Бужарово watchdog v2: только публичный канал, NetBird вынесен из alert level

NetBird daemon на Server1C (Windows) регулярно flap-ает — известная проблема.
Watchdog v2 решает по level только по ping public + RDP 3389. NetBird-уровень
логируется в state.json для информации, но не порождает алерты. Параллельно:
primary model openclaw переключен с Opus 4.7 (Max-биллинг закончился) на
Sonnet 4.5 free (Kiro), Opus оставлен в fallbacks.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

audit/2026-05-03-creds-drift.md

@@ -0,0 +1,47 @@
+---
+date: 2026-05-03
+type: audit
+source: kb-audit-creds.py
+tags: [audit, creds, reachability]
+---
+
+# Credentials reachability — 2026-05-03
+
+Ping-проверка URL из [[../projects/dttb/credentials|credentials.md]].
+Проверяется только reachability (HTTP status), не реальный логин.
+
+- Всего URL: **20**
+- ✓ Reachable: 17 / ⚠ Questionable: 3 / ❌ Unreachable: 0
+
+## ⚠ Нестандартный ответ
+
+| URL | Status | Detail |
+|---|---|---|
+| `https://remot.dttb.ru/swagger/index.html` | 404 | Not Found |
+| `https://api.netbird.io` | 404 | Not Found |
+| `https://api.netbird.io/api/setup-keys` | 404 | Not Found |
+
+## ✓ Все ответили нормально
+
+| URL | Status | Категория |
+|---|---|---|
+| `https://10.0.0.250:8006` | 200 | ✓ reachable |
+| `https://pve.dttb.ru` | 200 | ✓ reachable |
+| `http://10.0.0.189:3000` | 200 | ✓ reachable |
+| `http://git.dttb.ru` | 200 | ✓ reachable |
+| `http://10.0.0.195:81` | 200 | ✓ reachable |
+| `https://npm.dttb.ru` | 200 | ✓ reachable |
+| `https://remot.dttb.ru/_admin` | 200 | ✓ reachable |
+| `https://dttb.ru` | 200 | ✓ reachable |
+| `https://dttb.ru/remote.php/dav/files/admin` | 401 | ✓ auth-required (сервер жив) |
+| `https://vps.sweb.ru` | 200 | ✓ reachable |
+| `https://api.sweb.ru/domains/dns` | 200 | ✓ reachable |
+| `https://mail.niikn.com` | 200 | ✓ reachable |
+| `http://192.168.1.22:81` | 200 | ✓ reachable |
+| `https://edit.telegra.ph/auth/f1tfgzYpPpGlAr7cYHRzSeH59fYuNVB2V3fbCdypDc` | 200 | ✓ reachable |
+| `https://api.telegra.ph/createPage` | 200 | ✓ reachable |
+| `https://api.telegra.ph/editPage` | 200 | ✓ reachable |
+| `https://telegra.ph/Nastrojka-VPN-04-24-2` | 200 | ✓ reachable |
+
+---
+*Автоматически через `scripts/kb-audit-creds.py`.*

