-
Posts
57 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by Dr.ZuLuS
-
-
А клиент скоро планируете сделать?
-
2 минуты назад, Skrill0 сказал:
Если Вы столкнулись с такими проблемами при использовании встроенного прокси-клиента, то может попробовать настроить соединение по tproxy. Это должно решить Вашу задачу)
Cпасибо, сейчас буду курить в эту сторону.
Если есть примеры, буду благодарен!
-
8 минут назад, jameszero сказал:
Dr.ZuLuS, через прокси пинги не ходят. Прокси работают на верхнем Прикладном уровне модели OSI, а пинги на третьем Сетевом уровне.
Значит вариант с прокси не полностью подходит на роль обхода блокировок для устройств.
Таким образом не будут работать многие устройства и сервисы в сети, получается проще остаться на любом VPN сервисе по желанию + ipset в любом виде + встроенные политики соединений кинетик. Так будет маршрутизироваться всё.
Иначе в этом варианте получается половина сервисов и служб не работают на устройствах.
Ну и имелось в виду, пусть не через прокси, а напрямую, так ведь они совсем перестают ходить.
-
Подскажите пожалуйста, это точно что пинги на хосте который идёт профилем через прокси не будут работать в принципе во вне?
И второй вопрос, если настраивать таким образом выход для всех клиентов на роутере, надо поместить в основном профиле подключение socks первым?
-
2 минуты назад, jameszero сказал:
Попробуйте в роутинге разделить правила для доменов и для ip. Примерно так:
// Настройка маршрутизации
{
"routing": {
"domainStrategy": "IPIfNonMatch",
"rules": [
// Настройка черного списка
{
"inboundTag": ["socks-in"],
"domain": [
"ext:geosite_v2fly.dat:category-ads-all",
"keyword:google-analytics", // Могут быть проблемы с сервисами Google. Нужны тесты
"keyword:analytics.yandex" // Могут быть проблемы с сервисами Yandex. Нужны тесты
],
"outboundTag": "block",
"type": "field"
},
// Блокируем соединение по уязвимым UDP портам
{
"inboundTag": ["socks-in"],
"network": "udp",
"port": "135, 137, 138, 139",
"outboundTag": "block",
"type": "field"
},
// Настройка прямых подключений
{
"inboundTag": ["socks-in"],
"domain": [
"regexp:\\.ru$",
"ext:geosite_v2fly.dat:category-gov-ru",
"ext:geosite_v2fly.dat:yandex",
"ext:geosite_v2fly.dat:xbox",
"ext:geosite_v2fly.dat:playstation",
"ext:geosite_v2fly.dat:steam",
"ext:geosite_v2fly.dat:rockstar",
"ext:geosite_v2fly.dat:epicgames",
"ext:geosite_v2fly.dat:gog",
"ext:geosite_v2fly.dat:vk"
],
"outboundTag": "direct",
"type": "field"
},
{
"inboundTag": ["socks-in"],
"ip": [
"ext:geoip_v2fly.dat:ru",
"ext:geoip_v2fly.dat:private"
],
"outboundTag": "direct",
"type": "field"
},
// Настройка подключений через VPS
{
"inboundTag": ["socks-in"],
"domain": [
"ext:geosite_antifilter.dat:antifilter-community",
"ext:geosite_v2fly.dat:openai",
"ext:geosite_v2fly.dat:paypal",
"ext:geosite_v2fly.dat:ebay",
"ext:geosite_v2fly.dat:facebook",
"ext:geosite_v2fly.dat:instagram"
],
"outboundTag": "proxy",
"type": "field"
},
{
"inboundTag": ["socks-in"],
"ip": [
"ext:geoip_antifilter.dat:antifilter-community",
"ext:geoip_antifilter.dat:antifilter",
"ext:geoip_v2fly.dat:facebook",
"ext:geoip_v2fly.dat:twitter"
],
"outboundTag": "proxy",
"type": "field"
}
]
}
}Спасибо, теперь ру сегмент идёт напрямую, но пинги всё равно не бегают.
- 1
-
14 минуты назад, Skrill0 сказал:
Да, в начале подумала, что у Вас могла быть первая версия конфигурации.
Ошибка закрылась где-то в routing, еще раз все детально проверю и оповещу Вас, как устраню проблему!
Спасибо за информацию.И еще момент такой, есть подозрение, что связано с прошивкой самого кинетика, у меня трафик на тестовое устройство не бегает если в профиль помимо подключения прокси не добавить ниже основное подключение провайдера.
