mmfb/lionart-1c: SSH + фикс efsaveragent + накопленный backlog vault-а

Сегодня (mmfb / LionART 1C): - projects/mmfb/lionart-1c.md — новый файл: VM 100 на pve LionART (WIN-70M2VEJIKEF, 10.253.1.240, Win Server 2022, 1С+SQL+Effector Saver), SSH-доступ claude/Kl@udeD1ag!2026 заведён, RDP под Администратор + 2FA. - projects/mmfb/proxmox-inventory.md — hostname WIN-70M2VEJIKEF в VM 100. - decisions/2026-05-28-mmfb-effector-saver-locked-admin.md — диагноз цикла 7038 (SCM-пароль разъехался с .\Администратор) + lockout учётки, и пошаговое решение (disable службы → ADSI unlock → LogonUser-проверка → sc.exe config password= → start auto). Накопившийся backlog (без отдельной правки в эту сессию): - decisions/: buzharovo (recon, migration-plan, 1c-licensing), sergey (instagram iPhone fakeip), amneziavpn macOS v1/v2 incompat, benelux compromise 2026-05-20, glavtorg autologon off, omni domain+update. - projects/: benilux README, buzharovo README+server1c, dttb (nextcloud-talk-bot, npm-proxy-hosts, proxmox-inventory, vpn-clients), glavtorg, sergey README, projects/_index. - claude-memory/: benelux, omniroute. - snippets/mac-dictation/groq-dictate.sh. - notes/claude/: ~80 авто-сохранённых транскриптов сессий за май. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-28 21:56:35 +03:00
parent e994661bd7
commit bf565f1392
269 changed files with 9466 additions and 74 deletions
--- a/projects/_index.md
+++ b/projects/_index.md
@@ -23,7 +23,7 @@ tags: [index, registry, objects, netbird]
 | mmfb | DESKTOP-UFULDJQ, LionART, Yuri Vitalievich, mmfb, pve LionART | 100.70.128.49 | Debian GNU/Linux 12 | Istra | [[projects/mmfb/README]] | active |
 | niikn | Cloud-NIIKN New niikn.com, DESKTOP-IC5A0K2 M.Maul, Kripto-ARM, M.Maul, Maxim Maul | 100.70.117.21, 100.70.145.223, 100.70.120.229, 100.70.178.190 | Debian GNU/Linux 12, Ubuntu 24.04, Windows 10, Windows 11 | Istra | [[projects/niikn/README]] | active |
 | openwrt-4 | OpenWrt_4, openwrt-4, openwrt4 | 100.70.235.2 | OpenWrt 24.10.3 | Moscow | [[projects/openwrt-4/README]] | stub |
-| sergey | OpenWrt_Sergey, Sergey, sergey, Одинцово | 100.70.110.164 | OpenWrt 24.10.3 | Odintsovo | [[projects/sergey/README]] | stub |
+| sergey | OpenWrt_Sergey, Sergey, sergey, Одинцово | 100.70.110.164 | Cudy TR3000 v1 / OpenWrt 24.10.3 | Одинцово | [[projects/sergey/README]] | active |
 | vishnevyy-sad | OpenWrt Вишневый сад ( Константин ), vishnevyy-sad, Вишневый сад, Вишнёвый сад, Константин | 100.70.152.137 | OpenWrt 24.10.3 | Moscow | [[projects/vishnevyy-sad/README]] | stub |
 | znamenskoye | 89-111-140-86.swtest.ru, OpenWrt_Znamenskoe_Home, OpenWrt_ohothozyistvo, VPS 89.111.140.86, Znamenskoe | 100.70.93.36, 100.70.54.204, 100.70.63.67, 100.70.137.181, 100.70.100.155 | Debian GNU/Linux 11, OpenWrt 21.02.1, OpenWrt 24.10.3, Ubuntu 24.04 | Helsinki, Istra, Moscow | [[projects/znamenskoye/README]] | active |

--- a/projects/benilux/README.md
+++ b/projects/benilux/README.md
@@ -1,35 +1,96 @@
 ---
 date: 2026-05-06
+updated: 2026-05-20
 type: project
-status: stub
-tags: [object, openwrt, netbird, client, todo, istra]
-aliases: [Benilux, benilux, "OpenWrt Benilux"]
+status: active
+tags: [object, openwrt, netbird, client, istra, podkop, residential]
+aliases: [Benilux, benilux, Бенелюкс, "OpenWrt Benilux"]
 ---

-# Benilux — клиентский OpenWrt в Истре
+# Бенелюкс — клиентский OpenWrt в КП Бенелюкс (Истра)

-**Стаб-заметка**, фактов мало. Создан, чтобы Максимка (FTS) не терял этот объект.
+Коттеджный посёлок Бенелюкс под Истрой. На объекте только домашний роутер; **назначение — обход блокировок через podkop**. Никаких бизнес-сервисов, 1С, видеонаблюдения и т.п. не крутится — критичность инцидентов с точки зрения утечки данных низкая, риск только в репутации WAN-IP.

-## Что известно (из NetBird)
+## Контакт
+
+| | |
+|---|---|
+| Клиент | Александр |
+| Локация | КП Бенелюкс, Истра |
+
+## Роутер

 | Параметр | Значение |
 |---|---|
-| Имя пира | `OpenWrt Benilux` |
-| NetBird IP | `100.70.207.97` |
-| Локация (NetBird) | Istra |
+| Модель | Cudy TR3000 v1 (MediaTek Filogic, aarch64) |
+| Hostname | `Benelux` |
 | OpenWrt | 24.10.3 |
-| NetBird agent | 0.59.13 |
-| Группы | `All`, `OpenWRT VPN` |
+| NetBird IP | `100.70.207.97` (агент 0.59.13, группы `All`, `OpenWRT VPN`) |
+| WAN | eth0, DHCP от 10.0.0.1, последний WAN-IP `45.143.21.60` |
+| LAN | `192.168.1.0/24` на `br-lan` (Wi-Fi 2.4 + 5 ГГц в одном бридже) |
+| SSH | **по ключу** `~/.ssh/id_ed25519` (PasswordAuth выключен, новый пароль root — в [[credentials]]) |

-## Открытые вопросы
+## Что работает в сети

- [ ] Что такое «Benilux» — название объекта / магазина / клиента?
- [ ] Контактное лицо
- [ ] Точный адрес в Истре
- [ ] Что роутер обслуживает
- [ ] LAN, провайдер, WAN
- [ ] Пароль/ключ доступа
+**Cudy = только шлюз/podkop + DHCP + NetBird-bridge.** Wi-Fi и доступ к LAN — через систему Unifi за ним.
+
+### На Cudy
+- **podkop v0.7.14** + sing-box 1.12.22 — обход блокировок:
+  - Main: VPN через `awg0` (AmneziaWG), списки `russia_inside` + `telegram` + `meta` (последние два добавлены 2026-05-20 — без них Telegram не резолвился в FakeIP)
+  - Vless: VLESS-Singapore (`202.71.12.186:443`, Reality)
+  - DNS: DoH (`https://common.dot.dns.yandex.net/dns-query`), bootstrap 77.88.8.8
+  - FakeIP: `198.18.0.0/15`, QUIC отключён
+  - Clash API: `192.168.1.1:9090`
+- **NetBird** для удалённого доступа (`100.70.207.97`)
+- **DHCP** `192.168.1.2 — 192.168.1.254` (leasetime 12h)
+- **Принтер HP M775**: проброшен через DNAT с NetBird-IP (`https://100.70.207.97:8148` → `192.168.1.148:443`)
+
+### Unifi-сегмент за Cudy
+В LAN — Unifi AP/Switch (3 устройства c MAC `70:a7:41:*`):
+
+| IP | MAC | Hostname | Состояние |
+|---|---|---|---|
+| `192.168.1.199` | `70:a7:41:79:ef:29` | `Benelyuks` | активно, шлёт UDP discovery 10001 в broadcast + пытается `192.168.28.34:8381` (см. ниже) |
+| `192.168.1.192` | `70:a7:41:9a:9e:92` | — | тихо |
+| `192.168.1.101` | `70:a7:41:c1:33:0a` | — | тихо |
+
+**К какому контроллеру они adopted — пока не выяснено.** Точные факты по состоянию на 2026-05-20:
+- К общему LXC 116 на pve-niikn (`100.70.138.234 unifi-controller.netbird.cloud`) inform-трафика **нет**
+- К UDM-Pro Знаменского inform-трафика **нет**
+- На Cudy нет ни `unifi-proxy` (socat), ни DNS-override `unifi → …`, ни DNAT для 8080/8443/3478
+- Устройство `192.168.1.199` шлёт TCP SYN на `192.168.28.34:8381` (UISP/AirControl/самосбор?) — этот IP не в NetBird, Cudy роутит его в WAN-шлюз провайдера, пакеты уходят без ответа
+- Hostname `Benelyuks` у одного из устройств — значит когда-то было adopted (имя задаётся при provision)
+
+Возможные гипотезы:
+1. AP/Switch — наследие старого setup, контроллер которого больше недоступен
+2. Был отдельный standalone-контроллер где-то в LAN, сейчас не работает
+3. `192.168.28.34` — IP контроллера в L3-сети провайдера / другого объекта, к которому потеряна маршрутизация
+
+> **TODO**: уточнить у Олега. Если устройства orphaned — стоит решить: factory-reset + adopt в LXC 116, либо демонтаж.
+
+### Известные клиенты в LAN
+
+- Samsung S23 «пользователя Нина» (192.168.1.128)
+- MacBook «Mac» (192.168.1.231)
+- Cisco IP-телефон `SEP00235EB76EBE` (192.168.1.216)
+- HP принтер `NPI0EC3A9` (192.168.1.152)
+- HP M775 (192.168.1.148, через DNAT для удалённой печати)
+- ~30 других клиентов (Wi-Fi с Netgear-чипами, IoT и т.п.)
+
+Полные конфиги Cudy: [[claude-memory/benelux]] и [[claude-memory/benelux-topology]].
+
+## Конфликт подсетей
+
+`192.168.1.0/24` в Бенелюксе пересекается с:
+- LAN UDM-Pro Знаменского (`192.168.1.0/24`)
+- pve-niikn (анонсирует `192.168.1.0/24` в NetBird → mac при попытке зайти на 192.168.1.X через NetBird попадёт в НИИКН, не в Бенелюкс)
+
+При работе через NetBird с Mac на хост в Бенелюксе — используй NetBird-IP конкретного пира, не его LAN-IP.
+
+## История инцидентов
+
+- **2026-05-20** — компрометация через WAN-SSH brute-force; роутер несколько часов рассылал спам и брутил чужие SSH. Закрыто, см. [[decisions/2026-05-20-benelux-compromise]].

