствует для установки?

Пробовал "opgk update", и "opkg upgrade", но пакет там не появился.

 

Edited January 20 by LexxWin

[Goga777]

Добрый день а с outline поднятым на vps данная утилита будет работать ?

[miksher07]

6 часов назад, miksher07 сказал:

Опять пытаюсь настроить и ничего не получается.

Огромное спасибо Skrill0 за помощь в настройке, все получилось))

[wowik98]

5 часов назад, iRustik сказал:

Такая же история, жду инструкцию для чайников благо Skrill0 обещает выпустит в скором времени, возможно даже видео. Тут только ждать или реально просить за донат помощи.

Тоже очень жду инструкцию для чайников

[Gmarapet]

2 часа назад, LexxWin сказал:

Но мне интересно, почему на GIga он отсутствует для установки?

Добрый вечер. Netfilter, как и IPv6 ставятся не через optware, а из вебинтерфеса, как компонент прошивки. Может быть невидим, если не установлен IPv6.

У меня тоже Гига и там всё есть. Живут не в /opt/modules, а /lib/modules/4.9-ndm-5/

 

Edited January 20 by Gmarapet

[Skrill0]

2 часа назад, LexxWin сказал:

Добрый вечер!

Вопрос немного не по теме, но касается установки Netfilter на Keenetic.
Имеется два роутера от Keenetic: первый Giga-1011, а второй Hopper-3810. На них установлен OPKG.

У обоих версия KeeneticOS - 4.07.

 

Установил Xkeen на них, настраиваю через режим Tproxy.

Hopper настроил с помощью форума, всё работает.

 

А вот с Giga пришлось немного повозится, у меня на нём почему-то нет в пакетах для установки - "Модули ядра подсистемы Netfilter".

  Показать содержимое

Я скопировал с Hopper на Giga файлы,  по пути "opt\lib\modules", которые появились после команды из руководства:

  Показать содержимое

xkeen -modules

файлы:

 

Так вроде работает. Мне в принципе и не нужен установленный компонент Netfilter на роутере.

Но мне интересно, почему на GIga он отсутствует для установки?

Пробовал "opgk update", и "opkg upgrade", но пакет там не появился.

 

Доброго Вам вечера!

Для того, чтобы появился в веб-интерфейсе компонент
«Модули ядра подсистемы Netfilter»
необходимо там же включить IPv6)

Компоненты роутера не зависят от opkg Entware
 

[LexxWin]

36 минут назад, Gmarapet сказал:

Добрый вечер. Netfilter, как и IPv6 ставятся не через optware, а из вебинтерфеса, как компонент прошивки. Может быть невидим, если не установлен IPv6.

У меня тоже Гига и там всё есть. Живут не в /opt/modules, а /lib/modules/4.9-ndm-5/

 

Спасибо большое!
Да, действительно отключен IPv6, не учёл этого.

[LexxWin]

59 минут назад, Skrill0 сказал:

Доброго Вам вечера!

Для того, чтобы появился в веб-интерфейсе компонент
«Модули ядра подсистемы Netfilter»
необходимо там же включить IPv6)

Компоненты роутера не зависят от opkg Entware
 

Первый роутер настраивал по Вашей инструкции, и на нём изначально был включен IPv6. Поэтому при настройке второго, забыл его установить)

Буду знать теперь.

Спасибо большое!

[Mikhail_YAR]

Всем привет.

А кто-нибудь сталкивался с тем, что инста плохо работает через прокси? Еле-еле, кое как, и то не всегда. Может его где-то отдельно прописать надо? Остальные сайты типа фб работают адекватно. Инста через WG на другом VPS тоже работает быстро.

[NGaGe39]

4 часа назад, Goga777 сказал:

Добрый день а с outline поднятым на vps данная утилита будет работать ?

Outline=ShadowSocks, конвертируйте ключ и всё будет работать

А ещё лучше отказаться от использования Outline

[Yevrashka]

11 час назад, Mikhail_YAR сказал:

Всем привет.

А кто-нибудь сталкивался с тем, что инста плохо работает через прокси? Еле-еле, кое как, и то не всегда. Может его где-то отдельно прописать надо? Остальные сайты типа фб работают адекватно. Инста через WG на другом VPS тоже работает быстро.

Может скорость канала на текущем VPS хреновая? Инста дает серьезный траффик..

[Mikhail_YAR]

55 минут назад, Yevrashka сказал:

Может скорость канала на текущем VPS хреновая?

