oleg/knowledge-base
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Homepage: группа 'OpenWrt роутеры' (все 10) + Sergey/Lipki остаются в Клиентах

Browse Source 
- workflow-скан vault → 10 OpenWrt-роутеров, ping по NetBird (7 UP, 3 down: Olivier/Переделки/Красногорск)
- Sergey/Lipki = клиенты с подкопом, дублируются в обеих группах (правка Олега)
- итого 8 групп / 45 сервисов

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
This commit is contained in:
dttb
2026-06-27 22:12:10 +03:00
parent 29842b2806
commit b7bd90ae87
6 changed files with 109 additions and 3 deletions
Download Patch File Download Diff File Expand all files Collapse all files

5
claude-memory/benelux.md
View File

@@ -15,8 +15,9 @@
## VPN / Подкоп (Podkop v0.7.14)
- sing-box 1.12.22, статус: running
- Секция main: VPN через awg0 (AmneziaWG), список russia_inside
- Секция Vless: прокси VLESS-Singapore (202.71.12.186:443, Reality)
- Секция main: VPN через awg0 (AmneziaWG); списки `russia_inside`,`telegram`,`meta`; `user_domains` (dynamic): `githubusercontent.com` + **иностранные сервисы клиента** `vodafone.es`,`edf.fr`,`emiratesnbd.com`,`mabanque.bnpparibas`,`connexion-mabanque.bnpparibas` (добавлены 2026-06-27 — шли мимо туннеля российским WAN-IP, иностранные банки гео/санкц-блок: BNP 403, EDF 503, ENBD 403; через выход → 200/404)
- Секция Vless: прокси VLESS (202.71.12.186:443, Reality)
- **EXIT = Финляндия/Hostkey** (`202.71.12.186`, ip-api: Helsinki, Hostkey B.V.) — НЕ Сингапур, как писалось в старых доках («VLESS-Singapore»). EU-выход — то, что нужно для ES/FR/AE-сайтов клиента.
- DNS: DoH (https://common.dot.dns.yandex.net/dns-query), bootstrap: 77.88.8.8
- ВАЖНО: DNS переключён с UDP на DoH, т.к. домашний роутер (10.0.0.1) перехватывает порт 53 и имеет свой подкоп — двойная обработка вызывала context deadline exceeded
- FakeIP: 198.18.0.0/15, работает