 ## Aliases для FTS

-`Benilux`, `OpenWrt Benilux`, `100.70.207.97`, `Истра-Benilux`.
+`Benilux`, `Бенелюкс`, `OpenWrt Benilux`, `100.70.207.97`, `Истра-Benelux`, `КП Бенелюкс`, `Александр Бенелюкс`.
--- a/projects/benilux/credentials.md
+++ b/projects/benilux/credentials.md
@@ -0,0 +1,51 @@
+---
+date: 2026-05-20
+type: project
+tags: [benilux, credentials, secrets]
+---
+
+# 🔐 Credentials — Бенелюкс
+
+> ⚠️ **КОНФИДЕНЦИАЛЬНО** — не распространять за пределы команды
+
+## Cudy TR3000 (роутер Бенелюкса)
+
+| Параметр | Значение |
+|---|---|
+| Hostname | `Benelux` (DHCP отдаёт как `Benelyuks`) |
+| NetBird IP | `100.70.207.97` (`openwrt-benilux.netbird.cloud`) |
+| LAN IP | `192.168.1.1` |
+| WAN IP | `45.143.21.60` (Умные сети, gateway `45.143.21.254`) |
+| OpenWrt | 24.10.3 |
+| Логин | `root` |
+| Пароль | `fyGTO1ZsPUpPKUbhUcqM` |
+
+### SSH
+**Только по ключу** (PasswordAuth отключён в dropbear с 2026-05-20). В `/etc/dropbear/authorized_keys` лежат:
+- `ai@mac-20260112` — основной ключ Mac Олега (`~/.ssh/id_ed25519`)
+- `claude-code@code-server` — recovery-ключ с LXC 132 code-server, на случай отказа Mac
+
+```bash
+# с Mac
+ssh -i ~/.ssh/id_ed25519 root@100.70.207.97
+
+# с code-server (recovery)
+ssh root@100.70.207.97
+```
+
+### LuCI (Web UI)
+Парольная авторизация остаётся (это штатный механизм OpenWrt). Доступ только из LAN и NetBird, не из интернета.
+
+- **Через NetBird**: https://100.70.207.97 (с Mac, openclaw, code-server и т.п.)
+- **Из LAN Бенелюкса**: https://192.168.1.1
+- Логин: `root`, пароль: `fyGTO1ZsPUpPKUbhUcqM`
+
+SSL-сертификат самоподписанный — браузер ругнётся, "Advanced → Proceed".
+
+### Failsafe / локальное восстановление
+Если SSH-ключи потеряются и LuCI недоступен — нужен физический доступ к роутеру: failsafe-mode через reset-кнопку при загрузке, IP `192.168.1.1` (статика на ноуте) → telnet/web.
+
+## Контекст
+- См. [[README]] — общая схема объекта (Cudy + Unifi-сегмент)
+- См. [[../../decisions/2026-05-20-benelux-compromise]] — история смены пароля и hardening после инцидента
+- Клиент: Александр, КП Бенелюкс (Истра)
--- a/projects/buzharovo/README.md
+++ b/projects/buzharovo/README.md
@@ -25,3 +25,20 @@ aliases: [Бужарово, buzharovo, Server1C]
 ## Известные рецепты

