zakupki.gov.ru в community-list russia_outside → podkop FakeIP-ил его в
198.18.0.76, трафик шёл через awg0 Финляндию, там таймаут. При этом сам
zakupki НЕ блокирует МТС WAN (85.235.181.190) - проверено curl'ом напрямую
через vmbr0 pve-niikn: HTTP 200, 2.4 MB.
Решение то же что и для nspd.gov.ru, но без NetBird route:
+ uci add_list dhcp.@dnsmasq[0].server='/zakupki.gov.ru/8.8.8.8'
DNS теперь возвращает реальные 95.167.245.92 / 94.25.27.250, Windows
идёт через обычный default-gw → МТС, открывается HTTP 200.
Проверено на 192.168.1.202: zakupki.gov.ru → HTTP 200 size=2474668.
lk.zakupki.gov.ru (личный кабинет) - SSL handshake failure на любом
exit-IP, требует ГОСТ-TLS через КриптоПро/Яндекс.Браузер (не связано
с IP-блокировкой).
Заменил socat+DNAT+hosts (утренняя попытка 2026-04-21 не решила авторизацию,
поддомены sso/auth через FakeIP sing-box уходили в awg0→Финляндию где тоже
блок) на два централизованных изменения:
- NetBird Network Route 2.63.246.0/24 → pve-LionART для группы All:
pushed на все 50 пиров автоматически, никаких действий на Windows-клиентах.
- OpenWrt dnsmasq override server=/nspd.gov.ru/8.8.8.8: минует sing-box
FakeIP, клиенты LAN НИИКН получают реальные 2.63.246.71-76 и Windows
маршрутизирует их через wt0 (NetBird) → pve-LionART → Telekom (195.26.30.163),
WAF НСПД пропускает. Работает для главной + всех поддоменов (sso/auth/api).
Снесено:
- nspd-socat.service на pve-LionART
- DNAT "NSPD socat bypass for NIIKN" на MikroTik LionART
- bat-снипы niikn-nspd-hosts-install/uninstall
- hosts-записи + дубликат Ethernet-маршрута на WIN-BC0OTBOBBCH (192.168.1.202)
Протестировано: fallback через awg0 для non-NetBird клиентов не работает —
НСПД блочит hosting Amnezia-Финляндии тоже. Единственный known-good exit
сейчас — pve-LionART/Telekom 195.26.30.163. Non-NetBird машины НИИКН не
откроют НСПД до установки NetBird.
Добавлен отчёт для руководства НИИКН (projects/niikn/nspd-incident-report.md).
