niikn: обход FakeIP для zakupki.gov.ru через OpenWrt DNS override
zakupki.gov.ru в community-list russia_outside → podkop FakeIP-ил его в 198.18.0.76, трафик шёл через awg0 Финляндию, там таймаут. При этом сам zakupki НЕ блокирует МТС WAN (85.235.181.190) - проверено curl'ом напрямую через vmbr0 pve-niikn: HTTP 200, 2.4 MB. Решение то же что и для nspd.gov.ru, но без NetBird route: + uci add_list dhcp.@dnsmasq[0].server='/zakupki.gov.ru/8.8.8.8' DNS теперь возвращает реальные 95.167.245.92 / 94.25.27.250, Windows идёт через обычный default-gw → МТС, открывается HTTP 200. Проверено на 192.168.1.202: zakupki.gov.ru → HTTP 200 size=2474668. lk.zakupki.gov.ru (личный кабинет) - SSL handshake failure на любом exit-IP, требует ГОСТ-TLS через КриптоПро/Яндекс.Браузер (не связано с IP-блокировкой).
This commit is contained in:
@@ -76,16 +76,19 @@ curl -X POST -H "Authorization: Token $TOKEN" -H "Content-Type: application/json
|
||||
|
||||
### 2. OpenWrt 192.168.1.50 — dnsmasq DNS override
|
||||
|
||||
Sing-box podkop FakeIP-ит весь `nspd.gov.ru` через community-list `russia_outside`. Решение — делегировать `nspd.gov.ru` на 8.8.8.8 напрямую, минуя sing-box:
|
||||
Sing-box podkop FakeIP-ит `nspd.gov.ru` (и ряд других gov.ru-доменов, например `zakupki.gov.ru`) через community-list `russia_outside`. Решение — делегировать эти домены на 8.8.8.8 напрямую, минуя sing-box:
|
||||
|
||||
```bash
|
||||
# ssh root@192.168.1.50
|
||||
uci add_list dhcp.@dnsmasq[0].server='/nspd.gov.ru/8.8.8.8'
|
||||
uci add_list dhcp.@dnsmasq[0].server='/zakupki.gov.ru/8.8.8.8'
|
||||
uci commit dhcp
|
||||
/etc/init.d/dnsmasq restart
|
||||
```
|
||||
|
||||
После этого dnsmasq для запросов `*.nspd.gov.ru` идёт на 8.8.8.8, не на `127.0.0.42:53` (sing-box).
|
||||
После этого dnsmasq для запросов `*.nspd.gov.ru` и `*.zakupki.gov.ru` идёт на 8.8.8.8, не на `127.0.0.42:53` (sing-box).
|
||||
|
||||
> Для `zakupki.gov.ru` **NetBird route не нужен** — МТС WAN его не блокирует, достаточно обхода FakeIP. Только NSPD требует exit-node через pve-LionART (правило выше).
|
||||
|
||||
Проверка:
|
||||
```bash
|
||||
|
||||
@@ -147,17 +147,24 @@ FakeIP диапазон (198.18.0.0/15) направляется через Open
|
||||
|
||||
Клиенты получают DNS 192.168.1.50 (dnsmasq → sing-box FakeIP).
|
||||
|
||||
### DNS override для NSPD (bypass через NetBird, см. [[../../decisions/2026-04-21-niikn-nspd-netbird-route]])
|
||||
### DNS override для gov.ru-сервисов (bypass FakeIP)
|
||||
|
||||
Чтобы `nspd.gov.ru` **не попадал** в FakeIP sing-box (он в community-list `russia_outside`), dnsmasq делегирует этот домен напрямую в 8.8.8.8:
|
||||
Некоторые gov.ru-домены попадают в community-list `russia_outside` и FakeIP-ятся sing-box'ом. Это ломает доступ потому что:
|
||||
- `nspd.gov.ru` — awg0 Финляндия блочится WAF НСПД (нужен NetBird route → pve-LionART, см. [[../../decisions/2026-04-21-niikn-nspd-netbird-route]])
|
||||
- `zakupki.gov.ru` — awg0 Финляндия таймаутит; при этом МТС WAN его не блокирует — хватает только обхода FakeIP
|
||||
|
||||
Решение: dnsmasq делегирует эти домены напрямую в 8.8.8.8, минуя sing-box:
|
||||
|
||||
```bash
|
||||
uci add_list dhcp.@dnsmasq[0].server='/nspd.gov.ru/8.8.8.8'
|
||||
uci add_list dhcp.@dnsmasq[0].server='/zakupki.gov.ru/8.8.8.8'
|
||||
uci commit dhcp
|
||||
/etc/init.d/dnsmasq restart
|
||||
```
|
||||
|
||||
После этого клиенты получают реальные IP `2.63.246.71-76`, которые попадают в NetBird route `2.63.246.0/24 → pve-LionART`.
|
||||
После этого клиенты получают реальные IP (`nspd.gov.ru` → `2.63.246.71-76`, `zakupki.gov.ru` → `95.167.245.92`). Для NSPD маршрутизация дальше через NetBird route на pve-LionART. Для zakupki — обычный default-gw через МТС (МТС не блокирует этот домен).
|
||||
|
||||
**Примечание по `lk.zakupki.gov.ru`:** этот поддомен требует ГОСТ-TLS через КриптоПро (ЭЦП). Стандартные браузеры/curl получают SSL handshake failure независимо от exit-IP — открывается только из Яндекс.Браузера с установленным плагином КриптоПро. IP-блокировки нет.
|
||||
|
||||
## Как работает FakeIP схема
|
||||
|
||||
|
||||
Reference in New Issue
Block a user