oleg/knowledge-base
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Бужарово podkop: рецидив 'не работает у клиентов' — анти-утечка слетела после ребута (некоммит), восстановлена с uci commit

Browse Source 
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
This commit is contained in:
dttb
2026-06-29 11:47:10 +03:00
parent ede8e5f4d0
commit 4c95b421cb
1 changed files with 9 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

9
projects/buzharovo/podkop-router.md
View File

@@ -109,6 +109,15 @@ MAC'и сняты из ARP-кэша Server1C (WinRM через openclaw LXC137
**Не доделано (вернуться):** подтвердить, что после выключения Amnezia на iPhone .115 трафик идёт через FakeIP (`dst=198.18.x`). Опц.: решить, оставлять ли Block-QUIC-443 (к этому айфону отношения не имел, но полезен против HTTP/3-DoH).
### 2026-06-29: РЕЦИДИВ «не работает у клиентов» — анти-утечка слетела после ребута
Клиенты снова пожаловались. Диагностика по NetBird: **роутер исправен на 100%** (awg0 handshake свежий, выход `151.241.234.241`, FakeIP подменяет `web.telegram.org→198.18.0.16`/`youtube→198.18.0.18`, gosuslugi→реальный IP). **НО все 5 правил анти-утечки (Force-DNS-53 / Block-DoT-853 / Block-DoH-443 / Block-QUIC-443 + iCloud-mask) исчезли из конфига.** В conntrack — 30+ живых утечек клиентского `:53` на публичные резолверы (`.249→1.1.1.1`, `.234→8.8.8.8`, `.238→1.0.0.1` и пр.) → клиенты резолвили telegram/youtube напрямую → мимо FakeIP → мимо туннеля → РКН блок.
**Корень:** роутер ребутнулся в 04:36 (`uptime`). Правила 06-24 были применены в рантайме, но **не закоммичены** (`uci commit`) → ребут их смыл. RDP-проброс (закоммичен) выжил, анти-утечка — нет. Это band-aid-vs-root урок: фикс не был сделан персистентным. extroot при этом смонтирован (`/dev/sda1→/overlay`), бэкапы 06-24 на месте — overlay цел, дело именно в коммите.
**Фикс (2026-06-29):** все 5 правил восстановлены через `uci` + **`uci commit firewall && uci commit dhcp`** → теперь в `/etc/config` (на overlay, переживут ребут). Бэкап «до» = `/etc/config/{firewall,dhcp}.bak-restore-20260629`. После `fw4 reload` + рестарт dnsmasq: Force-DNS DNAT-счётчик растёт (клиентский `:53` прозрачно заворачивается на `.1`, reply от `192.168.1.1`), PodkopTable tproxy несёт LAN-трафик на FakeIP→туннель, утечек на WAN — ноль. ⚠️ `conntrack`-бинаря на роутере нет — старые UDP:53-сессии не флашатся вручную, истекают сами за ~40с.
> **Проверить после следующего ребута:** что `grep -cE "Force-DNS-53|Block-DoT|Block-DoH|Block-QUIC" /etc/config/firewall` = 4. Если снова 0 — значит что-то затирает `/etc/config` (не просто некоммит), копать сторону vendor/sync.
## Установка на объекте — чеклист (выезд 2026-06-24, утро)
TR3000 полностью преднастроен на столе. На объекте — физический своп со WR6500H + WAN провайдера.