Бужарово роутер: переименован Severny-Les, подключён к NetBird
- hostname Severni_Les → Severny-Les (корректная латиница). - NetBird: 100.70.113.251 (severny-les-113-251.netbird.cloud), Claude-Diag, --disable-dns; firewall-зона nbird (wt0: input ACCEPT, forward REJECT) — без неё SSH на NetBird-IP = refused. Прямой доступ ssh root@100.70.113.251. - Также зафиксирован фикс DoH: dns_server=1.1.1.1/dns-query (без https://, иначе баг парсера диагностики podkop) — из прошлой правки. Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
This commit is contained in:
dttb
@@ -5,10 +5,13 @@ tags: [buzharovo, openwrt, podkop, amneziawg, fakeip, doh]
|
||||
aliases: [Severni Les router, Бужарово podkop роутер]
|
||||
---
|
||||
|
||||
# Бужарово — podkop-роутер «Severni Les» (Cudy TR3000)
|
||||
# Бужарово — podkop-роутер «Severny-Les» (Cudy TR3000)
|
||||
|
||||
Отдельный роутер обхода РКН для стройрынка Бужарово (Северный лес). **Не путать** со шлюзом 1С-сервера [[buzharovo-router|Cudy WR6500H 185.13.47.2]] — это новый Cudy TR3000 под podkop.
|
||||
|
||||
- **hostname:** `Severny-Les` (было `Severni_Les` — поправлено на корректную латиницу 2026-06-23).
|
||||
- **NetBird:** `100.70.113.251` / `severny-les-113-251.netbird.cloud` (группа Claude-Diag, ключ `64DF527E-…`, `--disable-dns`). Прямой доступ: **`ssh root@100.70.113.251`** (root/`1qaz!QAZ`).
|
||||
|
||||
## Железо / ОС
|
||||
- **Cudy TR3000 v1**, OpenWrt 24.10.3 r28872, aarch64; extroot на USB.
|
||||
- podkop **v0.7.19**, sing-box **1.12.4** (бинарь скопирован с домашнего 10.0.0.1; opkg-метадата числит 1.12.22 — бэкап `/usr/bin/sing-box.bak-1.12.22`; версия на обход НЕ влияла, см. ниже).
|
||||
@@ -17,7 +20,9 @@ aliases: [Severni Les router, Бужарово podkop роутер]
|
||||
Сейчас стоит в домашней лабе: воткнут во **второй LAN-порт Proxmox**.
|
||||
- LAN роутера: **192.168.1.1/24** (br-lan).
|
||||
- WAN роутера: `eth0` DHCP из домашней сети — IP **10.0.0.215**, шлюз **10.0.0.1** (домашний роутер). Весь интернет идёт через дом.
|
||||
- **Доступ:** jump через Proxmox — `ssh root@10.0.0.250` → `ssh -o UserKnownHostsFile=/dev/null root@192.168.1.1` (root / `1qaz!QAZ`). Host-key 192.168.1.1 на Proxmox конфликтует (там раньше было другое устройство) → нужен `UserKnownHostsFile=/dev/null`.
|
||||
- **Доступ (основной):** по NetBird — `ssh root@100.70.113.251`.
|
||||
- **Доступ (фолбэк, по LAN):** jump через Proxmox — `ssh root@10.0.0.250` → `ssh -o UserKnownHostsFile=/dev/null root@192.168.1.1` (root / `1qaz!QAZ`). Host-key 192.168.1.1 на Proxmox конфликтует → нужен `UserKnownHostsFile=/dev/null`.
|
||||
- **Firewall для NetBird:** добавлена зона `nbird` (device `wt0`, `input=ACCEPT` для управления, `forward=REJECT` — NetBird-пиры НЕ ходят в LAN стройрынка, masq off). Без неё SSH на NetBird-IP = «Connection refused» (wt0 был вне зон). ⚠️ Доступ к роутеру по NetBird гейтит ACL группы Claude-Diag — на проде сузить, если в группе лишние пиры.
|
||||
- На стройрынке будет свой провайдер — сохранить LAN `192.168.1.0/24`.
|
||||
|
||||
## Туннель
|
||||
@@ -32,10 +37,14 @@ aliases: [Severni Les router, Бужарово podkop роутер]
|
||||
| `community_lists` | `meta youtube telegram` |
|
||||
| `disable_quic` | `1` |
|
||||
| `dns_type` | **`doh`** ← ключевой фикс |
|
||||
| `dns_server` | **`https://1.1.1.1/dns-query`** (DoH по IP) |
|
||||
| `dns_server` | **`1.1.1.1/dns-query`** (DoH по IP, БЕЗ префикса `https://`) |
|
||||
| `download_lists_via_proxy` | **`1`** / section `main` |
|
||||
|
||||
> ⚠️ **DoH по IP, не по хостнейму.** Если задать `dns_server=8.8.8.8`, podkop подставляет каноничный DoH-URL `https://dns.google/dns-query` (**хостнейм**) — а его надо резолвить через bootstrap по `:53`, который за домашним хайджеком → диагностика podkop «Основной DNS» краснеет и резолв хрупкий. Решение: полный URL с IP — `https://1.1.1.1/dns-query` → `url_get_host`=1.1.1.1 (IPv4) → bootstrap не нужен, sing-box стучит прямо на `1.1.1.1:443`. Диагностика зелёная, robust.
|
||||
> ⚠️ **DoH по IP, и значение — `1.1.1.1/dns-query` (без `https://`).** Два подвоха:
|
||||
> 1. **Не bare IP.** Если задать `dns_server=8.8.8.8`, podkop подставляет каноничный DoH-URL `https://dns.google/dns-query` (**хостнейм**) — его надо резолвить через bootstrap по `:53` (за домашним хайджеком) → хрупко.
|
||||
> 2. **Не полный URL `https://1.1.1.1/dns-query`.** Конфиг sing-box он соберёт верно (IP-DoH), НО **проверка «Основной DNS» в диагностике podkop баговая**: делит `dns_server` по `/` и для `https://…` выполняет `dig @https:` → ложный красный крест.
|
||||
> Правильное значение **`1.1.1.1/dns-query`**: `url_get_host`=`1.1.1.1` (IPv4) → bootstrap не нужен (sing-box стучит прямо на `1.1.1.1:443`), И диагностика парсит верно (`dig @1.1.1.1 +https=/dns-query`) → зелёная.
|
||||
> Косметика: «Счётчики правил mangle» краснеют в препроде (нет LAN-клиентов → forward-метки на нуле); в проде с клиентами зеленеют.
|
||||
|
||||
## Грабли, которые лечили (2026-06-23)
|
||||
1. **`download_lists_via_proxy=0` → sing-box не качал rule-set'ы** (GitHub блокирован РКН по WAN, `/tmp/sing-box/rulesets` пуст). Фикс: `download_lists_via_proxy=1` + `download_lists_via_proxy_section=main` (detour→`main-out`=туннель). Бэкап `/etc/config/podkop.bak-srs-fix-20260623`. Подробно: [[../../snippets/podkop-reference]] §5.
|
||||
|
||||
Reference in New Issue
Block a user