obsidian auto-sync 2026-04-20 10:10:22

projects/niikn/openwrt-bypass.md

@@ -232,6 +232,32 @@ traceroute -n 198.18.0.1
 # Первый hop должен быть 192.168.1.50
 ```
 
+## Исключение доменов из проксирования
+
+В podkop v0.7.14 нет UCI-параметра для исключения доменов из проксирования (`exclude_user_domains` отсутствует). Решение — DNS override в dnsmasq: запросы для конкретного домена идут в bypass-DNS, минуя sing-box, → клиент получает реальный IP → MikroTik роутит напрямую.
+
+```bash
+ssh root@192.168.1.50
+
+# Добавить домен в обход проксирования
+uci add_list dhcp.@dnsmasq[0].server='/nspd.gov.ru/77.88.8.8'
+uci add_list dhcp.@dnsmasq[0].server='/nspd.gov.ru/8.8.8.8'
+uci commit dhcp
+/etc/init.d/dnsmasq restart
+
+# Очистить кэш sing-box (старые FakeIP записи)
+rm -f /tmp/sing-box/cache.db
+/etc/init.d/sing-box restart
+
+# Проверка
+nslookup nspd.gov.ru 192.168.1.50
+# Должен вернуть РЕАЛЬНЫЙ IP, не 198.18.x.x
+```
+
+После этого на клиенте сделать `ipconfig /flushdns` (Win) или `sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder` (Mac).
+
+**Когда нужно:** российские госсайты (nspd.gov.ru, gosuslugi.ru) попавшие в community-листы блокируют зарубежные IP → выход через AWG получает Forbidden.
+
 ## Известные проблемы / Особенности
 
 - `proto_amneziawg_check_installed: not found` — баг в `/lib/netifd/proto/amneziawg.sh:298`, нефатальный, интерфейс поднимается