manual sync

projects/dttb/mailcow-dttb.md

@@ -54,8 +54,33 @@ tags: [dttb, mail]
 | TXT | _dmarc | v=DMARC1; p=quarantine; ruf=mailto:admin@dttb.ru |
 | TXT | dkim._domainkey | v=DKIM1;k=rsa;t=s;s=email;p=... (2048-bit) |
 
+## Статус проверки (2026-06-18)
+Сквозная диагностика «снаружи» (без шелла на VM):
+- ✅ **Приём:** порт 25 открыт из интернета, MX отвечает `250 mail.dttb.ru`, в INBOX реальное входящее от `it5870@yandex.ru`.
+- ✅ **Отправка:** письмо с admin@dttb.ru через :587 доставлено на внешний сервер за секунды → **исходящий 25-й порт у Istranet НЕ заблокирован**. Письмо **DKIM-подписано** (d=dttb.ru, s=dkim), SPF/DMARC выровнены.
+- ✅ IMAP :993 и SMTP-submission :587 (AUTH LOGIN) работают (admin@dttb.ru / 1qaz!QAZ).
+- ⚠️ **PTR отсутствует** — единственная дыра доставляемости. Strict-провайдеры (Gmail → спам, Mail.ru → reject) штрафуют письма с IP без reverse DNS.
+- ⚠️ **IP = OOO Istranet** (`netname istranet`, RU), не Spaceweb. PTR ставит Istranet (как интернет-провайдер по этому WAN-IP), не регистратор DNS.
+- 🔸 В DNS висит лишний `TXT @ "mailru-domain: 09KURdxlbSVmAm4O"` — остаток попытки привязать Mail.ru для домена; на Mailcow не влияет, можно убрать.
+- 🔸 **SSH-доступ к VM не работает ни одним ключом** (id_rsa «claude-code-matrix-project», id_ed25519, ключ Proxmox). VM клонирована с НИИКН VM 106 → несёт чужой authorized_keys. Управление возможно через web-UI (admin/1qaz!QAZ); для шелла — добавить ключ через Proxmox console.
+
+## Вариант «почтовый шлюз через VPS» (оценка 2026-06-18)
+Идея: пускать почту через статичный VPS с чистым IP+PTR, чтобы не зависеть от Istranet. Проверил исходящий :25 на всех VPS Олега:
+
+| VPS | Провайдер | Исходящий :25 | Вывод |
+|-----|-----------|---------------|-------|
+| vm-nano `158.255.0.139` (в КБ = «доменный шлюз» umnybot) | NL | ❌ блок | для почты НЕ годится |
+| Finland `202.71.12.186` | Hostkey EU | ❌ блок (egress после взлома 04-24) | НЕ годится |
+| **swtest `89.111.140.86`** | SpaceWeb RU | ✅ открыт (достучался до gmail MX) | единственный пригодный |
+
+⚠️ «Доменный шлюз» из КБ (vm-nano) — это HTTP-reverse-proxy (NPM), к SMTP неприменим, и его провайдер режет 25.
+⚠️ swtest на 2026-06-18: **диск 100%** (9.3/9.8 ГБ), RAM свободно ~367 МБ, **PTR нет** → перед использованием нужна чистка диска + заявка в SpaceWeb на rDNS.
+**Корень:** почта dttb уже работает на приём и отправку с домашнего IP; единственная дыра — PTR. Любой путь (Istranet PTR или VPS-smarthost) всё равно упирается в заявку провайдеру на PTR. VPS-вариант оправдан, только если Istranet откажет в PTR или нужно скрыть домашний IP.
+
 ## TODO
-- [ ] PTR запись: 176.62.183.186 → mail.dttb.ru (запросить у провайдера) (2026-04-18)
+- [ ] **PTR:** запросить у OOO Istranet запись `186.183.62.176.in-addr.arpa → mail.dttb.ru` (даст FCrDNS, A mail→176.62.183.186 уже есть). Главный пункт для доставляемости. (2026-04-18, проверено 2026-06-18 — всё ещё нет)
+- [ ] Добавить `rua=mailto:admin@dttb.ru` в DMARC для агрегированных отчётов (сейчас только ruf)
+- [ ] Восстановить SSH-ключ на VM 107 через Proxmox console
 
