oleg/knowledge-base
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

mmfb/lionart-1c: SSH + фикс efsaveragent + накопленный backlog vault-а

Browse Source 
Сегодня (mmfb / LionART 1C):
- projects/mmfb/lionart-1c.md — новый файл: VM 100 на pve LionART
  (WIN-70M2VEJIKEF, 10.253.1.240, Win Server 2022, 1С+SQL+Effector Saver),
  SSH-доступ claude/Kl@udeD1ag!2026 заведён, RDP под Администратор + 2FA.
- projects/mmfb/proxmox-inventory.md — hostname WIN-70M2VEJIKEF в VM 100.
- decisions/2026-05-28-mmfb-effector-saver-locked-admin.md — диагноз
  цикла 7038 (SCM-пароль разъехался с .\Администратор) + lockout учётки,
  и пошаговое решение (disable службы → ADSI unlock → LogonUser-проверка
  → sc.exe config password= → start auto).

Накопившийся backlog (без отдельной правки в эту сессию):
- decisions/: buzharovo (recon, migration-plan, 1c-licensing), sergey
  (instagram iPhone fakeip), amneziavpn macOS v1/v2 incompat, benelux
  compromise 2026-05-20, glavtorg autologon off, omni domain+update.
- projects/: benilux README, buzharovo README+server1c, dttb
  (nextcloud-talk-bot, npm-proxy-hosts, proxmox-inventory, vpn-clients),
  glavtorg, sergey README, projects/_index.
- claude-memory/: benelux, omniroute.
- snippets/mac-dictation/groq-dictate.sh.
- notes/claude/: ~80 авто-сохранённых транскриптов сессий за май.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
This commit is contained in:
dttb
2026-05-28 21:56:35 +03:00
parent e994661bd7
commit bf565f1392
269 changed files with 9466 additions and 74 deletions
Download Patch File Download Diff File Expand all files Collapse all files

