NPM коробки автономен: omni.umnybot.ru на LXC 101

- proxy host omni->OmniRoute (websocket+force-SSL), cert перенесён с основного NPM - проверено локально: серт LE valid, проксирует (307); коробка раздаёт домен сама - handover: DNS+роутер клиента 443/80 -> NPM коробки, пере-выпуск LE; иначе CF Tunnel Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
2026-05-31 22:47:36 +03:00
parent 60b8f43251
commit d136b7358b
2 changed files with 347 additions and 3 deletions
--- a/projects/dttb/ai-assistant-pilot/credentials.md
+++ b/projects/dttb/ai-assistant-pilot/credentials.md
@@ -144,12 +144,24 @@ status: active
 - **Алерт** от имени Антошки Олегу (chat `1292155421`), дедуп md5 + «отбой». Проверено боевым тестом: `stop openclaw-gateway` → Антошка поймал, перезапустил (`active`), прислал алерт.
 - ⚠️ **При передаче клиенту:** Алекс автономен (самолечение `Restart=on-failure`); Антошка достанет коробку уже только через NetBird (`100.70.186.192`) — поправить IP в скрипте на NetBird-адрес или оставить как опц. внешний контроль Олега.

-## NPM (reverse proxy)
+## NPM коробки — автономный reverse-proxy (LXC 101, настроен 2026-05-31)
+
+Для автономности при переезде к клиенту коробка раздаёт свои домены САМА — через свой NPM (LXC 101 pve-147), не завися от основного NPM Олега.

 | Параметр | Значение |
 |---|---|
-| Текущий | основной NPM **10.0.0.195** (it5870@yandex.ru/`1qaz!QAZ`): proxyhost **id30** `omni.umnybot.ru`→`10.0.0.163:20128`, cert **id115** (LE до 2026-08-29), websocket-upgrade вкл |
-| План | перенести на **NPM коробки** (LXC 101 pve-147, 10.0.0.207) для автономности; ограничение — публичный 443 один на дом, при передаче коробки к клиенту его роутер сразу на NPM коробки |
+| NPM коробки | LXC 101 «npm» (pve-147), **10.0.0.207**, порты 80/81/443. Админка `http://10.0.0.207:81`, логин **`it5870@yandex.ru` / `1qaz!QAZ`** |
+| Proxy host **id1** | `omni.umnybot.ru` → `http://10.0.0.163:20128` (OmniRoute), websocket + force-SSL |
+| Cert **id1** | omni.umnybot.ru — **скопирован** с основного NPM (LE до 2026-08-29, `provider=other` → коробка его НЕ авто-renew) |
+| Проверка | локально `curl --resolve omni.umnybot.ru:443:10.0.0.207` → серт валиден (LE trusted), проксирует в OmniRoute (307). Публично пока на основном NPM (один 443 на дом Олега) |
+
+**При переезде к клиенту (Александр):**
+1. DNS `omni.umnybot.ru` (+ др. поддомены) → публичный IP клиента (Cudy WAN, напр. 45.143.21.60).
+2. Роутер клиента (Cudy) форвардит **443 + 80** → NPM коробки (его IP в LAN клиента).
+3. Пере-выпустить серт как **LE-managed на NPM коробки** (HTTP-01 заработает — публичные 80/443 теперь приходят на коробку) → авто-renew. Либо DNS-01.
+- Для будущих клиентов, где Олег НЕ владеет роутером → **Cloudflare Tunnel** (Этап 5): без проброса/белого IP, CF держит TLS — автономнее NPM.
+
+Старое (убрать при передаче): основной NPM **10.0.0.195** proxyhost **id30** omni→`10.0.0.163:20128`, cert **id115** — пока обслуживает публичный `omni.umnybot.ru`.

 ## Статус (2026-05-31)
 Этап 1 почти закрыт. Тракт TG→openclaw→OmniRoute→Kiro-роутинг проверен (429 = достучались). Блокер: рабочая модель (новый Kiro троттлит → Олег подключает 2-й провайдер). Дальше: openclaw model=omniroute/* + fallback → тест «привет» в TG.