 - **rmngr-loop после crash** (07.05.2026): тормоза локальных пользователей → `Restart-Service '1C:Enterprise 8.3 Server Agent (x86-64)' -Force`. Полный ребут сервера НЕ помогает. Полный разбор: [[decisions/2026-05-07-buzharovo-1c-rmngr-loop-after-crash]].
+
+## Миграция на HomeLab (в работе)
+
+24+ крашей за день 04.05.2026 (отключения питания, нет ИБП) → решено мигрировать на VM HomeLab Proxmox.
+
+- **Промпт-исходник:** [[projects/buzharovo/migration-prompt-2026-05-07]]
+- **Отчёт разведки:** [[decisions/2026-05-07-buzharovo-recon]]
+- **План миграции:** [[decisions/2026-05-07-buzharovo-migration-plan]]
+
+**Ключевые факты:**
+- 6 RDP-юзеров работают через терминальный режим в Server1C
+- Кассы — отдельные ПК (`KASSA3` 192.168.1.18, `KASSIRULICA2` 192.168.1.99), без USB-фискальников на сервере
+- 4 инфобазы 1С 8.3.27.1606, размер SQL БД неизвестен (нет sa-пароля)
+- Лицензия 1С — программная онлайн (нужны PIN-коды для перепривязки)
+- Latency Бужарово ↔ HomeLab через NetBird: 96-99ms (ОК для RDP)
+
+**Open вопросы для Олега** (8 шт., см. recon.md → раздел «Открытые вопросы»).
--- a/projects/buzharovo/migration-prompt-2026-05-07.md
+++ b/projects/buzharovo/migration-prompt-2026-05-07.md
@@ -0,0 +1,147 @@
+---
+date: 2026-05-07
+type: project
+tags: [buzharovo, migration, 1c, plan]
+source: openclaw session e28eb545-1381-40bf-ab57-7cdf45b3d605 (07.05.2026 11:23 МСК)
+---
+
+# Промпт для Claude Code: миграция 1С Бужарово на HomeLab
+
+> Составлен openclaw 07.05.2026 после серии крашей Server1C с `BugcheckCode=0` (электропитание).
+> Сохранён здесь как референс — план миграции и отчёт разведки в `decisions/`.
+
+## Контекст
+
+Я (Олег) — DevOps-инженер. У меня боевой сервер 1С в селе Бужарово, который **систематически крашится**: 24+ раз за день 04.05.2026, единичные крашы 30.04, 02-07.05 — все с `BugcheckCode=0`, что указывает на проблемы с электропитанием, а не с софтом. Сервер физический, ASUS-материнка, 64GB RAM, Win Server 2012 R2. ИБП по факту нет. 1С 8.3.27.1606 + MSSQL.
+
+**Цель:** подготовить план миграции 1С на HomeLab Proxmox (10.0.0.250), реализовать инфраструктурную часть, проверить совместимость с кассовым аппаратом в офисе, выдать checklist для production cutover.
+
+## Текущее состояние (зафиксировано 07.05.2026)
+
+### Server1C в Бужарово
+- Hostname: `Server1C`, Win Server 2012 R2 (build 9600)
+- Публичный IP: `185.13.47.2` (RDP:3389)
+- NetBird: `100.70.75.103` (FQDN `server1c.netbird.cloud`)
+- LAN: `192.168.1.249/24`, gateway `192.168.1.1`
+- WinRM: 5985, basic auth, `dttb / 1qaz!QAZ`
+- 1С:Предприятие 8.3.27.1606 + MSSQL (порты 1540, 1541, 1433 — открыты через NetBird)
+- Диски: C: 465GB (375 свободно), D: 195GB (92 свободно), E: 270GB (215 свободно)
+- Применено 07.05.2026:
+  - Restart-Service службы 1С (rmngr-loop временно решён, через 2 мин вернулся)
+  - CrashDumpEnabled=3 (Small Memory Dump), pagefile 4GB фикс на C: — **требует ребут**
+  - Watchdog-скрипт на LXC 137 проверяет rmngr CPU каждые 5 мин
+
+### HomeLab (целевая среда)
+- Proxmox: `10.0.0.250` (root / `1qaz!QAZ`)
+- VM 111 — WinServer 2025, 10.0.0.198, RDP:3389, WinRM:5985 (Администратор / `1qaz!QAZ`), GPU RTX 3060
+- LAN: `10.0.0.0/24`, gateway `10.0.0.1` (OpenWrt роутер с NetBird-маршрутом "Dom" → 10.0.0.0/24)
+- LXC 137 (бот Максимка) NetBird IP: `100.70.167.54`
+
+### NetBird
+- Server1C peer: `100.70.75.103`, Connected, 31/58 peers
+- Маршрут "Dom" → 10.0.0.0/24 анонсируется, но Server1C **не входит** в access-group, поэтому из Бужарово 10.0.0.x не виден
+- Latency LXC 137 ↔ Server1C через NetBird: **96 ms** стабильно
+- API: `https://api.netbird.io/api/`
+
+### Кассовый аппарат
+- **ВАЖНО: модель и подключение НЕИЗВЕСТНЫ.** Выяснить через WMI / реестр / диспетчер устройств на Server1C.
+- Вероятно один из: Атол / Штрих-М / Эвотор / онлайн-касса
+- Может быть USB или Ethernet
+
+## Гипотеза дизайна целевой системы
+
+### Вариант A: 1С на HomeLab, клиенты через RDP (приоритетный)
+```
+[Бужарово офис]─NetBird VPN(96ms)─►[HomeLab Proxmox]
+   ↓ тонкий клиент              ↓
+   RDP к VM Win Server          ┌─VM: Win Server + 1С + MSSQL
+                                 └─MSSQL локально (1ms)
+   касса USB ─USB redirect через RDP───────────► Win Server
+```
+**Плюсы:** 1С↔MSSQL в одной локалке (быстро). RDP толерантен к 96ms.
+**Минусы:** USB redirect ККТ через RDP — лотерея. Без интернета в Бужарово офис стоит.
+
+### Вариант B: 1С на HomeLab, клиенты толстые через NetBird
+**Минусы:** толстый клиент 1С на 96ms = заметные тормоза при открытии справочников.
+
+## Что нужно сделать (по фазам)
+
+### Фаза 1: РАЗВЕДКА (без изменения боевой системы!)
+
+1. Подключиться через WinRM к Server1C (`100.70.75.103`, `dttb / 1qaz!QAZ`).
+2. **Касса/фискальник:**
+   - `Get-WmiObject Win32_Product | Where Name -match 'Атол|Штрих|Atol|Shtrih|Evotor|Касс'`
+   - Подключённые USB: `Get-PnpDevice | Where Class -in @('Ports','USB','HIDClass')`
+   - Сетевые ККТ через `arp -a` + сканирование портов
+   - Конфигурация фискальника в 1С (если можно прочитать)
+3. **Размер инфобазы:**
+   - SQL: `EXEC sp_helpdb`, `SELECT * FROM sys.master_files`
+   - Версия MSSQL и инстанс
+   - Список инфобаз 1С: `& "C:\Program Files\1cv8\common\1cestart.exe" /APath` или через `rac.exe localhost:1540 infobase summary list`
+4. **Лицензии 1С:**
+   - HASP-ключ или софтовая? `Get-PnpDevice | Where Name -match 'HASP|Sentinel'`
+   - Сколько клиентских лицензий, на каком сервере выданы
+5. **Активные сеансы / нагрузка:**
+   - `rac.exe localhost:1540 session list`
+   - Пиковые часы, среднее число одновременных пользователей
+6. **Сеть в Бужарово:**
+   - Какой провайдер, канал (download/upload Mbps)
+   - Резервный канал есть?
+   - Какой роутер в офисе сейчас? Можно ли поставить OpenWrt+NetBird?
+
+### Фаза 2: ПОДГОТОВКА HOMELAB
+
+7. Целевая VM на Proxmox 10.0.0.250 (можно VM 111 или новая):
+   - Win Server 2022/2025, минимум 8 vCPU, 32GB RAM, 200GB+ SSD
+   - 1С Предприятие 8.3.27.1606 (та же версия)
+   - MS SQL Server (Express если БД <10GB, иначе Standard)
+   - Только одна служба 1С Server Agent (x86-64) Automatic — урок из 2026-04-16
+   - Crash dump настроить сразу (small memory dump, pagefile фикс)
+8. **Сетевой бридж:**
+   - На целевой VM поставить netbird-агент — peer для тестов
+   - ИЛИ на офисном роутере в Бужарово установить NetBird с advertise-route 192.168.1.0/24
+9. **Тестовая миграция данных:**
+   - Полный бэкап продуктивной БД 1С на Server1C (.bak)
+   - Скопировать .bak на HomeLab по SMB/SCP
+   - Восстановить на тестовой VM
+   - Привязать инфобазу к тестовой 1С-серверу
+   - Прогнать тестовые операции
+
+### Фаза 3: ТЕСТ С КАССОЙ
+
+10. Если касса Ethernet — подключить к тестовой VM, проверить отправку чека.
+11. Если касса USB на клиентском ПК + 1С через сеть — проверить, что 1С на HomeLab может через RDP redirect / Атол-сервис / DCOM достать кассу.
+12. Тестовый чек: "продажа товара" → "пробить чек" → "ответ от ОФД".
+
+### Фаза 4: ПРОДУКТИВНАЯ МИГРАЦИЯ (НЕ В ЭТОЙ СЕССИИ)
+
+13. Окно простоя: вечер/ночь/выходные. Согласовать.
+14. Финальный бэкап → перенос → проверка → переключение клиентов.
+15. Откат-план: за 30 минут вернуть всех на Server1C в Бужарово.
+
+## Что нельзя делать
+
+- НЕ перезагружать Server1C в рабочее время (8:00-18:00 МСК).
+- НЕ останавливать службу 1С на Server1C.
+- НЕ менять политики NetBird без явного согласования.
+- НЕ модифицировать боевую инфобазу — только копии.
+- НЕ переключать пользователей на новую систему без явного "ОК".
+
+## Ключевые файлы knowledge-base
+
+- `projects/buzharovo/README.md` — обзор проекта
+- `projects/buzharovo/server1c.md` — детали сервера
+- `decisions/2026-05-07-buzharovo-1c-rmngr-loop-after-crash.md` — анализ rmngr-loop
+- `decisions/2026-05-07-buzharovo-recon.md` — отчёт разведки (Фаза 1)
+- `decisions/2026-05-07-buzharovo-migration-plan.md` — план миграции
+
+## Что я хочу получить на выходе
+
+1. **Отчёт по разведке** (Фаза 1): касса, БД, лицензии, нагрузка, сеть.
+2. **План миграции**:
+   - Выбор варианта (A/B/гибрид) с обоснованием
+   - Задачи по фазам с эстимейтом времени
+   - Risk register
+   - Откат-план
+3. **Подготовленная тестовая VM** на HomeLab с восстановленной копией боевой БД.
+4. **Результат теста с кассой**: пробивается ли чек через новую инфраструктуру.
--- a/projects/buzharovo/server1c.md
+++ b/projects/buzharovo/server1c.md
@@ -1,25 +1,77 @@
 ---
 date: 2026-04-17
+updated: 2026-05-07
 type: project
 tags: [dttb]
 ---

 # Server1C — Сервер 1С в Бужарово

+> **2026-05-07:** проведена разведка перед миграцией на HomeLab. См. [[decisions/2026-05-07-buzharovo-recon]] и [[decisions/2026-05-07-buzharovo-migration-plan]].
+
 ## Подключение
- **Публичный IP:** 185.13.47.2 (RDP:3389)
+- **Публичный IP:** 185.13.47.2 (RDP:3389) — ⚠ открыт в Интернет
 - **Netbird IP:** 100.70.75.103 (server1c.netbird.cloud)
 - **WinRM:** порт 5985, basic auth
 - **Учётка:** dttb / 1qaz!QAZ
- **OS:** Windows Server 2012 R2 (6.3.9600)
+- **OS:** Windows Server 2012 R2 (build 9600) — EOL 2023-10-10
 - **Hostname:** Server1C
 - **Локация:** Бужарово
+- **LAN:** 192.168.1.249/24, gw 192.168.1.1, MAC 00:E0:4C:68:9E:34
+
+## Hardware (бытовая сборка, без ИБП)
+- **Мать:** ASUS PRIME Z690M-PLUS D4 (BIOS AMI v1620 от 2022-08-12)
+- **CPU:** Intel i5-12400 (6c/12t @ 2.5 GHz)
+- **RAM:** 64 GB DDR4 (2 модуля по 32GB), без ECC
+- **Disks:** 3× Samsung SSD 980 PRO 500GB NVMe
+  - C: 465GB (~375 свободно)
+  - D: 195GB (~92 свободно)
+  - E: 270GB (~215 свободно)
+- **ИБП:** ❌ нет (`Win32_Battery` пуст) — основная причина крашей
+
+## MSSQL
+- **Версия:** SQL Server 2012 SP2 (build 11.2.5058) — ⚠ Extended Support EOL 2022-07-12
+- **Instance:** `MSSQL11.MSSQLSERVER` (default)
+- **Listening:** 0.0.0.0:1433 (доступен из NetBird, не только localhost)
+- **Auth:** `dttb` НЕ имеет SQL-логина; `sa`-пароль не подобран
+
+## Касса (НЕ на сервере)
+- **KASSA3** — 192.168.1.18, активно подключается к 1С на порт 1560
+- **KASSIRULICA2** — 192.168.1.99, вторая касса
+- USB-фискальников и драйверов ККТ на сервере НЕТ → миграция не требует USB-redirect
+
+## Локальные пользователи (RDP-юзеры 1С)
+АртемК, ГорячевАЕ, Павел, ПальмованаН, ФирсовС + dttb (admin). БольшаковаЕН отключён.
+
+## Известные проблемы
+- **24+ грязных ребута 04.05.2026** (`Kernel-Power 41` все Bug=0, EventID 6008) → отключение питания
+- **rmngr-loop после crash** — рецепт ниже
+- ⚠ RDP 3389 открыт в Интернет
+- ⚠ Антивируса нет
+- AnyDesk запущен (parallel remote channel)

