niikn: план миграции VPN-хаба AdminVPS→HOSTKEY 151.241.234.241 (сохранён, отложен); поправка 202.71.12.186=AdminVPS

2026-06-29 17:27:33 +03:00
parent f3b3d6ebb4
commit 26e0c8ec9c
2 changed files with 76 additions and 0 deletions
--- a/decisions/2026-06-29-niikn-vpn-hub-migration-adminvps-to-hostkey.md
+++ b/decisions/2026-06-29-niikn-vpn-hub-migration-adminvps-to-hostkey.md
@@ -0,0 +1,46 @@
+---
+date: 2026-06-29
+type: project
+tags: [niikn, vpn, migration, adminvps, hostkey, amnezia]
+status: planned
+---
+
+# Миграция VPN-хаба НИИКН: AdminVPS 78.17.4.225 → HOSTKEY 151.241.234.241
+
+> **Статус: ОТЛОЖЕНО — Олег займётся позже (в течение ~7 дней).** Здесь только план, не выполнять без отмашки.
+
+## Почему
+2026-06-29 AdminVPS приостановил VM `78.17.4.225` (`finlandit5870.com`) **за неоплату** → лёг весь обход НИИКН
+(Claude/TG/WA/instagram) + клиенты на этом хабе. Олег взял **отсрочку 7 дней** и решил за это время увести всё
+на уже работающий HOSTKEY-хаб, а AdminVPS-коробку погасить. Инцидент: [[2026-06-29... ]], память [[niikn-vpn-status]].
+
+## Важно по адресам (была путаница)
+- `78.17.4.225` — **AdminVPS** (`finlandit5870.com`), выводимый хаб.
+- `202.71.12.186` — **тоже AdminVPS** (НЕ HOSTKEY, НЕ основной; обслуживает Ярослава, Benelux). Уточнено Олегом 2026-06-29.
+- `151.241.234.241` — **HOSTKEY Finland, основной хаб** (заказан 2026-06-23). `ssh awg-fi` (ключ `~/.ssh/awg_fi_key`),
+  Ubuntu 22.04, AWG 2.0 `amnezia-awg2` UDP **41624**, subnet `10.8.1.0/24`, ufw (22/tcp+41624/udp), управляется панелью LXC 143.
+
+## Что переносить с AdminVPS 78.17.4.225 (стек в `/opt/vpn-stack` + `/opt/amneziavpnphp`)
+| Сервис | Контейнер | Куда на HOSTKEY |
+|--------|-----------|-----------------|
+| AmneziaWG (НИИКН OpenWrt + Amnezia-клиенты) | amnezia-awg2 (UDP 39202) | завести пиров на HOSTKEY `amnezia-awg2` (UDP 41624) через панель |
+| VLESS Reality | amnezia-xray (9443, SNI googletagmanager) | поднять там же / в стеке |
+| TG MTProto | tg-mtproto (443 via HAProxy SNI google.com) | перенести + secret |
+| TG SOCKS5 | socks5/vpn-tg-socks5 (1080) | перенести |
+| WhatsApp proxy | vpn-wa-proxy (7777/5222/587/443) | перенести |
+| Outline/Shadowbox | shadowbox | перенести при необходимости |
+| Панель | amnezia-panel-web/db + vpn-nginx | панель уже централизована (LXC 143) — решить, нужна ли вторая |
+
+## Шаги (черновик)
+1. На HOSTKEY развернуть недостающие контейнеры (HAProxy SNI-роутинг как на AdminVPS, см. [[../projects/niikn/vpn]]).
+2. Завести AWG-пиров клиентов на HOSTKEY (через панель LXC 143). Главный потребитель — **OpenWrt НИИКН `192.168.1.50`**:
+   сменить `network.awg0_peer.endpoint_host` `78.17.4.225` → `151.241.234.241`, `endpoint_port` `39202` → `41624`,
+   обновить public_key/preshared_key/Jc-параметры под HOSTKEY-сервер; `ifdown/ifup awg0`; проверить с КЛИЕНТА.
+3. Переключить персональные конфиги (Сергей, Ярослав, Benelux, Amnezia-клиенты) — раздать новые vpn:// / .conf.
+4. DNS `vpn.niikn.com` (Spaceweb) → на HOSTKEY (или оставить панель на LXC 143).
+5. Прогнать обход end-to-end с реального клиента (claude.ai=403 CF, telegram=200), затем гасить AdminVPS.
+
+## Грабли (из инцидента 2026-06-29)
+- Проверять обход **с КЛИЕНТА**, не роутерным curl. claude.ai в curl = **403 CF-challenge (норма)**, в браузере ОК.
+- Пинг пира туннеля `10.8.1.x` НЕ отвечает на ICMP — не индикатор. Смотреть `wg show` (handshake) на сервере + `curl --interface awg0`.
+- НЕ удалять `/tmp/sing-box/cache.db` на OpenWrt — сбивает FakeIP-маппинги.