117
projects/sergey/README.md
View File

@@ -1,35 +1,118 @@
---
date: 2026-05-06
date: 2026-05-12
type: project
status: stub
tags: [object, openwrt, netbird, client, todo]
aliases: [Sergey, sergey, OpenWrt_Sergey, Одинцово]
status: active
tags: [object, openwrt, netbird, client, podkop, amneziawg]
aliases: [Sergey, sergey, OpenWrt_Sergey, Одинцово, Cudy_TR3000_Sergey]
---
# Sergey — клиентский OpenWrt
**Стаб-заметка**, фактов мало. Создан, чтобы Максимка (FTS) не терял этот объект — раньше упоминался ровно один раз в [[../dttb/netbird-inventory]].
Один из выездных OpenWrt-роутеров (домашний / клиентский) с подкоп-обходом РКН. Диагностирован 2026-05-12.
## Что известно (из NetBird)
## Доступ
| Параметр | Значение |
|---|---|
| Имя пира | `OpenWrt_Sergey` |
| Имя пира NetBird | `OpenWrt_Sergey` |
| NetBird IP | `100.70.110.164` |
| Локация (NetBird) | Odintsovo |
| OpenWrt | 24.10.3 |
| NetBird agent | 0.59.12 |
| Группы | `All`, `OpenWRT VPN` |
| Локация | Одинцово |
| SSH | `ssh root@100.70.110.164` пароль `1qaz!QAZ` (только через NetBird, в LAN-провайдере не светится) |
| LuCI | http://192.168.1.1 (только из LAN) |
| Clash API | `192.168.1.1:9090` (только из LAN) |
## Железо
| Параметр | Значение |
|---|---|
| Модель | **Cudy TR3000 v1** (MediaTek Filogic 820, MT7981) |
| Архитектура | `aarch64_cortex-a53` |
| OpenWrt | 24.10.3 `r28872-daca7c049b`, target `mediatek/filogic` |
| Uptime (2026-05-12) | 57 дней |
## Сеть
- **WAN** `eth0` — внутри провайдерского сегмента **192.168.0.0/24**, IP `192.168.0.136`, gateway `192.168.0.1` (двойной NAT — за провайдерским роутером).
- **LAN** `br-lan` 192.168.1.0/24, роутер 192.168.1.1.
- **Внешний публичный IP без VPN**: `217.73.118.172` (NetByNet, РФ).
- **Внешний IP через awg0**: `202.71.12.186` (Singapore VPS, общий VLESS endpoint Олега).
- **NetBird** `wt0` 100.70.110.164/16.
## Установлено
| Пакет | Версия | Назначение |
|---|---|---|
| podkop / luci-app-podkop | v0.7.14-r1 | управляющая обвязка обхода (sing-box + nft + rule_sets) |
| sing-box | 1.12.12-r1 | tproxy на 127.0.0.1:1602, FakeIP `198.18.0.0/15` |
| kmod-amneziawg + amneziawg-tools + luci-proto-amneziawg | 1.0.20250903 / ядерный | туннель `awg0` |
| netbird | 0.59.12-r1 | NetBird-агент |
| dnsmasq | 2.90-r4 | LAN DNS, форвардит на `127.0.0.42` (sing-box DNS), `noresolv=1` |
**НЕ установлен** AdGuard Home — фильтрация только через FakeIP подкопа.
## Подкоп: что заворачивается
| Секция | Connection | Outbound | community_lists |
|---|---|---|---|
| `main` | vpn | `awg0` (AmneziaWG → Singapore) | `russia_inside`, `telegram`, `meta` |
| `vlees` | proxy | VLESS Reality SNI=googletagmanager (202.71.12.186:443) — резерв | `russia_inside` |
DNS: `udp 8.8.8.8`, bootstrap `77.88.8.8`, `disable_quic=1`, `log_level=warn`.
AmneziaWG peer endpoint: `202.71.12.186:37209`, jc=3 / s1=75 / s2=97 / h1-h4 заданы.
## AmneziaWG-конфиг (peer Сергея)
```
[Interface]
PrivateKey = Qd4D4shtIISe86BEh/6mPuMWPV0BIaqoJ9jcW0zyLRQ=
Address = 10.8.1.34/32
DNS = 1.1.1.1, 1.0.0.1
Jc = 3 Jmin = 50 Jmax = 1000
S1 = 75 S2 = 97
H1 = 860002361 H2 = 977296329
H3 = 921200064 H4 = 1328368280
[Peer]
PublicKey = C+Y+jAGsuaLtpgZvkgLC3cqqRlV9vwOAcQlObLdgiEQ=
PresharedKey = SBtI7711obKV+SQaiGJ1+9pi/Xh6SZygdwny61z6PQ4=
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 202.71.12.186:37209
PersistentKeepalive = 25
```
## Диагностика 2026-05-12 (жалоба «Instagram не работает»)
**Все компоненты на роутере исправны:**
- handshake awg0: 1:37 назад, 11.5 GiB rx / 286 MiB tx
- 108k TCP / 2598 UDP пакетов прошли через tproxy 127.0.0.1:1602
- FakeIP подменяет: `www.instagram.com → 198.18.0.17`, `i.instagram.com → 198.18.0.6`, `scontent.cdninstagram.com → 198.18.0.27`
- `curl --interface awg0 https://www.instagram.com/` с роутера → HTTP 200
- `list_update` прошёл 2026-05-12 09:13 без ошибок
**Вероятная реальная причина у клиента (iPhone, MAC `2e:7f:8c:ce:07:8a` — рандомизированный, единственный активный в DHCP `192.168.1.102`):**
1. iCloud Private Relay — целиком обходит локальный DNS и FakeIP
2. Encrypted DNS в Safari/Chrome (DoH к 1.1.1.1/8.8.8.8 по TCP/443)
3. Кастомный DNS-профиль в Wi-Fi-настройках сети
**Решение (попросить Сергея на iPhone):**
- Настройки → Apple ID → iCloud → Частный узел → ВЫКЛ
- Настройки → Wi-Fi → ⓘ его сети → Настройка DNS → Автоматически
- Safari → Конфиденциальность → Скрывать IP-адрес → ВЫКЛ
- Chrome → `chrome://settings/security` → DNS через HTTPS → ВЫКЛ
В подкопе v0.7.14 нет встроенной опции "force DNS / block DoH" — если симптомы повторятся, делать вручную через nft (DNAT всего LAN-DNS:53 → 127.0.0.1 + drop известных DoH-серверов). Полный разбор → [[../../decisions/2026-05-12-sergey-instagram-iphone-fakeip]]. Типовой playbook для подобных диагностик → [[../../snippets/podkop-fakeip-diagnostics]].
## Шум в логах sing-box (не баг)
Постоянные `ERROR connection: open connection to {GUID}-netseer-ipaddr-assoc.xy.fbcdn.net:443 ... lookup ...: empty result` — это **Meta NetSeer probes**, штатные anti-CDN-detection запросы Meta. Сами по себе таких доменов в DNS нет (Meta генерит GUID каждые ~30 сек), `empty result` — ожидаемый ответ. Игнорировать.
## Открытые вопросы
- [ ] Кто такой Сергей — клиент / друг / семья?
- [ ] Что роутер реально обслуживает (один телефон в LAN, остальные нет — это второе жильё / дача?)
- [ ] Сергей — клиент / друг / семья? связь с другими «Сергеями»?
- [ ] Точный адрес и контакт
- [ ] Тот ли это Сергей, что управляющий [[../znamenskoye/README]] (вероятно НЕТ — там объекты в Истре, этот в Одинцово)
- [ ] Что роутер обслуживает (камеры / IoT / рабочие места)
- [ ] LAN, провайдер, белый WAN или CGNAT
- [ ] Пароль/ключ доступа
## Aliases для FTS
`Sergey`, `OpenWrt_Sergey`, `100.70.110.164`, `Одинцово`.
`Sergey`, `OpenWrt_Sergey`, `100.70.110.164`, `Одинцово`, `Cudy TR3000`.