From 4a836e10603b6dd383d2d28b8a546abb7a3ff111 Mon Sep 17 00:00:00 2001
From: dttb <ai@MacBookPro.lan>
Date: Fri, 29 May 2026 12:32:53 +0300
Subject: [PATCH] =?UTF-8?q?niikn:=20=D1=84=D0=B8=D0=BA=D1=81=20diadoc=20(N?=
 =?UTF-8?q?etBird=20route=2046.17.203.0/24=20=E2=86=92=20LionART)=20+=20oz?=
 =?UTF-8?q?on=20(DNS=20override=20=E2=86=92=20=D0=BF=D1=80=D1=8F=D0=BC?=
 =?UTF-8?q?=D0=BE=D0=B9=20MTS)?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

diadoc.ru: MTS WAN чёрная дыра к Контуру (TCP timeout) → маршрут через pve-LionART как nspd/zakupki. Проверено 200 с офисного ПК.
ozon.ru: russia_outside FakeIP'ил → Финляндия → гео-блок; override /ozon.ru/ → реальный IP → прямой MTS.
Находки: awg0 жив (ложная тревога из-за busybox ip -br); gosuslugi.ru снова FakeIP'ится.

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
---
 decisions/2026-05-29-niikn-diadoc-ozon-fix.md | 53 +++++++++++++++++++
 projects/niikn/govru-quickfix-playbook.md     |  6 ++-
 2 files changed, 58 insertions(+), 1 deletion(-)
 create mode 100644 decisions/2026-05-29-niikn-diadoc-ozon-fix.md

diff --git a/decisions/2026-05-29-niikn-diadoc-ozon-fix.md b/decisions/2026-05-29-niikn-diadoc-ozon-fix.md
new file mode 100644
index 0000000..1a7a744
--- /dev/null
+++ b/decisions/2026-05-29-niikn-diadoc-ozon-fix.md
@@ -0,0 +1,53 @@
+---
+date: 2026-05-29
+type: decision
+tags: [niikn, network, ozon, diadoc, podkop, netbird, lionart, troubleshooting]
+---
+
+# НИИКН: diadoc.ru и ozon.ru не открывались — два разных корня
+
+Жалоба: «в НИИКН не заходит на www.diadoc.ru и на озон». Оказалось — **две независимые причины**, не связанные с (изначально подозреваемыми) потерянными overrides.
+
+## Диагноз
+
+| Сайт | Резолв на клиенте | Путь | Корень проблемы |
+|------|-------------------|------|-----------------|
+| **ozon.ru** | `198.18.x` (FakeIP) | podkop list `russia_outside` → sing-box → awg0 → **Финляндия** | Ozon гео-блокирует зарубежные IP. РФ-сайт нельзя гнать через финский выход. |
+| **diadoc.ru** | `46.17.203.154` (реальный, direct) | клиент → MikroTik → **MTS WAN `85.235.181.190`** | MTS-IP **чёрная дыра** к Контуру (TCP timeout 12с). С LionART (`195.26.30.163`) — TCP/TLS ок, отдаёт 200 (на curl без UA — 403 анти-бот). |
+
+Ключевое: пути у них **разные** (ozon — через туннель, diadoc — напрямую), поэтому и фиксы разные.
+
+## Решения
+
+### ozon.ru — DNS override (как nspd)
+```sh
+# OpenWrt 192.168.1.50
+uci add_list dhcp.@dnsmasq[0].server='/ozon.ru/77.88.8.8'
+uci add_list dhcp.@dnsmasq[0].server='/ozon.ru/8.8.8.8'
+uci commit dhcp && /etc/init.d/dnsmasq restart
+```
+Один override `/ozon.ru/` покрывает всю зону (`www`, `xapi`, `api`, `finance`). CDN `ozone.ru` и так был прямым. Теперь `*.ozon.ru` → реальный IP → прямой MTS (РФ-IP) → Ozon отдаёт сайт.
+
+### diadoc.ru — маршрут через NetBird → pve-LionART (как nspd/zakupki)
+```sh
+# 1. NetBird route (id d8cljnbl0ubs7386r1ug)
+#    46.17.203.0/24 (AS49675 SKB Kontur) → peer cuisnd3l0ubs73bsbbl0 (LionART), group cqgcidrl0ubs73f2hgf0
+# 2. MikroTik 192.168.1.1:
+/ip route add dst-address=46.17.203.0/24 gateway=192.168.1.201 comment="diadoc via NetBird->LionART"
+# 3. MASQUERADE -s 192.168.1.0/24 -o wt0 на pve-niikn — уже стоял (systemd)
+```
+DNS-override для diadoc НЕ нужен — он и так резолвится в реальный IP.
+
+## Проверка
+- **diadoc:** с реального офисного ПК (maul-pc, 192.168.1.89, после `ipconfig /flushdns`) → `www.diadoc.ru` **HTTP 200**. ✅
+- **ozon:** клиент резолвит реальный IP; серверы Ozon отвечают (307 + Set-Cookie). curl упирается в анти-бот «Доступ ограничен» (403) — но **одинаково с MTS и с LionART (двух разных чистых РФ-IP)** ⇒ блок по fingerprint curl, не по IP ⇒ **браузер JS-challenge проходит**. Маршрут через LionART для ozon смысла не имеет (там тот же 403). ✅
+
+## Сопутствующие находки
+- **awg0 туннель ЖИВ** (UP, `10.8.1.16/32`, ping через него 28мс). Раннее подозрение «туннель лёг» = ложная тревога: **busybox `ip` не поддерживает флаг `-br`** → `ip -br link` молча пуст. Проверять `ip addr show <if>` / `ip link show <if>` без `-br`. См. [[../projects/niikn/openwrt-bypass]].
+- **`gosuslugi.ru` сейчас FakeIP'ится** (`198.18.2.204` → Финляндия) = сломан, override снова потерян. Прочие РФ-маркетплейсы (WB, СберМаркет, Я.Маркет, М.Видео, Авито) — direct, ок.
+- `russia_outside` в podkop ловит РФ-сайты узко (ozon, gosuslugi), не массово. Если будут жалобы на другие РФ-сайты — проверять FakeIP и при необходимости рассмотреть удаление `russia_outside` из `community_lists` (для офиса в РФ финский выход для РФ-сайтов вреден).
+
+## Связанные
+- [[../projects/niikn/govru-quickfix-playbook]] — реестр overrides/routes обновлён
+- [[2026-05-04-niikn-nspd-via-netbird-lionart]] — та же схема LionART для nspd
+- [[../projects/niikn/openwrt-bypass]] — общая схема podkop+AWG
diff --git a/projects/niikn/govru-quickfix-playbook.md b/projects/niikn/govru-quickfix-playbook.md
index af4b891..f48aa0f 100644
--- a/projects/niikn/govru-quickfix-playbook.md
+++ b/projects/niikn/govru-quickfix-playbook.md
@@ -152,9 +152,12 @@ Import-Certificate -FilePath $tmp\s.cer -CertStoreLocation Cert:\LocalMachine\CA
 | `rosreestr.gov.ru` | 2026-05-04 | A (но MTS-блок остаётся, нужно расширять до B при обращении) |
 | `culture.gov.ru` | 2026-04-30 (восст. 2026-05-04) | A |
 | `economy.gov.ru` | 2026-05-04 | A (fgistp.economy.gov.ru — Минэк ФГИС ТП) |
+| `ozon.ru` (вся зона `*.ozon.ru`) | 2026-05-29 | `russia_outside` FakeIP'ил → выход в Финляндию → Ozon гео-блокирует зарубежные IP («Доступ ограничен»). Override → прямой MTS (РФ-IP). curl всё равно 403 (анти-бот по fingerprint, одинаков с MTS и LionART) — **браузер проходит JS-challenge**. |
 