-
23 минуты назад, Skrill0 сказал:
Доброго Вам утра!
Для решения Вашей проблемы попробуйте удалить из 10_routing.json, // Правило «по умолчанию» { "inboundTag": ["socks-in"], "outboundTag": "proxy", // Отправляем все не указанные в списках выше домены в «proxy» "type": "field" }
Обращаю внимание, что запятая в начале — не опечатка. Ее тоже нужно удалить.
В привёденном вами ленивом конфиге его и нет, так у меня сейчас выглядит 10_routing.json:
Скрытый текст// Настройка маршрутизации
{
"routing": {
"domainStrategy": "IPIfNonMatch",
"rules": [
// Настройка черного списка
{
"inboundTag": ["socks-in"],
"domain": [
"ext:geosite_v2fly.dat:category-ads-all",
"keyword:google-analytics", // Могут быть проблемы с сервисами Google. Нужны тесты
"keyword:analytics.yandex" // Могут быть проблемы с сервисами Yandex. Нужны тесты
],
"outboundTag": "block",
"type": "field"
},
// Блокируем соединение по уязвимым UDP портам
{
"inboundTag": ["socks-in"],
"network": "udp",
"port": "135, 137, 138, 139",
"outboundTag": "block",
"type": "field"
},
// Настройка прямых подключений
{
"inboundTag": ["socks-in"],
"domain": [
"regexp:\\.ru$",
"ext:geosite_v2fly.dat:category-gov-ru",
"ext:geosite_v2fly.dat:yandex",
"ext:geosite_v2fly.dat:xbox",
"ext:geosite_v2fly.dat:playstation",
"ext:geosite_v2fly.dat:steam",
"ext:geosite_v2fly.dat:rockstar",
"ext:geosite_v2fly.dat:epicgames",
"ext:geosite_v2fly.dat:gog",
"ext:geosite_v2fly.dat:vk"
],
"ip": [
"ext:geoip_v2fly.dat:ru",
"ext:geoip_v2fly.dat:private"
],
"outboundTag": "direct",
"type": "field"
},
// Настройка подключений через VPS
{
"inboundTag": ["socks-in"],
"domain": [
"ext:geosite_antifilter.dat:antifilter-community",
"ext:geosite_v2fly.dat:openai",
"ext:geosite_v2fly.dat:paypal",
"ext:geosite_v2fly.dat:ebay",
"ext:geosite_v2fly.dat:facebook",
"ext:geosite_v2fly.dat:instagram"
],
"ip": [
"ext:geoip_antifilter.dat:antifilter-community",
"ext:geoip_antifilter.dat:antifilter",
"ext:geoip_v2fly.dat:facebook",
"ext:geoip_v2fly.dat:twitter"
],
"outboundTag": "proxy",
"type": "field"
}
]
}
} -
Господа, спасибо всем за тему, особенно топикстартеру за разработку и ленивую конфигу.
Настроил по ней встроенный прокси и создал отдельный профиль в который включил тестовое устройство, трафик пошёл но вот routing видимо не отрабатывает, т.к. сайты 2ip.ru видит айпиху впски в германии, а ya.ru ругается на подозрительный трафик. То есть ru домены не идут напрямую, а всё идёт через vps в германии.
А еще на тестовой машине не работают пинги на выход, например 8.8.8.8 или ping ya.ru, он резолвит имя, но такое ощущение что маршрутизирует только http, https протоколы в этом профиле.
Трейсерт отваливается на шлюзе (кинетик).
ЧЯДНТ?
- 1
-
2 минуты назад, Alexey77 сказал:
Вот теперь откройте другое окно терминала и вставьте netstat -ltunp | grep xray что выдает?
Первое окно не закрывайте.
# netstat -ltunp | grep xray
tcp 0 0 :::1080 :::* LISTEN 14306/xray
tcp 0 0 :::2489 :::* LISTEN 14306/xray
tcp 0 0 :::10809 :::* LISTEN 14306/xray
udp 0 0 :::1080 :::* 14306/xray
udp 0 0 :::2489 :::* 14306/xray
~ #- 1
-
Спасибо, подправил секции под себя, стартует, но всё так же:
# xray run -c /opt/etc/xray/file.json
Xray 1.8.4 (Xray, Penetrates Everything.) Custom (go1.21.0 linux/arm64)
A unified platform for anti-censorship.
