oleg/knowledge-base
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

niikn: обход блокировки nspd.gov.ru через NetBird route

Browse Source 
Заменил socat+DNAT+hosts (утренняя попытка 2026-04-21 не решила авторизацию,
поддомены sso/auth через FakeIP sing-box уходили в awg0→Финляндию где тоже
блок) на два централизованных изменения:

- NetBird Network Route 2.63.246.0/24 → pve-LionART для группы All:
  pushed на все 50 пиров автоматически, никаких действий на Windows-клиентах.
- OpenWrt dnsmasq override server=/nspd.gov.ru/8.8.8.8: минует sing-box
  FakeIP, клиенты LAN НИИКН получают реальные 2.63.246.71-76 и Windows
  маршрутизирует их через wt0 (NetBird) → pve-LionART → Telekom (195.26.30.163),
  WAF НСПД пропускает. Работает для главной + всех поддоменов (sso/auth/api).

Снесено:
- nspd-socat.service на pve-LionART
- DNAT "NSPD socat bypass for NIIKN" на MikroTik LionART
- bat-снипы niikn-nspd-hosts-install/uninstall
- hosts-записи + дубликат Ethernet-маршрута на WIN-BC0OTBOBBCH (192.168.1.202)

Протестировано: fallback через awg0 для non-NetBird клиентов не работает —
НСПД блочит hosting Amnezia-Финляндии тоже. Единственный known-good exit
сейчас — pve-LionART/Telekom 195.26.30.163. Non-NetBird машины НИИКН не
откроют НСПД до установки NetBird.

Добавлен отчёт для руководства НИИКН (projects/niikn/nspd-incident-report.md).
This commit is contained in:
dttb
2026-04-21 11:07:20 +03:00
parent 0e054aaf97
commit 9a203fef4a
7 changed files with 289 additions and 26 deletions
Download Patch File Download Diff File Expand all files Collapse all files

95
projects/niikn/nspd-incident-report.md Normal file
View File

@@ -0,0 +1,95 @@
---
date: 2026-04-21
type: report
audience: management
tags: [niikn, nspd, incident, report]
---
# Отчёт: недоступность nspd.gov.ru из сети НИИКН
**Дата:** 21 апреля 2026
**Статус:** решено технически, ожидается долгосрочное решение от Росреестра
**Автор:** Олег Батлаев (DevOps)
---
## Краткая суть
С некоторого момента сотрудники НИИКН не могут открыть портал Росреестра **Национальной системы пространственных данных** (`https://nspd.gov.ru/`) — страница не грузится или возвращает сообщение «Запрещено». Проблема затрагивает всех пользователей, работающих с кадастром и пространственными данными.
**Причина** — не сбой у нас и не сбой у оператора связи. Защитная система Росреестра включила наш офисный интернет-адрес в список запрещённых. Это административно-сетевое решение стороны Росреестра.
**Сейчас** — доступ восстановлен техническим обходом, описанным ниже. Работа с порталом возможна в обычном режиме.
---
## Что именно произошло
Портал НСПД использует защитную систему (WAF), которая автоматически блокирует подозрительные IP-адреса. В чёрный список попал целый корпоративный диапазон оператора МТС`Customers_P2P_B16` — к которому принадлежит и публичный адрес нашего офиса `85.235.181.190`.
С других интернет-каналов (например, домашнего, с другого провайдера) тот же портал открывается без проблем. Блокировка действует **только при обращении с нашего офисного IP**, независимо от браузера, устройства и пользователя.
В блокировке на стороне Росреестра сотрудники НИИКН никаких нарушений не совершали — это, вероятно, **коллективная блокировка целого диапазона МТС** из-за действий сторонних клиентов оператора.
## Что сделано для восстановления доступа
У нас есть отдельный резервный интернет-канал на другой удалённой площадке, с другим оператором связи (провайдер Telekom). Этот канал не заблокирован Росреестром.
Все обращения к порталу НСПД (и его поддоменам авторизации) теперь проходят через этот резервный канал автоматически, без каких-либо действий пользователя:
```
Компьютер сотрудника НИИКН
└─► по защищённому туннелю на вторую площадку (Proxmox "LionART")
└─► через её интернет-канал (провайдер Telekom)
└─► на портал nspd.gov.ru — доступ разрешён
```
Всё остальное — обычный интернет, рабочие сервисы, видеосвязь — по-прежнему идёт через основной канал МТС без изменений. Только обращения конкретно к серверам НСПД направляются в обход.
## Что это даёт и насколько надёжно
-**Работает прозрачно для пользователя** — сотрудник просто открывает `https://nspd.gov.ru/` в браузере как обычно.
-**Работает для всех функций портала** — включая вход в личный кабинет, API, любые поддомены.
-**Покрывает удалённых сотрудников** — решение автоматически действует для удалёнщиков (Мексика, Казахстан, другие города), если у них на рабочем ноутбуке установлена наша корпоративная VPN-программа NetBird.
-**Не влияет на скорость остального интернета** — только трафик к НСПД уходит в обход, остальной — как раньше.
-**Реализовано централизованно** — администратор включил один раз, работает на всех машинах автоматически.
## Что требуется от сотрудников и руководства
**От сотрудников — ничего.** Устанавливать программы, менять настройки, очищать кэш — не нужно. Работает из коробки.
**Единственное условие** — на рабочем компьютере должна быть установлена наша корпоративная VPN-программа **NetBird**. Она уже установлена на большинстве рабочих машин в НИИКН и у удалённых сотрудников. На новых машинах её устанавливает системный администратор при первичной настройке (это же нужно для многих других рабочих сервисов).
**Если портал НСПД всё ещё не открывается у конкретного сотрудника** — сообщить администратору. Вероятная причина — на компьютере не запущена или не настроена программа NetBird.
## Риски и нюансы
| Риск | Оценка | Что делать |
|------|--------|------------|
| Второй канал (LionART) может пропасть из-за аварии провайдера Telekom | Низкий (дублирование через разных операторов — устойчивая схема) | При аварии доступ к НСПД восстановится автоматически после возвращения канала |
| Росреестр расширит блокировку, включив новые подсети НСПД | Средний | Расширение списка обхода на стороне администратора — вопрос 5 минут |
| Новые сотрудники/ноутбуки без VPN NetBird | Средний | Стандартная процедура: установка NetBird включена в чек-лист настройки рабочего места |
## Что делать для долгосрочного решения
Техническое решение — это обход. Правильный путь — **добиться исключения нашего корпоративного IP из чёрного списка Росреестра**.
Рекомендуемые действия от руководства НИИКН:
1. **Звонок в службу поддержки Росреестра**: **8-800-100-34-34**.
Суть обращения: «С корпоративного IP-адреса `85.235.181.190` не открывается портал nspd.gov.ru, WAF блокирует с правилом `57615a88d1ec0120b56fdce6`. Просим разблокировать.»
2. **Письменное обращение через форму обратной связи** портала: https://nspd.gov.ru/feedback.
Приложить скриншот страницы «Запрещено» с указанным `Client IP` и `Rule`.
3. **Если поддержка Росреестра игнорирует** — обращение в Минцифры или депутатский запрос. Услуга федерального значения, доступная только одному юрлицу — повод для формального разбирательства.
После разблокировки обход отключается за 30 секунд, портал начнёт работать напрямую.
## Контакты для вопросов
**Технический администратор:** Олег Батлаев
**Внутренние ссылки (для IT-службы):** [[../../decisions/2026-04-21-niikn-nspd-netbird-route]]