diff --git a/projects/krasnogorsk/README.md b/projects/krasnogorsk/README.md index 7473db7..8d1aead 100644 --- a/projects/krasnogorsk/README.md +++ b/projects/krasnogorsk/README.md @@ -3,45 +3,94 @@ ## Описание Комплексный ИТ-проект в Красногорске (Снегири). Домашняя сеть с VPN-доступом. -## Роутер +## Топология сети +``` +Провайдер (DHCP/IPoE) + │ +TP-Link Deco P9 (Master) — 192.168.68.1 (MAC: 14:EB:B6:DC:DC:36) + │ (192.168.68.0/24) + │ +Cudy TR3000 (OpenWrt) — WAN: 192.168.68.100, LAN: 192.168.2.1/24 + │ + ├── Устройства (192.168.2.0/24) + └── Deco P9 (Satellite) — 192.168.2.147 (MAC: 14:EB:B6:DC:D2:10) +``` + +## Deco P9 (точка доступа / шлюз провайдера) +- Модель: deco P9(EU) v2.0 +- FW: 1.3.0 Build 20250804 +- Master: 14:EB:B6:DC:DC:36, alias "Гараж", status=online +- Satellite: 14:EB:B6:DC:D2:10, alias "Мой Гараж", status=online +- TP-Link Cloud: batlaew@yandex.ru / 260380Oleg (deviceId: 80192D5C9947C7BC11CB35197BC367121F9774EC) +- Web UI: https://192.168.68.1 (доступен только из сети 192.168.68.0/24) +- API: RSA+AES шифрование, cloud passthrough не поддерживается +- Не удалось авторизоваться через API — нужен доступ через приложение Tether + +## Подключение к провайдеру (анализ) +- **Тип: DHCP / IPoE** (не PPPoE — MTU=1500, нет pppd процесса) +- DNS провайдера: 172.16.100.58, 172.16.100.53 (внутренние IP — типично для GPON/FTTH) +- Нет PPPoE логина/пароля — подключение по DHCP, привязка по MAC +- MAC Deco P9 (WAN): нужно уточнить (может отличаться от LAN MAC 14:EB:B6:DC:DC:36) + +## Задача: замена Deco P9 на MikroTik LTE +### Что нужно для MikroTik: +1. **Основной канал (ISP)**: WAN = DHCP, возможно привязка по MAC + - Если провайдер привязывает по MAC → клонировать MAC Deco на MikroTik + - Если нет привязки → просто DHCP +2. **Резервный канал (Мегафон LTE)**: SIM-карта в LTE-модуле MikroTik + - Failover: ISP primary, LTE backup +3. **Настройки для переноса**: + - DHCP server для 192.168.68.0/24 (или переключить Cudy WAN на MikroTik LAN) + - DNS: можно оставить провайдерские или 8.8.8.8/1.1.1.1 + +### TODO для извлечения WAN MAC: +- Вариант 1: Через приложение TP-Link Tether → Internet → Connection Type +- Вариант 2: Подключить ноутбук в сеть 192.168.68.x → зайти на https://192.168.68.1 +- Вариант 3: Посмотреть на наклейке Deco P9 (WAN MAC обычно = LAN MAC или +1) + +## Cudy TR3000 (роутер OpenWrt) - Модель: Cudy TR3000 v1 (ARMv8) - OpenWrt 24.10.3 (kernel 6.6.104) - Hostname: OpenWrt_6 -- LAN: 192.168.2.1/24 (br-lan) -- WAN: 192.168.68.100 (DHCP от вышестоящего роутера) +- LAN: 192.168.2.1/24 (br-lan), WAN: 192.168.68.100 (eth0, DHCP) +- WAN MAC: 80:AF:CA:CC:D1:13 - Netbird VPN: 100.70.152.137 (wt0) - AmneziaWG: 10.8.1.26 (awg0) -- LuCI: http://100.70.152.137 (root / 1qaz!QAZ) -- SSH: root / 1qaz!QAZ (порт 22, ash