obsidian auto-sync 2026-04-20 11:52:44

projects/niikn/mikrotik.md

@@ -30,19 +30,11 @@ Hairpin NAT: NPM(80,443), TURN(3478→133), Talk TURN(3479→200), RustDesk(2111
 
 Трафик на FakeIP-диапазон направляется на OpenWrt (192.168.1.50) с podkop.
 
-## WG-туннель к LionART (для НСПД)
+## WG-туннель к LionART (NSPD bypass) — ОТКАЧЕНО
 
-Подсеть НСПД (`2.63.246.0/24`) маршрутизируется через MikroTik LionART (`195.26.30.163`), потому что публичный IP НИИКН (`85.235.181.190`, MTS Customers_P2P_B16) внесён в blacklist WAF НСПД. Подробности и ключи — [decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md](../../decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md).
+Публичный IP НИИКН (`85.235.181.190`, MTS Customers_P2P_B16) заблокирован WAF Росреестра → `nspd.gov.ru` отдаёт Forbidden. 2026-04-20 поднимали WG-туннель `wg-lionart` к MikroTik LionART (маршрут `2.63.246.0/24` через туннель). Технически работало, но общий трафик НИИКН замедлился → откатили вечером того же дня.
 
-```
-/interface/wireguard add name=wg-lionart listen-port=51821 mtu=1420
-/ip address add address=10.99.99.2/30 interface=wg-lionart
-/ip route add dst-address=2.63.246.0/24 gateway=10.99.99.1 comment="NSPD via LionART"
-/ip firewall nat add chain=srcnat action=masquerade out-interface=wg-lionart \
-    comment="masq NSPD via LionART WG"
-```
-
-Peer endpoint: `195.26.30.163:51820`. **Masquerade на wg-lionart обязателен** — без него обратные пакеты не проходят conntrack на LionART.
+Сейчас на роутере НИИКН WG-интерфейсов нет. Поиск стабильного решения — задача поставлена Максимке. Полная история, ключи и rollback-команды: [decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md](../../decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md).
 
 ## DHCP