audit/2026-05-03-dns-drift.md

@@ -0,0 +1,81 @@
+---
+date: 2026-05-03
+type: audit
+source: kb-audit-dns.py
+tags: [audit, dns]
+---
+
+# DNS resolve audit — 2026-05-03
+
+Резолвим все домены из NPM через публичный DNS (8.8.8.8) и локальный роутер (10.0.0.1).
+
+- Всего доменов: **22**
+- NXDOMAIN на 8.8.8.8: 2 / пустой ответ локально: 1 / split-horizon: 20
+
+## ❌ NXDOMAIN / не резолвится на 8.8.8.8 (публичный DNS)
+
+| Домен | Локальный IP |
+|---|---|
+| `itilegent.ru` | (тоже нет) |
+| `vpn.dttb.ru` | 10.0.0.195 |
+
+## ⚠ Split-horizon — разные IP снаружи и внутри
+
+Это нормально для *.dttb.ru (внешний Let's Encrypt IP vs локальный 10.0.0.195). Но неожиданный split может быть багом.
+
+| Домен | Публичный (8.8.8.8) | Локальный (10.0.0.1) |
+|---|---|---|
+| `ai.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bit.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bitrix24.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `git.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `home.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `ip.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `link.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `mail.dttb.ru` | 176.62.183.186 | 10.0.0.107 |
+| `matrix.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `npm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `office.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `plex.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `porteiner.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `pve.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `rec.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `remot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `router.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `z.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+
+## ⚠ Пустой локальный резолв (роутер не знает)
+
+- `itilegent.ru` (публичный: -)
+
+## Полная таблица резолва
+
+| Домен | 8.8.8.8 | 10.0.0.1 |
+|---|---|---|
+| `ai.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bit.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bitrix24.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `git.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `home.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `ip.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `itilegent.ru` | — | — |
+| `link.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `mail.dttb.ru` | 176.62.183.186 | 10.0.0.107 |
+| `matrix.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `npm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `office.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `plex.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `porteiner.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `pve.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `rec.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `remot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `router.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `vpn.dttb.ru` | — | 10.0.0.195 |
+| `z.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+
+---
+*Автоматически через `scripts/kb-audit-dns.py`.*

audit/2026-05-03-drift.md

@@ -0,0 +1,70 @@
+---
+date: 2026-05-03
+type: audit
+source: kb-audit.py
+tags: [audit, drift, infrastructure]
+---
+
+# KB drift audit — 2026-05-03
+
+Сравнение живого `pct list` / `qm list` с [[../projects/dttb/proxmox-inventory|proxmox-inventory.md]]
+
+- Живых гостей Proxmox: **38**
+- Упомянуто в inventory: **38**
+- В обоих: 36 / только в live: 2 / отсутствуют в live: 0
+- Известны как удалённые: 2 (в `## 🗑️ Удалённые`)
+
+## ⚠ В Proxmox есть, в inventory НЕТ (надо добавить)
+
+| VMID | Type | Status | Name |
+|---|---|---|---|
+| 128 | LXC | running | profi-parser |
+| 131 | VM | running | ubuntu |
+
+## ✓ Удалённые хосты (задокументированы): 133, 135
+
+## Полный живой список
+
+| VMID | Type | Status | Name |
+|---|---|---|---|
+| 100 | VM | stopped | NV |
+| 101 | LXC | stopped | n8n |
+| 102 | LXC | stopped | SMB |
+| 103 | LXC | running | NPM |
+| 104 | VM | stopped | Agent-DVR |
+| 105 | VM | stopped | Nextcloud-AIO-dttb.ru |
+| 106 | VM | running | pbs |
+| 107 | VM | running | Mailcow |
+| 108 | LXC | stopped | zabbix |
+| 109 | VM | stopped | itilelegent |
+| 110 | VM | stopped | Cloud |
+| 111 | VM | running | WinServer2025 |
+| 112 | VM | stopped | cloud-dttb |
+| 113 | LXC | running | VaultWarden |
+| 114 | LXC | running | LinkWarden |
+| 115 | LXC | running | watchyourlan |
+| 116 | LXC | running | rustdeskserver |
+| 117 | LXC | stopped | motioneye |
+| 118 | LXC | stopped | plex |
+| 119 | LXC | stopped | myspeed |
+| 120 | VM | stopped | 7 |
+| 121 | LXC | stopped | docker-windows |
+| 122 | LXC | stopped | qbittorrent |
+| 123 | LXC | stopped | proxmox-local |
+| 124 | VM | stopped | Matrix |
+| 125 | VM | stopped | datacentr |
+| 126 | LXC | stopped | debian |
+| 127 | VM | running | haos-17.0 |
+| 128 | LXC | running | profi-parser |
+| 129 | VM | running | profi-parser-vm |
+| 130 | VM | stopped | Zima-OS |
+| 131 | VM | running | ubuntu |
+| 132 | LXC | running | code-server |
+| 134 | LXC | running | ZnamSecurityBot |
+| 136 | LXC | running | gitea |
+| 137 | LXC | running | openclaw |
+| 138 | LXC | stopped | vpn-proxy |
+| 250 | VM | running | Nextcloud-AIO |
+
+---
+*Автоматически сгенерировано `scripts/kb-audit.py`. Применять правки — вручную после ревью.*

