решение: стабилизация Podkop Переделки - disable_quic, autostart sing-box

decisions/2026-04-17-peredelki-podkop-stability-fix.md

@@ -0,0 +1,62 @@
+# 2026-04-17: Стабилизация Podkop на Переделках
+
+## Проблема
+Жалоба: Podkop на объекте Переделки (OpenWrt 100.70.197.125) плохо обходит блокировки, работает нестабильно.
+
+## Диагностика
+
+Туннель AWG (wg0 → 78.17.4.225 Финляндия) был исправен:
+- Handshake свежий, 0% packet loss, выход через 78.17.4.225
+- FakeIP DNS резолвит в 198.18.0.x для всех проверенных доменов
+
+Три реальные причины нестабильности:
+
+### 1. `disable_quic = 0` (ГЛАВНАЯ)
+QUIC (HTTP/3 на UDP:443) не перехватывался FakeIP. YouTube/Google/Meta/Instagram в Chrome/Firefox fallback'или на QUIC и шли напрямую, минуя VPN → обход ломался избирательно для этих сервисов.
+
+### 2. sing-box не в автозапуске
+`/etc/init.d/sing-box enabled` → exit 1. При ребуте роутера sing-box не поднимался автоматически, podkop подхватывал его через `start_service`, но на это нельзя полагаться.
+
+### 3. `shutdown_correctly = 0`
+При выключении nftables-правила podkop не снимались корректно.
+
+## Исправление
+
+```bash
+ssh root@100.70.197.125  # 1qaz!QAZ
+
+# 1. Блокировка QUIC (сбрасывает HTTP/3 на TCP/TLS)
+uci set podkop.settings.disable_quic='1'
+uci set podkop.settings.shutdown_correctly='1'
+uci commit podkop
+
+# 2. Автозапуск sing-box
+/etc/init.d/sing-box enable
+
+# 3. Применить
+podkop restart
+```
+
+## Результат
+
+| Параметр | До | После |
+|----------|-----|-------|
+| disable_quic | 0 | 1 |
+| shutdown_correctly | 0 | 1 |
+| sing-box autostart | DISABLED | ENABLED (`/etc/rc.d/S99sing-box`) |
+| podkop autostart | ENABLED | ENABLED |
+| AWG handshake | свежий | свежий |
+| Выход в инет | 78.17.4.225 | 78.17.4.225 |
+
+FakeIP DNS проверен для: youtube, instagram, whatsapp, web.telegram.org, facebook, tiktok — все резолвятся в 198.18.0.x.
+
+В sing-box config.json подтверждено правило для `protocol: quic` на `tproxy-in` → QUIC-трафик к заблокированным доменам идёт через VPN.
+
+## Важное на будущее
+
+1. **`disable_quic=1` обязателен на FakeIP + sing-box** — без этого браузеры будут произвольно использовать HTTP/3 мимо обхода.
+2. **Проверять автозапуск sing-box после установки/обновления Podkop** — установщик не всегда включает его в procd.
+3. **`podkop restart` может сбрасывать `shutdown_correctly`** — это баг, перепроверять значение после рестарта.
+
+## Теги
+`#niikn` `#peredelki` `#podkop` `#amneziawg` `#bypass` `#quic` `#stability` `#fix`

projects/niikn/openwrt-bypass.md

@@ -233,6 +233,9 @@ traceroute -n 198.18.0.1
 - H-значения сервера должны быть фиксированными (не диапазонами `H1=x-y`)
 - После перезагрузки: sing-box running, awg0 UP — `podkop status` = "not running" это нормально (podkop не демон)
 - **КРИТИЧНО:** awg0 ДОЛЖЕН быть в firewall WAN зоне, иначе пакеты не уходят
+- **КРИТИЧНО для FakeIP-режима:** `disable_quic=1` обязателен, иначе браузеры используют HTTP/3 на UDP:443 мимо обхода (YouTube/Meta/Google)
+- `podkop restart` может сбрасывать `shutdown_correctly` в 0 — проверять после рестарта
+- sing-box установщик не всегда включает procd-автозапуск: проверять `/etc/init.d/sing-box enabled`
 
 ## История изменений