niikn: обход блокировки nspd.gov.ru через NetBird route
Заменил socat+DNAT+hosts (утренняя попытка 2026-04-21 не решила авторизацию, поддомены sso/auth через FakeIP sing-box уходили в awg0→Финляндию где тоже блок) на два централизованных изменения: - NetBird Network Route 2.63.246.0/24 → pve-LionART для группы All: pushed на все 50 пиров автоматически, никаких действий на Windows-клиентах. - OpenWrt dnsmasq override server=/nspd.gov.ru/8.8.8.8: минует sing-box FakeIP, клиенты LAN НИИКН получают реальные 2.63.246.71-76 и Windows маршрутизирует их через wt0 (NetBird) → pve-LionART → Telekom (195.26.30.163), WAF НСПД пропускает. Работает для главной + всех поддоменов (sso/auth/api). Снесено: - nspd-socat.service на pve-LionART - DNAT "NSPD socat bypass for NIIKN" на MikroTik LionART - bat-снипы niikn-nspd-hosts-install/uninstall - hosts-записи + дубликат Ethernet-маршрута на WIN-BC0OTBOBBCH (192.168.1.202) Протестировано: fallback через awg0 для non-NetBird клиентов не работает — НСПД блочит hosting Amnezia-Финляндии тоже. Единственный known-good exit сейчас — pve-LionART/Telekom 195.26.30.163. Non-NetBird машины НИИКН не откроют НСПД до установки NetBird. Добавлен отчёт для руководства НИИКН (projects/niikn/nspd-incident-report.md).
This commit is contained in:
dttb
@@ -30,19 +30,11 @@ Hairpin NAT: NPM(80,443), TURN(3478→133), Talk TURN(3479→200), RustDesk(2111
|
||||
|
||||
Трафик на FakeIP-диапазон направляется на OpenWrt (192.168.1.50) с podkop.
|
||||
|
||||
## WG-туннель к LionART (для НСПД)
|
||||
## Обход блокировки nspd.gov.ru
|
||||
|
||||
Подсеть НСПД (`2.63.246.0/24`) маршрутизируется через MikroTik LionART (`195.26.30.163`), потому что публичный IP НИИКН (`85.235.181.190`, MTS Customers_P2P_B16) внесён в blacklist WAF НСПД. Подробности и ключи — [decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md](../../decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md).
|
||||
Публичный IP НИИКН (`85.235.181.190`, MTS Customers_P2P_B16) в blacklist WAF НСПД. Решение — **NetBird Network Route `2.63.246.0/24 → pve-LionART`** (exit через LionART WAN `195.26.30.163`) + DNS override в OpenWrt dnsmasq (`server=/nspd.gov.ru/8.8.8.8`, минует FakeIP sing-box). **На MikroTik НИИКН изменений нет.**
|
||||
|
||||
```
|
||||
/interface/wireguard add name=wg-lionart listen-port=51821 mtu=1420
|
||||
/ip address add address=10.99.99.2/30 interface=wg-lionart
|
||||
/ip route add dst-address=2.63.246.0/24 gateway=10.99.99.1 comment="NSPD via LionART"
|
||||
/ip firewall nat add chain=srcnat action=masquerade out-interface=wg-lionart \
|
||||
comment="masq NSPD via LionART WG"
|
||||
```
|
||||
|
||||
Peer endpoint: `195.26.30.163:51820`. **Masquerade на wg-lionart обязателен** — без него обратные пакеты не проходят conntrack на LionART.
|
||||
Подробности: [[../../decisions/2026-04-21-niikn-nspd-netbird-route]].