audit/2026-05-03-health.md

@@ -0,0 +1,155 @@
+---
+date: 2026-05-03
+type: audit
+source: kb-health.py
+score: 458
+tags: [audit, health, metric]
+---
+
+# KB health — 2026-05-03
+
+**Score (меньше = лучше): `458`**
+Проверено файлов: 327
+
+## Разбивка
+
+| Категория | Кол-во | Вес | Штраф |
+|---|---:|---:|---:|
+| broken_wikilinks | 7 | 10 | 70 |
+| broken_paths | 20 | 10 | 200 |
+| missing_frontmatter | 17 | 3 | 51 |
+| orphan_files | 38 | 2 | 76 |
+| undated_todos | 36 | 1 | 36 |
+| duplicate_basenames | 5 | 5 | 25 |
+| **ИТОГО** | | | **458** |
+
+## Битые wikilinks
+
+| Откуда | `[[таргет]]` |
+|---|---|
+| `decisions/2026-04-30-niikn-culture-gov-fakeip-fix.md` | `[[notes/govru-diagnosis]]` |
+| `decisions/2026-05-02-apple-id-tj-via-residential-proxy.md` | `[[../snippets/clients/]]` |
+| `decisions/2026-04-30-openwrt-homelab-agh-podkop-chain.md` | `[[../claude-memory/podkop]]` |
+| `decisions/2026-04-29-rustdesk-client-deployment-package.md` | `[[../snippets/clients/]]` |
+| `decisions/2026-04-28-niikn-uookn-sev-gov-fakeip-fix.md` | `[[notes/govru-diagnosis]]` |
+| `projects/dttb/rustdesk.md` | `[[../../../knowledge-base/feedback_lxc_loadavg]]` |
+| `snippets/clients/yaroslav-amnezia-setup.md` | `[[feedback_finland_security]]` |
+
+## Битые relative-пути
+
+| Откуда | Путь |
+|---|---|
+| `notes/claude/2026-04-21-200915-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md` | `projects/dttb/vps-swtest.md` |
+| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `decisions/2026-04-28-rustdesk-lejianwen-pro-migration.md` |
+| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/rustdesk.md` |
+| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/credentials.md` |
+| `notes/claude/2026-04-29-153123-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/proxmox-inventory.md` |
+| `notes/claude/2026-04-29-153123-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/credentials.md` |
+| `notes/claude/2026-04-29-231939-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/happ-routing-roscomvpn.md` |
+| `notes/claude/2026-04-29-160010-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/clients/yaroslav-happ-setup.md` |
+| `notes/claude/2026-04-29-071329-на-компе-юрия-продолжим-проверь-он-сети.md` | `projects/mmfb/otchet-yuri-2026-04.md` |
+| `notes/claude/2026-04-29-150044-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/vpn-clients.md` |
+| `notes/claude/2026-04-29-223542-создадим-еще-одного-пользователя-подключение-к-vpn.md` | `snippets/clients/sergey-znamenskoye-happ-setup.md` |
+| `notes/claude/2026-04-28-134112-можешь-найти-кп-мичуринец.md` | `projects/dttb/znamenskoye-network-topology.md` |
+| `notes/claude/2026-04-28-134112-можешь-найти-кп-мичуринец.md` | `claude-memory/benelux-topology.md` |
+| `notes/claude/2026-04-29-180420-создадим-еще-одного-пользователя-подключение-к-vpn.md` | `snippets/clients/sergey-znamenskoye-happ-setup.md` |
+| `notes/claude/2026-04-28-132949-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/rustdesk.md` |
+| `notes/claude/2026-04-29-163821-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/amnezia-split-tunnel-ru.md` |
+| `notes/claude/2026-04-29-151943-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/clients/yaroslav-happ-setup.md` |
+| `notes/claude/2026-04-29-151943-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/vpn-clients.md` |
+| `notes/claude/2026-04-29-151943-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/credentials.md` |
