From 2e45ce20a7b3bc33aa48d18a0e70d5dc21108609 Mon Sep 17 00:00:00 2001
From: dttb <ai@MacBookPro.lan>
Date: Wed, 22 Apr 2026 15:56:14 +0300
Subject: [PATCH] =?UTF-8?q?niikn:=20=D0=BE=D0=B1=D1=85=D0=BE=D0=B4=20FakeI?=
 =?UTF-8?q?P=20=D0=B4=D0=BB=D1=8F=20zakupki.gov.ru=20=D1=87=D0=B5=D1=80?=
 =?UTF-8?q?=D0=B5=D0=B7=20OpenWrt=20DNS=20override?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

zakupki.gov.ru в community-list russia_outside → podkop FakeIP-ил его в
198.18.0.76, трафик шёл через awg0 Финляндию, там таймаут. При этом сам
zakupki НЕ блокирует МТС WAN (85.235.181.190) - проверено curl'ом напрямую
через vmbr0 pve-niikn: HTTP 200, 2.4 MB.

Решение то же что и для nspd.gov.ru, но без NetBird route:
+ uci add_list dhcp.@dnsmasq[0].server='/zakupki.gov.ru/8.8.8.8'

DNS теперь возвращает реальные 95.167.245.92 / 94.25.27.250, Windows
идёт через обычный default-gw → МТС, открывается HTTP 200.

Проверено на 192.168.1.202: zakupki.gov.ru → HTTP 200 size=2474668.

lk.zakupki.gov.ru (личный кабинет) - SSL handshake failure на любом
exit-IP, требует ГОСТ-TLS через КриптоПро/Яндекс.Браузер (не связано
с IP-блокировкой).
---
 decisions/2026-04-21-niikn-nspd-netbird-route.md |  7 +++++--
 projects/niikn/openwrt-bypass.md                 | 13 ++++++++++---
 2 files changed, 15 insertions(+), 5 deletions(-)

diff --git a/decisions/2026-04-21-niikn-nspd-netbird-route.md b/decisions/2026-04-21-niikn-nspd-netbird-route.md
index 9355c68..0b07b85 100644
--- a/decisions/2026-04-21-niikn-nspd-netbird-route.md
+++ b/decisions/2026-04-21-niikn-nspd-netbird-route.md
@@ -76,16 +76,19 @@ curl -X POST -H "Authorization: Token $TOKEN" -H "Content-Type: application/json
 
 ### 2. OpenWrt 192.168.1.50 — dnsmasq DNS override
 
-Sing-box podkop FakeIP-ит весь `nspd.gov.ru` через community-list `russia_outside`. Решение — делегировать `nspd.gov.ru` на 8.8.8.8 напрямую, минуя sing-box:
+Sing-box podkop FakeIP-ит `nspd.gov.ru` (и ряд других gov.ru-доменов, например `zakupki.gov.ru`) через community-list `russia_outside`. Решение — делегировать эти домены на 8.8.8.8 напрямую, минуя sing-box:
 
 ```bash
 # ssh root@192.168.1.50
 uci add_list dhcp.@dnsmasq[0].server='/nspd.gov.ru/8.8.8.8'
+uci add_list dhcp.@dnsmasq[0].server='/zakupki.gov.ru/8.8.8.8'
 uci commit dhcp
 /etc/init.d/dnsmasq restart
 ```
 
-После этого dnsmasq для запросов `*.nspd.gov.ru` идёт на 8.8.8.8, не на `127.0.0.42:53` (sing-box).
+После этого dnsmasq для запросов `*.nspd.gov.ru` и `*.zakupki.gov.ru` идёт на 8.8.8.8, не на `127.0.0.42:53` (sing-box).
+
+> Для `zakupki.gov.ru` **NetBird route не нужен** — МТС WAN его не блокирует, достаточно обхода FakeIP. Только NSPD требует exit-node через pve-LionART (правило выше).
 
 Проверка:
 ```bash
diff --git a/projects/niikn/openwrt-bypass.md b/projects/niikn/openwrt-bypass.md
index f7f9b50..32e03f4 100644
--- a/projects/niikn/openwrt-bypass.md
+++ b/projects/niikn/openwrt-bypass.md
@@ -147,17 +147,24 @@ FakeIP диапазон (198.18.0.0/15) направляется через Open
 
 Клиенты получают DNS 192.168.1.50 (dnsmasq → sing-box FakeIP).
 
-### DNS override для NSPD (bypass через NetBird, см. [[../../decisions/2026-04-21-niikn-nspd-netbird-route]])
+### DNS override для gov.ru-сервисов (bypass FakeIP)
 
-Чтобы `nspd.gov.ru` **не попадал** в FakeIP sing-box (он в community-list `russia_outside`), dnsmasq делегирует этот домен напрямую в 8.8.8.8:
+Некоторые gov.ru-домены попадают в community-list `russia_outside` и FakeIP-ятся sing-box'ом. Это ломает доступ потому что:
+- `nspd.gov.ru` — awg0 Финляндия блочится WAF НСПД (нужен NetBird route → pve-LionART, см. [[../../decisions/2026-04-21-niikn-nspd-netbird-route]])
+- `zakupki.gov.ru` — awg0 Финляндия таймаутит; при этом МТС WAN его не блокирует — хватает только обхода FakeIP
+
+Решение: dnsmasq делегирует эти домены напрямую в 8.8.8.8, минуя sing-box:
 
 ```bash
 uci add_list dhcp.@dnsmasq[0].server='/nspd.gov.ru/8.8.8.8'
+uci add_list dhcp.@dnsmasq[0].server='/zakupki.gov.ru/8.8.8.8'
 uci commit dhcp
 /etc/init.d/dnsmasq restart
 ```
 
-После этого клиенты получают реальные IP `2.63.246.71-76`, которые попадают в NetBird route `2.63.246.0/24 → pve-LionART`.
+После этого клиенты получают реальные IP (`nspd.gov.ru` → `2.63.246.71-76`, `zakupki.gov.ru` → `95.167.245.92`). Для NSPD маршрутизация дальше через NetBird route на pve-LionART. Для zakupki — обычный default-gw через МТС (МТС не блокирует этот домен).
+
+**Примечание по `lk.zakupki.gov.ru`:** этот поддомен требует ГОСТ-TLS через КриптоПро (ЭЦП). Стандартные браузеры/curl получают SSL handshake failure независимо от exit-IP — открывается только из Яндекс.Браузера с установленным плагином КриптоПро. IP-блокировки нет.
 
 ## Как работает FakeIP схема