52
decisions/2026-06-27-benelux-foreign-banks-eu-exit.md Normal file
View File

@@ -0,0 +1,52 @@
---
date: 2026-06-27
type: decision
tags: [benelux, podkop, fakeip, user_domains, geoblock, sanctions, bnp, edf, vodafone, emiratesnbd]
status: done
---
# Бенелюкс — иностранные банки/сервисы клиента не грузились (фикс через EU-выход)
## Жалоба
Александр (КП Бенелюкс, Истра — **объект в РФ**): «всё стабильно, но многие иностранные сайты не грузятся». Примеры: `m.vodafone.es`, `connexion-mabanque.bnpparibas`, `auth.entreprises-collectivites.edf.fr`, `online.emiratesnbd.com`.
## Диагноз
Эти домены **не входили ни в один список podkop** (`russia_inside`,`telegram`,`meta`) → резолвились реально → шли **напрямую через российский WAN-IP** `45.143.21.60` («Умные сети»). Иностранные банки режут российские IP (гео/санкции). Прямой curl с роутера подтвердил: BNP → 403, EDF → 503, Emirates NBD → 403 (Vodafone отдавал 200, но login-флоу гео-чувствителен).
Это **зеркало** типовой грабли inside/outside: обычно лечим «РФ-сайт ушёл в туннель», здесь наоборот — иностранный сервис **остался вне туннеля** и выходит российским IP.
## Находка
EXIT туннеля `202.71.12.186` (awg0/VLESS) по ip-api = **Finland / Helsinki / Hostkey B.V.**, а НЕ Сингапур, как писалось в доках. EU-выход — идеален для ES/FR/AE-сайтов. Доки поправлены ([[../claude-memory/benelux]], [[../snippets/podkop-reference]]).
## Фикс (устойчивый — `user_domains`, не dnsmasq-override)
```sh
cp /etc/config/podkop /etc/config/podkop.bak-20260627-170552
for d in vodafone.es edf.fr emiratesnbd.com mabanque.bnpparibas connexion-mabanque.bnpparibas; do
uci add_list podkop.main.user_domains="$d"
done
uci commit podkop && /etc/init.d/podkop restart
killall -HUP dnsmasq
```
`user_domain_list_type=dynamic` уже стоял. Способ устойчив к реконфигу (в отличие от dnsmasq-override, который podkop перетирает).
## Проверка (через финский выход, EU-резолв + браузерные заголовки)
| Сайт | российский IP | EU-выход |
|---|---|---|
| vodafone.es | 200 | **200** ✅ |
| emiratesnbd.com | 403 | **200** ✅ |
| edf.fr | 503 | **404** (приложение отвечает; голый `/` без query → 404, реальный auth-URL откроется) ✅ |
| bnpparibas | 403 | 403 — Akamai Bot Manager на «голый» curl (одинаково RU/FI = **не гео**); в браузере с JS/cookies проходит |
Контроль: домены → FakeIP `198.18.x`; `youtube` остался в туннеле; `ozon` напрямую (РФ не сломан).
## Грабли по ходу (на будущее)
- **curl с самого роутера НЕ показатель выхода**: локально-сгенерированный трафик роутера не заворачивается в tproxy (podkop ловит только форвард LAN). `curl https://api.ipify.org` с роутера вернул российский IP даже после добавления в список. Честный egress-тест: `curl --interface awg0 https://api.ipify.org` (домен вне списка → реальный резолв → src=awg0 через SO_BINDTODEVICE → выход = `202.71.12.186` Финляндия).
- Домен **в списке** + `curl --interface awg0` без `--resolve` → системный DNS даёт FakeIP `198.18.x` → curl шлёт фейк в туннель → ложный 000. Для теста подставлять реальный IP через `--resolve`.
## Клиенту (Александр)
Сайты теперь идут через EU-выход. На устройстве: сбросить DNS-кэш / переподключить Wi-Fi. Если iPhone — Wi-Fi → (i) → «Ограничение отслеживания IP-адреса» ВЫКЛ. BNP Paribas откроется именно в браузере (анти-бот пускает реальный браузер, curl — нет).
## TODO (если BNP всё же капризничает)
Akamai Bot Manager BNP может требовать «чистый» браузерный fingerprint. Если у клиента не откроется — проверить, не словил ли его собственный VPN/Private Relay на устройстве; при необходимости добавить сопутствующие домены логин-флоу BNP в `user_domains`.
См. [[../snippets/podkop-reference]] §6 (user_domains), [[../claude-memory/benelux]], [[2026-06-26-benelux-podkop-recovery-watchdog]].

