Подробнее о проекте — XKeen
FAQ по XKeen предназначен для тех, у кого возникли дополнительные вопросы после внимательного прочтения инструкции к XKeen, а так же охватывает ситуации, которые напрямую к XKeen не относятся, но возникают в процессе его использования.
Q: Настроил xkeen/xray, всё работало, ничего не трогал, настроек не менял. Внезапно сайты через прокси перестали открываться. Что можно предпринять?
A: При внезапных отвалах xray, рекомендую в первую очередь менять параметр SNI
Q: Почему у меня при использовании xkeen/xray и замерах скорости в приложениях или на сайтах (показатели сильно различаются/низкая скорость/скорость, как через провайдера/процессор загружен на 100%/…)?
A: Всё дело в невысокой производительности процессора роутера и в особенностях работы xray с потоком xtls-rprx-vision. Когда xray видит, что через него проходит https-трафик (т.е. шифрованный), он его повторно не шифрует (чтобы не создавать два слоя шифрования) и наоборот, когда через xray проходит http-трафик (т.е. не шифрованный), включается механизм шифрования, чтобы ваш трафик не подслушали (согласитесь, это хорошая идея). Шифрование выполняется силами процессора устройства и чем он мощней, тем больший объем информации сможет зашифровать xray, а от этого напрямую зависит то, столько трафика он через себя пропустит в единицу времени, т.е. скорость интернета. Различные сайты и приложения для тестирования скорости используют разные методики замеров, где-то используется шифрованный трафик, где-то нет, «под капотом» сайтов и приложений могут использоваться произвольные домены для замеров, не включенные в роутинг xray, а всем известный speedtest, например, использует нестандартный 8080-порт и если не учесть все эти нюансы, результаты тестов будут сильно отличаются. Впрочем, не обращайте особого внимания на показатели скорости синтетических тестов, 95+% сайтов в современном интернете используют https-трифик, поэтому при обычном веб-серфинге скорость будет приемлемой. Просто пользуйтесь интернетом.
Если вы по каким-либо причинам не задействовали поток xtls-rprx-vision, то трафик будет шифроваться всегда и это отрицательно скажется на скорости интернета через xray.
Некоторые пользователи пытаются тестировать скорость торрент-клиентами, это плохая практика, как, собственно, и использование xray для файлообмена в целом, bittorrent-трафик не является https-трафиком и высоких скоростей вы не получите из-за ограничений процессора. Так же не стоит сравнивать результаты замеров при использовании xray в роутере с xray-клиентами на компьютерах. Процессор компьютера во много раз мощней роутера и для него шифрование трафика не является существенной нагрузкой.
Если вам всё-таки важны результаты замеров, то для достоверного результата необходимо соблюдать, как минимум, два условия:
— не ограничивать порты проксирования 80 и 443;
— не использовать роутинг (временно удалить routing.json и перезапустить xkeen).
Советы:
Для повышения скорости интернета и времени отклика через прокси рекомендуется выполнить оптимизацию сетевого стека сервера, включив режим BBR (как включить bbr на сервере)
На скорость интернета так же влияет способ подключения к xray на роутере. Это могут быть socks5, Redirect, TProxy и их комбинация. В силу особенностей реализации встроенного в Keenetic прокси-клиента, самым медленным является socks5.
Q: Почему у меня на роутере (KN-3810/KN-3610/KN-1912/…) после установки xkeen скорость интернета упала до 30-40 Мбит/c даже напрямую через провайдера и процессор роутера загружен на 100%?
A: С данными моделями Keenetic всё гораздо хуже. В ряде бюджетных моделей роутеров установлен процессор EcoNet (EN****), имеющий очень низкую производительность при использовании xray (узнать какой процессор установлен в той или иной модели можно в технических характеристиках на официальном сайте Keenetic). Хray в роутере пропускает через себя абсолютно весь трафик и согласно роутингу часть трафика отправляет напрямую, а часть через прокси. Слабый процессор не справляется с транзитом трафика через xray. Исправить это, к сожалению, нельзя.
Q: Почему при использовании xkeen меня периодически выбрасывает из (ssh-сессии/удаленного рабочего стола/корпоративного VPN/онлайн-звонков/игр/видеоконференций/…)?
