NetBird VPN inventory + cleanup report 13.03.2026

- Full peer inventory (44 active peers) - Groups mapping - Deleted 12 stale peers (6+ months offline) - Also staged pending NIIKN and video surveillance docs
2026-03-13 22:46:15 +03:00
parent 288ae0b5f3
commit a3eb7bf079
6 changed files with 990 additions and 7 deletions
--- a/projects/dttb/video-surveillance-report.md
+++ b/projects/dttb/video-surveillance-report.md
@@ -0,0 +1,291 @@
+# Система видеонаблюдения — Полный отчёт
+> Дата: 16 февраля 2026
+> Статус: Все 3 локации подключены
+
+---
+
+## Общая архитектура
+
+Три удалённые локации объединены через VPN-туннели WireGuard к единому VPS-серверу со статическим IP.
+VPS выступает точкой агрегации: принимает внешние подключения из интернета и пробрасывает их через DNAT к камерам и регистраторам в локальных сетях.
+
+```
+┌──────────────────────────────┐
+│      VPS 89.111.140.86       │
+│    WireGuard: 10.5.0.1       │
+│    NetBird: 100.70.93.36     │
+│    Ubuntu 24.04.3 LTS        │
+└───┬──────────┬──────────┬────┘
+    │          │          │
+ 10.5.0.2   10.5.0.3   10.5.0.4
+    │          │          │
+    ▼          ▼          ▼
+┌──────────┐ ┌──────────┐ ┌──────────────┐
+│Знаменск29│ │Охотхоз-во│ │Знаменск Home │
+│Mikrotik  │ │Mikrotik  │ │ONT→OpenWrt→WG│
+│1 камера  │ │NVR+6 кам │ │UDM Pro → NVR │
+└──────────┘ └──────────┘ └──────────────┘
+```
+
+---
+
+## VPS-сервер
+
+| Параметр | Значение |
+|----------|----------|
+| IP-адрес | 89.111.140.86 |
+| ОС | Ubuntu 24.04.3 LTS, ядро 6.17.0-14-generic |
+| SSH | Ключ /Users/ai/Downloads/id_rsa |
+| WireGuard | wg0, порт 51820/UDP, IP 10.5.0.1/24 |
+| Публичный ключ WG | v95Qiu4diw2EBghyQK4obptxnJ7EhAAUXxNflMS0DTw= |
+| NetBird | 100.70.93.36 |
+| Конфиг WG | /etc/wireguard/wg0.conf |
+| Правила iptables | /etc/iptables/rules.v4 |
+
+---
+
+## Локация 1: Знаменское 29
+
+### Оборудование
+
+| Устройство | IP-адрес | Логин / Пароль |
+|-----------|----------|----------------|
+| Камера HiWatch (1 шт.) | 192.168.88.42 | admin / 1qaz!QAZ |
+| Mikrotik | 192.168.88.1 | admin / admin01 |
+
+### Подключение к VPS
+
+| Параметр | Значение |
+|----------|----------|
+| WireGuard IP | 10.5.0.2 |
+| Публичный ключ | 5ZFvQNSCyJwRn3IdLrxFzFh+BEFeejA8VzUoV5a++jY= |
+| Локальная подсеть | 192.168.88.0/24 |
+
+### Схема
+
+Простейшая из трёх локаций. Mikrotik поднимает WireGuard-туннель напрямую к VPS.
+Один роутер, одна камера.
+
+```
+Интернет → VPS (89.111.140.86)
+                │ DNAT
+                ▼
+        WireGuard туннель
+                │
+                ▼
+     Mikrotik (192.168.88.1)
+                │
+                ▼
+   Камера HiWatch (192.168.88.42)
+```
+
+### Внешний доступ
+
+| Сервис | Адрес | Проброс на |
+|--------|-------|-----------|
+| Веб-интерфейс | http://89.111.140.86:8080 | 192.168.88.42:80 |
+| SDK (iVMS-4200) | 89.111.140.86:8082 | 192.168.88.42:8000 |
+| RTSP-поток | 89.111.140.86:8554 | 192.168.88.42:554 |
+
+RTSP-ссылка: `rtsp://admin:1qaz!QAZ@89.111.140.86:8554/Streaming/Channels/101`
+
+---
+
+## Локация 2: Охотхозяйство
+
+### Оборудование
+
+| Устройство | IP-адрес | Логин / Пароль |
+|-----------|----------|----------------|
+| NVR HiWatch DS-N316(D) | 192.168.8.247 | admin / 1qaz!QAZ |
+| Mikrotik | 192.168.8.1 | admin / 1qaz!QAZ |
+| OpenWrt (NetBird хост) | 192.168.8.108 | root / 1qaz!QAZ |
+| Камера 1 | 192.168.8.2 | — |
+| Камера 2 | 192.168.8.3 | — |
+| Камера 3 | 192.168.8.102 | — |
+| Камера 4 | 192.168.8.110 | — |
+| Камера 5 | 192.168.8.113 | — |
+| Камера 6 | 192.168.8.120 | — |
+
+### Подключение к VPS
+
+| Параметр | Значение |
+|----------|----------|
+| WireGuard IP | 10.5.0.3 |
+| Публичный ключ | zZ4UoWNwTxBODr8xZmoCREBL2zXJcmdcxKIPGp/xBC8= |
+| Локальная подсеть | 192.168.8.0/24 |
+
+### Схема
+
+Mikrotik поднимает WireGuard-туннель к VPS. OpenWrt обеспечивает NetBird-доступ для удалённого управления.
