mmfb/lionart-1c: SSH + фикс efsaveragent + накопленный backlog vault-а
Сегодня (mmfb / LionART 1C): - projects/mmfb/lionart-1c.md — новый файл: VM 100 на pve LionART (WIN-70M2VEJIKEF, 10.253.1.240, Win Server 2022, 1С+SQL+Effector Saver), SSH-доступ claude/Kl@udeD1ag!2026 заведён, RDP под Администратор + 2FA. - projects/mmfb/proxmox-inventory.md — hostname WIN-70M2VEJIKEF в VM 100. - decisions/2026-05-28-mmfb-effector-saver-locked-admin.md — диагноз цикла 7038 (SCM-пароль разъехался с .\Администратор) + lockout учётки, и пошаговое решение (disable службы → ADSI unlock → LogonUser-проверка → sc.exe config password= → start auto). Накопившийся backlog (без отдельной правки в эту сессию): - decisions/: buzharovo (recon, migration-plan, 1c-licensing), sergey (instagram iPhone fakeip), amneziavpn macOS v1/v2 incompat, benelux compromise 2026-05-20, glavtorg autologon off, omni domain+update. - projects/: benilux README, buzharovo README+server1c, dttb (nextcloud-talk-bot, npm-proxy-hosts, proxmox-inventory, vpn-clients), glavtorg, sergey README, projects/_index. - claude-memory/: benelux, omniroute. - snippets/mac-dictation/groq-dictate.sh. - notes/claude/: ~80 авто-сохранённых транскриптов сессий за май. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
This commit is contained in:
dttb
@@ -1,35 +1,96 @@
|
||||
---
|
||||
date: 2026-05-06
|
||||
updated: 2026-05-20
|
||||
type: project
|
||||
status: stub
|
||||
tags: [object, openwrt, netbird, client, todo, istra]
|
||||
aliases: [Benilux, benilux, "OpenWrt Benilux"]
|
||||
status: active
|
||||
tags: [object, openwrt, netbird, client, istra, podkop, residential]
|
||||
aliases: [Benilux, benilux, Бенелюкс, "OpenWrt Benilux"]
|
||||
---
|
||||
|
||||
# Benilux — клиентский OpenWrt в Истре
|
||||
# Бенелюкс — клиентский OpenWrt в КП Бенелюкс (Истра)
|
||||
|
||||
**Стаб-заметка**, фактов мало. Создан, чтобы Максимка (FTS) не терял этот объект.
|
||||
Коттеджный посёлок Бенелюкс под Истрой. На объекте только домашний роутер; **назначение — обход блокировок через podkop**. Никаких бизнес-сервисов, 1С, видеонаблюдения и т.п. не крутится — критичность инцидентов с точки зрения утечки данных низкая, риск только в репутации WAN-IP.
|
||||
|
||||
## Что известно (из NetBird)
|
||||
## Контакт
|
||||
|
||||
| | |
|
||||
|---|---|
|
||||
| Клиент | Александр |
|
||||
| Локация | КП Бенелюкс, Истра |
|
||||
|
||||
## Роутер
|
||||
|
||||
| Параметр | Значение |
|
||||
|---|---|
|
||||
| Имя пира | `OpenWrt Benilux` |
|
||||
| NetBird IP | `100.70.207.97` |
|
||||
| Локация (NetBird) | Istra |
|
||||
| Модель | Cudy TR3000 v1 (MediaTek Filogic, aarch64) |
|
||||
| Hostname | `Benelux` |
|
||||
| OpenWrt | 24.10.3 |
|
||||
| NetBird agent | 0.59.13 |
|
||||
| Группы | `All`, `OpenWRT VPN` |
|
||||
| NetBird IP | `100.70.207.97` (агент 0.59.13, группы `All`, `OpenWRT VPN`) |
|
||||
| WAN | eth0, DHCP от 10.0.0.1, последний WAN-IP `45.143.21.60` |
|
||||
| LAN | `192.168.1.0/24` на `br-lan` (Wi-Fi 2.4 + 5 ГГц в одном бридже) |
|
||||
| SSH | **по ключу** `~/.ssh/id_ed25519` (PasswordAuth выключен, новый пароль root — в [[credentials]]) |
|
||||
|
||||
## Открытые вопросы
|
||||
## Что работает в сети
|
||||
|
||||
- [ ] Что такое «Benilux» — название объекта / магазина / клиента?
