Корень падения git push по HTTPS: диск NPM 100% забит логами host-22
(trust_forwarded_proto warning флуд). Truncate + cron npm-log-cap (>200M).
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
.145 оказался занят чужим устройством (MAC ac:ba:c0:39:82:64): pve резолвил в контейнер,
а NPM и NetBird-клиенты — в чужого → 502 на dash.dttb.ru. Перенесли на свободный .148
(проверено ARP), NPM forward_host обновлён, HOMEPAGE_ALLOWED_HOSTS поправлен.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Подняли родную панель hermes dashboard на LXC 141 за NPM с basic_auth.
Грабля: флаг --insecure отключает cookie-gate (включает легаси _SESSION_TOKEN)
→ login ok, но всё внутри 401. Фикс: бинд 0.0.0.0 БЕЗ --insecure.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
ttyd writable и работает, но окно терминала было «не активно»: LuCI открывали
на 192.168.1.1, а этот адрес коллизит с НИИКН/Переделки в NetBird → iframe
терминала на 192.168.1.1:7681 уходил не туда. Фикс: url_override=
http://100.70.113.251:7681 (стабильный NetBird-IP). Рекомендация — открывать
роутер по NetBird-IP, а не 192.168.1.1.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Диагностика podkop краснела на «Основной DNS»: при dns_server=8.8.8.8 podkop
подставляет каноничный DoH-URL https://dns.google/dns-query (хостнейм), а его
надо резолвить через bootstrap по :53 — за домашним хайджеком хрупко. Фикс:
dns_server='https://1.1.1.1/dns-query' (url_get_host=IP → bootstrap не нужен,
sing-box стучит прямо на 1.1.1.1:443). Диагностика зелёная, обход стабилен.
Поправлены podkop-router.md, podkop-reference §5 и §9.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
- Новый роутер обхода для стройрынка: Финляндия awg0, podkop 0.7.19, lists meta/youtube/telegram.
- Корень «обход не работал» (telegram/youtube 000 при живом туннеле): роутер стоит
WAN'ом за домашним catch-all :53-хайджеком → восходящий резолв sing-box перехватывался,
возвращался домашний FakeIP → sing-box звонил на FakeIP → timeout. Фикс: dns_type=doh
(резолвер по 443 минует :53-хайджек). Версия sing-box / dns_server были ни при чём.
- Также: download_lists_via_proxy=1/main (rule-set'ы через туннель.
- podkop-reference §5: добавлена грабля «podkop за чужим DNS-хайджеком → DoH»;
§9 inventory: добавлен Severni Les, HomeLab обновлён на awg2.
- Новый файл projects/buzharovo/podkop-router.md + линк из README.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
MSG
)
- Корень «awg2 не ходил»: строгий rp_filter=1 на интерфейсе дропал transport
из туннеля (handshake жив, транзит 0%). awg0 работал на rp_filter=2 (loose).
При заведении финского awg2 строка rp_filter=2 не была добавлена (для awg0 была).
- Фикс на роутере: net.ipv4.conf.awg2.rp_filter=2 в /etc/sysctl.conf
+ hotplug 99-awg-rpfilter (loose на все awg* при ifup). podkop → awg2.
- podkop-reference §5: добавлена грабля rp_filter (handshake-есть-транзита-нет).
- Снято неверное «awg2 сломан / OpenWrt не тянет AWG 1.5» — сервер/протокол исправны.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
