mmfb/lionart-1c: SSH + фикс efsaveragent + накопленный backlog vault-а

Сегодня (mmfb / LionART 1C):
- projects/mmfb/lionart-1c.md — новый файл: VM 100 на pve LionART
  (WIN-70M2VEJIKEF, 10.253.1.240, Win Server 2022, 1С+SQL+Effector Saver),
  SSH-доступ claude/Kl@udeD1ag!2026 заведён, RDP под Администратор + 2FA.
- projects/mmfb/proxmox-inventory.md — hostname WIN-70M2VEJIKEF в VM 100.
- decisions/2026-05-28-mmfb-effector-saver-locked-admin.md — диагноз
  цикла 7038 (SCM-пароль разъехался с .\Администратор) + lockout учётки,
  и пошаговое решение (disable службы → ADSI unlock → LogonUser-проверка
  → sc.exe config password= → start auto).

Накопившийся backlog (без отдельной правки в эту сессию):
- decisions/: buzharovo (recon, migration-plan, 1c-licensing), sergey
  (instagram iPhone fakeip), amneziavpn macOS v1/v2 incompat, benelux
  compromise 2026-05-20, glavtorg autologon off, omni domain+update.
- projects/: benilux README, buzharovo README+server1c, dttb
  (nextcloud-talk-bot, npm-proxy-hosts, proxmox-inventory, vpn-clients),
  glavtorg, sergey README, projects/_index.
- claude-memory/: benelux, omniroute.
- snippets/mac-dictation/groq-dictate.sh.
- notes/claude/: ~80 авто-сохранённых транскриптов сессий за май.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

projects/dttb/finland-hostkey-vps.md

@@ -0,0 +1,56 @@
+---
+date: 2026-05-20
+type: project
+tags: [dttb, vpn, finland, hostkey, amnezia, server]
+aliases: [finland5870, Finland HOSTKEY, "202.71.12.186"]
+---
+
+# Finland HOSTKEY VPS — `finland5870.com` / `202.71.12.186`
+
+Центральный VPN-сервер Олега. Через него ходит podkop большинства клиентских OpenWrt (Бенелюкс, Сергей, Знаменское, НИИКН, Красногорск и др.).
+
+## Доступ
+
+| Параметр | Значение |
+|---|---|
+| Hostname | `finland5870.com` |
+| Public IP | `202.71.12.186` |
+| ISP | Hostkey AS57043, Helsinki |
+| NetBird IP | `100.70.0.15` (`finland5870.netbird.cloud`) |
+| OS | Ubuntu 22.04.5 LTS |
+| SSH | `ssh -J root@100.70.92.138 root@202.71.12.186` (только по ключу, прямой вход с Mac не разрешён, jump через code-server) |
+
+## Что крутится (Docker)
+
+| Контейнер | Внешний порт | Назначение |
+|---|---|---|
+| `amnezia-awg` | `37209/udp` | AmneziaWG — основной VPN для роутерных podkop (Cudy → этот endpoint) |
+| `amnezia-wireguard` | `32270/udp` | Обычный WireGuard |
+| `amnezia-xray` | `9443/tcp` | VLESS Reality (SNI=googletagmanager) — клиенты типа Happ |
+| `amnezia-shadowsocks` | `31799/tcp+udp` | Shadowsocks |
+| `amnezia-socks5proxy` | `38606/tcp` | SOCKS5 |
+
+Дополнительно UDP `51820` слушает хостовой `wireguard-go` (без явного процесса в `ss -tunlp`).
+
+## Peers AmneziaWG (внутри контейнера — обычный wg-tools)
+
+Доступ внутрь: `docker exec amnezia-awg wg show`. ~30+ peers, среди них:
+- `zqkm7/0FjLX7RGBHCu0KxdTYlkUHK0wFOObqPNIzqXw=` → Cudy Бенелюкса (`10.8.1.60/32`)
+- `5NxNPi35miHK14NXZH56X6JG+UW1r7NPCx5AYa3TdWw=` → топ-traffic peer (3.7 TB sent), вероятно openwrt-sergey или openwrt-lipki
+- Endpoints в выводе: `217.73.118.172` (Сергей), `5.101.135.71` (Lipki), и т.п.
+
+## История
+
+- **2026-04-24** — был взлом через RCE в amnezia-panel (PHP), XorDDoS malware вычищен, SSH переведён на key-only. См. [[../../claude-memory/finland-vps-security]] и auto-memory `feedback_finland_security`.
+- **Контейнеры пересоздавались**: `amnezia-awg` 7 мес назад, `amnezia-wireguard` 3 мес назад, `amnezia-xray` 3 недели назад. **При пересоздании порты могли смениться** — старые клиентские конфиги (сделанные до пересоздания) перестают работать.
+
+## Известные проблемы
+
+- **Mac-клиенты AmneziaVPN получают ErrorCode 305** к этому серверу — несовместимость **AmneziaWG v1 (этот сервер) ↔ macOS-клиент v2 (текущий)**. Mac шлёт только junk-преамбулу, handshake silently дропается. **iOS/Windows/Linux-клиенты работают** — у них v1-совместимый wireguard-go. Полная картина и решение в [[../../decisions/2026-05-20-amneziavpn-macos-v1-v2-incompat]]. Mac-юзерам выдавать конфиг от v2-сервера (`78.17.4.225`).
+- (раньше думали что проблема в устаревших портах конфига — оказалось нет, портов на сервере 7 месяцев не менял, проблема в протокольной несовместимости)
+
+## Связанные проекты
+
+- [[../benilux/README]] — Cudy через awg0 → этот endpoint
+- [[../sergey/README]] — Cudy через awg0 → этот endpoint
+- [[vpn-clients]] — общий реестр клиентов

