From e91e216815204c315ed60977f719b5026211fd37 Mon Sep 17 00:00:00 2001 From: Claude Auto-Sync Date: Fri, 17 Apr 2026 11:52:58 +0000 Subject: [PATCH] =?UTF-8?q?=D1=80=D0=B5=D1=88=D0=B5=D0=BD=D0=B8=D0=B5:=20?= =?UTF-8?q?=D1=81=D1=82=D0=B0=D0=B1=D0=B8=D0=BB=D0=B8=D0=B7=D0=B0=D1=86?= =?UTF-8?q?=D0=B8=D1=8F=20Podkop=20=D0=9F=D0=B5=D1=80=D0=B5=D0=B4=D0=B5?= =?UTF-8?q?=D0=BB=D0=BA=D0=B8=20-=20disable=5Fquic,=20autostart=20sing-box?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- ...26-04-17-peredelki-podkop-stability-fix.md | 62 +++++++++++++++++++ projects/niikn/openwrt-bypass.md | 3 + 2 files changed, 65 insertions(+) create mode 100644 decisions/2026-04-17-peredelki-podkop-stability-fix.md diff --git a/decisions/2026-04-17-peredelki-podkop-stability-fix.md b/decisions/2026-04-17-peredelki-podkop-stability-fix.md new file mode 100644 index 0000000..e714ebd --- /dev/null +++ b/decisions/2026-04-17-peredelki-podkop-stability-fix.md @@ -0,0 +1,62 @@ +# 2026-04-17: Стабилизация Podkop на Переделках + +## Проблема +Жалоба: Podkop на объекте Переделки (OpenWrt 100.70.197.125) плохо обходит блокировки, работает нестабильно. + +## Диагностика + +Туннель AWG (wg0 → 78.17.4.225 Финляндия) был исправен: +- Handshake свежий, 0% packet loss, выход через 78.17.4.225 +- FakeIP DNS резолвит в 198.18.0.x для всех проверенных доменов + +Три реальные причины нестабильности: + +### 1. `disable_quic = 0` (ГЛАВНАЯ) +QUIC (HTTP/3 на UDP:443) не перехватывался FakeIP. YouTube/Google/Meta/Instagram в Chrome/Firefox fallback'или на QUIC и шли напрямую, минуя VPN → обход ломался избирательно для этих сервисов. + +### 2. sing-box не в автозапуске +`/etc/init.d/sing-box enabled` → exit 1. При ребуте роутера sing-box не поднимался автоматически, podkop подхватывал его через `start_service`, но на это нельзя полагаться. + +### 3. `shutdown_correctly = 0` +При выключении nftables-правила podkop не снимались корректно. + +## Исправление + +```bash +ssh root@100.70.197.125 # 1qaz!QAZ + +# 1. Блокировка QUIC (сбрасывает HTTP/3 на TCP/TLS) +uci set podkop.settings.disable_quic='1' +uci set podkop.settings.shutdown_correctly='1' +uci commit podkop + +# 2. Автозапуск sing-box +/etc/init.d/sing-box enable + +# 3. Применить +podkop restart +``` + +## Результат + +| Параметр | До | После | +|----------|-----|-------| +| disable_quic | 0 | 1 | +| shutdown_correctly | 0 | 1 | +| sing-box autostart | DISABLED | ENABLED (`/etc/rc.d/S99sing-box`) | +| podkop autostart | ENABLED | ENABLED | +| AWG handshake | свежий | свежий | +| Выход в инет | 78.17.4.225 | 78.17.4.225 | + +FakeIP DNS проверен для: youtube, instagram, whatsapp, web.telegram.org, facebook, tiktok — все резолвятся в 198.18.0.x. + +В sing-box config.json подтверждено правило для `protocol: quic` на `tproxy-in` → QUIC-трафик к заблокированным доменам идёт через VPN. + +## Важное на будущее + +1. **`disable_quic=1` обязателен на FakeIP + sing-box** — без этого браузеры будут произвольно использовать HTTP/3 мимо обхода. +2. **Проверять автозапуск sing-box после установки/обновления Podkop** — установщик не всегда включает его в procd. +3. **`podkop restart` может сбрасывать `shutdown_correctly`** — это баг, перепроверять значение после рестарта. + +## Теги +`#niikn` `#peredelki` `#podkop` `#amneziawg` `#bypass` `#quic` `#stability` `#fix` diff --git a/projects/niikn/openwrt-bypass.md b/projects/niikn/openwrt-bypass.md index b64a5b5..b2ae07e 100644 --- a/projects/niikn/openwrt-bypass.md +++ b/projects/niikn/openwrt-bypass.md @@ -233,6 +233,9 @@ traceroute -n 198.18.0.1 - H-значения сервера должны быть фиксированными (не диапазонами `H1=x-y`) - После перезагрузки: sing-box running, awg0 UP — `podkop status` = "not running" это нормально (podkop не демон) - **КРИТИЧНО:** awg0 ДОЛЖЕН быть в firewall WAN зоне, иначе пакеты не уходят +- **КРИТИЧНО для FakeIP-режима:** `disable_quic=1` обязателен, иначе браузеры используют HTTP/3 на UDP:443 мимо обхода (YouTube/Meta/Google) +- `podkop restart` может сбрасывать `shutdown_correctly` в 0 — проверять после рестарта +- sing-box установщик не всегда включает procd-автозапуск: проверять `/etc/init.d/sing-box enabled` ## История изменений