Бужарово podkop: проверка обхода с Server1C — НЕвалидная точка (NetBird-коллизия 192.168.1.0/24 уводит FakeIP в wt0/НИИКН); обход на объекте исправен

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>

projects/buzharovo/podkop-router.md

@@ -118,6 +118,20 @@ MAC'и сняты из ARP-кэша Server1C (WinRM через openclaw LXC137
 
 > **Проверить после следующего ребута:** что `grep -cE "Force-DNS-53|Block-DoT|Block-DoH|Block-QUIC" /etc/config/firewall` = 4. Если снова 0 — значит что-то затирает `/etc/config` (не просто некоммит), копать сторону vendor/sync.
 
+### 2026-06-29: ⚠️ Server1C — НЕвалидная точка проверки обхода (NetBird-коллизия)
+Проверял обход с самого [[server1c|Server1C]] (`192.168.1.249`, WinRM `100.70.75.103`). **Вывод: с Server1C обход НЕ работает, но это НЕ вина роутера** — артефакт коллизии подсетей.
+
+Что измерено с Server1C:
+- DNS отдаёт правильный FakeIP: `web.telegram.org→198.18.0.16`, `youtube→198.18.0.18`, `gosuslugi→реальный` ✅ (резолвер/конфиг TR3000 корректны; Force-DNS DNAT ловит даже хардкод `1.1.1.1`/`8.8.8.8`).
+- НО TCP к `198.18.0.16:443` падает (ok=0/fail=10), telegram/youtube таймаутят, google.com=200, прямой выход = WAN `185.13.47.2`.
+- На TR3000 в этот момент: tproxy-счётчик **delta=0**, conntrack `src=192.168.1.249 dst=198.18.*` **пуст** — пакеты Server1C к FakeIP **не доходят до br-lan роутера**.
+
+**Корень — коллизия `192.168.1.0/24` Бужарово↔НИИКН через NetBird** (давно зафлагана в [[../../decisions/2026-06-22-buzharovo-podkop]]). На Server1C маршрут NetBird `192.168.1.0/24 → wt0` имеет **metric 1**, локальная LAN (Ethernet) — **metric 256**. Поэтому сам шлюз `192.168.1.1` резолвится через wt0: `Test-NetConnection 192.168.1.1` → SourceAddress `100.70.75.103` (wt0), `GetBestInterface(192.168.1.1)` = ifIndex wt0. Любой трафик с next-hop `192.168.1.1` утекает в NetBird → на МикроТик НИИКН (там тоже `192.168.1.1`), а не на локальный TR3000. Пин `198.18.0.0/15 → 192.168.1.1 dev Ethernet metric 1` **не помог** — отравлен сам next-hop-шлюз, не диапазон.
+
+**Важно:** это касается ТОЛЬКО Server1C (единственный клиент с NetBird). Телефоны/кассы NetBird не имеют → у них обход работает: в тот же период tproxy-счётчик рос от не-`.249` клиентов (11939→12066, +127), awg0 активно гонял трафик (1 МБ+, handshake свежий), роутерный `curl web.telegram.org`=200, утечек DNS — ноль. **Обход на объекте исправен.**
+
+Server1C обход и не нужен (1С-сервер, telegram/youtube ему ни к чему). Если когда-нибудь понадобится — чинить НЕ роутер, а коллизию: сузить NetBird-маршруты (не пушить `192.168.1.0/24` НИИКН на Server1C через distribution-group) либо перенумеровать один сайт. ⚠️ Латентный риск той же коллизии: 1С-инициированные коннекты к кассам `.18`/`.99` тоже ушли бы в wt0 (касса→1С работает, т.к. соединение инициирует касса).
+
 ## Установка на объекте — чеклист (выезд 2026-06-24, утро)
 TR3000 полностью преднастроен на столе. На объекте — физический своп со WR6500H + WAN провайдера.