From e34c46ce662fc150ecb70e3fdaf4d2326235e7cb Mon Sep 17 00:00:00 2001 From: dttb Date: Mon, 20 Apr 2026 11:52:44 +0300 Subject: [PATCH] obsidian auto-sync 2026-04-20 11:52:44 --- ...информацию-по-настройке-openwrt-и-podcop-в-н.md | 27 +++++++++++++++++++ projects/mmfb/mikrotik.md | 16 +---------- projects/niikn/mikrotik.md | 14 +++------- 3 files changed, 31 insertions(+), 26 deletions(-) create mode 100644 notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md diff --git a/notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md b/notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md new file mode 100644 index 0000000..f371d13 --- /dev/null +++ b/notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md @@ -0,0 +1,27 @@ +--- +date: 2026-04-20 +type: claude-session +session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852 +started: 2026-04-20T06:51:15.969Z +ended: 2026-04-20T08:51:26.818Z +messages: 32 +tools: [Bash, Edit, Glob, Grep, Read, Write, mcp__ccd_session__spawn_task] +tags: [claude, session] +--- + +# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http + +## Запрос + +Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн + +## Итог (последний ответ Claude, до 500 симв.) + +Готово. + +- Задача отправлена Максимке в беседу `aecax6yg` Nextcloud Talk (msg id 331). Описана проблема, что пробовали и откатили, гипотезы по замедлению, 5 вариантов для оценки. Явно сказано не лезть в production без согласования. +- Доки приведены в соответствие с реальностью: [projects/mmfb/mikrotik.md](projects/mmfb/mikrotik.md) и [projects/niikn/mikrotik.md](projects/niikn/mikrotik.md) больше не описывают WG как активный — оба ссылаются на decision-doc со статусом ОТКАЧЕНО. +- Decision [decis + +--- +*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 32 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Write, mcp__ccd_session__spawn_task* diff --git a/projects/mmfb/mikrotik.md b/projects/mmfb/mikrotik.md index e48fe5d..dd45b43 100644 --- a/projects/mmfb/mikrotik.md +++ b/projects/mmfb/mikrotik.md @@ -19,18 +19,4 @@ tags: [mmfb, lionart, network] ## WireGuard -### wg-niikn — туннель для NSPD bypass -- Listen port: 51820 -- IP: 10.99.99.1/30 -- Peer: NIIKN MikroTik (`192.168.1.1`), allowed-address=10.99.99.2/32 -- Public key: `YuI6lQ1f1bF37x5dwa/JQuW30x4McO2//cl/mEWg4mE=` -- Назначение: проксирует трафик клиентов НИИКН на nspd.gov.ru (`2.63.246.0/24`) через свой WAN, минуя заблокированный IP МТС у НИИКН. -- Подробности: [decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md](../../decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md) - -## Firewall (важное) -Дефолтный forward chain пропускает только LAN (`10.253.1.0/24`). Для трафика из WG-туннеля в WAN добавлены явные accept-правила: -``` -chain=forward action=accept in-interface=wg-niikn out-interface-list=WAN # NIIKN→WAN -chain=forward action=accept in-interface-list=WAN out-interface=wg-niikn connection-state=established,related # ответы -chain=input action=accept protocol=udp dst-port=51820 in-interface-list=WAN # WG handshake -``` +Активных туннелей нет. 2026-04-20 поднимался временный `wg-niikn` (NSPD bypass для НИИКН) — откачено вечером того же дня из-за замедления общего трафика на стороне НИИКН. Описание схемы, ключи и причины отката — [decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md](../../decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md). diff --git a/projects/niikn/mikrotik.md b/projects/niikn/mikrotik.md index 85e0766..ef57b0e 100644 --- a/projects/niikn/mikrotik.md +++ b/projects/niikn/mikrotik.md @@ -30,19 +30,11 @@ Hairpin NAT: NPM(80,443), TURN(3478→133), Talk TURN(3479→200), RustDesk(2111 Трафик на FakeIP-диапазон направляется на OpenWrt (192.168.1.50) с podkop. -## WG-туннель к LionART (для НСПД) +## WG-туннель к LionART (NSPD bypass) — ОТКАЧЕНО -Подсеть НСПД (`2.63.246.0/24`) маршрутизируется через MikroTik LionART (`195.26.30.163`), потому что публичный IP НИИКН (`85.235.181.190`, MTS Customers_P2P_B16) внесён в blacklist WAF НСПД. Подробности и ключи — [decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md](../../decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md). +Публичный IP НИИКН (`85.235.181.190`, MTS Customers_P2P_B16) заблокирован WAF Росреестра → `nspd.gov.ru` отдаёт Forbidden. 2026-04-20 поднимали WG-туннель `wg-lionart` к MikroTik LionART (маршрут `2.63.246.0/24` через туннель). Технически работало, но общий трафик НИИКН замедлился → откатили вечером того же дня. -``` -/interface/wireguard add name=wg-lionart listen-port=51821 mtu=1420 -/ip address add address=10.99.99.2/30 interface=wg-lionart -/ip route add dst-address=2.63.246.0/24 gateway=10.99.99.1 comment="NSPD via LionART" -/ip firewall nat add chain=srcnat action=masquerade out-interface=wg-lionart \ - comment="masq NSPD via LionART WG" -``` - -Peer endpoint: `195.26.30.163:51820`. **Masquerade на wg-lionart обязателен** — без него обратные пакеты не проходят conntrack на LionART. +Сейчас на роутере НИИКН WG-интерфейсов нет. Поиск стабильного решения — задача поставлена Максимке. Полная история, ключи и rollback-команды: [decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md](../../decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md). ## DHCP