Да нет, скорость норм. Судя по network браузера, падает по таймауту с NET_ERROR загрузка ресурсов со https://static.cdninstagram.com/

UPD: Проблему, вроде бы, удалось решить. В настройках routing rules на сервере добавил правило geosite:instagram -> warp.

Edited January 21 by Mikhail_YAR

[pdasilem]

Привет, знающие!

 

Нужна помощь ) Есть кинетик и два впс (в рф и вне рф) Надо помочь настроить все три агрегата для возможности работы из и извне рф по определенным правилам - в рф (все в рф напрямую, вне - через впс), вне рф - наоборот. За донат, ессно. Я сам полный дуб в сетях. Надеюсь, стану понимать чуть лучше в процессе )

[Stenly]

подскажите пожалуйста, для использования обхода по данной теме, какой протокол нужно поднимать на VPS ?

[Gmarapet]

23 минуты назад, Stenly сказал:

подскажите пожалуйста, для использования обхода по данной теме, какой протокол нужно поднимать на VPS ?

Добрый вечер.

ShadowSocks или VLESS с XTLS-Reality (лучше).

Вот тут можно почитать подробно, как поставить и настроить.

[iandrew]

В 05.01.2024 в 11:06, beubasser сказал:

В общем, схема получилась с помощью TPROXY на raspberry pi 4B. UDP работает, звонок в дискорде проходит. Другие мессенджеры и игры не тестировал. Однако, есть пара нюансов.
(за наводку спасибо @Alexey77)

По настройке всё так же:

• В настройках роутера изменяем настройки DHCP чтобы всем выдавался подставной основной шлюз - IP Вашей raspberry или любой другой Linux-машины;
• На этом сервере включить IP forwarding;
• Добавить правила маршрутизации.

И правила маршрутизации теперь такие:

  Показать содержимое

#!/bin/bash

# подгрузить модуль TPROXY
modprobe xt_TPROXY
# на кинетике, возможно, подгружать надо так:
# insmod /lib/modules/$(uname -r)/xt_TPROXY.ko

# создать цепь с названием XRAY
iptables -t mangle -N XRAY

# создать новые цепи для TCP и UDP трафика, добавить в них маркирование пакетов
iptables -t mangle -N XRAY_MARK_TCP
iptables -t mangle -A XRAY_MARK_TCP -j MARK --set-mark 70
iptables -t mangle -N XRAY_MARK_UDP
iptables -t mangle -A XRAY_MARK_UDP -j MARK --set-mark 71

# принять запросы которые априори не должны идти через прокси
iptables -t mangle -A XRAY -d 0.0.0.0/8 -j RETURN
iptables -t mangle -A XRAY -d 10.0.0.0/8 -j RETURN
iptables -t mangle -A XRAY -d 127.0.0.0/8 -j RETURN
iptables -t mangle -A XRAY -d 169.254.0.0/16 -j RETURN
iptables -t mangle -A XRAY -d 172.16.0.0/12 -j RETURN
iptables -t mangle -A XRAY -d 192.168.0.0/16 -j RETURN
iptables -t mangle -A XRAY -d 224.0.0.0/4 -j RETURN
iptables -t mangle -A XRAY -d 240.0.0.0/4 -j RETURN
iptables -t mangle -A XRAY -d 255.255.255.255/32 -j RETURN

# добавить в основную цепь прыжок на маркировку пактов
iptables -t mangle -A XRAY -p tcp -j XRAY_MARK_TCP
iptables -t mangle -A XRAY -p udp -j XRAY_MARK_UDP

# пакеты, приходящие с интерфейса eth0 и имеющие маркировки 70 для TCP или 71 для UDP,
# перенаправить на локально работующую службу xray на порту 10810
# (где 192.168.1.127 - адрес сервера в локальной сети)
iptables -t mangle -A XRAY -i eth0 -p tcp -m mark --mark 70 -j TPROXY --tproxy-mark 0x46/0x46 --on-ip 192.168.1.127 --on-port 10810
iptables -t mangle -A XRAY -i eth0 -p udp -m mark --mark 71 -j TPROXY --tproxy-mark 0x47/0x47 --on-ip 192.168.1.127 --on-port 10810

# если пакет из eth0, из главной цепочки
# перенаправить на нашу XRAY цепочку
iptables -t mangle -A PREROUTING -i eth0 -j XRAY

# чтоб ICMP (команда ping) работал
# а то без этого правила внешние сайты/IP не пингуются
iptables -I FORWARD -p icmp -m icmp --icmp-type any -j ACCEPT

# в маршрутизацию добавляем в какую таблицу идти пакетам с маркировкой 70 и 71
# (произвольно будут таблицы 100 и 101)
ip rule add fwmark 70 lookup 100
ip rule add fwmark 71 lookup 101

# в таблицы 100 и 101 добавляем что-то непонятное
ip route add local 0.0.0.0/0 dev lo table 100
ip route add local 0.0.0.0/0 dev lo table 101

 

Переподключаемся к интернету или перезагружаем роутер, чтобы DHCP обновился и теперь всё должно идти через отдельный локальный сервер.

