oleg/knowledge-base
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

mmfb/lionart-1c: SSH + фикс efsaveragent + накопленный backlog vault-а

Browse Source 
Сегодня (mmfb / LionART 1C):
- projects/mmfb/lionart-1c.md — новый файл: VM 100 на pve LionART
  (WIN-70M2VEJIKEF, 10.253.1.240, Win Server 2022, 1С+SQL+Effector Saver),
  SSH-доступ claude/Kl@udeD1ag!2026 заведён, RDP под Администратор + 2FA.
- projects/mmfb/proxmox-inventory.md — hostname WIN-70M2VEJIKEF в VM 100.
- decisions/2026-05-28-mmfb-effector-saver-locked-admin.md — диагноз
  цикла 7038 (SCM-пароль разъехался с .\Администратор) + lockout учётки,
  и пошаговое решение (disable службы → ADSI unlock → LogonUser-проверка
  → sc.exe config password= → start auto).

Накопившийся backlog (без отдельной правки в эту сессию):
- decisions/: buzharovo (recon, migration-plan, 1c-licensing), sergey
  (instagram iPhone fakeip), amneziavpn macOS v1/v2 incompat, benelux
  compromise 2026-05-20, glavtorg autologon off, omni domain+update.
- projects/: benilux README, buzharovo README+server1c, dttb
  (nextcloud-talk-bot, npm-proxy-hosts, proxmox-inventory, vpn-clients),
  glavtorg, sergey README, projects/_index.
- claude-memory/: benelux, omniroute.
- snippets/mac-dictation/groq-dictate.sh.
- notes/claude/: ~80 авто-сохранённых транскриптов сессий за май.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
This commit is contained in:
dttb
2026-05-28 21:56:35 +03:00
parent e994661bd7
commit bf565f1392
269 changed files with 9466 additions and 74 deletions
Download Patch File Download Diff File Expand all files Collapse all files