|
||||
|
||||
## DHCP
|
||||
|
||||
|
||||
95
projects/niikn/nspd-incident-report.md
Normal file
95
projects/niikn/nspd-incident-report.md
Normal file
@@ -0,0 +1,95 @@
|
||||
---
|
||||
date: 2026-04-21
|
||||
type: report
|
||||
audience: management
|
||||
tags: [niikn, nspd, incident, report]
|
||||
---
|
||||
|
||||
# Отчёт: недоступность nspd.gov.ru из сети НИИКН
|
||||
|
||||
**Дата:** 21 апреля 2026
|
||||
**Статус:** решено технически, ожидается долгосрочное решение от Росреестра
|
||||
**Автор:** Олег Батлаев (DevOps)
|
||||
|
||||
---
|
||||
|
||||
## Краткая суть
|
||||
|
||||
С некоторого момента сотрудники НИИКН не могут открыть портал Росреестра **Национальной системы пространственных данных** (`https://nspd.gov.ru/`) — страница не грузится или возвращает сообщение «Запрещено». Проблема затрагивает всех пользователей, работающих с кадастром и пространственными данными.
|
||||
|
||||
**Причина** — не сбой у нас и не сбой у оператора связи. Защитная система Росреестра включила наш офисный интернет-адрес в список запрещённых. Это административно-сетевое решение стороны Росреестра.
|
||||
|
||||
**Сейчас** — доступ восстановлен техническим обходом, описанным ниже. Работа с порталом возможна в обычном режиме.
|
||||
|
||||
---
|
||||
|
||||
## Что именно произошло
|
||||
|
||||
Портал НСПД использует защитную систему (WAF), которая автоматически блокирует подозрительные IP-адреса. В чёрный список попал целый корпоративный диапазон оператора МТС — `Customers_P2P_B16` — к которому принадлежит и публичный адрес нашего офиса `85.235.181.190`.
|
||||
|
||||
С других интернет-каналов (например, домашнего, с другого провайдера) тот же портал открывается без проблем. Блокировка действует **только при обращении с нашего офисного IP**, независимо от браузера, устройства и пользователя.
|
||||
|
||||
В блокировке на стороне Росреестра сотрудники НИИКН никаких нарушений не совершали — это, вероятно, **коллективная блокировка целого диапазона МТС** из-за действий сторонних клиентов оператора.
|
||||
|
||||
## Что сделано для восстановления доступа
|
||||
|
||||
У нас есть отдельный резервный интернет-канал на другой удалённой площадке, с другим оператором связи (провайдер Telekom). Этот канал не заблокирован Росреестром.
|
||||
|
||||
Все обращения к порталу НСПД (и его поддоменам авторизации) теперь проходят через этот резервный канал автоматически, без каких-либо действий пользователя:
|
||||
|
||||
```
|
||||
Компьютер сотрудника НИИКН
|
||||
│
|
||||
└─► по защищённому туннелю на вторую площадку (Proxmox "LionART")
|
||||
│
|
||||
└─► через её интернет-канал (провайдер Telekom)
|
||||
│
|
||||
└─► на портал nspd.gov.ru — доступ разрешён
|
||||
```
|
||||
|
||||
Всё остальное — обычный интернет, рабочие сервисы, видеосвязь — по-прежнему идёт через основной канал МТС без изменений. Только обращения конкретно к серверам НСПД направляются в обход.
|
||||
|
||||
## Что это даёт и насколько надёжно
|
||||
|
||||
- ✅ **Работает прозрачно для пользователя** — сотрудник просто открывает `https://nspd.gov.ru/` в браузере как обычно.
|
||||
- ✅ **Работает для всех функций портала** — включая вход в личный кабинет, API, любые поддомены.
|
||||
- ✅ **Покрывает удалённых сотрудников** — решение автоматически действует для удалёнщиков (Мексика, Казахстан, другие города), если у них на рабочем ноутбуке установлена наша корпоративная VPN-программа NetBird.
|
||||
- ✅ **Не влияет на скорость остального интернета** — только трафик к НСПД уходит в обход, остальной — как раньше.
|
||||
- ✅ **Реализовано централизованно** — администратор включил один раз, работает на всех машинах автоматически.
