From 4c95b421cb0eb518685a2f6966646eea9218716d Mon Sep 17 00:00:00 2001 From: dttb Date: Mon, 29 Jun 2026 11:47:10 +0300 Subject: [PATCH] =?UTF-8?q?=D0=91=D1=83=D0=B6=D0=B0=D1=80=D0=BE=D0=B2?= =?UTF-8?q?=D0=BE=20podkop:=20=D1=80=D0=B5=D1=86=D0=B8=D0=B4=D0=B8=D0=B2?= =?UTF-8?q?=20'=D0=BD=D0=B5=20=D1=80=D0=B0=D0=B1=D0=BE=D1=82=D0=B0=D0=B5?= =?UTF-8?q?=D1=82=20=D1=83=20=D0=BA=D0=BB=D0=B8=D0=B5=D0=BD=D1=82=D0=BE?= =?UTF-8?q?=D0=B2'=20=E2=80=94=20=D0=B0=D0=BD=D1=82=D0=B8-=D1=83=D1=82?= =?UTF-8?q?=D0=B5=D1=87=D0=BA=D0=B0=20=D1=81=D0=BB=D0=B5=D1=82=D0=B5=D0=BB?= =?UTF-8?q?=D0=B0=20=D0=BF=D0=BE=D1=81=D0=BB=D0=B5=20=D1=80=D0=B5=D0=B1?= =?UTF-8?q?=D1=83=D1=82=D0=B0=20(=D0=BD=D0=B5=D0=BA=D0=BE=D0=BC=D0=BC?= =?UTF-8?q?=D0=B8=D1=82),=20=D0=B2=D0=BE=D1=81=D1=81=D1=82=D0=B0=D0=BD?= =?UTF-8?q?=D0=BE=D0=B2=D0=BB=D0=B5=D0=BD=D0=B0=20=D1=81=20uci=20commit?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit Co-Authored-By: Claude Opus 4.8 --- projects/buzharovo/podkop-router.md | 9 +++++++++ 1 file changed, 9 insertions(+) diff --git a/projects/buzharovo/podkop-router.md b/projects/buzharovo/podkop-router.md index 4967b25..8c65813 100644 --- a/projects/buzharovo/podkop-router.md +++ b/projects/buzharovo/podkop-router.md @@ -109,6 +109,15 @@ MAC'и сняты из ARP-кэша Server1C (WinRM через openclaw LXC137 **Не доделано (вернуться):** подтвердить, что после выключения Amnezia на iPhone .115 трафик идёт через FakeIP (`dst=198.18.x`). Опц.: решить, оставлять ли Block-QUIC-443 (к этому айфону отношения не имел, но полезен против HTTP/3-DoH). +### 2026-06-29: РЕЦИДИВ «не работает у клиентов» — анти-утечка слетела после ребута +Клиенты снова пожаловались. Диагностика по NetBird: **роутер исправен на 100%** (awg0 handshake свежий, выход `151.241.234.241`, FakeIP подменяет `web.telegram.org→198.18.0.16`/`youtube→198.18.0.18`, gosuslugi→реальный IP). **НО все 5 правил анти-утечки (Force-DNS-53 / Block-DoT-853 / Block-DoH-443 / Block-QUIC-443 + iCloud-mask) исчезли из конфига.** В conntrack — 30+ живых утечек клиентского `:53` на публичные резолверы (`.249→1.1.1.1`, `.234→8.8.8.8`, `.238→1.0.0.1` и пр.) → клиенты резолвили telegram/youtube напрямую → мимо FakeIP → мимо туннеля → РКН блок. + +**Корень:** роутер ребутнулся в 04:36 (`uptime`). Правила 06-24 были применены в рантайме, но **не закоммичены** (`uci commit`) → ребут их смыл. RDP-проброс (закоммичен) выжил, анти-утечка — нет. Это band-aid-vs-root урок: фикс не был сделан персистентным. extroot при этом смонтирован (`/dev/sda1→/overlay`), бэкапы 06-24 на месте — overlay цел, дело именно в коммите. + +**Фикс (2026-06-29):** все 5 правил восстановлены через `uci` + **`uci commit firewall && uci commit dhcp`** → теперь в `/etc/config` (на overlay, переживут ребут). Бэкап «до» = `/etc/config/{firewall,dhcp}.bak-restore-20260629`. После `fw4 reload` + рестарт dnsmasq: Force-DNS DNAT-счётчик растёт (клиентский `:53` прозрачно заворачивается на `.1`, reply от `192.168.1.1`), PodkopTable tproxy несёт LAN-трафик на FakeIP→туннель, утечек на WAN — ноль. ⚠️ `conntrack`-бинаря на роутере нет — старые UDP:53-сессии не флашатся вручную, истекают сами за ~40с. + +> **Проверить после следующего ребута:** что `grep -cE "Force-DNS-53|Block-DoT|Block-DoH|Block-QUIC" /etc/config/firewall` = 4. Если снова 0 — значит что-то затирает `/etc/config` (не просто некоммит), копать сторону vendor/sync. + ## Установка на объекте — чеклист (выезд 2026-06-24, утро) TR3000 полностью преднастроен на столе. На объекте — физический своп со WR6500H + WAN провайдера.