+| `notes/claude/2026-04-29-001915-на-компе-юрия-продолжим-проверь-он-сети.md` | `projects/mmfb/yuri-vitalievich.md` |
+
+## Без frontmatter (17)
+
+- `projects/dttb/znamenskoye-log.md`
+- `projects/niikn/kripto-arm.md`
+- `projects/mmfb/yuri-vitalievich.md`
+- `projects/mmfb/otchet-yuri-2026-04.md`
+- `snippets/happ-vpn-client-instruction.md`
+- `snippets/invoice-template.md`
+- `snippets/assets/happ-routing-roscomvpn/README-upstream.md`
+- `claude-memory/servicedesk-dttb.md`
+- `claude-memory/benelux.md`
+- `claude-memory/nextcloud-dttb.md`
+- `claude-memory/nvr-fix.md`
+- `claude-memory/videonablyudenie.md`
+- `claude-memory/znamenskoe-home.md`
+- `claude-memory/niikn-nextcloud.md`
+- `claude-memory/krasnogorsk.md`
+- `claude-memory/mas-niikn.md`
+- `claude-memory/MEMORY.md`
+
+## Orphan — без бэклинков (38)
+
+_Эти файлы никто не упоминает через `[[..]]`. Кандидаты на удаление или добавление ссылок._
+
+- `decisions/2026-04-21-znamenskoye-ohothozyistvo-wg-backup-channel.md`
+- `decisions/2026-04-30-niikn-culture-gov-fakeip-fix.md`
+- `decisions/2026-05-02-apple-id-tj-via-residential-proxy.md`
+- `decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md`
+- `decisions/2026-04-28-netbird-watchdog-lxc-132-137.md`
+- `decisions/2026-04-28-niikn-uookn-sev-gov-fakeip-fix.md`
+- `projects/niikn/credentials.md`
+- `projects/niikn/kripto-arm.md`
+- `projects/niikn/domofon.md`
+- `projects/mmfb/yuri-vitalievich.md`
+- `projects/mmfb/otchet-yuri-2026-04.md`
+- `projects/mmfb/mikrotik.md`
+- `projects/zelenograd/README.md`
+- `snippets/happ-routing-roscomvpn.md`
+- `snippets/invoice-template.md`
+- `snippets/assets/happ-routing-roscomvpn/README-upstream.md`
+- `claude-memory/cliproxy_code_server.md`
+- `claude-memory/servicedesk-dttb.md`
+- `claude-memory/benelux-topology.md`
+- `claude-memory/benelux.md`
+- `claude-memory/znamenskoye-cameras.md`
+- `claude-memory/nextcloud-dttb.md`
+- `claude-memory/nvr-fix.md`
+- `claude-memory/niikn-vpn-status.md`
+- `claude-memory/znamenskoye-ohothozyistvo.md`
+- `claude-memory/znamenskoye-network.md`
+- `claude-memory/niikn-nextcloud-incident.md`
+- `claude-memory/videonablyudenie.md`
+- `claude-memory/znamenskoe-home.md`
+- `claude-memory/feedback_dns_fakeip.md`
+- ... +8 ещё
+
+## TODO без даты (36 шт в 5 файлах)
+
+- `decisions/2026-04-30-rustdesk-pre-prod-audit.md` — 13 шт
+- `templates/vpn-client.md` — 7 шт
+- `decisions/2026-04-29-rustdesk-client-deployment-package.md` — 6 шт
+- `projects/dttb/vpn-clients.md` — 5 шт
+- `claude-memory/mas-niikn.md` — 5 шт
+
+## Дубликаты имён (5)
+
+- `README.md`:
+  - `README.md`
+  - `decisions/README.md`
+  - `notes/README.md`
+  - `projects/dttb/README.md`
+  - `projects/glavtorg/README.md`
+  - `projects/niikn/README.md`
+  - `projects/krasnogorsk/README.md`
+  - `projects/zelenograd/README.md`
+  - `projects/dttb/nextcloud-talk-bot/README.md`
+  - `snippets/README.md`
+  - `scripts/README.md`
+- `nextcloud.md`:
+  - `projects/nextcloud.md`
+  - `projects/dttb/nextcloud.md`
+- `proxmox-inventory.md`:
+  - `projects/dttb/proxmox-inventory.md`
+  - `projects/mmfb/proxmox-inventory.md`
+- `credentials.md`:
+  - `projects/dttb/credentials.md`
+  - `projects/niikn/credentials.md`
+- `mikrotik.md`:
+  - `projects/niikn/mikrotik.md`
+  - `projects/mmfb/mikrotik.md`
+
+---
+*Генерируется `scripts/kb-health.py`. JSON-версия в `audit/health-latest.json` для agent-loop.*