2023/09/15 11:10:56 [Info] infra/conf/serial: Reading config: /opt/etc/xray/file.json
- 1
-
Запущен:
/opt/etc/xray/configs # top | grep xray
6456 1 root S 1221m249.1 0 0.0 /opt/sbin/xray -confdir /opt/etc/x
6653 6413 root S 5972 1.1 0 0.0 grep xray
6456 1 root S 1221m249.1 0 0.0 /opt/sbin/xray -confdir /opt/etc/x
6456 1 root S 1221m249.1 0 0.0 /opt/sbin/xray -confdir /opt/etc/x
6456 1 root S 1221m249.1 0 0.0 /opt/sbin/xray -confdir /opt/etc/x
6456 1 root S 1221m249.1 0 0.0 /opt/sbin/xray -confdir /opt/etc/x
6456 1 root S 1221m249.1 0 0.0 /opt/sbin/xray -confdir /opt/etc/x
6456 1 root S 1221m249.1 0 0.0 /opt/sbin/xray -confdir /opt/etc/x
6456 1 root S 1221m249.1 0 0.0 /opt/sbin/xray -confdir /opt/etc/x
6653 6413 root S 5972 1.1 1 0.0 grep xray
6456 1 root S 1221m249.1 0 0.0 /opt/sbin/xray -confdir /opt/etc/x
6456 1 root S 1221m249.1 0 0.0 /opt/sbin/xray -confdir /opt/etc/x
^C
/opt/etc/xray/configs #/opt/etc/xray/configs # cat /opt/var/log/xray/error.log
2023/09/15 10:38:32 [Debug] app/log: Logger started
2023/09/15 10:38:32 [Info] app/dns: DNS: created localhost client
2023/09/15 10:38:32 [Warning] core: Xray 1.8.4 started
2023/09/15 10:41:47 [Debug] app/log: Logger started
2023/09/15 10:41:47 [Info] app/dns: DNS: created localhost client
2023/09/15 10:41:47 [Warning] core: Xray 1.8.4 started -
-
telnet 192.168.5.1 2489
telnet: can't connect to remote host (192.168.5.1): Connection refused/opt/etc/xray/configs # netstat -tuln | grep LISTEN | grep 2489
/opt/etc/xray/configs #/opt/etc/xray/configs # netstat -tuln | grep 2489
/opt/etc/xray/configs # -
2 минуты назад, dmc сказал:
В listen надо указывать ip адрес кинетика, например 192.168.1.1
Ага, а можно по разному, в любом случае порт не слушает процесс xray, хотя запускается
-
В 13.09.2023 в 20:55, Skrill0 сказал:
Здравствуйте!
Давайте рассмотрим на примере связки VLess+XTLS+RealityПример настройки Прокси-клиента
1. Вам нужен компонент на роутере «Прокси-клиент»
2. Нужно создать в разделе «Другие подключения» новое подключение в Прокси-клиентах.
3. Настроить его можно так
Пример настройки inbounds"inbounds": [ { "listen": "192.168.1.1", "port": 2082, "protocol": "socks", "settings": { "udp": true }, "sniffing": { "destOverride": ["http", "tls"], "enabled": true, "metadataOnly": false }, "tag": "socks-in" } ]
Пример настройки outbounds
"outbounds": [ { "domainStrategy": "UseIPv4", "protocol": "vless", "settings": { "vnext": [ { "address": "IP / Доменное имя сервера ", "port": 443, "users": [ { "encryption": "none", "flow": "xtls-rprx-vision", "id": "Ваш ID" } ] } ] }, "streamSettings": { "network": "tcp", "security": "reality", "realitySettings": { "publicKey": "Ваш Public Key", "fingerprint": "chrome", "serverName": "amd.com", "shortId": "Ваш Short Id", "spiderX": "/" } }, "tag": "proxy" }, { "protocol": "freedom", "tag": "direct" }, { "protocol": "blackhole", "tag": "block" } ]
Пример настройки routing.json"routing": { "domainStrategy": "IPIfNonMatch", "rules": [ { "inboundTag": ["socks-in"], "domain": ["domain:google-analytics.com"], "outboundTag": "block", "type": "field" }, { "inboundTag": ["socks-in"], "domain": [".ru", "whoer.net"], "outboundTag": "direct", "type": "field" }, { "inboundTag": ["socks-in"], "outboundTag": "proxy", "type": "field" } ] }
В нем мы говорим в 1-й секции:
1. Захватывай соединение Inbound c тегом ["socks-in"]
2. Если захваченный запрос соответствует "domain": ["domain:google-analytics.com"]
3. Направляй его на outbounds с тегом ["block"]
Теперь все соединения, кроме .ru и «whoer.net» будут открываться через тег «proxy».