 ## 1С:Предприятие
-Три службы агента:
-1. `1C:Enterprise 8.3 Server Agent` — StartType: Automatic
-2. `1C:Enterprise 8.3 Server Agent (x86-64)` — StartType: Automatic
-3. `RagentServer_8327` — версия 8.3.27.1606, StartType: Automatic
+Версия: **8.3.27.1606** x64. Текущее состояние служб (2026-05-07):
+1. `1C:Enterprise 8.3 Server Agent` — Stopped, **Disabled** (бинарник 8.3.18 удалён)
+2. `1C:Enterprise 8.3 Server Agent (x86-64)` — Running, Auto ★ рабочая
+3. `RagentServer_8327` — Stopped, **Disabled**
+
+**Запуск рабочей службы:**
+```
+"C:\Program Files\1cv8\8.3.27.1606\bin\ragent.exe" -srvc -agent
+  -regport 1541 -port 1540 -range 1560:1591
+  -d "C:\Program Files\1cv8\srvinfo"
+```
+
+**Кластер:** `473f3f9e-4aea-43bc-ac45-ec98da8700c7` "Локальный кластер" (Server1C:1541), **4 инфобазы** (имена → GUID нужно сверить):
+- 00d417ca-... (служебные данные 7.3 GB)
+- 426d93c8-... (4.8 GB)
+- 688e50c3-... (15.2 GB) — самая большая
+- 9e258b8f-... (12 GB)
+
+⚠ Размеры выше — это `srvinfo/reg_1541` (полнотекстовые индексы + журналы), **не** размер SQL БД (тот неизвестен из-за SQL auth).
+
+**Лицензии 1С:** HASP-ключа нет, `.lic` файлы не найдены → программная онлайн-лицензия с привязкой к HWID. ⚠ Перед миграцией — найти PIN-коды.

