diff --git a/decisions/2026-05-29-niikn-diadoc-ozon-fix.md b/decisions/2026-05-29-niikn-diadoc-ozon-fix.md index 33eb8bd..a3492e3 100644 --- a/decisions/2026-05-29-niikn-diadoc-ozon-fix.md +++ b/decisions/2026-05-29-niikn-diadoc-ozon-fix.md @@ -6,6 +6,14 @@ tags: [niikn, network, ozon, diadoc, podkop, netbird, lionart, troubleshooting] # НИИКН: diadoc.ru и ozon.ru не открывались — два разных корня +> ## 🎯 ИТОГ / КОРНЕВОЕ РЕШЕНИЕ (2026-05-29, вечер) +> **Из podkop убран список `russia_outside`** — он и был первопричиной всех повторяющихся жалоб на gov/РФ-сайты. +> `russia_outside` (itdoginfo) = «РФ-сайты, доступные только из РФ-подсетей, для людей **за границей**». Для офиса в РФ он подменял gosuslugi/ozon/ЕИС/nspd на FakeIP и гнал в **финский** туннель → гео-блок «Доступ ограничен». +> Правильный «in-Russia bypass» список — `russia_inside` (заблокированное зарубежное), но он не нужен: точечные `meta`/`youtube`/`telegram` уже покрывают рабочее. Спасибо инсайту Олега про inside/outside. +> **Проверка (sing-box 127.0.0.42 до/после):** РФ-сайты перестали фейкапиться (стали реальными), заблокированные (instagram/youtube/whatsapp) остались в туннеле. +> **Эффект:** dnsmasq-overrides больше не нужны (оставлены как backup) — **слетать и ломать больше нечему**. Цикл «реконфиг → слетело → сломалось» разорван в корне. +> **Сторож:** `niikn-podkop-watchdog.sh` на pve-niikn (cron */15) следит, чтобы `russia_outside` не вернулся при обновлении podkop; алерт через Антошку (@maxim_dttb_bot) Олегу (chat 1292155421). Всё ниже — история диагностики и legacy-обходы (override/маршруты), они остаются как backup. + Жалоба: «в НИИКН не заходит на www.diadoc.ru и на озон». Оказалось — **две независимые причины**, не связанные с (изначально подозреваемыми) потерянными overrides. ## Диагноз diff --git a/projects/niikn/credentials.md b/projects/niikn/credentials.md index e96323e..56a5aea 100644 --- a/projects/niikn/credentials.md +++ b/projects/niikn/credentials.md @@ -54,7 +54,7 @@ tags: [niikn, secret] |----------|----------| | Telegram | `@assistent_maximka_bot` | | Bot Token | `8739202758:AAHbNnNCMQPgVMPL4x3N1eMkWWBCCL2dJ7Y` | -| Allowlist (DM) | `1292155421` (Максим Мауль), `437242345` (Олег) | +| Allowlist (DM) | `1292155421` (Олег Батлаев `@it5870`), `437242345` (Максим Мауль `@performi`) — ⚠️ исправлено 2026-05-29, раньше были перепутаны местами | | Gateway token | `boss-secret-2026` | ## Telegram-боты НИИКН (старые, для архива) diff --git a/projects/niikn/govru-quickfix-playbook.md b/projects/niikn/govru-quickfix-playbook.md index fb9746e..2da9b56 100644 --- a/projects/niikn/govru-quickfix-playbook.md +++ b/projects/niikn/govru-quickfix-playbook.md @@ -8,6 +8,12 @@ tags: [niikn, network, gov-ru, troubleshooting, playbook] Для оператора (Claude / Олег) — пошаговый алгоритм когда сотрудник НИИКН говорит «.gov.ru / .ru не работает». Все компоненты проверены 2026-05-04. +> ## ✅ КОРНЕВОЙ ФИКС 2026-05-29 — читать ПЕРВЫМ +> Первопричина всех этих жалоб устранена: **из podkop убран список `russia_outside`** (он гнал РФ-сайты gosuslugi/ozon/ЕИС/nspd в финский выход → гео-блок). Теперь РФ-сайты резолвятся реально и идут напрямую / через LionART-маршруты. **dnsmasq-overrides и весь алгоритм 2А ниже стали не нужны** (оставлены как backup) — overrides больше не «слетают-и-ломают», т.к. сайты и так не фейкапятся. +> - НЕ возвращать `russia_outside` в podkop! Сторож `niikn-podkop-watchdog.sh` (pve-niikn, cron */15) снимет его + алерт Олегу через Антошку. +> - Если новая жалоба на РФ-сайт: проверь `ssh root@192.168.1.50 'nslookup ДОМЕН 127.0.0.42'` — если `198.18.x`, значит снова попал в какой-то podkop-лист; убрать лист, а не лепить override. +> - Подробно: [decisions/2026-05-29-niikn-diadoc-ozon-fix.md](../../decisions/2026-05-29-niikn-diadoc-ozon-fix.md) + ## Архитектура bypass ``` diff --git a/projects/niikn/openwrt-bypass.md b/projects/niikn/openwrt-bypass.md index 2afb295..19edebf 100644 --- a/projects/niikn/openwrt-bypass.md +++ b/projects/niikn/openwrt-bypass.md @@ -91,7 +91,7 @@ PersistentKeepalive = 25 | Версия | podkop v0.7.14 | | Режим | VPN (connection_type=vpn) | | Интерфейс | awg0 | -| Списки | russia_inside, telegram, meta | +| Списки | meta, youtube, telegram (⛔ `russia_outside` убран 2026-05-29 — ломал РФ-сайты, см. ниже) | | disable_quic | 1 (блокировка QUIC — браузеры используют TCP) | | LuCI плагин | luci-app-podkop | | DNS (sing-box) | 127.0.0.42:53 (FakeIP 198.18.0.0/15) | @@ -110,9 +110,13 @@ config section 'main' option connection_type 'vpn' option interface 'awg0' list community_lists 'meta' - list community_lists 'russia_outside' list community_lists 'youtube' list community_lists 'telegram' + # ⛔ russia_outside УБРАН 2026-05-29 — НЕ возвращать! + # Это список «РФ-сайты для тех, кто ЗА ГРАНИЦЕЙ». Для офиса в РФ он подменял + # gosuslugi/ozon/ЕИС/nspd на FakeIP и гнал в финский выход → гео-блок «Доступ ограничен». + # Сторож: niikn-podkop-watchdog.sh на pve-niikn (cron */15) вернёт удаление + алерт. + # См. decisions/2026-05-29-niikn-diadoc-ozon-fix.md list user_domains 'notebooklm.google.com' list user_domains 'notebooklm.google' list user_domains 'generativelanguage.googleapis.com'