 <!-- AUTO-SYNC FROM MEMORY.MD - DO NOT EDIT BELOW -->
 ## Mailcow HomeLab (VM 107, 10.0.0.107)

projects/openwrt-4/credentials.md

@@ -8,7 +8,7 @@ aliases: [Olivier creds, openwrt-4 credentials, fr-vmnano, 151.243.217.139, Ол
 
 # OpenWrt_4 / Оливье — креды
 
-> Клиент: **Оливье** (француз, Москва). Роутер Cudy TR3000 = NetBird `OpenWrt_4`. Французская выходная нода для обхода РКН + **Canal+**. Рунбук: [[canal-plus-setup-runbook]] · проект: [[README]].
+> Клиент: **Оливье** (француз, Москва). Роутер Cudy TR3000 = NetBird `olivier-cudy` (`olivier-cudy.netbird.cloud`; имя было `OpenWrt_4`). Французская выходная нода для обхода РКН + **Canal+**. Рунбук: [[canal-plus-setup-runbook]] · проект: [[README]].
 
 ## Французский VPS — выходная нода (HOSTKEY Paris)
 | Параметр | Значение |
@@ -58,15 +58,16 @@ I1=<r 2><b 0x858000010001000000000669636c6f756403636f6d0000010001c00c00010001000
 ## Совместимость с OpenWrt (Cudy) — ✅ РЕШЕНО
 Сервер на **AWG 1.5** (S3/S4 + H-диапазоны + I1-пакеты). На Cudy `luci-proto-amneziawg 2.0.4` + `kmod-amneziawg 6.6.104.1.0.20250924` — **1.5 поддерживается** (proto знает `awg_s3/s4`, `awg_i1..i5`, H-диапазоны), конфиг встал как есть, handshake ОК. Обновлять/упрощать не понадобилось.
 