Добрый день! Не получается настроить по инструкции на raspberry pi. Устанавливаю адрес шлюза в настройках роутера, включаю ip forwaring на малине, переподключаю соединение на клиенте - все ок, трафик через через указанный шлюз. Но после применения правил iptables (и для redirect, и для tproxy) соединение ломается, только пинги приходят. В скрипте меняю адрес 192.168.1.127 на адрес raspberry в моей сети. Может быть я что-то не учел, забыл? Или может быть в каких-то логах можно найти ответ?

[Stenly]

27 минут назад, Gmarapet сказал:

ShadowSocks или VLESS с XTLS-Reality (лучше).

протокол wireguard в это упаковать не получится?

и самый тупой вопрос, соединение детектируется провайдером (и тем кто выше) как обращение в зарубежному IP VPS ?

Edited January 21 by Stenly

[Gmarapet]

3 минуты назад, Stenly сказал:

протокол wireguard в это упаковать не получится?

Объясните подробнее, чего именно хотите добиться в итоге?

Есть, например, вариант настроить на vps выход через warp, чтобы открывыл сайты не со своего адреса, а с адресов Cloudflare Warp. Вместо warp при желании можно настроить любой другой wireguard тоннель. Почитать об этом можно вот тут: Личный прокси для чайников: универсальный обход цензуры с помощью VPS, 3X-UI, Reality/CDN и Warp.

[Gmarapet]

Только что, Stenly сказал:

стабильного подключения к VPN

Тут не совсем VPN, скорее прокси. Вы хотите проксировать wg тоннель? Это сложнее, чем просто поднять X-UI панель на VPS рядом с тем же, wireguard, если, конечно, к вас есть доступ к shell на VPS.

[Stenly]

тогда буду делать как все.

[Gmarapet]

В 19.01.2024 в 21:00, Gmarapet сказал:

в локалке с PC открывается, с телефона Poco открывается, а с двух разных Google Pixel отваливается по таймауту.

Опытным путем установил, что эффект воспроизводится только в Google Chrome независимо от настроек DNS на телефоне и браузере. Поставил Firefox и проблема ушла.

Очень странная история… и дело явно не в Xkeen.

[beubasser]

20 hours ago, iandrew said:

Добрый день! Не получается настроить по инструкции на raspberry pi. Устанавливаю адрес шлюза в настройках роутера, включаю ip forwaring на малине, переподключаю соединение на клиенте - все ок, трафик через через указанный шлюз. Но после применения правил iptables (и для redirect, и для tproxy) соединение ломается, только пинги приходят. В скрипте меняю адрес 192.168.1.127 на адрес raspberry в моей сети. Может быть я что-то не учел, забыл? Или может быть в каких-то логах можно найти ответ?

1. Для теста, попробуйте не менять DHCP настройки на роутере и настроить статический IP на одном клиенте.
   Spoiler

   

   

2. Посмотрите выключен ли сервис DHCP на малине и вместо этого стоят статические настройки (не через графический интерфейс, а прямо в командной строке выключить сервис dhcp и поставить статику). Роутер будет выдавать один и тот же шлюз ВСЕМ, в том числе малине. Малина будет ссылаться сама на себя и достучаться до неё не получится. Скорее всего не Ваш случай, но проверить стоит.
3. Попробуйте логи Xray. Так можно посмотреть, доходят ли запросы до Xray в принципе.
   Spoiler

   В конфиге Xray:

   {
     "log": {
       "access": "/home/pi/xray/access.log",
       "error": "/home/pi/xray/error.log",
       "logLevel": "debug"
     }
   }

   Путь можно поставить любой. Главное чтобы файлы существовали и у Xray были права записи в них.

