CF Tunnel: тест из РФ — http2 подключается, но quick-tunnel флапает (530); риск, нужен named-test или VPS-туннель

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>

projects/dttb/ai-assistant-pilot/credentials.md

@@ -159,7 +159,7 @@ status: active
 1. DNS `omni.umnybot.ru` (+ др. поддомены) → публичный IP клиента (Cudy WAN, напр. 45.143.21.60).
 2. Роутер клиента (Cudy) форвардит **443 + 80** → NPM коробки (его IP в LAN клиента).
 3. Пере-выпустить серт как **LE-managed на NPM коробки** (HTTP-01 заработает — публичные 80/443 теперь приходят на коробку) → авто-renew. Либо DNS-01.
-- Для будущих клиентов, где Олег НЕ владеет роутером → **Cloudflare Tunnel** (Этап 5): без проброса/белого IP, CF держит TLS — автономнее NPM.
+- **Cloudflare Tunnel** (Этап 5, без проброса/белого IP): `cloudflared` установлен `/usr/local/bin/cloudflared`. **Тест 2026-05-31 из РФ-сети коробки:** подключается к CF только по `--protocol http2` (QUIC/7844 троттлится РФ-DPI: «datagram manager failure», UDP-буфер не растёт), регистрируется на московский edge `dme01`. НО free quick-tunnel (`trycloudflare`) флапает на обслуживании — `530 origin unregistered` и с коробки, и с Mac. Может быть нестабильность РФ-канала ИЛИ известная флакость trycloudflare. **Продакшн named-tunnel не тестирован** (нужен CF-аккаунт + umnybot.ru на CF — у CF стабильный routing, может работать где quick не смог). ⚠️ Для РФ-коробки CF Tunnel РИСКОВАН — альтернатива надёжнее: **VPS reverse-tunnel** (коробка→Finland VPS swtest/vps-znam→публично, исходящий из РФ стабилен, Олег владеет VPS).
 
 Старое (убрать при передаче): основной NPM **10.0.0.195** proxyhost **id30** omni→`10.0.0.163:20128`, cert **id115** — пока обслуживает публичный `omni.umnybot.ru`.