+На VPS DNAT пробрасывает порты как NVR, так и каждой камеры индивидуально.
+
+```
+Интернет → VPS (89.111.140.86)
+                │ DNAT
+                ▼
+        WireGuard туннель
+                │
+                ▼
+     Mikrotik (192.168.8.1)
+          │
+    ┌─────┼──────────────────────┐
+    │     │                      │
+    ▼     ▼                      ▼
+  NVR   Камеры 1-6          OpenWrt (NetBird)
+ (.247) (.2,.3,.102,.110,    (.108)
+         .113,.120)
+```
+
+### Внешний доступ к NVR
+
+| Сервис | Адрес | Проброс на |
+|--------|-------|-----------|
+| Веб-интерфейс | http://89.111.140.86:8180 | 192.168.8.247:80 |
+| SDK (iVMS-4200) | 89.111.140.86:8100 | 192.168.8.247:8000 |
+| RTSP-поток | 89.111.140.86:8555 | 192.168.8.247:554 |
+
+RTSP NVR (каналы 1-6):
+- `rtsp://admin:1qaz!QAZ@89.111.140.86:8555/Streaming/Channels/101`
+- `rtsp://admin:1qaz!QAZ@89.111.140.86:8555/Streaming/Channels/201`
+- `rtsp://admin:1qaz!QAZ@89.111.140.86:8555/Streaming/Channels/301`
+- `rtsp://admin:1qaz!QAZ@89.111.140.86:8555/Streaming/Channels/401`
+- `rtsp://admin:1qaz!QAZ@89.111.140.86:8555/Streaming/Channels/501`
+- `rtsp://admin:1qaz!QAZ@89.111.140.86:8555/Streaming/Channels/601`
+
+### Внешний доступ к камерам напрямую
+
+| Камера | IP | RTSP-порт VPS | SDK-порт VPS |
+|--------|-----|--------------|-------------|
+| 1 | 192.168.8.2 | 8561 | 8201 |
+| 2 | 192.168.8.3 | 8562 | 8202 |
+| 3 | 192.168.8.102 | 8563 | 8203 |
+| 4 | 192.168.8.110 | 8564 | 8204 |
+| 5 | 192.168.8.113 | 8565 | 8205 |
+| 6 | 192.168.8.120 | 8566 | 8206 |
+
+---
+
+## Локация 3: Знаменское Home
+
+### Оборудование
+
+| Устройство | IP-адрес | Логин / Пароль |
+|-----------|----------|----------------|
+| NVR HiWatch DS-N316(D) | 192.168.1.123 | admin / 1qaz!QAZ |
+| Huawei HG8245H (ONT) | 192.168.100.1 | root / admin |
+| OpenWrt_3 (WAN) | 192.168.100.3 | root / 1qaz!QAZ |
+| OpenWrt_3 (LAN) | 10.3.0.1 | — |
+| OpenWrt_3 (NetBird) | 100.70.54.204 | — |
+| UDM Pro (Ubiquiti) | 10.3.0.175 | SSH: k9gLi2C / xdjM0eQkIeZfmCFBYo9DP |
+
+| Параметр NVR | Значение |
+|-------------|----------|
+| Серийный номер | DS-N316(D)1620250625CCRRGC0949997WCVU |
+| Прошивка | V4.76.015 (build 250210) |
+
+### Подключение к VPS
+
+| Параметр | Значение |
+|----------|----------|
+| WireGuard IP | 10.5.0.4 |
+| Публичный ключ | HRsAUPwDOh+36EoHrXVYY5t6YVdb612N+E+3I+o6RTw= |
+| Приватный ключ | 4C9B6iHRRARQfFGBoXimIeznJKj8NX7QmUBW3O+pklE= |
+| Локальные подсети | 192.168.1.0/24, 192.168.100.0/24 |
+
+### Топология
+
+Самая сложная из трёх локаций. Провайдерский GPON-терминал Huawei раздаёт интернет.
+За ним OpenWrt_3 поднимает WireGuard-туннель к VPS. На LAN-стороне OpenWrt_3 стоит
+Ubiquiti UDM Pro, за которым NVR на подсети 192.168.1.0/24.