projects/dttb/nextcloud-talk-bot/README.md

@@ -8,9 +8,9 @@ AI-бот в Nextcloud Talk с доступом к базе знаний. Отв
 ```
 Пользователь → Nextcloud Talk (чат "Максимка")
                      ↓ (long polling API каждые 30с)
-              Talk Bot (Python скрипт на LXC 129)
+              Talk Bot (Python скрипт на LXC 137, openclaw)
                      ↓
-              cliproxy (localhost:8317) → Claude Sonnet
+              cliproxy (LXC 132 code-server, 10.0.0.179:8317) → Claude Sonnet
                      ↑
               База знаний из Gitea (knowledge-base repo)
                      ↓
@@ -21,8 +21,9 @@ AI-бот в Nextcloud Talk с доступом к базе знаний. Отв
 
 ### Запуск бота (systemd)
 ```bash
-# На LXC 129 (clawdbot, 10.0.0.206)
+# На LXC 137 (openclaw, 10.0.0.239); ранее жил на удалённом LXC 129 clawdbot
 systemctl start nextcloud-talk-bot
+# логи: /var/log/nextcloud-talk-bot.log (раньше: /tmp/talk-bot.log)
 ```
 
 ### Проверка

projects/dttb/npm-proxy-hosts.md

@@ -9,7 +9,7 @@ tags: [dttb, npm]
 > **NPM LXC:** 103 (10.0.0.195)
 > **Панель:** https://npm.dttb.ru
 >
-> Последнее обновление: 2026-02-27
+> Последнее обновление: 2026-05-26
 
 ---
 
@@ -17,7 +17,7 @@ tags: [dttb, npm]
 
 | Всего хостов | С SSL | Без SSL | Активных |
 |--------------|-------|---------|----------|
-| 19 | 15 | 4 | 19 |
+| 20 | 16 | 4 | 20 |
 
 ---
 
@@ -45,6 +45,7 @@ tags: [dttb, npm]
 | 22 | `git.dttb.ru` | 10.0.0.189:3000 | ❌ | ❌ | ✅ | ❌ | Gitea |
 | 23 | `matrix.dttb.ru` | 10.0.0.224:8080 | ✅ Let's Encrypt | ✅ | ✅ | ✅ | Matrix/Element Web |
 | 25 | `mail.dttb.ru` | 10.0.0.107:443 (HTTPS) | ✅ Let's Encrypt | ✅ | ❌ | ✅ | Mailcow Web UI |
+| 29 | `omni.dttb.ru` | 10.0.0.179:20128 | ✅ Let's Encrypt | ✅ | ✅ | ✅ | **OmniRoute Dashboard** (LXC 132) |
 
 ---
 
@@ -85,7 +86,7 @@ location /.well-known/matrix/client {
 | 10.0.0.112 | 8840 | ip.dttb.ru |
 | 10.0.0.155 | 8123 | home.dttb.ru |
 | 10.0.0.169 | 8080 | office.dttb.ru |
-| 10.0.0.179 | 8080 | ai.dttb.ru |
+| 10.0.0.179 | 8080, 20128 | ai.dttb.ru, omni.dttb.ru |
 | 10.0.0.184 | 3000 | link.dttb.ru |
 | 10.0.0.189 | 3000 | git.dttb.ru |
 | 10.0.0.195 | 81 | npm.dttb.ru |

projects/dttb/proxmox-inventory.md

@@ -8,7 +8,7 @@ tags: [dttb, proxmox]
 
