НИИКН: culture.gov.ru открыт через DNS override (FakeIP-фикс)

decisions/2026-04-30-niikn-culture-gov-fakeip-fix.md

@@ -0,0 +1,56 @@
+---
+date: 2026-04-30
+type: decision
+tags: [decision, niikn, network, dns, podkop]
+---
+
+# 2026-04-30: Открыть culture.gov.ru из НИИКН (DNS override)
+
+## Проблема
+
+Сотрудники НИИКН — не открывается `https://culture.gov.ru/` (Минкультуры РФ).
+
+## Диагноз
+
+По алгоритму [[notes/govru-diagnosis]]:
+
+| Точка | HTTP | Real IP |
+|-------|------|---------|
+| Mac (Ростелеком Истра) | 200 | 194.190.9.31 |
+| pve-niikn vmbr0 (МТС B2B) | 200 | 194.190.9.31 |
+| OpenWrt 192.168.1.50 nslookup → sing-box (127.0.0.42) | — | **198.18.0.96 (FakeIP)** |
+| OpenWrt curl через AWG | 000 | (Минкульт блочит зарубежные IP) |
+
+МТС B2B не блочит, сайт живой. **Причина** — `culture.gov.ru` подпадает под podkop community-list, DNS подменяется FakeIP, трафик уходит в awg0 Финляндию, оттуда Минкульт даёт Forbidden/timeout. Тот же паттерн, что `zakupki.gov.ru` и `sev.gov.ru`.
+
+## Решение
+
+OpenWrt `192.168.1.50` — добавлен домен в dnsmasq `server=`:
+
+```bash
+ssh root@192.168.1.50
+uci add_list dhcp.@dnsmasq[0].server='/culture.gov.ru/8.8.8.8'
+uci commit dhcp
+/etc/init.d/dnsmasq restart
+```
+
+NetBird route **НЕ требуется**.
+
+## Проверка
+
+```
+DNS 192.168.1.50:    culture.gov.ru → 194.190.9.31, 194.190.9.32
+pve-niikn curl:      HTTP 200, 74 ms через МТС WAN
+```
+
+Клиентам НИИКН — `ipconfig /flushdns` для сброса кэша FakeIP.
+
+## Текущий список dnsmasq override на 192.168.1.50
+
+```
+'127.0.0.42'                  # podkop sing-box
+'/nspd.gov.ru/8.8.8.8'        # + NetBird route 2.63.246.0/24
+'/zakupki.gov.ru/8.8.8.8'     # только DNS
+'/sev.gov.ru/8.8.8.8'         # только DNS
+'/culture.gov.ru/8.8.8.8'     # только DNS — добавлено сегодня
+```