+
+```
+Интернет
+    │
+    ▼
+Huawei HG8245H ONT (192.168.100.1)
+    │ Провайдерский GPON-терминал
+    │ LAN: 192.168.100.0/24
+    ▼
+OpenWrt_3
+    │ WAN: 192.168.100.3
+    │ LAN: 10.3.0.1
+    │ WireGuard wg0 → VPS (10.5.0.4 ↔ 10.5.0.1)
+    │ AmneziaWG awg0 (10.8.1.7)
+    │ NetBird wt0 (100.70.54.204)
+    │ Podkop + sing-box (обход блокировок)
+    │
+    │ LAN: 10.3.0.0/24
+    ▼
+UDM Pro (10.3.0.175)
+    │ MAC: 9c:05:d6:ac:98:b8
+    │ LAN: 192.168.1.0/24
+    ▼
+NVR HiWatch DS-N316(D) (192.168.1.123)
+```
+
+### Цепочка трафика
+
+`Интернет → VPS (DNAT) → WireGuard → OpenWrt_3 → UDM Pro → NVR`
+
+### Ключевые настройки
+
+| Элемент | Настройка |
+|---------|-----------|
+| Маршрут на OpenWrt_3 | 192.168.1.0/24 via 10.3.0.175 (UCI persistent) |
+| Файрвол OpenWrt_3 | Зона wg: masq=1, форвардинг wg↔lan, wg↔wan |
+| VPS AllowedIPs | 10.5.0.4/32, 192.168.1.0/24, 192.168.100.0/24 |
+| VPS маршруты | 192.168.1.0/24 via 10.5.0.4, 192.168.100.0/24 via 10.5.0.4 |
+
+### Внешний доступ к NVR
+
+| Сервис | Адрес | Проброс на |
+|--------|-------|-----------|
+| Веб-интерфейс | http://89.111.140.86:8280 | 192.168.1.123:80 |
+| SDK (iVMS-4200) | 89.111.140.86:8282 | 192.168.1.123:8000 |
+| RTSP-поток | 89.111.140.86:8284 | 192.168.1.123:554 |
+
+RTSP-ссылка: `rtsp://admin:1qaz!QAZ@89.111.140.86:8284/Streaming/Channels/101`
+
+---
+
+## Сводная таблица портов VPS
+
+Все внешние порты доступны по адресу 89.111.140.86:
+
+| Порт | Протокол | Назначение | Локация |
+|------|----------|-----------|---------|
+| 51820 | UDP | WireGuard | Служебный |
+| | | | |
+| 8080 | TCP | Веб камеры | Знаменское 29 |
+| 8082 | TCP+UDP | SDK камеры | Знаменское 29 |
+| 8554 | TCP | RTSP камеры | Знаменское 29 |
+| | | | |
+| 8180 | TCP | Веб NVR | Охотхозяйство |
+| 8100 | TCP | SDK NVR | Охотхозяйство |
+| 8555 | TCP | RTSP NVR | Охотхозяйство |
+| 8201–8206 | TCP | SDK камер 1–6 | Охотхозяйство |
+| 8561–8566 | TCP | RTSP камер 1–6 | Охотхозяйство |
+| | | | |
+| 8280 | TCP | Веб NVR | Знаменское Home |
+| 8282 | TCP | SDK NVR | Знаменское Home |
+| 8284 | TCP | RTSP NVR | Знаменское Home |
+
+---
+
+## WireGuard-пиры VPS
+
+| Локация | WG IP | Публичный ключ | AllowedIPs |
+|---------|-------|---------------|------------|
+| Знаменское 29 | 10.5.0.2 | 5ZFvQNSCyJwRn3Id... | 10.5.0.2/32, 192.168.88.0/24 |
+| Охотхозяйство | 10.5.0.3 | zZ4UoWNwTxBODr8x... | 10.5.0.3/32, 192.168.8.0/24 |
+| Знаменское Home | 10.5.0.4 | HRsAUPwDOh+36EoH... | 10.5.0.4/32, 192.168.1.0/24, 192.168.100.0/24 |
+
+---
+
+## Известные особенности
+
+- **UDM Pro (Знаменское Home):** SSH-логин работает, но Network Application не запускается — веб-интерфейс управления Ubiquiti недоступен
+- **Podkop/sing-box на OpenWrt_3:** TPROXY может мешать исходящему TCP. При диагностике проблем со связью рекомендуется временно останавливать: `service podkop stop; service sing-box stop`
+- **NetBird на OpenWrt_3:** Маршрут NIIKN для 192.168.1.0/24 был деселектирован, чтобы не конфликтовать с WireGuard-маршрутом
+- **Huawei ONT (192.168.100.1):** Иногда показывает "Waiting..." — перезагрузка решает проблему