1
decisions/2026-06-27-homepage-dashboard-lxc145.md
View File

@@ -65,6 +65,7 @@ add_header Set-Cookie $auth_cookie;
- **Здоровье хоста (glances)** — на Proxmox-хосте `apt install glances lm-sensors`, systemd `glances.service` = `/usr/bin/glances -w --disable-webui -p 61208` (⚠️ НЕ `-B/-q/-t`с ними uvicorn не биндился). Группа «Хост Proxmox»: 6 виджетов `type: glances, version: 4` (cpu, memory, sensor:Core 0, fs:/, fs:/mnt/pve/work, network:vmbr0). API `http://10.0.0.250:61208/api/4/...`.
- **Доска клиентов** — LXC 145 подключён в **NetBird** (`100.70.113.28`, группа Claude-Diag, ключ SwarmClaw `1558712D…`, netbird 0.73.2 из apt-репо pkgs.netbird.io). Группа «Клиенты (NetBird)»: ping-плитки always-on площадок (НИИКН 100.70.145.223, ММФБ 100.70.128.49, Бужарово 100.70.75.103, Знаменское 100.70.93.36, Главторг 100.70.195.47, Sergey 100.70.110.164, Lipki 100.70.35.234). ⚠️ **NetBird-грабля:** при поднятии туннеля LAN на миг отвалился (glances→000), но прямые маршруты 10.0.0.0/24 защищены правилом `105: lookup main suppress_prefixlength 0` (туннельная таблица netbird не перехватывает directly-connected). resolv.conf НЕ тронут (1.1.1.1). watchdog `*/5` `/usr/local/bin/netbird-watchdog.sh`.
- **Закладки** (`bookmarks.yaml`): Proxmox, NetBird console, Spaceweb DNS, HOSTKEY, claude.ai usage, OmniRoute, SwarmClaw, боты.
- **Группа «OpenWrt роутеры»** — все 10 OpenWrt-роутеров (собраны workflow-сканом vault), ping по NetBird: дом (по LAN 10.0.0.1), Sergey 100.70.110.164, Olivier 100.70.194.241, Lipki 100.70.35.234, Benelux 100.70.207.97, НИИКН-VM101 100.70.120.229, Переделки 100.70.197.125, Бужарово-Сев.лес 100.70.113.251, Красногорск 100.70.152.137, Знаменское-3 100.70.54.204. На момент сборки UP: дом/Sergey/Lipki/Benelux/НИИКН/Бужарово/Знаменское-3 (7); down: Olivier, Переделки (vault: возможно offline с 05-08), Красногорск. **Sergey/Lipki намеренно дублируются** в «Клиенты» (это клиенты с подкопом) и в «OpenWrt роутеры» (по-железу) — по правке Олега.
- **Хардеринг:** onboot=1 (есть). ⚠️ **НАХОДКА: на Proxmox нет ни одного запланированного бэкапа** (`jobs.cfg` пуст) — вынесено в отдельную задачу.
## Self-serve: апгрейд плиток до live-виджетов (нужны токены, генерит Олег за 2 мин)

29
notes/claude/2026-06-27-005015-httpsgethomepagedevwidgetsservicesnextcloud-если-в.md Normal file
View File

@@ -0,0 +1,29 @@
---
date: 2026-06-27
type: claude-session
session_id: cf0fcbca-45e5-4c86-9af4-0126868e3b68
started: 2026-06-26T20:32:39.557Z
ended: 2026-06-26T21:50:15.447Z
messages: 4
tools: [AskUserQuestion, Bash, Edit, Read, TaskStop, ToolSearch, Write, mcp__ccd_session__spawn_task]
tags: [claude, session]
---
# https://gethomepage.dev/widgets/services/nextcloud/ если все мои сервисы собрать
## Запрос
https://gethomepage.dev/widgets/services/nextcloud/ если все мои сервисы собрать как думаешь?
## Итог (последний ответ Claude, до 500 симв.)
Готово — всё четыре направления собраны и работают. `dash.dttb.ru` → 200, **7 групп / 35 сервисов**.
## Что добавилось
**1. Здоровье хоста (glances).** Поставил glances на сам Proxmox-хост (HP Z800), завёл API-сервисом. Новая группа «Хост Proxmox» — живые **CPU, RAM, температура ядер (48°C), диски local + work, сеть vmbr0**. Теперь видно дыхание ноды, которая тянет весь зоопарк.
**2. Доска клиентов.** Подключил LXC 145 в NetBird (`100.70.113.28`) → группа «Клиенты» с ping-плитками always-on п
---
*Автосохранено из session [`cf0fcbca`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/cf0fcbca-45e5-4c86-9af4-0126868e3b68.jsonl) — 4 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, TaskStop, ToolSearch, Write, mcp__ccd_session__spawn_task*

23
notes/claude/2026-06-27-201323-с-бенелюкса-алесандр-пишет-олег-пока-все-работает-.md Normal file
View File