A: Это особенность xray. Весь трафик проходит через его ядро в Кинетике и сопоставляется с роутингом. Если найдено правило маршрутизации, трафик направляется в прокси, если не найдено, то трафик выходит из xray и направляется через провайдера, но через ядро xray трафик проходит весь и всегда, а у xray есть особенность, обрывать сессию, которую он сочтёт устаревшей. Глобально это поведение вы не поменяете, но можно попробовать пустить критичный трафик напрямую, мимо прокси. Убедитесь, что в настройках политики доступа в интернет XKeen не включена «Многопутевая передача» и добавьте IP-адрес назначения c 32 маской в исключения проксирования (параметр ipv4_exclude файла /opt/etc/init.d/S24xray), а также ограничте порты проксирования XKeen (команда xkeen -ap 80,443). Если это не помогает, пробуйте другие режимы и протоколы xray.
Q: Добавил телефон в политику XKeen, всё работает, но не могу подключить к xray-серверу с помощью приложения на телефоне. Что можно сделать?
A: Добавьте IP-адрес сервера с 32 маской в исключения проксирования (параметр ipv4_exclude файла /opt/etc/init.d/S24xray)
Q: Почему сайт (ChatGPT/whoer/dell/intel/…) (определяет мой провайдерский IP/страну/не даёт зайти/…), хотя ресурс добавлен в роутинг?
A: Некоторые ресурсы используют протокол QUIC и технологию WebRTC, через которые возможна утечка IP-адреса. Согласно официальной документации xray проксирование QUIC не рекомендуется (цитата: «Фактически, QUIC сам по себе не подходит для проксирования, поскольку QUIC имеет встроенные функции TCP, и когда он передается по протоколу VLESS как UDP-трафик, базовый протокол — TCP, что эквивалентно двум уровням TCP»), поэтому эффективным решением является его отключение, например, как написано в статье Отключение WebRTC и QIUC в браузере. Ещё один способ отключить QUIC, это заблокировать 443 порт UDP в xray, добавив следующий блок первым правилом роутинга:
1 2 3 4 5 6 |
{ "network": "udp", "port": "443", "outboundTag": "block", "type": "field" }, |
Протокол QUIC так же можно заблокировать для всех устройств на уровне локальной сети в межсетевом экране Keenetic:
Если это не помогает, рекомендуется отключить протокол IPv6. В некоторых случаях, интернет-ресурсы (например сайт intel.com) дополнительно определяют локаль браузера и если браузер имеет русский интерфейс, то доступ к ресурсу блокируется со стороны сайта. Прокси тут не поможет, необходимо переключить интерфейс браузера на иностранный язык, либо подменить локаль выборочно для данного сайта с помощью дополнения Locale Switcher (есть варианты для Firefox и Chrome).
Q: В панели 3x-ui есть настройка «Заблокировать подключения к доменам России» нужно ли её включать?
A: Не рекомендую. В этой настройке используется некорректный regexp, который блокирует не только сайты доменной зоны «ru» но и все ссылки, где встречается «ru» в адресе, например https://habr.com/ru/articles/ не откроется, видео VK будут недоступны,… При этом блокировка IP-адресов России в панели работает корректно. Если вам всё-таки необходимо заблокировать подключения сервера к доменной зоне RU, сделайте это правильным regexp-выражениемм regexp:^([\w\-\.]+\.)ru$ в настройках маршрутизации панели 3x-ui:
Q: Через некоторое время после установки entware пропадает доступ к ssh и telnet на роутере. Почему и как исправить?
A: Перед установкой entware проверьте, чтобы не был установлен и если это не так, то обязательно удалите компонент прошивки Кинетика «Сервер SSH». У entware свой сервер ssh и они иногда конфликтуют.
Q: Запустил xkeen, но ping и tracert к ресурсам из роутинга почему-то идут напрямую через провайдера.
A: Пинги и трасировка через прокси не ходят. Прокси работают на верхнем Прикладном уровне модели OSI, а пинги на третьем Сетевом уровне.
Q: Прописал в роутинг сайты themoviedb.org и tmdb.org, но они всё равно не открываются. Почему и, как получить к ним доступ?
A: Эти сайты блокируют российских пользователей на уровне DNS. Решением является подбор DNS-сервера, который не прогнулся под антироссийские санкции. На момент написания этой статьи таким сервером является, например, quad9.net. Можете прописать его DoH или DoT адреса в роутере и ресурсы tmdb станут открываться. Другой вариант решения, если у вас установлен AdGuard Home, то можете направить выборочно ресурсы tmdb на quad9 или на другой правильный DNS, а для остальных ресурсов пользоваться привычными DNS-серверами. Пример на скриншоте:
Q: Указал в настройках IP адреса панели 3x-ui адрес 127.0.0.1, теперь никак не могу на нее зайти. Скажите пожалуйста, что можно сделать?
A: Пропишите проброс портов в PuTTY, подключитесь к ssh и не закрывая PuTTY заходите браузером по локалхосту.
—
To be continued…