From 8e13ae2e17a3bdc426d85353e6a88eb835457e97 Mon Sep 17 00:00:00 2001 From: dttb Date: Mon, 4 May 2026 12:39:21 +0300 Subject: [PATCH] =?UTF-8?q?decision=20=D0=9D=D0=A1=D0=9F=D0=94=20=D0=9D?= =?UTF-8?q?=D0=98=D0=98=D0=9A=D0=9D:=20=D0=B4=D0=BE=D0=B1=D0=B0=D0=B2?= =?UTF-8?q?=D0=BB=D0=B5=D0=BD=D1=8B=20zakupki=20+=20telemost=20=D1=87?= =?UTF-8?q?=D0=B5=D1=80=D0=B5=D0=B7=20=D1=82=D0=BE=D1=82=20=D0=B6=D0=B5=20?= =?UTF-8?q?NetBird->LionART=20(+=20MSS=20clamp=20=D0=BD=D0=B0=20wt0)?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- ...26-05-04-niikn-nspd-via-netbird-lionart.md | 24 +++++++++++++++++++ 1 file changed, 24 insertions(+) diff --git a/decisions/2026-05-04-niikn-nspd-via-netbird-lionart.md b/decisions/2026-05-04-niikn-nspd-via-netbird-lionart.md index f29c403..f17571d 100644 --- a/decisions/2026-05-04-niikn-nspd-via-netbird-lionart.md +++ b/decisions/2026-05-04-niikn-nspd-via-netbird-lionart.md @@ -83,6 +83,30 @@ Persist через systemd unit `/etc/systemd/system/iptables-nspd-restore.servi Тот же ru-trust cert у `culture.gov.ru`, `gosuslugi.ru`, `rosreestr.gov.ru` (последний ещё блокирует MTS-IP отдельно — нужен такой же bypass через LionART). +### 2026-05-04 — добавлены zakupki и telemost + +Аналогичная схема (без TLS-cert проблем — `zakupki.gov.ru` имеет GlobalSign cert, `telemost.yandex.ru` тоже стандартный). + +NetBird Routes API (`POST /api/routes`): +- `zakupki-bypass` → `95.167.245.0/24` (id `d7s61o2fadhs73bjk520`) → peer `cuisnd3l0ubs73bsbbl0` (pve-lionart) +- `telemost-bypass` → `87.250.251.0/24` (id `d7s61oafadhs73bjk750`) → тот же peer + +MikroTik НИИКН: +``` +/ip/route/add dst-address=95.167.245.0/24 gateway=192.168.1.201 comment="zakupki via NetBird->LionART" +/ip/route/add dst-address=87.250.251.0/24 gateway=192.168.1.201 comment="telemost via NetBird->LionART" +``` + +pve-niikn — добавлен **MSS clamping** для wt0 (NetBird MTU=1280, br-lan/vmbr0=1500 → большие TCP-ответы дропались): +```bash +iptables -t mangle -A FORWARD -o wt0 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu +iptables -t mangle -A FORWARD -i wt0 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu +``` + +Не забыть `iptables-save > /etc/iptables/rules.v4` для persist (или дополнить `iptables-nspd-restore.service`). + +Известный артефакт: `lk.zakupki.gov.ru` (`94.25.27.250`) даёт TLS handshake failure даже с LionART — у него mTLS / ГОСТ-крипто-провайдер требуется. Решается локально на клиенте (КриптоПро/JaCarta), не сетевыми средствами. + ## Откат ```bash