@@ -0,0 +1,23 @@
---
date: 2026-06-27
type: claude-session
session_id: 7376eb21-beef-4d1e-b273-dc92323a4c29
started: 2026-06-27T17:01:00.487Z
ended: 2026-06-27T17:13:23.197Z
messages: 3
tools: [Bash, Edit, Read, Write]
tags: [claude, session]
---
# С Бенелюкса Алесандр пишет. Олег, пока все работает стабильно, что радует. Но не
## Запрос
С Бенелюкса Алесандр пишет. Олег, пока все работает стабильно, что радует. Но не работают многие иностранные сайты, не знаешь как то можно чтобы они грузились? для примера направляю на что не могу зайти https://m.vodafone.es/mves/login https://connexion-mabanque.bnpparibas. https://auth.entreprises-collectivites.edf.fr/openam/oauth2/authorize?response_type=code&client_id=SalesforceCommunity&redirect_uri=https%3A%2F%2Fentreprises-collectivites.edf.fr%2Fespaceclient%2Fservices%2Fauthcallback%2FCNICE&scope=openid+profile&state=CAAAAZ8IBUy2MDAwMDAwMDAwMDAwMDAwAAABBtUMW3LlL6-hAwUFqbXURyfAl3H4TEYYbOw22q5bEJ0zpyc_fcIdQybJAGuwhdbgngo6ZJUKZJzwYXIT5J4ynNkkf6YVHlhwsxiHW42QA8ZzM7ODNmIFq-awLrNxThdORKWZnJIExj659tSgaMmJpNYP53mR90bkvVZrWFwqIwX3G3zPgmEX_mEVdQjhDf7GEpyXIL3oppZH2K8kywVbtzcyIzTtQJ6rYkTB_wtx6cUQ_uR3BRlem9GFNrRnATIO_Hj5UMRe6AbU3LQ66DR5XjZcS8f_-ii4rc8Sf-S2oWiA. https://auth.entreprises-collectivites.edf.fr/openam/oauth2/authorize?response_type=code&client_id=SalesforceCommunity&redirect_uri=https%3A%2F%2Fentreprises-collectivites.edf.fr%2Fespaceclient%2Fservices%2Fauthcallback%2FCNICE&scope=openid+profile&state=CAAAAZ8IBUy2MDAwMDAwMDAwMDAwMDAwAAABBtUMW3LlL6-hAwUFqbXURyfAl3H4TEYYbOw22q5bEJ0zpyc_fcIdQybJAGuwhdbgngo6ZJUKZJzwYXIT5J4ynNkkf6YVHlhwsxiHW42QA8ZzM7ODNmIFq-awLrNxThdORKWZnJIExj659tSgaMmJpNYP53mR90bkvVZrWFwqIwX3G3zPgmEX_mEVdQjhDf7GEpyXIL3oppZH2K8kywVbtzcyIzTtQJ6rYkTB_wtx6cUQ_uR3BRlem9GFNrRnATIO_Hj5UMRe6AbU3LQ66DR5XjZcS8f_-ii4rc8Sf-S2oWiA. https://online.emiratesnbd.com/dashboard. можешь исправить?
## Итог (последний ответ Claude, до 500 симв.)
Готово и устойчиво: 4 сайта в FakeIP → EU-туннель, youtube жив (обход не задет), ozon напрямую (РФ не сломан), конфиг персистентный. Обновляю документацию в vault — это новое решение и важная находка (выход на деле финский, а не сингапурский):
---
*Автосохранено из session [`7376eb21`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/7376eb21-beef-4d1e-b273-dc92323a4c29.jsonl) — 3 сообщ., тулы: Bash, Edit, Read, Write*

