From 4552ef01094338508d4ebbd8f577fb05974ed0e5 Mon Sep 17 00:00:00 2001 From: dttb Date: Fri, 29 May 2026 12:52:56 +0300 Subject: [PATCH] =?UTF-8?q?niikn:=20=D0=B2=D0=BE=D1=81=D1=81=D1=82=D0=B0?= =?UTF-8?q?=D0=BD=D0=BE=D0=B2=D0=B8=D0=BB=20=D1=81=D0=BB=D0=B5=D1=82=D0=B5?= =?UTF-8?q?=D0=B2=D1=88=D0=B8=D0=B5=20gov-overrides=20(=D0=95=D0=98=D0=A1/?= =?UTF-8?q?zakupki,=20gosuslugi,=20sev,=20rosreestr,=20culture,=20economy)?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit ЕИС (zakupki.gov.ru) был FakeIP→Финляндия из-за слетевшего override; восстановил все 6 — проверено 200 с maul-pc и pve-niikn. lk.zakupki.gov.ru = ГОСТ-TLS (alert 40 с обоих путей) — Yandex Browser+КриптоПро, маршрут не лечит. podkop проверен: туннель Финляндия жив, заблокированные (youtube/instagram/whatsapp) работают. Co-Authored-By: Claude Opus 4.8 (1M context) --- decisions/2026-05-29-niikn-diadoc-ozon-fix.md | 11 +++++++++++ projects/niikn/govru-quickfix-playbook.md | 6 +++++- 2 files changed, 16 insertions(+), 1 deletion(-) diff --git a/decisions/2026-05-29-niikn-diadoc-ozon-fix.md b/decisions/2026-05-29-niikn-diadoc-ozon-fix.md index 1a7a744..33eb8bd 100644 --- a/decisions/2026-05-29-niikn-diadoc-ozon-fix.md +++ b/decisions/2026-05-29-niikn-diadoc-ozon-fix.md @@ -47,6 +47,17 @@ DNS-override для diadoc НЕ нужен — он и так резолвитс - **`gosuslugi.ru` сейчас FakeIP'ится** (`198.18.2.204` → Финляндия) = сломан, override снова потерян. Прочие РФ-маркетплейсы (WB, СберМаркет, Я.Маркет, М.Видео, Авито) — direct, ок. - `russia_outside` в podkop ловит РФ-сайты узко (ozon, gosuslugi), не массово. Если будут жалобы на другие РФ-сайты — проверять FakeIP и при необходимости рассмотреть удаление `russia_outside` из `community_lists` (для офиса в РФ финский выход для РФ-сайтов вреден). +## Дополнение (тот же день): ЕИС + восстановление overrides + проверка podkop + +Олег добавил: «ЕИС тоже не работает, проверь на Максиме Мауле; и podkop проверь, что заблокированные сайты работают». + +- **podkop/туннель — OK.** С maul-pc: youtube/instagram→200, whatsapp соединяется. tproxy-счётчик 8.3M пакетов (растёт), awg0 несёт трафик. Заблокированные работают. +- **ЕИС (`zakupki.gov.ru`) был сломан** по той же причине, что gosuslugi: override слетел → FakeIP→Финляндия. В живом `uci show dhcp` оставались только `nspd`+`ozon`. +- **Восстановил ВСЕ слетевшие overrides** (`sev`, `zakupki`, `gosuslugi`, `rosreestr`, `culture`, `economy`). После рестарта dnsmasq + flushdns на клиенте: `zakupki.gov.ru`→**200** (через уже существующий route `95.167.245.0/24`→LionART), `gosuslugi`/`sev`/`rosreestr`/`culture`/`economy`→**200** (через MTS напрямую — class A подтверждён). Проверено на maul-pc. +- **`lk.zakupki.gov.ru` (ЛК ЕИС)** — НЕ сетевая проблема: ГОСТ-TLS (alert 40 с MTS и с LionART), `94.25.0.0/17`. Нужен Yandex Browser (нативный ГОСТ) + КриптоПро/ЭЦП. Маршрут не поможет. + +Вывод: **главная причина массовых жалоб НИИКН на gov-сайты = периодически слетающие dnsmasq-overrides** (известная болячка podkop-реконфигов). Сильный кандидат на watchdog (cron на pve-niikn: проверять `uci show dhcp` и доливать недостающие overrides + алерт через Антошку). + ## Связанные - [[../projects/niikn/govru-quickfix-playbook]] — реестр overrides/routes обновлён - [[2026-05-04-niikn-nspd-via-netbird-lionart]] — та же схема LionART для nspd diff --git a/projects/niikn/govru-quickfix-playbook.md b/projects/niikn/govru-quickfix-playbook.md index f48aa0f..fb9746e 100644 --- a/projects/niikn/govru-quickfix-playbook.md +++ b/projects/niikn/govru-quickfix-playbook.md @@ -156,7 +156,11 @@ Import-Certificate -FilePath $tmp\s.cer -CertStoreLocation Cert:\LocalMachine\CA ⚠️ **Эти overrides периодически теряются** при работе с podkop / реконфигах OpenWrt. Если жалоба — проверять uci show dhcp в первую очередь. -> **Аудит 2026-05-29:** живым в `uci show dhcp` был только `nspd.gov.ru` + добавленный `ozon.ru` — остальные gov-overrides из таблицы снова потеряны. `gosuslugi.ru` сейчас FakeIP'ится (`198.18.2.204` → Финляндия) = сломан, надо восстановить override. Прочие РФ-сайты (WB, СберМаркет, Я.Маркет, М.Видео, DNS-shop, Авито) резолвятся напрямую — `russia_outside` ловит узко (ozon, gosuslugi). +> **Аудит + восстановление 2026-05-29:** при разборе жалобы (diadoc/ozon/ЕИС) в живом `uci show dhcp` оставались только `nspd` + `ozon` — остальные gov-overrides снова слетели, из-за чего `zakupki.gov.ru` (ЕИС), `gosuslugi`, `sev`, `rosreestr`, `culture`, `economy` уходили в FakeIP→Финляндию и не открывались. **Восстановлены все** (`/$D/77.88.8.8` + `/8.8.8.8`), `dnsmasq` рестарт. Проверка с офисного ПК (maul-pc) и pve-niikn: `zakupki.gov.ru`→**200** (через LionART-route `95.167.245.0/24`), `gosuslugi`/`sev`/`rosreestr`/`culture`/`economy`→**200** (через MTS напрямую). Прочие РФ-маркетплейсы (WB/СберМаркет/Я.Маркет/М.Видео/Авито) — direct, ок; `russia_outside` ловит узко (ozon, gosuslugi, zakupki). +> +> ⚠️ `lk.zakupki.gov.ru` (личный кабинет ЕИС) — **ГОСТ-TLS only**: TLS alert 40 (handshake_failure) с обоих путей (MTS и LionART), CIDR `94.25.0.0/17` Ростелеком. **Маршрутом НЕ лечится** (см. Шаг 2Г). Открывать в **Yandex Browser** (нативный ГОСТ) + КриптоПро CSP/ЭЦП для входа. +> +> ✅ **podkop/туннель проверены 2026-05-29:** заблокированные работают (youtube/instagram→200, whatsapp соединяется с maul-pc), tproxy-счётчик растёт (8.3M пакетов), awg0 несёт трафик. Туннель Финляндия жив. ### NetBird Routes (через API) → pve-LionART