105
projects/peredelki/README.md Normal file
View File

@@ -0,0 +1,105 @@
---
date: 2026-04-16
updated: 2026-05-27
type: project
status: offline
tags: [object, openwrt, netbird, unifi, podkop, peredelki]
aliases: [Peredelki, Переделки, OpenWrt_Peredelki, peredelki, "Переделкино"]
---
# Переделки — OpenWrt + UniFi за NetBird
Объект на 192.168.2.0/24 с маршрутизатором на OpenWrt и UniFi-сегментом (Switch + 3 AP). Назначения два: **обход блокировок через podkop** и **точки доступа Ubiquiti**, контроллер для которых живёт удалённо на LXC 116 в НИИКН и связан с объектом через NetBird-мост.
> ⚠️ **На 2026-05-27 объект полностью оффлайн.** NetBird-пир `openwrt-peredelki` не подключается с **2026-05-08T10:56 UTC** (19+ дней). Причина не выяснена — питание/WAN/агент/железо. Подробнее в разделе «История».
## Контакт
| | |
|---|---|
| Клиент | TODO — уточнить у Олега |
| Локация | Переделки (Москва, по NetBird geo: 55.75/37.62) |
| Группа NetBird | `Glavtorg` (исторически; ACL-группа Главторга) |
## Роутер
| Параметр | Значение |
|---|---|
| Модель | OpenWrt-роутер (модель не зафиксирована, скорее всего Cudy TR3000 как в Бенелюксе/Красногорске) |
| Hostname | `OpenWrt_Peredelki` |
| OpenWrt | 24.10.3, kernel 6.6.104 |
| NetBird IP | `100.70.197.125` (`openwrt-peredelki.netbird.cloud`, peer `d7fug7rl0ubs73b5r36g`, агент 0.59.13, группы `All`, `Glavtorg`) |
| WAN | последний connection_ip `193.39.160.231` (RU, Moscow) |
| LAN | `192.168.2.0/24` на `br-lan` (изначально было `192.168.1.0/24`, мигрировали 2026-04-16 из-за конфликта с НИИКН) |
| DNS-override | `unifi → 192.168.2.1` (uci dhcp.@domain) — auto-discovery для UniFi AP после factory reset |
| SSH | root / `1qaz!QAZ` (на момент last seen — паролем; статус key-auth неизвестен, см. [[credentials]]) |
## Что работает в сети
### На OpenWrt
- **podkop** + sing-box + AmneziaWG (`awg0`) + VLESS-proxy `202.71.12.186`:
- Списки: `russia_inside`, `meta`, `telegram`
- DoH: `8.8.8.8`, FakeIP включён, QUIC отключён (`disable_quic=1`)
- **Фикс конфликта nft mangle** с NetBird: chain `PodkopTable.mangle` сдвинут на priority `-140` (вместо штатного `-150`). См. [[../../decisions/2026-04-17-peredelki-podkop-stability-fix]].
- **Guard** от регрессии после `opkg upgrade podkop`: `/usr/sbin/podkop-prio-guard` в crontab `*/2` + `(sleep 30 && ...)` в `/etc/rc.local`. Лог: `logread | grep podkop-prio-guard`.
- Авто-старт sing-box: `/etc/init.d/sing-box enable`, `shutdown_correctly=1`
- **NetBird** для удалённого доступа (`100.70.197.125`)
- **Socat-proxy** для UniFi-устройств → контроллер в НИИКН (persistent через `/etc/init.d/unifi-proxy`):
- TCP 8080 → `100.70.138.234:8080` (inform)
- TCP 8443 → `100.70.138.234:8443` (web UI)
- UDP 3478 → `100.70.138.234:3478` (STUN)
> Почему socat, а не DNAT: DNAT через NetBird ломал inform-пакеты (MTU 1280 vs 1500, «Content too short / Bad packet magic»). Решено через application-level forwarding.
- **NAT в LAN** для трафика контроллер→устройства: `iifname wt0 oifname br-lan masquerade` (init script) + `firewall.netbird.masq=1`
### NetBird route
- `192.168.2.0/24` → peer `openwrt-peredelki` (route id `d7giigifadhs73djobr0`, network_id `Peredelki`, masquerade=true, metric 9999, группа `All`)
- Цель: позволяет UniFi-контроллеру SSH к устройствам Переделок для provisioning
### UniFi-сегмент за OpenWrt
Контроллер — **LXC 116 на pve-niikn** (`unifi-controller`, IP в LAN НИИКН `192.168.1.84`, NetBird `100.70.138.234`), Docker `ghcr.io/linuxserver/unifi-network-application:latest` + MongoDB с bind-mount `/opt/unifi/config:/config` (без этого база сбрасывалась при рестарте — anonymous volume). Admin: SSO `batlaew@yandex.ru` через UI.com. Сайт: `default`.
Adopted-устройства в базе контроллера на 2026-05-27 (`db.device.find`):
