decision НСПД НИИКН: добавлены zakupki + telemost через тот же NetBird->LionART (+ MSS clamp на wt0)

decisions/2026-05-04-niikn-nspd-via-netbird-lionart.md

@@ -83,6 +83,30 @@ Persist через systemd unit `/etc/systemd/system/iptables-nspd-restore.servi
 
 Тот же ru-trust cert у `culture.gov.ru`, `gosuslugi.ru`, `rosreestr.gov.ru` (последний ещё блокирует MTS-IP отдельно — нужен такой же bypass через LionART).
 
+### 2026-05-04 — добавлены zakupki и telemost
+
+Аналогичная схема (без TLS-cert проблем — `zakupki.gov.ru` имеет GlobalSign cert, `telemost.yandex.ru` тоже стандартный).
+
+NetBird Routes API (`POST /api/routes`):
+- `zakupki-bypass` → `95.167.245.0/24` (id `d7s61o2fadhs73bjk520`) → peer `cuisnd3l0ubs73bsbbl0` (pve-lionart)
+- `telemost-bypass` → `87.250.251.0/24` (id `d7s61oafadhs73bjk750`) → тот же peer
+
+MikroTik НИИКН:
+```
+/ip/route/add dst-address=95.167.245.0/24 gateway=192.168.1.201 comment="zakupki via NetBird->LionART"
+/ip/route/add dst-address=87.250.251.0/24 gateway=192.168.1.201 comment="telemost via NetBird->LionART"
+```
+
+pve-niikn — добавлен **MSS clamping** для wt0 (NetBird MTU=1280, br-lan/vmbr0=1500 → большие TCP-ответы дропались):
+```bash
+iptables -t mangle -A FORWARD -o wt0 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
+iptables -t mangle -A FORWARD -i wt0 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
+```
+
+Не забыть `iptables-save > /etc/iptables/rules.v4` для persist (или дополнить `iptables-nspd-restore.service`).
+
+Известный артефакт: `lk.zakupki.gov.ru` (`94.25.27.250`) даёт TLS handshake failure даже с LionART — у него mTLS / ГОСТ-крипто-провайдер требуется. Решается локально на клиенте (КриптоПро/JaCarta), не сетевыми средствами.
+
 ## Откат
 
 ```bash