4. На клиенте попробуйте curl по IP адресу. Если получится так, но не получается по домену myip.wtf, есть проблемы в DNS.

   curl 65.108.75.112/json # myip.wtf/json

5. Запустите packet capture в разделе Диагностика на кинетике (поставьте компонент).
   Spoiler

   

   1. Запросы от клиентов должны идти на MAC-адрес Вашей малины.Где Ethernet Source и IP Src - мой телефон, Ethernet Destination - моя малина, а IP Dst 65.108.75.112 - myip.wtf
   2. Потом от MAC-адреса малины на MAC-адрес роутера, который уже отправляет запрос на мою VPS по адресу 77.*.74.
      
      Где Ethernet Source и IP Src - моя малина, Ethernet Destination - мой кинетик, а IP Dst 77.*.74 - моя VPS.
      Малина получила ответ от myip.wtf и готова отправлять его моему телефону.
   3. Под конец, малина отправляет от своего MAC-адреса ответ MAC-адресу моего телефона.
      
      Где Ethernet Source - моя малина, Ethernet Destination и IP Dst - мой телефон, а IP Src 65.108.75.112 - myip.wtf
6. Проверьте конфиг, чтобы dokodemo-door работал на тех портах, которые указаны в правилах iptables. У меня такой конфиг:
   Spoiler

   {
     "inbounds": [
       {
         "listen": "192.168.1.127",
         "port": 10810,
         "protocol": "dokodemo-door",
         "settings": {
           "network": "tcp,udp",
           "followRedirect": true
         },
         "sniffing": {
           "enabled": true,
           "destOverride": [
             "http",
             "tls"
           ]
         },
         "tag": "doko-in"
       }
     ]
   }

7. Посмотрите все существующие правила в iptables. Может, какие-то уже существующие правила перебивают. Посмотрите увеличивается ли количество байтов и пакетов на правилах Xray.

   iptables -t mangle -L --line-numbers -n -v # для TPROXY
   iptables -t nat -L --line-numbers -n -v # для REDIRECT

    

Я, конечно, ответил как типичный поверхностный гайд или чатгпт, но без диагностики не смогу помочь конкретно.

Edited January 22 by beubasser

[rolink]

Добрый день можете помочь настроить подключение Redirect  до сервера VPS на роутере Keenetic giga 2.

1. Оборудование:

Скрытый текст

Роутер Keenetic giga 2, Версия ОС 2.16.D.12.0-8. 

2. Что сделано:

Скрытый текст

1. Я прочитал все страницы данной ветки. Понял, что работоспособность данного дейвайса сомнительна и требует дополнительных усилий. Но надежда умирает последней ищу для себя какие то варианты и компросимы как можно решить задачу. Програмное обеспечение запускается, но не работает. 

Вводая команды:

Цитата

iptables -t nat -nL PREROUTING -v

Показывает, что поднимается. 

Цитата

xkeen -tpx

Цитата

iptables -t nat -nL xkeen -v

 

3. Возможные пути решения на мой взгляд:

Скрытый текст

Я пробовал игаться с настройкам приведя их на данный момент к такому формату:

Цитата

Строка 59 network="tcp" 

 

4. Мои текущие настройки:

Скрытый текст

{
  "inbounds": [
    {
      "listen": "10.0.8.1", (Пробовал 127.0.0.1)
      "port": 54836,
      "protocol": "dokodemo-door",
      "settings": {
        "network": "tcp,udp",
        "followRedirect": true
      },
      "sniffing": {
        "enabled": true,
        "destOverride": [
          "http",
          "tls"
        ]
      },
      "tag": "socks-in"
    }
  ]
}

Этот параметр брал из 36 страницы

Скрытый текст

{
  "outbounds": [
    {
      "domainStrategy": "UseIPv4",
      "protocol": "vless",
      "settings": {
        "vnext": [
          {
            "address": "***",
            "port": 443,
            "users": [
              {
                "encryption": "none",
                "flow": "xtls-rprx-vision",
                "id": "***"
              }
            ]
          }
        ]
      },
      "streamSettings": {
        "network": "tcp",
        "security": "reality",
        "realitySettings": {
          "publicKey": "***",
          "fingerprint": "firefox",
          "serverName": "google.com",
          "shortId": "***",
          "spiderX": "/"
        }
      },
      "tag": "proxy"
    },
    {
      "protocol": "freedom",
      "tag": "direct"
    },
    {
      "protocol": "blackhole",
      "tag": "block"
    }
  ]
}

С параметром фильтрации у меня начались проблемы, потому что в последние разы конфиг просто упал и не хочет подниматься. Пробовал ставить [] или прописывать эти значения. Я в принципе готов к вариантам настроек, что бы весь трафик шел или хотя бы отдельные домены. 