 ### Решено: конфликт служб при загрузке (2026-04-16)
 **Проблема:** 3 службы с Automatic стартовали одновременно, боролись за порты 1540/1541.
--- a/projects/dttb/finland-hostkey-vps.md
+++ b/projects/dttb/finland-hostkey-vps.md
@@ -0,0 +1,56 @@
+---
+date: 2026-05-20
+type: project
+tags: [dttb, vpn, finland, hostkey, amnezia, server]
+aliases: [finland5870, Finland HOSTKEY, "202.71.12.186"]
+---
+
+# Finland HOSTKEY VPS — `finland5870.com` / `202.71.12.186`
+
+Центральный VPN-сервер Олега. Через него ходит podkop большинства клиентских OpenWrt (Бенелюкс, Сергей, Знаменское, НИИКН, Красногорск и др.).
+
+## Доступ
+
+| Параметр | Значение |
+|---|---|
+| Hostname | `finland5870.com` |
+| Public IP | `202.71.12.186` |
+| ISP | Hostkey AS57043, Helsinki |
+| NetBird IP | `100.70.0.15` (`finland5870.netbird.cloud`) |
+| OS | Ubuntu 22.04.5 LTS |
+| SSH | `ssh -J root@100.70.92.138 root@202.71.12.186` (только по ключу, прямой вход с Mac не разрешён, jump через code-server) |
+
+## Что крутится (Docker)
+
+| Контейнер | Внешний порт | Назначение |
+|---|---|---|
+| `amnezia-awg` | `37209/udp` | AmneziaWG — основной VPN для роутерных podkop (Cudy → этот endpoint) |
+| `amnezia-wireguard` | `32270/udp` | Обычный WireGuard |
+| `amnezia-xray` | `9443/tcp` | VLESS Reality (SNI=googletagmanager) — клиенты типа Happ |
+| `amnezia-shadowsocks` | `31799/tcp+udp` | Shadowsocks |
+| `amnezia-socks5proxy` | `38606/tcp` | SOCKS5 |
+
+Дополнительно UDP `51820` слушает хостовой `wireguard-go` (без явного процесса в `ss -tunlp`).
+
+## Peers AmneziaWG (внутри контейнера — обычный wg-tools)
+
+Доступ внутрь: `docker exec amnezia-awg wg show`. ~30+ peers, среди них:
+- `zqkm7/0FjLX7RGBHCu0KxdTYlkUHK0wFOObqPNIzqXw=` → Cudy Бенелюкса (`10.8.1.60/32`)
+- `5NxNPi35miHK14NXZH56X6JG+UW1r7NPCx5AYa3TdWw=` → топ-traffic peer (3.7 TB sent), вероятно openwrt-sergey или openwrt-lipki
+- Endpoints в выводе: `217.73.118.172` (Сергей), `5.101.135.71` (Lipki), и т.п.
+
+## История
+
+- **2026-04-24** — был взлом через RCE в amnezia-panel (PHP), XorDDoS malware вычищен, SSH переведён на key-only. См. [[../../claude-memory/finland-vps-security]] и auto-memory `feedback_finland_security`.
+- **Контейнеры пересоздавались**: `amnezia-awg` 7 мес назад, `amnezia-wireguard` 3 мес назад, `amnezia-xray` 3 недели назад. **При пересоздании порты могли смениться** — старые клиентские конфиги (сделанные до пересоздания) перестают работать.
+
+## Известные проблемы
+
+- **Mac-клиенты AmneziaVPN получают ErrorCode 305** к этому серверу — несовместимость **AmneziaWG v1 (этот сервер) ↔ macOS-клиент v2 (текущий)**. Mac шлёт только junk-преамбулу, handshake silently дропается. **iOS/Windows/Linux-клиенты работают** — у них v1-совместимый wireguard-go. Полная картина и решение в [[../../decisions/2026-05-20-amneziavpn-macos-v1-v2-incompat]]. Mac-юзерам выдавать конфиг от v2-сервера (`78.17.4.225`).
+- (раньше думали что проблема в устаревших портах конфига — оказалось нет, портов на сервере 7 месяцев не менял, проблема в протокольной несовместимости)
+
+## Связанные проекты
+
+- [[../benilux/README]] — Cudy через awg0 → этот endpoint
+- [[../sergey/README]] — Cudy через awg0 → этот endpoint
+- [[vpn-clients]] — общий реестр клиентов
--- a/projects/dttb/nextcloud-talk-bot/README.md
+++ b/projects/dttb/nextcloud-talk-bot/README.md
@@ -8,9 +8,9 @@ AI-бот в Nextcloud Talk с доступом к базе знаний. Отв
 ```
 Пользователь → Nextcloud Talk (чат "Максимка")
                     ↓ (long polling API каждые 30с)
-              Talk Bot (Python скрипт на LXC 129)
+              Talk Bot (Python скрипт на LXC 137, openclaw)
                     ↓
-              cliproxy (localhost:8317) → Claude Sonnet
+              cliproxy (LXC 132 code-server, 10.0.0.179:8317) → Claude Sonnet
                     ↑
              База знаний из Gitea (knowledge-base repo)
                     ↓
@@ -21,8 +21,9 @@ AI-бот в Nextcloud Talk с доступом к базе знаний. Отв

 ### Запуск бота (systemd)
 ```bash
-# На LXC 129 (clawdbot, 10.0.0.206)
+# На LXC 137 (openclaw, 10.0.0.239); ранее жил на удалённом LXC 129 clawdbot
 systemctl start nextcloud-talk-bot
+# логи: /var/log/nextcloud-talk-bot.log (раньше: /tmp/talk-bot.log)
 ```

 ### Проверка
--- a/projects/dttb/npm-proxy-hosts.md
+++ b/projects/dttb/npm-proxy-hosts.md
@@ -9,7 +9,7 @@ tags: [dttb, npm]
 > **NPM LXC:** 103 (10.0.0.195)
 > **Панель:** https://npm.dttb.ru
 >
-> Последнее обновление: 2026-02-27
+> Последнее обновление: 2026-05-26

 ---

@@ -17,7 +17,7 @@ tags: [dttb, npm]

 | Всего хостов | С SSL | Без SSL | Активных |
 |--------------|-------|---------|----------|
-| 19 | 15 | 4 | 19 |
+| 20 | 16 | 4 | 20 |

 ---

@@ -45,6 +45,7 @@ tags: [dttb, npm]
 | 22 | `git.dttb.ru` | 10.0.0.189:3000 | ❌ | ❌ | ✅ | ❌ | Gitea |
 | 23 | `matrix.dttb.ru` | 10.0.0.224:8080 | ✅ Let's Encrypt | ✅ | ✅ | ✅ | Matrix/Element Web |
 | 25 | `mail.dttb.ru` | 10.0.0.107:443 (HTTPS) | ✅ Let's Encrypt | ✅ | ❌ | ✅ | Mailcow Web UI |
+| 29 | `omni.dttb.ru` | 10.0.0.179:20128 | ✅ Let's Encrypt | ✅ | ✅ | ✅ | **OmniRoute Dashboard** (LXC 132) |

 ---

@@ -85,7 +86,7 @@ location /.well-known/matrix/client {
 | 10.0.0.112 | 8840 | ip.dttb.ru |
 | 10.0.0.155 | 8123 | home.dttb.ru |
 | 10.0.0.169 | 8080 | office.dttb.ru |
-| 10.0.0.179 | 8080 | ai.dttb.ru |
+| 10.0.0.179 | 8080, 20128 | ai.dttb.ru, omni.dttb.ru |
 | 10.0.0.184 | 3000 | link.dttb.ru |
 | 10.0.0.189 | 3000 | git.dttb.ru |
 | 10.0.0.195 | 81 | npm.dttb.ru |
--- a/projects/dttb/proxmox-inventory.md
+++ b/projects/dttb/proxmox-inventory.md
@@ -8,7 +8,7 @@ tags: [dttb, proxmox]

 > **Нода:** pve (10.0.0.250)
 >
-> Последнее обновление: 2026-04-17 (обновлено из живого `pct list` / `qm list`)
+> Последнее обновление: 2026-05-06 (VM 111 — Parsec-хост; ранее значилась как «1С»)

 ---

@@ -44,14 +44,21 @@ tags: [dttb, proxmox]
 | NPM домен | mail.dttb.ru |
 | Назначение | Почтовый сервер dttb.ru |

-### VM 111 — WinServer2025
+### VM 111 — WinServer2025 (Parsec)
 | Параметр | Значение |
 |----------|----------|
 | Статус | 🟢 running |
-| CPU | 4 vCPU |
+| OS type | win11 (имя VM осталось от прежней роли) |
+| CPU | 8 cores (2 sockets × 4), kvm64 |
 | RAM | 32 GB |
-| Диск | 200 GB |
-| Назначение | Windows Server 2025 (1С и т.п.) |
+| Диски | 200 GB + 200 GB + **4 TB** на storage `work` |
+| BIOS/Machine | OVMF + q35-9.0, `viommu=intel` |
+| GPU passthrough | `hostpci0=0000:0f:00.0` (x-vga=1), `vga: none` |
+| Audio passthrough | `hostpci1=00:1b.0` (Intel HD Audio) |
+| USB passthrough | Logitech `046d:c52f`, контроллер `1a2c:2d23`, Samsung `04e8:61f5`, два USB3-порта (8-2, 1-6) |
+| Anti-detect | `hv_vendor_id=randomid` + полный набор `hv_*` (скрывает виртуализацию от NVIDIA) |
+| Сеть | vmbr0, MAC `BC:24:11:56:77:06` (DHCP, guest-agent не отвечает) |
+| Назначение | **Parsec-хост**: GPU + USB-периферия проброшены, удалённый стриминг рабочего стола / игр |

 ### VM 127 — haos-17.0
 | Параметр | Значение |
--- a/projects/dttb/vpn-clients.md
+++ b/projects/dttb/vpn-clients.md
@@ -14,7 +14,7 @@ tags: [dttb, vpn, clients, happ, amneziavpn, reality]
 |--------|-----------|-----|--------|------------|
 | Finland 5870 | `78.17.4.225:9443` | VLESS Reality + XTLS Vision | Happ | [[../../snippets/happ-vpn-client-instruction]] |
 | Finland 5870 (AmneziaWG) | `78.17.4.225` | AmneziaWG (если поднят) | AmneziaVPN | [[../../snippets/amnezia-vpn-client-instruction]] |
-| Finland HOSTKEY | `202.71.12.186:9443` | VLESS Reality + XTLS Vision | Happ | (доступ к серверу — уточнить, владельца записать в credentials) |
+| Finland HOSTKEY | `202.71.12.186:9443` | VLESS Reality + XTLS Vision | Happ | `ssh -J root@100.70.92.138 root@202.71.12.186` (`finland5870.com`, см. [[finland-hostkey-vps]]) |

 Подробности по Finland после инцидента: [[../../decisions/2026-04-24-finland-vps-malware-cleanup]]. SSH только по ключу.

--- a/projects/glavtorg/README.md
+++ b/projects/glavtorg/README.md
@@ -50,6 +50,15 @@ r = s.run_cmd('whoami')
 - Server 2012 R2 Standard без RDS CAL → лимит **2 одновременных admin-сессии**. Следи за залипшими Disc-сессиями (`qwinsta`, `logoff <id>`).
 - **НЕ делать `logoff` сессии, в которой запущена VMware Workstation** — упадут все VM этого юзера.

+### AutoLogon отключён (2026-05-23)
+- Ранее стоял `AutoAdminLogon=1` через Sysinternals Autologon (пароль в LSA secret) + `ForceAutoLogon=1` — после ребута Ярослав был залогинен в console, экран не блокировался, любой у монитора видел рабочий стол. Клиент пожаловался на риск.