А «google-analytics.com» будет блокироваться.
Базовая конфигурация готова.
Осталось добавить подключение в политику.
Приоритеты подключений > Добавить новую политику > Даем названием. Отмечаем наш Xray.
Применяем политику к конкретным клиентам
Приоритеты подключений > Применение политик > Созданная политика > Показать все объекты > Выбираем нужных клиентов, на которых будет работать Xray.
Прошу протестировать подобную конфигурацию и дать обратную связь.
Более подробная статья будет сразу, как выполню основные bug fixed для Xkeen (для процессоров на mips24ke — на стадии тестирования)Спасибо за рыбу конфига, поменял outbounds на свой VPS с Xray vmess Reality, но не стартует Xray, вернее стартует и висит в процессах, но вот порт указанный в inbounds не открывает и не слушает, уже менял listen на 127.0.0.1 и на 0.0.0.0 и порты разные (свободные).
Так же заметил, что в секции inbounds параметр udp = true, тогда как в описании xkeen написано что прошивочный socks клиент в него не умеет.
Что может быть?
Устройство 1811
-
Я могу ошибаться, но вроде no isolate private
-
Добрый день. На обеих тестовых сборках ветки 3.9 перестаёт работать встроенный сервер IKEv2.
При попытке подключения к серверу, клиенты получают отлуп, что не могут согласовать безопасность.
При возврате на 3.8 всё работает с теми же настройками.
-
26 минут назад, nogood сказал:
Хм... ZK Ultra II, такое ощущение, что у NTCE всё ещё утекает память. Если включить компонент и службу (даже если её потом выключить командой no service ntce) роутер менее чем за сутки достигает состояния "не отвечает на внешние воздействия". Спасает только ребут. Логов, к сожалению, не поймал, но потребление памяти постепенно росло. С утечкой так и не разобрались?
У меня после предоставленных разработчикам логов и результатов тестов, утечка полностью ушла и больше не появлялась.
Но у меня KN1810
-
А кто подскажет, как теперь коррелируют классы для хостов и классы приложений в ntce?
У меня например назначен класс 1 хосту (ноутбук), а ntce этот хост тоже на приложения раскладывает и в зависимости от приложения выдает приоритет?
-
1 час назад, werldmgn сказал:
netstat -tunlp | grep -w 53 Команда, чтобы убедиться, что AdGuard Home слушает на этих портах. Если да, то все в порядке
Да adguard home висит на 53 стандартном порту. В этом случае в cli кинетика прописываю dns-proxy intercept enable и все запросы в локалке перехватываются и заворачиваются на AdGuardHome?
-
9 минут назад, Le ecureuil сказал:
Да, можно. Только тогда на 53/tcp и 53/udp обязательно должен быть dns proxy ваш, иначе хосты в локалке будут не рады.
Поясните, пожалуйста для тугих. Значит нужно поднимать ещё сервис прокси днс на opkg который будет перед adguard home?
-
В 31.05.2021 в 11:33, Le ecureuil сказал:
Так и задумано. Оно работает только когда все фильтры отключены.
Если фильтры уже включены, то перехват уже работает (и работал с незапамятных времен), вам эта команда в таком случае совсем не нужна.
А если я использую opkg adguard home (opkg dns override) то можно таким методом делать перехват?
-
27 минут назад, Le ecureuil сказал:
@Станислав Поветьев похоже, что проблема ушла. Спасибо за сотрудничество.
Да не за что. В моих же и других пользователей интересах действуем.
Завтра ждём исправления с драфтом?
-
3 минуты назад, Le ecureuil сказал:
@Станислав Поветьев пока сохраните настройки текущие, а я вам соберу custom для поверки.
Готово. Жду. Спасибо.
- 1
openconnect
in Обсуждение IPsec, OpenVPN и других туннелей
Posted · Edited by Dr.ZuLuS
А подскажите полный список команд для коннекта клиента openconnect к серверу.
Сделал openconnect upstream ip port
openconnect authenticate identy username
openconnect authenticate password password
Интерфейс поднимается, но Коннект Стейт down.
interface Openconnect1 up делал
Пробовал прописать ip для интерфейса, это тоже не помогло.