 > **Нода:** pve (10.0.0.250)
 >
-> Последнее обновление: 2026-04-17 (обновлено из живого `pct list` / `qm list`)
+> Последнее обновление: 2026-05-06 (VM 111 — Parsec-хост; ранее значилась как «1С»)
 
 ---
 
@@ -44,14 +44,21 @@ tags: [dttb, proxmox]
 | NPM домен | mail.dttb.ru |
 | Назначение | Почтовый сервер dttb.ru |
 
-### VM 111 — WinServer2025
+### VM 111 — WinServer2025 (Parsec)
 | Параметр | Значение |
 |----------|----------|
 | Статус | 🟢 running |
-| CPU | 4 vCPU |
+| OS type | win11 (имя VM осталось от прежней роли) |
+| CPU | 8 cores (2 sockets × 4), kvm64 |
 | RAM | 32 GB |
-| Диск | 200 GB |
-| Назначение | Windows Server 2025 (1С и т.п.) |
+| Диски | 200 GB + 200 GB + **4 TB** на storage `work` |
+| BIOS/Machine | OVMF + q35-9.0, `viommu=intel` |
+| GPU passthrough | `hostpci0=0000:0f:00.0` (x-vga=1), `vga: none` |
+| Audio passthrough | `hostpci1=00:1b.0` (Intel HD Audio) |
+| USB passthrough | Logitech `046d:c52f`, контроллер `1a2c:2d23`, Samsung `04e8:61f5`, два USB3-порта (8-2, 1-6) |
+| Anti-detect | `hv_vendor_id=randomid` + полный набор `hv_*` (скрывает виртуализацию от NVIDIA) |
+| Сеть | vmbr0, MAC `BC:24:11:56:77:06` (DHCP, guest-agent не отвечает) |
+| Назначение | **Parsec-хост**: GPU + USB-периферия проброшены, удалённый стриминг рабочего стола / игр |
 
 ### VM 127 — haos-17.0
 | Параметр | Значение |

projects/dttb/vpn-clients.md

@@ -14,7 +14,7 @@ tags: [dttb, vpn, clients, happ, amneziavpn, reality]
 |--------|-----------|-----|--------|------------|
 | Finland 5870 | `78.17.4.225:9443` | VLESS Reality + XTLS Vision | Happ | [[../../snippets/happ-vpn-client-instruction]] |
 | Finland 5870 (AmneziaWG) | `78.17.4.225` | AmneziaWG (если поднят) | AmneziaVPN | [[../../snippets/amnezia-vpn-client-instruction]] |
-| Finland HOSTKEY | `202.71.12.186:9443` | VLESS Reality + XTLS Vision | Happ | (доступ к серверу — уточнить, владельца записать в credentials) |
+| Finland HOSTKEY | `202.71.12.186:9443` | VLESS Reality + XTLS Vision | Happ | `ssh -J root@100.70.92.138 root@202.71.12.186` (`finland5870.com`, см. [[finland-hostkey-vps]]) |
 
 Подробности по Finland после инцидента: [[../../decisions/2026-04-24-finland-vps-malware-cleanup]]. SSH только по ключу.