+- Проверено: процессы `vmware-vmx` крутятся в **Session 0 (System)**, Task Scheduler `VMware AutoStart` запускает VM через `vmrun nogui` с stored password (`LogonType=Password`, Last Result 0 после ребута 22.05). Интерактивная сессия для запуска VM **не нужна**.
+- Снято: `AutoAdminLogon=0`, `ForceAutoLogon=0`, `AutoLogonCount` удалён. `DefaultUserName=Ярослав` оставлен — это preselect на logon screen.
+- Backup Winlogon ветки: `C:\Scripts\winlogon-backup-20260523-125613.reg`. Rollback: `C:\Scripts\rollback-autologon.cmd`.
+- LSA secret `DefaultPassword` лежит в HKLM\SECURITY\Policy\Secrets — без `AutoAdminLogon=1` не используется. Полностью стереть: скачать [Sysinternals Autologon](https://learn.microsoft.com/sysinternals/downloads/autologon), `Autologon64.exe /accepteula /delete`.
+- **Провалидировано ребутом 2026-05-23 13:44** (uptime новой загрузки 3 мин на момент проверки): console на logon screen без юзера; `VMware AutoStart` отработал через 4 сек после boot, Last Result=0; обе VM running в SessionId=0; nbgw 192.168.1.50 пингуется; NetBird service running на хосте.
+- **Amnezia 192.168.1.51 не отвечает на ICMP/TCP** — это штатно: README выше указывает что VM сконфигурирована как UDP-WG only (вероятно iptables дропает всё кроме WG-порта + arp_ignore на ОС). vmware.log показывает успешный boot и активный VMware Tools heartbeat. Если у клиентов NetBird (Юрий, Diana) пропадёт VPN — лезть смотреть iptables/wg на самой VM, не в фикс AutoLogon.
+
 ## Пользователи

 | Пользователь | Админ | RDP | Назначение |
@@ -69,6 +78,7 @@ r = s.run_cmd('whoami')
 ## История изменений
 - **2026-04-15:** Создан пользователь Diana_Grig (RDP + 1С обновление)
 - **2026-04-25:** Настроен автозапуск VM (nbgw + Amnezia) через Task Scheduler; `fSingleSessionPerUser=0` для RDP при запущенной VMware
+- **2026-05-23:** Отключён AutoLogon Ярослава по запросу клиента (риск физического доступа к консоли). VM продолжают стартовать через Task Scheduler в Session 0.

 <!-- kb-auto-index -->
 ## Навигация
--- a/projects/glavtorg/instruction-yaroslav-autologon.md
+++ b/projects/glavtorg/instruction-yaroslav-autologon.md
@@ -0,0 +1,94 @@
+---
+type: instruction
+project: glavtorg
+audience: client
+tags: [glavtorg, instruction, yaroslav, security]
+---
+
+# Ярославу: убрали автологин на сервере 1С
+
+Ярослав, по вашей просьбе отключил автоматический вход на сервере. Ниже — что было, что изменилось и что от вас нужно.
+
+## Почему это было опасно
+
+На сервере крутятся две виртуальные машины в VMware Workstation:
+- `nbgw` (192.168.1.50) — шлюз NetBird, через него ходит вся VPN-связь с офисами
+- `Ubuntu` (192.168.1.51) — AmneziaVPN сервер
+
+Чтобы они стартовали сами после перезагрузки, в апреле был настроен **автоматический вход в Windows** под вашим логином (программа Sysinternals Autologon). Пароль зашифрован в системе, но **результат**: после загрузки сервер сразу оказывается с готовым рабочим столом администратора, экран не блокируется. Если кто-то физически подойдёт к серверу или подключит монитор/клавиатуру — он сразу получает полный доступ к 1С, файлам, сети.
+
+То есть пароль на учётке у вас стоит, но он бесполезен, пока сервер сам логинится после ребута.
+
+## Почему отключение безопасно (виртуалки не упадут)
+
+Проверил как именно стартуют VM:
+- Запускает их **Планировщик заданий Windows** (Task Scheduler → задача `VMware AutoStart`)
+- Задача настроена на режим **«Выполнять вне зависимости от того, выполнен ли вход пользователя»** — пароль хранится в самой задаче
+- Команда `vmrun ... nogui` поднимает VM в фоне (без окна), они работают как системные процессы
+
+То есть автологин был нужен **в апреле для подстраховки**, но по факту Планировщик справляется сам. Виртуалки уже несколько ребутов стартовали без интерактивной сессии (последний — 22 мая, результат 0 = успешно).
+
+## Что я изменил (уже сделано)
+
+В реестре Windows:
+- `AutoAdminLogon`: 1 → 0 (автологин выключен)
+- `ForceAutoLogon`: 1 → 0 (бесполезный флаг, мешал logoff)
+- `AutoLogonCount` — удалён
+
+Имя пользователя на экране входа осталось предзаполнено («Ярослав / glavtorg») — это просто удобство, не риск. **Пароль всё так же спрашивается.**
+
+На всякий случай положил на сервер:
+- `C:\Scripts\winlogon-backup-20260523-125613.reg` — бэкап старых настроек
+- `C:\Scripts\rollback-autologon.cmd` — откат одной командой
+
+## Что нужно от вас
+
+**1. Перезагрузить сервер в удобное окно** (вечером после работы, в выходные — на ваше усмотрение). Без перезагрузки эффект не проявится, но и текущее состояние не меняется — пока сервер работает, всё как раньше.
+
+```
+shutdown /r /t 0
+```
+
+(или через меню «Пуск → Перезагрузка»)
+
+**2. Сразу после загрузки проверить:**
+
+- Сервер должен встать на экран входа Windows (без автоматического логина — это то, что мы хотели)
+- Заходим под собой, открываем PowerShell **от админа** и проверяем что VM поднялись:
+
+```powershell
+& "C:\Program Files (x86)\VMware\VMware Workstation\vmrun.exe" list
+```
+
+Должно показать обе VM:
+```
+Total running VMs: 2
+D:\VMs\nbgw\Ubuntu 64-bit.vmx
+D:\VMs\Ubuntu 64-bit.vmx
+```
+
+- Дополнительно: пинг по 192.168.1.50 и 192.168.1.51 — обе должны отвечать
+- Удалёнка через NetBird (Diana, Юрий Витальевич) должна работать как раньше
+
+**3. Если что-то не так** — VM не поднялись, NetBird не работает — запустите откат:
+
+```
+C:\Scripts\rollback-autologon.cmd
+```
+
+(запустить от админа, потом перезагрузить сервер). После этого автологин вернётся как был, и сразу напишите мне — разберёмся почему Планировщик не справился.
+
+## Дополнительно про физический доступ
+
+Даже после этого фикса, если у сервера есть подключённый монитор/клавиатура (или iLO/IPMI/KVM-over-IP), кто-то с физическим доступом всё равно увидит экран входа и **может попытаться** ввести пароль. Защита от этого — отдельная история:
+
+- Длинный сложный пароль учётки (сейчас `23947592` — короткий, цифровой; рекомендую сменить)
+- BitLocker на системном диске (если железо позволяет TPM)
+- Физически закрытая стойка/шкаф с сервером
+- Отключить локальный логон по консоли для лишних пользователей
+
+Если интересно — могу помочь со сменой пароля и BitLocker отдельным заходом.
+
+---
+
+Если что — пишите.
--- a/projects/mmfb/lionart-1c.md
+++ b/projects/mmfb/lionart-1c.md
@@ -0,0 +1,29 @@
+---
+title: LionART 1C — Windows-сервер 1С + Effector Saver
+date: 2026-05-28
+tags: [mmfb, lionart, windows, 1c, effector-saver]
+aliases: [WIN-70M2VEJIKEF, "10.253.1.240", "VM 100 LionART"]
+---
+
+# LionART 1C (`WIN-70M2VEJIKEF`, 10.253.1.240)
+
+VM 100 на [[proxmox-inventory|pve LionART]] — Windows Server 2022 Standard (KVM/QEMU Q35). 1С-сервер + бэкап-агент **Effector Saver**.
+
+## Доступ
+- **RDP:** `10.253.1.240`, `Администратор` / `OL260380eg`, **2FA push** (Duo/аналог) — только интерактивно, Олег сам
+- **SSH (claude, без 2FA):** `ssh claude@10.253.1.240` — ключ `~/.ssh/id_ed25519.pub` (`ai@mac-20260112`) в `C:\ProgramData\ssh\administrators_authorized_keys`, локальный аккаунт `claude` / `Kl@udeD1ag!2026` в группе Administrators (SID `S-1-5-32-544`)
+- Доступ возможен только через NetBird (LAN 10.253.1.0/24 за `pve LionART` 100.70.128.49)
+
+## Установлено
+- **Effector Saver** — `C:\Program Files\Effector Saver\`, данные `C:\ProgramData\Effector Saver\`
+  - Служба `efsaveragent` (Effector Saver Agent), `fagent.exe`, **LogOn = `.\Администратор`**, StartType Auto
+  - Установлено 2025-02-16
+- SQL Server (виден по SeServiceLogonRight: `SQLServer2005SQLBrowserUser$WIN-70M2VEJIKEF`, `SQLServerSQLAgentUser$WIN-70M2VEJIKEF$MSSQLSERVER`)
+- 1С: учётная служба `USR1CV8` (по SeServiceLogonRight)
+- OpenSSH Server (capability) — добавлен 2026-05-28, порт 22, правило фаервола `sshd`
+
+## Известные проблемы
+
+### 2026-05-28: `efsaveragent` не стартовал → Account locked
+
+См. [[../../decisions/2026-05-28-mmfb-effector-saver-locked-admin|decision]]. Кратко: SCM каждую минуту ломился в `.\Администратор` с устаревшим в LSA-секретах паролем → BadPwd-счётчик дошёл до lockout-порога → служба не могла стартануть **и** Администратор оказался залочен. Решение: остановить SCM (`start= disabled`), разблокировать через ADSI `IsAccountLocked = 0`, проверить актуальный пароль через `LogonUser` API, прошить заново через `sc.exe config ... password=`, вернуть `start= auto`. Текущий пароль `Администратор` — `OL260380eg` (валиден на 2026-05-28).
--- a/projects/mmfb/proxmox-inventory.md
+++ b/projects/mmfb/proxmox-inventory.md
@@ -30,7 +30,7 @@ tags: [mmfb, proxmox]

 | VMID | Name          | OS    | Cores | RAM    | Disk  | IP              | MAC               | Статус  |
 |------|---------------|-------|-------|--------|-------|-----------------|-------------------|---------|
