openwrt-homelab: AdGuard Home в DNS-цепочке, блокировка YouTube ads

Цепочка: LAN → dnsmasq:53 → AGH:5353 → sing-box:127.0.0.42 → upstream.
podkop dont_touch_dhcp=1, dnsmasq.server=127.0.0.1#5353. Добавлены
HaGeZi Pro mini, BlocklistProject YouTube, GoodbyeAds YouTube AdBlock.
user_rules очищены от поломанного YAML. Проверено: ad-домены → 0.0.0.0,
fakeip подкопа цел, обычные сайты резолвятся.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

projects/dttb/openwrt-router.md

@@ -8,10 +8,21 @@ tags: [dttb, network]
 
 - LuCI Web UI: http://10.0.0.1:8080/cgi-bin/luci/
 - ubus RPC: POST http://10.0.0.1:8080/ubus/ (root / 1qaz!QAZ)
-- SSH: НЕ работает с этим паролем (другой или key-only)
+- SSH: `ssh root@10.0.0.1` с паролем `1qaz!QAZ` — работает (проверено 2026-04-30)
 - DNS Hijack: перехватывает порт 53 → 10.0.0.1 (все DNS запросы через роутер)
 - Проброс: 80→NPM, 443→NPM, 25/465/587/993/995/4190→Mailcow(10.0.0.107)
 - uci apply: нужен rollback=True + confirm, иначе правила теряются
+- ОС: OpenWrt 24.10.3 r28872-daca7c049b, target mediatek/filogic (aarch64)
+
+## Стек DNS / блокировки
+
+Цепочка: `LAN → dnsmasq:53 → AGH:5353 → sing-box:127.0.0.42 → upstream`. AdGuard Home 0.107.57 фильтрует ad-домены, sing-box (подкоп) делает fakeip и роутинг подкоп-доменов.
+
+- AGH веб: http://10.0.0.1:3000 (admin / хеш в `/etc/adguardhome.yaml`)
+- Конфиг: `/etc/adguardhome.yaml` (upstream `127.0.0.42`, фильтры включают HaGeZi Pro mini + 2 YouTube-листа)
+- Подкоп: `dont_touch_dhcp=1` — подкоп НЕ переписывает dnsmasq.server при start
+- Резерв адресов подкопа: `127.0.0.42`, `127.0.0.53` — не занимать
+- Подробности и откат: см. [[../../decisions/2026-04-30-openwrt-homelab-agh-podkop-chain]]
 
 <!-- AUTO-SYNC FROM MEMORY.MD - DO NOT EDIT BELOW -->
 ## OpenWrt Router HomeLab (10.0.0.1:8080)