|
||||
- [ ] Контактное лицо
|
||||
- [ ] Точный адрес в Истре
|
||||
- [ ] Что роутер обслуживает
|
||||
- [ ] LAN, провайдер, WAN
|
||||
- [ ] Пароль/ключ доступа
|
||||
**Cudy = только шлюз/podkop + DHCP + NetBird-bridge.** Wi-Fi и доступ к LAN — через систему Unifi за ним.
|
||||
|
||||
### На Cudy
|
||||
- **podkop v0.7.14** + sing-box 1.12.22 — обход блокировок:
|
||||
- Main: VPN через `awg0` (AmneziaWG), списки `russia_inside` + `telegram` + `meta` (последние два добавлены 2026-05-20 — без них Telegram не резолвился в FakeIP)
|
||||
- Vless: VLESS-Singapore (`202.71.12.186:443`, Reality)
|
||||
- DNS: DoH (`https://common.dot.dns.yandex.net/dns-query`), bootstrap 77.88.8.8
|
||||
- FakeIP: `198.18.0.0/15`, QUIC отключён
|
||||
- Clash API: `192.168.1.1:9090`
|
||||
- **NetBird** для удалённого доступа (`100.70.207.97`)
|
||||
- **DHCP** `192.168.1.2 — 192.168.1.254` (leasetime 12h)
|
||||
- **Принтер HP M775**: проброшен через DNAT с NetBird-IP (`https://100.70.207.97:8148` → `192.168.1.148:443`)
|
||||
|
||||
### Unifi-сегмент за Cudy
|
||||
В LAN — Unifi AP/Switch (3 устройства c MAC `70:a7:41:*`):
|
||||
|
||||
| IP | MAC | Hostname | Состояние |
|
||||
|---|---|---|---|
|
||||
| `192.168.1.199` | `70:a7:41:79:ef:29` | `Benelyuks` | активно, шлёт UDP discovery 10001 в broadcast + пытается `192.168.28.34:8381` (см. ниже) |
|
||||
| `192.168.1.192` | `70:a7:41:9a:9e:92` | — | тихо |
|
||||
| `192.168.1.101` | `70:a7:41:c1:33:0a` | — | тихо |
|
||||
|
||||
**К какому контроллеру они adopted — пока не выяснено.** Точные факты по состоянию на 2026-05-20:
|
||||
- К общему LXC 116 на pve-niikn (`100.70.138.234 unifi-controller.netbird.cloud`) inform-трафика **нет**
|
||||
- К UDM-Pro Знаменского inform-трафика **нет**
|
||||
- На Cudy нет ни `unifi-proxy` (socat), ни DNS-override `unifi → …`, ни DNAT для 8080/8443/3478
|
||||
- Устройство `192.168.1.199` шлёт TCP SYN на `192.168.28.34:8381` (UISP/AirControl/самосбор?) — этот IP не в NetBird, Cudy роутит его в WAN-шлюз провайдера, пакеты уходят без ответа
|
||||
- Hostname `Benelyuks` у одного из устройств — значит когда-то было adopted (имя задаётся при provision)
|
||||
|
||||
Возможные гипотезы:
|
||||
1. AP/Switch — наследие старого setup, контроллер которого больше недоступен
|
||||
2. Был отдельный standalone-контроллер где-то в LAN, сейчас не работает
|
||||
3. `192.168.28.34` — IP контроллера в L3-сети провайдера / другого объекта, к которому потеряна маршрутизация
|
||||
|
||||
> **TODO**: уточнить у Олега. Если устройства orphaned — стоит решить: factory-reset + adopt в LXC 116, либо демонтаж.
|
||||
|
||||
### Известные клиенты в LAN
|
||||
|
||||
- Samsung S23 «пользователя Нина» (192.168.1.128)
|
||||
- MacBook «Mac» (192.168.1.231)
|
||||
- Cisco IP-телефон `SEP00235EB76EBE` (192.168.1.216)
|
||||
- HP принтер `NPI0EC3A9` (192.168.1.152)
|
||||
- HP M775 (192.168.1.148, через DNAT для удалённой печати)
|
||||
- ~30 других клиентов (Wi-Fi с Netgear-чипами, IoT и т.п.)
|
||||
|
||||
Полные конфиги Cudy: [[claude-memory/benelux]] и [[claude-memory/benelux-topology]].