-| 100  | 1C            | win11 | 4     | 65 GB  | 150 GB + 54 GB | 10.253.1.240 | DE:D9:70:9B:A3:19 | running (agent=1) |
+| 100  | 1C            | win11 (Win Server 2022 Std, hostname `WIN-70M2VEJIKEF`) | 4     | 65 GB  | 150 GB + 54 GB | 10.253.1.240 | DE:D9:70:9B:A3:19 | running (agent=1) — см. [[lionart-1c]] |
 | 101  | WinServer2025 | win11 | 2     | 20 GB  | 100 GB | 10.253.1.6      | BC:24:11:D4:AE:68 | running |
 | 102  | OVPN          | l26   | 6     | 4 GB   | 100 GB | —               | AA:54:D6:B9:FD:01 | running |

--- a/projects/peredelki/README.md
+++ b/projects/peredelki/README.md
@@ -0,0 +1,105 @@
+---
+date: 2026-04-16
+updated: 2026-05-27
+type: project
+status: offline
+tags: [object, openwrt, netbird, unifi, podkop, peredelki]
+aliases: [Peredelki, Переделки, OpenWrt_Peredelki, peredelki, "Переделкино"]
+---
+
+# Переделки — OpenWrt + UniFi за NetBird
+
+Объект на 192.168.2.0/24 с маршрутизатором на OpenWrt и UniFi-сегментом (Switch + 3 AP). Назначения два: **обход блокировок через podkop** и **точки доступа Ubiquiti**, контроллер для которых живёт удалённо на LXC 116 в НИИКН и связан с объектом через NetBird-мост.
+
+> ⚠️ **На 2026-05-27 объект полностью оффлайн.** NetBird-пир `openwrt-peredelki` не подключается с **2026-05-08T10:56 UTC** (19+ дней). Причина не выяснена — питание/WAN/агент/железо. Подробнее в разделе «История».
+
+## Контакт
+
+| | |
+|---|---|
+| Клиент | TODO — уточнить у Олега |
+| Локация | Переделки (Москва, по NetBird geo: 55.75/37.62) |
+| Группа NetBird | `Glavtorg` (исторически; ACL-группа Главторга) |
+
+## Роутер
+
+| Параметр | Значение |
+|---|---|
+| Модель | OpenWrt-роутер (модель не зафиксирована, скорее всего Cudy TR3000 как в Бенелюксе/Красногорске) |
+| Hostname | `OpenWrt_Peredelki` |
+| OpenWrt | 24.10.3, kernel 6.6.104 |
+| NetBird IP | `100.70.197.125` (`openwrt-peredelki.netbird.cloud`, peer `d7fug7rl0ubs73b5r36g`, агент 0.59.13, группы `All`, `Glavtorg`) |
+| WAN | последний connection_ip `193.39.160.231` (RU, Moscow) |
+| LAN | `192.168.2.0/24` на `br-lan` (изначально было `192.168.1.0/24`, мигрировали 2026-04-16 из-за конфликта с НИИКН) |
+| DNS-override | `unifi → 192.168.2.1` (uci dhcp.@domain) — auto-discovery для UniFi AP после factory reset |
+| SSH | root / `1qaz!QAZ` (на момент last seen — паролем; статус key-auth неизвестен, см. [[credentials]]) |
+
+## Что работает в сети
+
+### На OpenWrt
+- **podkop** + sing-box + AmneziaWG (`awg0`) + VLESS-proxy `202.71.12.186`:
+  - Списки: `russia_inside`, `meta`, `telegram`
+  - DoH: `8.8.8.8`, FakeIP включён, QUIC отключён (`disable_quic=1`)
+  - **Фикс конфликта nft mangle** с NetBird: chain `PodkopTable.mangle` сдвинут на priority `-140` (вместо штатного `-150`). См. [[../../decisions/2026-04-17-peredelki-podkop-stability-fix]].
+  - **Guard** от регрессии после `opkg upgrade podkop`: `/usr/sbin/podkop-prio-guard` в crontab `*/2` + `(sleep 30 && ...)` в `/etc/rc.local`. Лог: `logread | grep podkop-prio-guard`.
+  - Авто-старт sing-box: `/etc/init.d/sing-box enable`, `shutdown_correctly=1`
+- **NetBird** для удалённого доступа (`100.70.197.125`)
+- **Socat-proxy** для UniFi-устройств → контроллер в НИИКН (persistent через `/etc/init.d/unifi-proxy`):
+  - TCP 8080 → `100.70.138.234:8080` (inform)
+  - TCP 8443 → `100.70.138.234:8443` (web UI)
+  - UDP 3478 → `100.70.138.234:3478` (STUN)
+  > Почему socat, а не DNAT: DNAT через NetBird ломал inform-пакеты (MTU 1280 vs 1500, «Content too short / Bad packet magic»). Решено через application-level forwarding.
+- **NAT в LAN** для трафика контроллер→устройства: `iifname wt0 oifname br-lan masquerade` (init script) + `firewall.netbird.masq=1`
+
+### NetBird route
+- `192.168.2.0/24` → peer `openwrt-peredelki` (route id `d7giigifadhs73djobr0`, network_id `Peredelki`, masquerade=true, metric 9999, группа `All`)
+- Цель: позволяет UniFi-контроллеру SSH к устройствам Переделок для provisioning
+
+### UniFi-сегмент за OpenWrt
+Контроллер — **LXC 116 на pve-niikn** (`unifi-controller`, IP в LAN НИИКН `192.168.1.84`, NetBird `100.70.138.234`), Docker `ghcr.io/linuxserver/unifi-network-application:latest` + MongoDB с bind-mount `/opt/unifi/config:/config` (без этого база сбрасывалась при рестарте — anonymous volume). Admin: SSO `batlaew@yandex.ru` через UI.com. Сайт: `default`.
+
+Adopted-устройства в базе контроллера на 2026-05-27 (`db.device.find`):
+
+| IP | MAC | Модель | FW | adopted |
+|---|---|---|---|---|
+| `192.168.2.109` | `d8:b3:70:84:0f:05` | USW-Lite-16-PoE (`USL16LPB`) | 7.2.123 | ✓ |
+| `192.168.2.146` | `1c:0b:8b:70:de:1e` | U7 In-Wall (`UAPA6A5`) | 7.2.5 | ✓ |
+| `192.168.2.227` | `1c:0b:8b:70:e2:41` | U7 In-Wall (`UAPA6A5`) | 7.2.5 | ✓ |
+| `192.168.2.178` | `a8:9c:6c:d2:d9:0b` | U6 Pro (`UAPA6B3`) | 8.0.35 | ✓ |
+
+> Live-status (state/last_seen) на момент проверки получить не удалось — устройства не присылают inform с 2026-05-08 (OpenWrt оффлайн, socat-proxy не работает). В логах `/config/logs/server.log*` за последние 5 дней — ни одного события от MAC-ов Переделок, только «not found in devbasic cache» после рестарта контроллера 2026-05-26.
+
+### WiFi
+- SSID: `Ubnt`, WPA2, пароль: `1234567a` (см. [[credentials]])
+
+### SSH к UniFi-устройствам
+Учётка для managed devices: `batlaew / 20iPUHpzpMXnp9Rx` (после factory reset — `ubnt / ubnt`).
+
+## Конфликт подсетей
+
+`192.168.2.0/24` пересекается с **Красногорском** ([[../krasnogorsk/README]], Cudy TR3000 за Deco P9, NetBird `100.70.152.137`). Конфликт только на mesh-уровне (если оба пира одновременно анонсируют /24) — на текущий момент анонсирует только Переделки (`Peredelki`, metric 9999). При работе через NetBird к хостам Переделок ходи по NetBird-IP пира (`100.70.197.125`), не по LAN-IP.
+
+Параллельно с `192.168.2.0/24` в NetBird mesh присутствуют:
+- `192.168.1.0/24` от pve-niikn (НИИКН) и nbgw-glavtorg (Главторг)
+- `192.168.1.0/24` от Бенелюкса (без анонса — конфликт раньше был, см. [[../../decisions/2026-05-20-benelux-compromise#netbird-route-—-niikn-остаётся-в-mesh]])
+
+## История
+
+- **2026-04-15** — пир OpenWrt_Peredelki создан в NetBird (`d7fug7rl0ubs73b5r36g`)
+- **2026-04-16** — миграция UniFi-контроллера с **Orange Pi (Мичуринец, 192.168.1.10)** на LXC 116 НИИКН; LAN объекта сменён `192.168.1.0/24 → 192.168.2.0/24`; adopted Switch + U7-IW после factory-reset; socat-proxy и NetBird route собраны. См. [[../../decisions/2026-04-16-unifi-migration-peredelki]].
+- **2026-04-17** — `podkop` не работал (FakeIP резолвится, но TCP в `SYN_SENT`); корневая причина — конфликт chain priority с NetBird на hook `prerouting priority mangle (-150)`. Подняли priority Podkop'а до `-140`, поставили guard. См. [[../../decisions/2026-04-17-peredelki-podkop-stability-fix]].
+- **2026-04-17** — добавлен DNS-override `unifi → 192.168.2.1` для авто-discovery; новая точка `1c:0b:8b:70:e2:41` (192.168.2.227) — pending adoption.
+- **2026-05-08T10:56 UTC** — **пир ушёл в offline.** Причина не выяснена. UniFi-устройства Переделок тоже перестали слать inform на контроллер (логично — socat-proxy умер вместе с роутером).
+- **2026-05-27** — попытка диагностики удалённо: ICMP по NetBird = 100% loss; `connected=false` в NetBird API; UniFi-устройства в Mongo — adopted, но в логах ни одного inform за последние 4 дня.
+
+## Что проверить / починить
+
+- [ ] **Связаться с клиентом / выехать** — узнать включён ли роутер, есть ли WAN на объекте. Это самый частый кейс при таком long-tail offline.
+- [ ] После возврата — проверить настроен ли SSH key-auth (после инцидента Бенелюкса в [[../../decisions/2026-05-20-benelux-compromise]] — `1qaz!QAZ` на роутере с WAN-доступом критично опасен; если на Переделках dropbear выходит на WAN — закрыть).
+- [ ] Проверить актуальность group `Glavtorg` для этого пира — историческая или нужна (ACL).
+- [ ] Прошить актуальный sysupgrade (24.10.x → ...) когда вернётся в строй.
+- [ ] U6 LR и U6+ — в 2026-04-16 был TODO «подключить когда запитаются». В текущей базе их нет, только U7-IW и UAPA6B3. Возможно демонтированы или никогда не подключены.
+
+## Aliases для FTS
+
+`Переделки`, `Peredelki`, `OpenWrt_Peredelki`, `openwrt-peredelki`, `100.70.197.125`, `192.168.2.0/24`, `Peredelki LAN`, `d7fug7rl0ubs73b5r36g`.
--- a/projects/peredelki/credentials.md
+++ b/projects/peredelki/credentials.md
@@ -0,0 +1,74 @@
+---
+date: 2026-05-27
+type: project
+tags: [peredelki, credentials, secrets]
+---
+
+# 🔐 Credentials — Переделки
+
+> ⚠️ **КОНФИДЕНЦИАЛЬНО** — не распространять за пределы команды
+
+## OpenWrt Переделки
+
