From 16f8727ac8f935f952f6826b0dea0cb82bb323e1 Mon Sep 17 00:00:00 2001 From: dttb Date: Mon, 29 Jun 2026 12:11:39 +0300 Subject: [PATCH] =?UTF-8?q?=D0=91=D1=83=D0=B6=D0=B0=D1=80=D0=BE=D0=B2?= =?UTF-8?q?=D0=BE=20podkop:=20=D0=BF=D1=80=D0=BE=D0=B2=D0=B5=D1=80=D0=BA?= =?UTF-8?q?=D0=B0=20=D0=BE=D0=B1=D1=85=D0=BE=D0=B4=D0=B0=20=D1=81=20Server?= =?UTF-8?q?1C=20=E2=80=94=20=D0=9D=D0=95=D0=B2=D0=B0=D0=BB=D0=B8=D0=B4?= =?UTF-8?q?=D0=BD=D0=B0=D1=8F=20=D1=82=D0=BE=D1=87=D0=BA=D0=B0=20(NetBird-?= =?UTF-8?q?=D0=BA=D0=BE=D0=BB=D0=BB=D0=B8=D0=B7=D0=B8=D1=8F=20192.168.1.0/?= =?UTF-8?q?24=20=D1=83=D0=B2=D0=BE=D0=B4=D0=B8=D1=82=20FakeIP=20=D0=B2=20w?= =?UTF-8?q?t0/=D0=9D=D0=98=D0=98=D0=9A=D0=9D);=20=D0=BE=D0=B1=D1=85=D0=BE?= =?UTF-8?q?=D0=B4=20=D0=BD=D0=B0=20=D0=BE=D0=B1=D1=8A=D0=B5=D0=BA=D1=82?= =?UTF-8?q?=D0=B5=20=D0=B8=D1=81=D0=BF=D1=80=D0=B0=D0=B2=D0=B5=D0=BD?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit Co-Authored-By: Claude Opus 4.8 --- projects/buzharovo/podkop-router.md | 14 ++++++++++++++ 1 file changed, 14 insertions(+) diff --git a/projects/buzharovo/podkop-router.md b/projects/buzharovo/podkop-router.md index 8c65813..4da563d 100644 --- a/projects/buzharovo/podkop-router.md +++ b/projects/buzharovo/podkop-router.md @@ -118,6 +118,20 @@ MAC'и сняты из ARP-кэша Server1C (WinRM через openclaw LXC137 > **Проверить после следующего ребута:** что `grep -cE "Force-DNS-53|Block-DoT|Block-DoH|Block-QUIC" /etc/config/firewall` = 4. Если снова 0 — значит что-то затирает `/etc/config` (не просто некоммит), копать сторону vendor/sync. +### 2026-06-29: ⚠️ Server1C — НЕвалидная точка проверки обхода (NetBird-коллизия) +Проверял обход с самого [[server1c|Server1C]] (`192.168.1.249`, WinRM `100.70.75.103`). **Вывод: с Server1C обход НЕ работает, но это НЕ вина роутера** — артефакт коллизии подсетей. + +Что измерено с Server1C: +- DNS отдаёт правильный FakeIP: `web.telegram.org→198.18.0.16`, `youtube→198.18.0.18`, `gosuslugi→реальный` ✅ (резолвер/конфиг TR3000 корректны; Force-DNS DNAT ловит даже хардкод `1.1.1.1`/`8.8.8.8`). +- НО TCP к `198.18.0.16:443` падает (ok=0/fail=10), telegram/youtube таймаутят, google.com=200, прямой выход = WAN `185.13.47.2`. +- На TR3000 в этот момент: tproxy-счётчик **delta=0**, conntrack `src=192.168.1.249 dst=198.18.*` **пуст** — пакеты Server1C к FakeIP **не доходят до br-lan роутера**. + +**Корень — коллизия `192.168.1.0/24` Бужарово↔НИИКН через NetBird** (давно зафлагана в [[../../decisions/2026-06-22-buzharovo-podkop]]). На Server1C маршрут NetBird `192.168.1.0/24 → wt0` имеет **metric 1**, локальная LAN (Ethernet) — **metric 256**. Поэтому сам шлюз `192.168.1.1` резолвится через wt0: `Test-NetConnection 192.168.1.1` → SourceAddress `100.70.75.103` (wt0), `GetBestInterface(192.168.1.1)` = ifIndex wt0. Любой трафик с next-hop `192.168.1.1` утекает в NetBird → на МикроТик НИИКН (там тоже `192.168.1.1`), а не на локальный TR3000. Пин `198.18.0.0/15 → 192.168.1.1 dev Ethernet metric 1` **не помог** — отравлен сам next-hop-шлюз, не диапазон. + +**Важно:** это касается ТОЛЬКО Server1C (единственный клиент с NetBird). Телефоны/кассы NetBird не имеют → у них обход работает: в тот же период tproxy-счётчик рос от не-`.249` клиентов (11939→12066, +127), awg0 активно гонял трафик (1 МБ+, handshake свежий), роутерный `curl web.telegram.org`=200, утечек DNS — ноль. **Обход на объекте исправен.** + +Server1C обход и не нужен (1С-сервер, telegram/youtube ему ни к чему). Если когда-нибудь понадобится — чинить НЕ роутер, а коллизию: сузить NetBird-маршруты (не пушить `192.168.1.0/24` НИИКН на Server1C через distribution-group) либо перенумеровать один сайт. ⚠️ Латентный риск той же коллизии: 1С-инициированные коннекты к кассам `.18`/`.99` тоже ушли бы в wt0 (касса→1С работает, т.к. соединение инициирует касса). + ## Установка на объекте — чеклист (выезд 2026-06-24, утро) TR3000 полностью преднастроен на столе. На объекте — физический своп со WR6500H + WAN провайдера.