 ⚠️ **Эти overrides периодически теряются** при работе с podkop / реконфигах OpenWrt. Если жалоба — проверять uci show dhcp в первую очередь.
 
+> **Аудит 2026-05-29:** живым в `uci show dhcp` был только `nspd.gov.ru` + добавленный `ozon.ru` — остальные gov-overrides из таблицы снова потеряны. `gosuslugi.ru` сейчас FakeIP'ится (`198.18.2.204` → Финляндия) = сломан, надо восстановить override. Прочие РФ-сайты (WB, СберМаркет, Я.Маркет, М.Видео, DNS-shop, Авито) резолвятся напрямую — `russia_outside` ловит узко (ozon, gosuslugi).
+
 ### NetBird Routes (через API) → pve-LionART
 
 | Network | Network ID | CIDR | Назначение |
@@ -162,6 +165,7 @@ Import-Certificate -FilePath $tmp\s.cer -CertStoreLocation Cert:\LocalMachine\CA
 | `nspd-bypass` | `d7ji3ajl0ubs73a92s40` | `2.63.246.0/24` | nspd.gov.ru |
 | `zakupki-bypass` | `d7s61o2fadhs73bjk520` | `95.167.245.0/24` | zakupki.gov.ru main |
 | `telemost-bypass` | `d7s61oafadhs73bjk750` | `87.250.251.0/24` | telemost.yandex.ru |
+| `diadoc-bypass` | `d8cljnbl0ubs7386r1ug` | `46.17.203.0/24` | diadoc.ru / Контур (AS49675) — MTS WAN чёрная дыра (TCP timeout 12с); LionART достаёт. **2026-05-29** |
 
 ### MikroTik 192.168.1.1 — static routes
 
@@ -169,7 +173,7 @@ Import-Certificate -FilePath $tmp\s.cer -CertStoreLocation Cert:\LocalMachine\CA
 /ip/route/print where comment~"NetBird"
 ```
 
-Должны быть routes `2.63.246.0/24`, `95.167.245.0/24`, `87.250.251.0/24` → `192.168.1.201`.
+Должны быть routes `2.63.246.0/24`, `95.167.245.0/24`, `87.250.251.0/24`, `46.17.203.0/24` → `192.168.1.201`.
 
 ### pve-niikn 192.168.1.201 — iptables (persist через systemd)