| IP | MAC | Модель | FW | adopted |
|---|---|---|---|---|
| `192.168.2.109` | `d8:b3:70:84:0f:05` | USW-Lite-16-PoE (`USL16LPB`) | 7.2.123 | ✓ |
| `192.168.2.146` | `1c:0b:8b:70:de:1e` | U7 In-Wall (`UAPA6A5`) | 7.2.5 | ✓ |
| `192.168.2.227` | `1c:0b:8b:70:e2:41` | U7 In-Wall (`UAPA6A5`) | 7.2.5 | ✓ |
| `192.168.2.178` | `a8:9c:6c:d2:d9:0b` | U6 Pro (`UAPA6B3`) | 8.0.35 | ✓ |
> Live-status (state/last_seen) на момент проверки получить не удалось — устройства не присылают inform с 2026-05-08 (OpenWrt оффлайн, socat-proxy не работает). В логах `/config/logs/server.log*` за последние 5 дней — ни одного события от MAC-ов Переделок, только «not found in devbasic cache» после рестарта контроллера 2026-05-26.
### WiFi
- SSID: `Ubnt`, WPA2, пароль: `1234567a` (см. [[credentials]])
### SSH к UniFi-устройствам
Учётка для managed devices: `batlaew / 20iPUHpzpMXnp9Rx` (после factory reset — `ubnt / ubnt`).
## Конфликт подсетей
`192.168.2.0/24` пересекается с **Красногорском** ([[../krasnogorsk/README]], Cudy TR3000 за Deco P9, NetBird `100.70.152.137`). Конфликт только на mesh-уровне (если оба пира одновременно анонсируют /24) — на текущий момент анонсирует только Переделки (`Peredelki`, metric 9999). При работе через NetBird к хостам Переделок ходи по NetBird-IP пира (`100.70.197.125`), не по LAN-IP.
Параллельно с `192.168.2.0/24` в NetBird mesh присутствуют:
- `192.168.1.0/24` от pve-niikn (НИИКН) и nbgw-glavtorg (Главторг)
- `192.168.1.0/24` от Бенелюкса (без анонса — конфликт раньше был, см. [[../../decisions/2026-05-20-benelux-compromise#netbird-route-—-niikn-остаётся-в-mesh]])
## История
- **2026-04-15** — пир OpenWrt_Peredelki создан в NetBird (`d7fug7rl0ubs73b5r36g`)
- **2026-04-16** — миграция UniFi-контроллера с **Orange Pi (Мичуринец, 192.168.1.10)** на LXC 116 НИИКН; LAN объекта сменён `192.168.1.0/24 → 192.168.2.0/24`; adopted Switch + U7-IW после factory-reset; socat-proxy и NetBird route собраны. См. [[../../decisions/2026-04-16-unifi-migration-peredelki]].
- **2026-04-17** — `podkop` не работал (FakeIP резолвится, но TCP в `SYN_SENT`); корневая причина — конфликт chain priority с NetBird на hook `prerouting priority mangle (-150)`. Подняли priority Podkop'а до `-140`, поставили guard. См. [[../../decisions/2026-04-17-peredelki-podkop-stability-fix]].
- **2026-04-17** — добавлен DNS-override `unifi → 192.168.2.1` для авто-discovery; новая точка `1c:0b:8b:70:e2:41` (192.168.2.227) — pending adoption.
- **2026-05-08T10:56 UTC** — **пир ушёл в offline.** Причина не выяснена. UniFi-устройства Переделок тоже перестали слать inform на контроллер (логично — socat-proxy умер вместе с роутером).
- **2026-05-27** — попытка диагностики удалённо: ICMP по NetBird = 100% loss; `connected=false` в NetBird API; UniFi-устройства в Mongo — adopted, но в логах ни одного inform за последние 4 дня.
## Что проверить / починить
- [ ] **Связаться с клиентом / выехать** — узнать включён ли роутер, есть ли WAN на объекте. Это самый частый кейс при таком long-tail offline.
- [ ] После возврата — проверить настроен ли SSH key-auth (после инцидента Бенелюкса в [[../../decisions/2026-05-20-benelux-compromise]] — `1qaz!QAZ` на роутере с WAN-доступом критично опасен; если на Переделках dropbear выходит на WAN — закрыть).
- [ ] Проверить актуальность group `Glavtorg` для этого пира — историческая или нужна (ACL).
- [ ] Прошить актуальный sysupgrade (24.10.x → ...) когда вернётся в строй.
- [ ] U6 LR и U6+ — в 2026-04-16 был TODO «подключить когда запитаются». В текущей базе их нет, только U7-IW и UAPA6B3. Возможно демонтированы или никогда не подключены.
## Aliases для FTS
`Переделки`, `Peredelki`, `OpenWrt_Peredelki`, `openwrt-peredelki`, `100.70.197.125`, `192.168.2.0/24`, `Peredelki LAN`, `d7fug7rl0ubs73b5r36g`.