|
||||
|
||||
## Что требуется от сотрудников и руководства
|
||||
|
||||
**От сотрудников — ничего.** Устанавливать программы, менять настройки, очищать кэш — не нужно. Работает из коробки.
|
||||
|
||||
**Единственное условие** — на рабочем компьютере должна быть установлена наша корпоративная VPN-программа **NetBird**. Она уже установлена на большинстве рабочих машин в НИИКН и у удалённых сотрудников. На новых машинах её устанавливает системный администратор при первичной настройке (это же нужно для многих других рабочих сервисов).
|
||||
|
||||
**Если портал НСПД всё ещё не открывается у конкретного сотрудника** — сообщить администратору. Вероятная причина — на компьютере не запущена или не настроена программа NetBird.
|
||||
|
||||
## Риски и нюансы
|
||||
|
||||
| Риск | Оценка | Что делать |
|
||||
|------|--------|------------|
|
||||
| Второй канал (LionART) может пропасть из-за аварии провайдера Telekom | Низкий (дублирование через разных операторов — устойчивая схема) | При аварии доступ к НСПД восстановится автоматически после возвращения канала |
|
||||
| Росреестр расширит блокировку, включив новые подсети НСПД | Средний | Расширение списка обхода на стороне администратора — вопрос 5 минут |
|
||||
| Новые сотрудники/ноутбуки без VPN NetBird | Средний | Стандартная процедура: установка NetBird включена в чек-лист настройки рабочего места |
|
||||
|
||||
## Что делать для долгосрочного решения
|
||||
|
||||
Техническое решение — это обход. Правильный путь — **добиться исключения нашего корпоративного IP из чёрного списка Росреестра**.
|
||||
|
||||
Рекомендуемые действия от руководства НИИКН:
|
||||
|
||||
1. **Звонок в службу поддержки Росреестра**: **8-800-100-34-34**.
|
||||
Суть обращения: «С корпоративного IP-адреса `85.235.181.190` не открывается портал nspd.gov.ru, WAF блокирует с правилом `57615a88d1ec0120b56fdce6`. Просим разблокировать.»
|
||||
|
||||
2. **Письменное обращение через форму обратной связи** портала: https://nspd.gov.ru/feedback.
|
||||
Приложить скриншот страницы «Запрещено» с указанным `Client IP` и `Rule`.
|
||||
|
||||
3. **Если поддержка Росреестра игнорирует** — обращение в Минцифры или депутатский запрос. Услуга федерального значения, доступная только одному юрлицу — повод для формального разбирательства.
|
||||
|
||||
После разблокировки обход отключается за 30 секунд, портал начнёт работать напрямую.
|
||||
|
||||
## Контакты для вопросов
|
||||
|
||||
**Технический администратор:** Олег Батлаев
|
||||
**Внутренние ссылки (для IT-службы):** [[../../decisions/2026-04-21-niikn-nspd-netbird-route]]
|
||||
@@ -147,6 +147,18 @@ FakeIP диапазон (198.18.0.0/15) направляется через Open
|
||||
|
||||
Клиенты получают DNS 192.168.1.50 (dnsmasq → sing-box FakeIP).
|
||||
|
||||
### DNS override для NSPD (bypass через NetBird, см. [[../../decisions/2026-04-21-niikn-nspd-netbird-route]])
|
||||
|
||||
Чтобы `nspd.gov.ru` **не попадал** в FakeIP sing-box (он в community-list `russia_outside`), dnsmasq делегирует этот домен напрямую в 8.8.8.8:
|
||||
|
||||
```bash
|
||||
uci add_list dhcp.@dnsmasq[0].server='/nspd.gov.ru/8.8.8.8'
|
||||
uci commit dhcp
|
||||
/etc/init.d/dnsmasq restart
|
||||
```
|
||||
|
||||
После этого клиенты получают реальные IP `2.63.246.71-76`, которые попадают в NetBird route `2.63.246.0/24 → pve-LionART`.
|
||||
|
||||
## Как работает FakeIP схема
|
||||
|
||||
1. Клиент запрашивает DNS для `instagram.com` → получает FakeIP `198.18.0.239`
|
||||
|
||||
Reference in New Issue
Block a user