Скрытый текст

// Настройка маршрутизации

{
  "routing": {
    "domainStrategy": "IPIfNonMatch",
    "rules": [
      // Настройка черного списка
      {
        "inboundTag": ["socks-in"],
        "domain": [
          "ext:geosite_v2fly.dat:category-ads-all",
          "google-analytics",  // Могут быть проблемы с сервисами Google. Нужны тесты
          "analytics.yandex"  // Могут быть проблемы с сервисами Yandex. Нужны тесты
        ],
        "outboundTag": "block",
        "type": "field"
      },

      // Направление соединения на VPS
      {
        "inboundTag": ["socks-in"],
        "outboundTag": "proxy",
        "type": "field"
      }
    ]
  }
}

5. Если это нереально настроить так как я хочу. То готов попробовать настроить эту систему 
zkeen-domains. Но по официальному описанию не понял как ее настраивать. 
6. Буду признателен за любую помощь и советы тут или в Л.С.

p.s. Я начинающий пользователь PC.

Edited January 22 by rolink

[t0w80at]

Здравствуйте. Тоже бы хотелось разобраться в конфиге 10_routing так как опытным путем выяснил что именно в нем проблема в моем случае. Все отлично установилось на роутере Keenetic Peak (KN-2710) настроил. Подсовывал ему конфиги из ленивой сборки, все не то. Или отваливается зона рунета, или выборочно иностранные ресурсы недоступны. Еще мониторю по конекту в Телеграмм, отваливается или нет. Так вот он всегда отваливается через Xken.

Попробовал вот какую штуку. Оставил на профиле на роутере этого (Xken) подключения только телефон, картина та же. Но. если я на телефоне тоже включу V2box от этого же провайдера куда у меня и подключен Xken на роутере, то о чудо трафик полностью восстанавливается все ресурсы начинают работать, телега тоже поднимается. 

Еще раз для ясности кротко опишу: На роутере настроен Xken на провайдера (Fornex) -> на его профиль подключения завожу iPhone, на iPhone включаю V2box этого же сервера на этом же аккаунте, и трафик полностью проходит с хорошей скоростью. Если выключаю V2Box на телефоне, и остается только Xken на роутере, то телега отваливается, в браузере ресурсы тоже отваливаются или загружаются по 3 минуты и то фортуна если повезет. 

Например: Яндекс грузится около минуты очень тяжко, появляется окно "яндекс перестал отвечать - ослабить метод зашиты да/нет) Если нажать да, прогружется. Google не грузится совсем. Patreon пытается загузиться но спустся минуты 3 облом. В целом не прогружается ничего. Тестироал в режиме инкогнито.

И как только включаю дополнительно на телефоне V2Box или FoXray все сразу поднимается. И да мобильный интернет  отключаю прдварительно, так что это не эффект от автоматического подрубания мобильного трафика. Это именно тунель в тунеле через xray от fornex и роутерский xken. 
делаю выводы что проблемы именно с кофигами в файле ротутинг.

10_routing.json

[Gmarapet]

2 часа назад, rolink сказал:

Redirect  до сервера VPS на роутере Keenetic giga 2

Здравствуйте.

На других устройствах проверяли? С них Reality подключается?

Попробуйте с прикрепленными файлами конфигурации.

• Отредактируйте08_outbounds.json(уделите внимание параметрам fingerprint и serverName они должны совпадать с указанными в настройках на VPS)
• отредактируйте 10_routing.json (не обязательно, с этими настройками все, кроме ограничений РКН, идет прямо, а ограничения проксируются),
• положите их и 07_inbounds.json(для метода redirect) с заменой в /opt/etc/xray/configs/

Создайте политику xkeen с включенным в нее провайдером через веб интерфейс роутера и поместите туда клиентов (может понадобиться указать клиенту конкретный DNS). На всякий случай перезагрузите роутер и запустите xkeen -start

Проверяйте через whoer, browserleaks и speedtest.

Edited January 22 by Gmarapet

[Alexey77]

2 часа назад, beubasser сказал:

У меня такой конфиг

Добрый день. Для tproxy в конфиге должно быть 

"streamSettings": {
                "sockopt": {
                  "tproxy": "tproxy"

[beubasser]

7 minutes ago, Alexey77 said:

Добрый день. Для tproxy в конфиге должно быть 

"streamSettings": {
                "sockopt": {
                  "tproxy": "tproxy"

Хм. У меня ничего не поменялось, так же всё нормально работает. Но тоже как вариант, спасибо.