From 67c28bb27d72003a5ba208099806d785844c550e Mon Sep 17 00:00:00 2001 From: dttb Date: Tue, 23 Jun 2026 21:13:03 +0300 Subject: [PATCH] =?UTF-8?q?podkop-reference:=20iPhone=20=C2=AB=D0=B2=D0=B8?= =?UTF-8?q?=D0=B4=D0=B5=D0=BE=20=D1=81=D1=82=D0=BE=D0=BF=D0=BE=D1=80=D0=B8?= =?UTF-8?q?=D1=82=D1=81=D1=8F=C2=BB=20=3D=20=D0=9E=D0=B3=D1=80=D0=B0=D0=BD?= =?UTF-8?q?=D0=B8=D1=87=D0=B5=D0=BD=D0=B8=D0=B5=20=D0=BE=D1=82=D1=81=D0=BB?= =?UTF-8?q?=D0=B5=D0=B6=D0=B8=D0=B2=D0=B0=D0=BD=D0=B8=D1=8F=20IP?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit Уточнил граблю «клиент обходит DNS роутера»: на iPhone первым делом выключать Wi-Fi → Ограничение отслеживания IP-адреса (default-on в iOS, шифрованный DNS мимо роутера, бьёт приложения, не только Safari). Дом 2026-06-23: iPhone Надежды, Instagram-видео «играет и стопорится» при здоровом туннеле — лечилось этим, не роутером. Co-Authored-By: Claude Opus 4.8 --- snippets/podkop-reference.md | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/snippets/podkop-reference.md b/snippets/podkop-reference.md index 2ef3233..5a83a5f 100644 --- a/snippets/podkop-reference.md +++ b/snippets/podkop-reference.md @@ -126,7 +126,7 @@ uci commit podkop && /etc/init.d/podkop restart | **sing-box без procd-автозапуска** | после ребута обход мёртв | `/etc/init.d/sing-box enabled` должно быть включено | | **AmneziaWG H-значения диапазоном** | handshake не встаёт | H1–H4 на сервере и клиенте — фиксированные числа, не диапазоны | | **MTU/фрагментация** | сайты открываются наполовину | MTU awg0 1420→1380; `ping -M do -s 1380 8.8.8.8 -I awg0` | -| **Клиент сам обходит DNS роутера** | curl с роутера ок, у клиента нет | iPhone Private Relay/Safari Hide IP/Chrome DoH. Выключить у клиента; на роутере — DNAT :53 + reject DoH (см. runbook §7). [[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_iphone_breaks_fakeip\|памятка]] | +| **Клиент сам обходит DNS роутера** | curl с роутера ок, у клиента нет; на iPhone «видео играет и стопорится» (Instagram/YouTube) при здоровом туннеле | iPhone: **первым делом Wi-Fi → (i) → «Ограничение отслеживания IP‑адреса» ВЫКЛ** — это default-on в iOS, включает шифрованный DNS мимо роутера и бьёт **приложения** (не только Safari). Далее iCloud Private Relay / Safari Hide IP / Chrome DoH. Выключать у клиента; сетевой вариант — блок `mask.icloud.com`/`mask-h2.icloud.com` + DoH в AGH. На роутере DNAT :53 + reject DoH. Дом 2026-06-23: iPhone Надежды, Instagram-видео — лечилось «Ограничением отслеживания IP». [[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_iphone_breaks_fakeip\|памятка]] | | **`podkop restart` сбрасывает `shutdown_correctly`** | редкие странности после рестарта | проверять флаг после рестарта | | **Роутер ходит, LAN-клиенты — нет** (залип FakeIP/tproxy для форвардного) | сам Cudy `curl https://api.anthropic.com` → 405, а с LXC/клиента ВСЕ туннельные сайты (telegram/anthropic) виснут на **TCP-connect** (`Trying 198.18.x... timed out`, до Connected не доходит); nft-метки/tproxy счётчики растут, но SYN-ACK не возвращается. Прямые сайты (не в списках) у клиента работают | `killall sing-box; sleep 2; rm -f /tmp/sing-box/cache.db; /etc/init.d/podkop restart` на роутере. Бенелюкс 2026-06-21: из-за этого «висли» агенты swarmclaw на коробке (claude не достучивался до Anthropic). **Диагностика-ловушка:** `curl --interface awg0 https://api.anthropic.com` НЕ показатель — резолвит в FakeIP и шлёт фейк прямо в awg0 → ложный таймаут. Правильно = обычный FakeIP-путь роутера. | | **`download_lists_via_proxy='1'` с ПУСТОЙ секцией ломает sing-box** | `sing-box FATAL: start service: initialize rule-set: download detour not found: -out` → detour-тег вышел `-out` (пустая секция + суффикс) | На **0.7.19** включать МОЖНО и НУЖНО, если GitHub блокирован РКН: `uci set podkop.settings.download_lists_via_proxy=1; uci set podkop.settings.download_lists_via_proxy_section=main` → detour `main-out` (туннель). Тогда remote rule-set'ы (`*.srs` с `release-assets.githubusercontent.com`) качаются ЧЕРЕЗ туннель. Без этого при пустом `/tmp/sing-box/rulesets` (после `rm cache.db`/обновления) sing-box падает `initialize rule-set: Get ...` т.к. `route.final=direct-out`=WAN. **Грабля 0.7.14 = НЕ задана секция.** HomeLab dttb 2026-06-23. |