+| Параметр | Значение |
+|---|---|
+| Hostname | `OpenWrt_Peredelki` |
+| NetBird IP | `100.70.197.125` (`openwrt-peredelki.netbird.cloud`) |
+| LAN IP | `192.168.2.1` |
+| WAN IP (последний) | `193.39.160.231` (RU, Moscow) |
+| OpenWrt | 24.10.3, kernel 6.6.104 |
+| Логин | `root` |
+| Пароль | `1qaz!QAZ` *(общий по инфре; после инцидента Бенелюкса см. [[../../decisions/2026-05-20-benelux-compromise]])* |
+
+### SSH
+По состоянию на 2026-05-08 (последнее наблюдение пира online) — **парольная авторизация**. Настроен ли key-auth — не проверено: после инцидента Бенелюкса 2026-05-20 хостинг общего `1qaz!QAZ` на роутере с потенциальным WAN SSH опасен. После возврата объекта в строй — first thing проверить и закрыть.
+
+```bash
+# с Mac (через NetBird)
+ssh root@100.70.197.125
+
+# с code-server (recovery, если ключ положен)
+ssh root@100.70.197.125
+```
+
+### LuCI (Web UI)
+- **Через NetBird**: http://100.70.197.125 (только когда пир онлайн)
+- **Из LAN**: http://192.168.2.1
+- Логин: `root`, пароль тот же `1qaz!QAZ`
+
+### Failsafe / локальное восстановление
+SSH-ключи не задокументированы, failsafe-mode через reset-кнопку при загрузке, IP `192.168.1.1` (статика на ноуте) → telnet/web.
+
+## UniFi-контроллер (LXC 116 на pve-niikn)
+
+| Параметр | Значение |
+|---|---|
+| Хост | LXC 116 (`unifi-controller`) на pve-niikn |
+| LAN IP | `192.168.1.84` (внутри LAN НИИКН) |
+| NetBird IP | `100.70.138.234` (`unifi-controller.netbird.cloud`) |
+| Web UI | https://100.70.138.234:8443 |
+| Admin | SSO через UI.com — `batlaew@yandex.ru` |
+| Локальный admin в Mongo | `batlaew` (пароль хешированный, не извлекался) |
+| Container image | `ghcr.io/linuxserver/unifi-network-application:latest` |
+| MongoDB user | `unifi / unifi` (db `unifi`, `unifi_stat`) |
+| MongoDB bind-mount | `/opt/unifi/mongo` (data), `/opt/unifi/config` (config) |
+
+### SSH к UniFi-устройствам (managed)
+- Учётка: `batlaew / 20iPUHpzpMXnp9Rx`
+- После factory-reset (set-default): `ubnt / ubnt`
+
+### WiFi на объекте
+- SSID: `Ubnt`
+- Шифрование: WPA2
+- Пароль: `1234567a`
+
+## Доступы для NetBird API (общие для инфры)
+
+- Token: `nbp_YTEmAVpS0hLhnTeJ09q3wYaC0AAXjN21NPvM`
+- Peer id Переделок: `d7fug7rl0ubs73b5r36g`
+- Route id `192.168.2.0/24 → Переделки`: `d7giigifadhs73djobr0` (network_id `Peredelki`)
+
+## Контекст
+- См. [[README]] — общая схема объекта (OpenWrt + UniFi-сегмент + podkop)
+- См. [[../../decisions/2026-04-16-unifi-migration-peredelki]] — миграция контроллера и смена /24
+- См. [[../../decisions/2026-04-17-peredelki-podkop-stability-fix]] — фикс mangle priority + guard
--- a/projects/sergey/README.md
+++ b/projects/sergey/README.md
@@ -1,35 +1,118 @@
 ---
-date: 2026-05-06
+date: 2026-05-12
 type: project
-status: stub
-tags: [object, openwrt, netbird, client, todo]
-aliases: [Sergey, sergey, OpenWrt_Sergey, Одинцово]
+status: active
+tags: [object, openwrt, netbird, client, podkop, amneziawg]
+aliases: [Sergey, sergey, OpenWrt_Sergey, Одинцово, Cudy_TR3000_Sergey]
 ---

 # Sergey — клиентский OpenWrt

-**Стаб-заметка**, фактов мало. Создан, чтобы Максимка (FTS) не терял этот объект — раньше упоминался ровно один раз в [[../dttb/netbird-inventory]].
+Один из выездных OpenWrt-роутеров (домашний / клиентский) с подкоп-обходом РКН. Диагностирован 2026-05-12.

-## Что известно (из NetBird)
+## Доступ

 | Параметр | Значение |
 |---|---|
-| Имя пира | `OpenWrt_Sergey` |
+| Имя пира NetBird | `OpenWrt_Sergey` |
 | NetBird IP | `100.70.110.164` |
-| Локация (NetBird) | Odintsovo |
-| OpenWrt | 24.10.3 |
-| NetBird agent | 0.59.12 |
-| Группы | `All`, `OpenWRT VPN` |
+| Локация | Одинцово |
+| SSH | `ssh root@100.70.110.164` пароль `1qaz!QAZ` (только через NetBird, в LAN-провайдере не светится) |
+| LuCI | http://192.168.1.1 (только из LAN) |
+| Clash API | `192.168.1.1:9090` (только из LAN) |
+
+## Железо
+
+| Параметр | Значение |
+|---|---|
+| Модель | **Cudy TR3000 v1** (MediaTek Filogic 820, MT7981) |
+| Архитектура | `aarch64_cortex-a53` |
+| OpenWrt | 24.10.3 `r28872-daca7c049b`, target `mediatek/filogic` |
+| Uptime (2026-05-12) | 57 дней |
+
+## Сеть
+
+- **WAN** `eth0` — внутри провайдерского сегмента **192.168.0.0/24**, IP `192.168.0.136`, gateway `192.168.0.1` (двойной NAT — за провайдерским роутером).
+- **LAN** `br-lan` 192.168.1.0/24, роутер 192.168.1.1.
+- **Внешний публичный IP без VPN**: `217.73.118.172` (NetByNet, РФ).
+- **Внешний IP через awg0**: `202.71.12.186` (Singapore VPS, общий VLESS endpoint Олега).
+- **NetBird** `wt0` 100.70.110.164/16.
+
+## Установлено
+
+| Пакет | Версия | Назначение |
+|---|---|---|
+| podkop / luci-app-podkop | v0.7.14-r1 | управляющая обвязка обхода (sing-box + nft + rule_sets) |
+| sing-box | 1.12.12-r1 | tproxy на 127.0.0.1:1602, FakeIP `198.18.0.0/15` |
+| kmod-amneziawg + amneziawg-tools + luci-proto-amneziawg | 1.0.20250903 / ядерный | туннель `awg0` |
+| netbird | 0.59.12-r1 | NetBird-агент |
+| dnsmasq | 2.90-r4 | LAN DNS, форвардит на `127.0.0.42` (sing-box DNS), `noresolv=1` |
+
+**НЕ установлен** AdGuard Home — фильтрация только через FakeIP подкопа.
+
+## Подкоп: что заворачивается
+
+| Секция | Connection | Outbound | community_lists |
+|---|---|---|---|
+| `main` | vpn | `awg0` (AmneziaWG → Singapore) | `russia_inside`, `telegram`, `meta` |
+| `vlees` | proxy | VLESS Reality SNI=googletagmanager (202.71.12.186:443) — резерв | `russia_inside` |
+
+DNS: `udp 8.8.8.8`, bootstrap `77.88.8.8`, `disable_quic=1`, `log_level=warn`.
+
+AmneziaWG peer endpoint: `202.71.12.186:37209`, jc=3 / s1=75 / s2=97 / h1-h4 заданы.
+
+## AmneziaWG-конфиг (peer Сергея)
+
+```
+[Interface]
+PrivateKey = Qd4D4shtIISe86BEh/6mPuMWPV0BIaqoJ9jcW0zyLRQ=
+Address    = 10.8.1.34/32
+DNS        = 1.1.1.1, 1.0.0.1
+Jc = 3   Jmin = 50   Jmax = 1000
+S1 = 75  S2 = 97
+H1 = 860002361  H2 = 977296329
+H3 = 921200064  H4 = 1328368280
+
+[Peer]
+PublicKey      = C+Y+jAGsuaLtpgZvkgLC3cqqRlV9vwOAcQlObLdgiEQ=
+PresharedKey   = SBtI7711obKV+SQaiGJ1+9pi/Xh6SZygdwny61z6PQ4=
+AllowedIPs     = 0.0.0.0/0, ::/0
+Endpoint       = 202.71.12.186:37209
+PersistentKeepalive = 25
+```
+
+## Диагностика 2026-05-12 (жалоба «Instagram не работает»)
+
+**Все компоненты на роутере исправны:**
+- handshake awg0: 1:37 назад, 11.5 GiB rx / 286 MiB tx
+- 108k TCP / 2598 UDP пакетов прошли через tproxy 127.0.0.1:1602
+- FakeIP подменяет: `www.instagram.com → 198.18.0.17`, `i.instagram.com → 198.18.0.6`, `scontent.cdninstagram.com → 198.18.0.27`
+- `curl --interface awg0 https://www.instagram.com/` с роутера → HTTP 200
+- `list_update` прошёл 2026-05-12 09:13 без ошибок
+
+**Вероятная реальная причина у клиента (iPhone, MAC `2e:7f:8c:ce:07:8a` — рандомизированный, единственный активный в DHCP `192.168.1.102`):**
+1. iCloud Private Relay — целиком обходит локальный DNS и FakeIP
+2. Encrypted DNS в Safari/Chrome (DoH к 1.1.1.1/8.8.8.8 по TCP/443)
+3. Кастомный DNS-профиль в Wi-Fi-настройках сети
+
+**Решение (попросить Сергея на iPhone):**
+- Настройки → Apple ID → iCloud → Частный узел → ВЫКЛ
+- Настройки → Wi-Fi → ⓘ его сети → Настройка DNS → Автоматически
+- Safari → Конфиденциальность → Скрывать IP-адрес → ВЫКЛ
+- Chrome → `chrome://settings/security` → DNS через HTTPS → ВЫКЛ
+
+В подкопе v0.7.14 нет встроенной опции "force DNS / block DoH" — если симптомы повторятся, делать вручную через nft (DNAT всего LAN-DNS:53 → 127.0.0.1 + drop известных DoH-серверов). Полный разбор → [[../../decisions/2026-05-12-sergey-instagram-iphone-fakeip]]. Типовой playbook для подобных диагностик → [[../../snippets/podkop-fakeip-diagnostics]].
+
+## Шум в логах sing-box (не баг)
+
+Постоянные `ERROR connection: open connection to {GUID}-netseer-ipaddr-assoc.xy.fbcdn.net:443 ... lookup ...: empty result` — это **Meta NetSeer probes**, штатные anti-CDN-detection запросы Meta. Сами по себе таких доменов в DNS нет (Meta генерит GUID каждые ~30 сек), `empty result` — ожидаемый ответ. Игнорировать.

 ## Открытые вопросы

- [ ] Кто такой Сергей — клиент / друг / семья?
+- [ ] Что роутер реально обслуживает (один телефон в LAN, остальные нет — это второе жильё / дача?)
+- [ ] Сергей — клиент / друг / семья? связь с другими «Сергеями»?
 - [ ] Точный адрес и контакт
- [ ] Тот ли это Сергей, что управляющий [[../znamenskoye/README]] (вероятно НЕТ — там объекты в Истре, этот в Одинцово)
- [ ] Что роутер обслуживает (камеры / IoT / рабочие места)
- [ ] LAN, провайдер, белый WAN или CGNAT
- [ ] Пароль/ключ доступа

 ## Aliases для FTS

-`Sergey`, `OpenWrt_Sergey`, `100.70.110.164`, `Одинцово`.
+`Sergey`, `OpenWrt_Sergey`, `100.70.110.164`, `Одинцово`, `Cudy TR3000`.