|
||||
|
||||
## Конфликт подсетей
|
||||
|
||||
`192.168.1.0/24` в Бенелюксе пересекается с:
|
||||
- LAN UDM-Pro Знаменского (`192.168.1.0/24`)
|
||||
- pve-niikn (анонсирует `192.168.1.0/24` в NetBird → mac при попытке зайти на 192.168.1.X через NetBird попадёт в НИИКН, не в Бенелюкс)
|
||||
|
||||
При работе через NetBird с Mac на хост в Бенелюксе — используй NetBird-IP конкретного пира, не его LAN-IP.
|
||||
|
||||
## История инцидентов
|
||||
|
||||
- **2026-05-20** — компрометация через WAN-SSH brute-force; роутер несколько часов рассылал спам и брутил чужие SSH. Закрыто, см. [[decisions/2026-05-20-benelux-compromise]].
|
||||
|
||||
## Aliases для FTS
|
||||
|
||||
`Benilux`, `OpenWrt Benilux`, `100.70.207.97`, `Истра-Benilux`.
|
||||
`Benilux`, `Бенелюкс`, `OpenWrt Benilux`, `100.70.207.97`, `Истра-Benelux`, `КП Бенелюкс`, `Александр Бенелюкс`.
|
||||
|
||||
51
projects/benilux/credentials.md
Normal file
51
projects/benilux/credentials.md
Normal file
@@ -0,0 +1,51 @@
|
||||
---
|
||||
date: 2026-05-20
|
||||
type: project
|
||||
tags: [benilux, credentials, secrets]
|
||||
---
|
||||
|
||||
# 🔐 Credentials — Бенелюкс
|
||||
|
||||
> ⚠️ **КОНФИДЕНЦИАЛЬНО** — не распространять за пределы команды
|
||||
|
||||
## Cudy TR3000 (роутер Бенелюкса)
|
||||
|
||||
| Параметр | Значение |
|
||||
|---|---|
|
||||
| Hostname | `Benelux` (DHCP отдаёт как `Benelyuks`) |
|
||||
| NetBird IP | `100.70.207.97` (`openwrt-benilux.netbird.cloud`) |
|
||||
| LAN IP | `192.168.1.1` |
|
||||
| WAN IP | `45.143.21.60` (Умные сети, gateway `45.143.21.254`) |
|
||||
| OpenWrt | 24.10.3 |
|
||||
| Логин | `root` |
|
||||
| Пароль | `fyGTO1ZsPUpPKUbhUcqM` |
|
||||
|
||||
### SSH
|
||||
**Только по ключу** (PasswordAuth отключён в dropbear с 2026-05-20). В `/etc/dropbear/authorized_keys` лежат:
|
||||
- `ai@mac-20260112` — основной ключ Mac Олега (`~/.ssh/id_ed25519`)
|
||||
- `claude-code@code-server` — recovery-ключ с LXC 132 code-server, на случай отказа Mac
|
||||
|
||||
```bash
|
||||
# с Mac
|
||||
ssh -i ~/.ssh/id_ed25519 root@100.70.207.97
|
||||
|
||||
# с code-server (recovery)
|
||||
ssh root@100.70.207.97
|
||||
```
|
||||
|
||||
### LuCI (Web UI)
|
||||
Парольная авторизация остаётся (это штатный механизм OpenWrt). Доступ только из LAN и NetBird, не из интернета.
|
||||
|
||||
- **Через NetBird**: https://100.70.207.97 (с Mac, openclaw, code-server и т.п.)
|
||||
- **Из LAN Бенелюкса**: https://192.168.1.1
|
||||
- Логин: `root`, пароль: `fyGTO1ZsPUpPKUbhUcqM`
|
||||
|
||||
SSL-сертификат самоподписанный — браузер ругнётся, "Advanced → Proceed".
|
||||
|
||||
### Failsafe / локальное восстановление
|
||||
Если SSH-ключи потеряются и LuCI недоступен — нужен физический доступ к роутеру: failsafe-mode через reset-кнопку при загрузке, IP `192.168.1.1` (статика на ноуте) → telnet/web.
|
||||
|
||||
## Контекст
|
||||
- См. [[README]] — общая схема объекта (Cudy + Unifi-сегмент)
|
||||
- См. [[../../decisions/2026-05-20-benelux-compromise]] — история смены пароля и hardening после инцидента
|
||||
- Клиент: Александр, КП Бенелюкс (Истра)
|
||||
Reference in New Issue
Block a user