-## Роутер Cudy TR3000 (OpenWrt_4) — обновлено 2026-06-03 (выезд/смена провайдера)
+## Роутер Cudy TR3000 (NetBird `olivier-cudy`) — обновлено 2026-06-16
 | Параметр | Значение |
 |---|---|
-| NetBird пир / IP | `OpenWrt_4` → **`100.70.194.241`** (был `100.70.235.2`; сменился после сброса) |
+| NetBird пир / IP | **`olivier-cudy`** (`olivier-cudy.netbird.cloud`) → **`100.70.194.241`** (имя было `OpenWrt_4`, IP был `100.70.235.2` — сменились при переэнролле 06-09) |
+| WiFi (для клиентов) | SSID **`OpenWrt`** (оба диапазона), пароль **`Romane1993`**, psk2 |
 | SSH | `ssh root@100.70.194.241` пароль **`1qaz!QAZ`** (подтверждён) |
 | **LuCI (по NetBird)** | **`http://100.70.194.241/`** root/`1qaz!QAZ` — правило `Allow-LuCI-NetBird` (tcp 80/443 ← `100.70.0.0/16`, НЕ в WAN) |
-| LAN | **`192.168.10.1/24`** (сменён с дефолтного `192.168.1.1` — коллизия с подсетью провайдера) |
+| LAN | **`192.168.50.1/24`** (br-lan = порт `eth1` + WiFi; было `192.168.10.1`, сменилось при ресете 06-09; дефолт `192.168.1.1` коллизил с провайдером) |
 | WAN | `eth0` DHCP за роутером провайдера `192.168.1.1/24` (двойной NAT), публичный `109.252.x` Москва |
-| OpenWrt / extroot | 24.10.3; extroot на USB `sda4` (Kingston 31ГБ → `/overlay`), **fstab-запись восстановлена** (uuid `77b8739b…`) |
+| OpenWrt / extroot | 24.10.3; extroot на USB `sda1` (Kingston → `/overlay`, ~3% занято; было `sda4` до ресета 06-09) |
 | amneziawg | `luci-proto-amneziawg 2.0.4` + `kmod 6.6.104.1.0.20250924` — **AWG 1.5 поддерживается ✅** |
 | awg0 | клиент `10.8.1.3` → `151.243.217.139:44221`, handshake ОК, выход **FR** |
 | podkop | `v0.7.19`: `meta`/`youtube`/`telegram` + user_domains Canal+ (`canalplus.com canal-plus.com mycanal.fr canalplus.pro canal-plus.net`); `disable_quic=1` |
@@ -79,7 +80,22 @@ I1=<r 2><b 0x858000010001000000000669636c6f756403636f6d0000010001c00c00010001000
 4. awg0 (AWG 1.5) поднялся → FR; podkop с правильными списками; Canal+-домены добавлены в user_domains → FakeIP (sing-box/dnsmasq кэш чистил).
 5. **IPv6 на LAN вырублен**.
 6. Бэкапы у меня: `cudy-olivier-config-backup.tar.gz` (+ netbird/config.json).
-- ⏳ **Осталось:** Оливье тестит myCanal (плей); устройство `Glavnaa-spalna` (8c:26:aa:c0:c1:d0) застряло на старом `192.168.1.189` — переподключить к Wi-Fi. Если Canal+ протечёт → pbr на приставку.
+- ⏳ **Осталось:** Оливье тестит myCanal (плей); устройство `Glavnaa-spalna` (8c:26:aa:c0:c1:d0) застряло на старом `192.168.1.189` — переподключить к Wi-Fi. Если Canal+ протечёт → pbr на приставку. → **✅ pbr настроен 06-16, см. ниже.**
+
+## Сессия 2026-06-16 — диагностика «постоянных проблем» + Canal+ prep
+**Жалоба:** на роутере MGTS инет ок, на Cudy — постоянные обрывы. **Причина самодельная, НЕ MGTS** (линк до gw `192.168.1.1` = 0% потерь, eth0 без ошибок). Два корня, оба устранены:
+- **`/root/agent/watchdog.sh`** (cron `*/2`) рестартил sing-box **каждые 2 мин** — кривой liveness-чек `pgrep -f podkop` (podkop не демон, конфигурит sing-box и выходит). Фикс → `pgrep -f 'sing-box run'`.
+- **`/usr/bin/wan-failover.sh`** (cron `* *` + rc.local) гнал **весь дом через Францию** (awg0 primary) по ложной гипотезе «MGTS флапает». **Реверс → WAN-primary**: main default via `192.168.1.1`, podkop селективно (meta/youtube/telegram + Canal+) → Франция, РФ-сайты напрямую. Egress общий `109.252.139.178` (MGTS), awg0 `151.243.217.139` (FR).
+- ⚠️ Скрипты `/root/agent/*` (watchdog/heartbeat) ведёт **автономный агент** → может перезатереть фикс watchdog при своём деплое. Если вернётся цикл — чинить в источнике агента.
+
+**Apple TV → Франция (Canal+) — настроено заранее, persistent (UCI, подтверждено netifd `proto static`):**
+- Статлиз `8C:26:AA:C0:C1:D0 → 192.168.50.189` (`dhcp.atv_host`).
+- pbr целиком во Францию: `ip rule 106 from 192.168.50.189 → table 100` (`192.168.50.0/24 dev br-lan` + `default dev awg0`); firewall forwarding `lan→awg0`. Реальные IP приставки → awg0; FakeIP-домены (Canal+/yt/tg) → podkop TPROXY (mark 0x100000, prio 105) → sing-box → awg0. Проверено `ip route get ... from 192.168.50.189`.
+- IPv6 LAN снова off (`dhcp.lan.ra/dhcpv6=disabled` — откатывался при ресете).
+- **Топология:** приставка сейчас на стороне MGTS (`eth0`-сегмент), за Cudy **вообще никто не подключён** (dhcp.leases пуст, WiFi assoclist пуст, eth1 NO-CARRIER). Дом сидит на WiFi MGTS.
+- **Нужно от клиента:** подключить Apple TV к WiFi Cudy `OpenWrt`/`Romane1993` (или кабель в LAN) + **удалить профиль ExpressVPN** (kill-switch рубит инет) → тест Canal+. Если гео-блок останется — дотюнить вживую с подключённой приставкой.
+
+**Бэкап конфигов до правок:** `/root/backup-20260616-routerfix/` (network/dhcp/firewall/wireless + agent/ + wan-failover.sh).
 
 ## ⚠️ SSH на FR-ноду с code-server (LXC 132) — нужен обходной маршрут
 **Проблема:** интернет code-server завёрнут через NetBird **exit-node `finland5870.com`** (HOSTKEY, egress `202.71.12.186`), а HOSTKEY **режет исходящий TCP/22**. → `ssh root@151.243.217.139` с code-server виснет (timeout). С Mac работает (выходит напрямую). Диагностика: `ip route get 151.243.217.139` → `dev wt0 table netbird` = идёт через exit-node.