2
snippets/podkop-reference.md
View File

@@ -188,7 +188,7 @@ nslookup ozon.ru 127.0.0.42
| **НИИКН** | OpenWrt VM101 `192.168.1.50` (jump pve-niikn `100.70.120.229`) | vpn / awg0 | Финляндия `78.17.4.225` | `meta`,`youtube`,`telegram` + `user_domains`: Google AI, grok/x.ai, **anthropic.com+claude.ai** (2026-06-25) | ✅ `russia_outside` убран 2026-05-29; gov через NetBird→LionART маршруты + dnsmasq-overrides (backup); watchdog на pve-niikn. AI-сервисы блокируют РФ-IP (anthropic→403 гео) → заводить в `user_domains` (dynamic). claude.ai отдаёт CF-challenge 403 в curl, но в браузере ОК |
| **Sergey/Одинцово** | Cudy TR3000 `100.70.110.164` root/`1qaz!QAZ` | vpn / awg0 | Сингапур `202.71.12.186` | `russia_inside`,`telegram`,`meta` | ✅ корректно (inside); VLESS-резерв `vlees` |
| **Переделки** | см. [[../projects/peredelki/README]] / [[../projects/peredelki/credentials]] | — | — | проверить | fwmark-патч -150→-140 (NetBird coexistence) |
| **Benelux** | Cudy TR3000 `100.70.207.97`, ssh mac-ed25519 (compromise 2026-05-20) | vpn / awg0 | Сингапур `202.71.12.186` | `russia_inside`,`telegram`,`meta` (+`githubusercontent.com` user_domain) | ✅ 2026-06-17: обход ОК (TG 302 / WA 200), `russia_outside` нет; list_update чинён (raw.git заведён в обход — RKN блокировал WAN-загрузку); `download_lists_via_proxy=1` сломал sing-box, откатан |
| **Benelux** | Cudy TR3000 `100.70.207.97`, ssh mac-ed25519 (compromise 2026-05-20) | vpn / awg0 | **Финляндия/Hostkey** `202.71.12.186` (ip-api: Helsinki; «Singapore» в старых доках — ошибка) | `russia_inside`,`telegram`,`meta` (+ user_domains: `githubusercontent.com`, иностр. сервисы клиента `vodafone.es`,`edf.fr`,`emiratesnbd.com`,`mabanque/connexion-mabanque.bnpparibas`) | ✅ 2026-06-27: иностр. банки клиента заведены в туннель — шли мимо обхода российским WAN-IP → гео/санкц-блок (BNP 403/EDF 503/ENBD 403); через EU-выход 200/404, BNP упирается в Akamai Bot Manager (curl, не гео — в браузере ок). 2026-06-17: обход ОК (TG 302 / WA 200), `russia_outside` нет; list_update чинён (raw.git в обход — RKN блокировал WAN-загрузку); `download_lists_via_proxy=1` сломал sing-box, откатан |
| **HomeLab dttb** | [[../projects/dttb/openwrt-router]] (Cudy TR3000 `10.0.0.1`) | vpn / **awg2** | **Финляндия** `151.241.234.241:41624` | `meta`,`russia_inside`,`telegram`,`google_ai` | ✅ 2026-06-23 на awg2; резерв awg0 `202.71.12.186`. Цепочка `dnsmasq→AGH:5353→127.0.0.42`; DNS-hijack стоит. Грабля: per-iface `rp_filter=2` обязателен (см. §5) |
| **Severny-Les / Бужарово** | [[../projects/buzharovo/podkop-router]] (Cudy TR3000, NetBird `100.70.113.251`; фолбэк jump `10.0.0.250``192.168.1.1`) | vpn / awg0 | **Финляндия** `151.241.234.241:41624` | `meta`,`youtube`,`telegram` | ✅ 2026-06-23; **`dns_type=doh` + `dns_server=1.1.1.1/dns-query`** (DoH по IP, без `https://`; стоит за домашним :53-хайджеком — иначе sing-box звонит на FakeIP, см. §5); `download_lists_via_proxy=1/main`; sing-box 1.12.4 |
| Krasnogorsk / Znamenskoye | см. project README | — | — | проверить | проверить |