shell) -- RAM: 486MB total, ~290MB available +- LuCI/ubus: http://100.70.152.137 (root / 1qaz!QAZ, порт 80) +- SSH: root / 1qaz!QAZ (порт 22, dropbear, key auth настроен — claude-code ed25519) +- RAM: 486MB, rootfs: squashfs ## VPN - Netbird: wt0, зона lan -- AmneziaWG: awg0 +- AmneziaWG: awg0 (10.8.1.26) - PPTP: настроен -- Podkop: DNS через DoH (8.8.8.8), community list russia_inside, VLESS proxy +- Podkop: DoH 8.8.8.8, russia_inside, VLESS proxy (202.71.12.186) -## WiFi -- 2.4GHz (radio0): SSID=OpenWrt, channel=1, HE20, open (нет шифрования!) -- 5GHz (radio1): SSID=OpenWrt, channel=36, HE80, open (нет шифрования!) -- ВНИМАНИЕ: WiFi без пароля! +## WiFi (НЕЗАЩИЩЁН!) +- 2.4GHz: SSID=OpenWrt, ch1, HE20, open +- 5GHz: SSID=OpenWrt, ch36, HE80, open +- TODO: настроить WPA2/WPA3 ## Firewall -- LAN zone: input=ACCEPT, forward=ACCEPT (lan + netbird) -- WAN zone: input=REJECT, forward=REJECT (wan + wan6 + pptp) +- LAN: ACCEPT all (lan + netbird) +- WAN: REJECT input/forward (wan + wan6 + pptp) -## Устройства в сети (DHCP) -| IP | Hostname | MAC | -|----|----------|-----| -| 192.168.2.131 | MSI | 88:D8:2E:F5:7E:E5 | -| 192.168.2.139 | NTH-NX9 | 32:0F:3C:48:44:F5 | -| 192.168.2.147 | deco-P9 | 14:EB:B6:DC:D2:10 | -| 192.168.2.152 | ? | 4E:A0:49:06:25:19 | -| 192.168.2.165 | TIZEN | D4:9D:C0:BE:C1:18 | -| 192.168.2.204 | ? | 14:EB:B6:DC:9B:DA | -| 192.168.2.213 | Lenovo | 00:23:15:D3:0E:4B | -| 192.168.2.224 | ? | 6C:5A:B0:96:34:86 | -| 192.168.2.228 | Marshall | 94:F6:F2:68:C6:4D | +## Устройства в сети (DHCP 192.168.2.0/24) +| IP | Hostname | MAC | Описание | +|----|----------|-----|----------| +| 192.168.2.131 | MSI | 88:D8:2E:F5:7E:E5 | Ноутбук MSI | +| 192.168.2.139 | NTH-NX9 | 32:0F:3C:48:44:F5 | - | +| 192.168.2.147 | deco-P9 | 14:EB:B6:DC:D2:10 | Deco P9 satellite | +| 192.168.2.152 | ? | 4E:A0:49:06:25:19 | - | +| 192.168.2.165 | TIZEN | D4:9D:C0:BE:C1:18 | Samsung TV | +| 192.168.2.204 | ? | 14:EB:B6:DC:9B:DA | TP-Link устройство | +| 192.168.2.213 | Lenovo | 00:23:15:D3:0E:4B | Ноутбук Lenovo | +| 192.168.2.224 | ? | 6C:5A:B0:96:34:86 | TP-Link устройство | +| 192.168.2.228 | Marshall | 94:F6:F2:68:C6:4D | Marshall колонка | + +## TP-Link Cloud (batlaew@yandex.ru) +- 68 устройств: Deco P9 x51, Deco E4S x5, Deco E4R x3, X50-Outdoor x2, Archer C60, C86, L530 x6, L900 +- API: https://eu-wap.tplinkcloud.com, token получается через login ## Компоненты проекта - Видеонаблюдение (см. КП/КП по видеонаблюдению Снегири.pdf) @@ -57,5 +106,6 @@ ## Заметки - Дата создания: 2026-03-06 -- WiFi нужно защитить паролем (WPA3/WPA2) -- WAN через вышестоящий роутер (192.168.68.x) +- SSH ключ claude-code добавлен на Cudy (authorized_keys) +- Deco P9 cloud passthrough не работает — только локальный шифрованный API +- WiFi нужно защитить паролем