audit/2026-05-03-npm-drift.md

@@ -0,0 +1,62 @@
+---
+date: 2026-05-03
+type: audit
+source: kb-audit-npm.py
+tags: [audit, drift, npm]
+---
+
+# NPM drift audit — 2026-05-03
+
+Сверка [[../projects/dttb/npm-proxy-hosts|npm-proxy-hosts.md]] с NPM API (https://npm.dttb.ru).
+
+- Живых proxy hosts: **22**
+- В KB: **20**
+- Совпадений: 20 / новых: 2 / удалённых из NPM: 0 / с изменениями: 3
+
+## ⚠ Новые hosts (в NPM есть, в KB нет)
+
+| ID | Домены | Backend | SSL | Enabled |
+|---|---|---|---|---|
+| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
+| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
+
+## 🔄 Изменения (ID совпадает, но что-то сменилось)
+
+### #12 `bitrix24.dttb.ru`
+- backend: KB=`10.0.0.223:8080` → live=`10.0.0.224:8080`
+
+### #14 `remot.dttb.ru`
+- backend: KB=`10.0.0.43:21114` → live=`10.0.0.244:21114`
+
+### #22 `git.dttb.ru`
+- ssl: KB=✗ → live=✓
+
+## Полный живой список
+
+| ID | Домены | Backend | SSL | Enabled |
+|---|---|---|---|---|
+| 1 | `dttb.ru` | `10.0.0.230:11001` | ✓ | on |
+| 2 | `office.dttb.ru` | `10.0.0.169:8080` | ✓ | on |
+| 3 | `itilegent.ru` | `10.0.0.223:8080` | ✓ | on |
+| 4 | `npm.dttb.ru` | `10.0.0.195:81` | ✓ | on |
+| 5 | `porteiner.dttb.ru` | `10.0.0.10:9443` | ✓ | on |
+| 6 | `pve.dttb.ru` | `10.0.0.250:8006` | ✓ | on |
+| 9 | `ai.dttb.ru` | `10.0.0.179:8080` | ✓ | on |
+| 10 | `bit.dttb.ru` | `10.0.0.217:8080` | ✓ | on |
+| 11 | `link.dttb.ru` | `10.0.0.184:3000` | ✓ | on |
+| 12 | `bitrix24.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
+| 13 | `ip.dttb.ru` | `10.0.0.112:8840` | ✓ | on |
+| 14 | `remot.dttb.ru` | `10.0.0.244:21114` | ✓ | on |
+| 15 | `plex.dttb.ru` | `10.0.0.200:32400` | ✓ | on |
+| 16 | `home.dttb.ru` | `10.0.0.155:8123` | ✓ | on |
+| 17 | `z.dttb.ru` | `10.0.0.220:80` | ✓ | on |
+| 21 | `rec.dttb.ru` | `10.0.0.227:8091` | ✓ | on |
+| 22 | `git.dttb.ru` | `10.0.0.189:3000` | ✓ | on |
+| 23 | `matrix.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
+| 25 | `mail.dttb.ru` | `10.0.0.107:443` | ✓ | on |
+| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
+| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
+| 28 | `bot.dttb.ru` | `10.0.0.239:18789` | ✓ | on |
+
+---
+*Автоматически через `scripts/kb-audit-npm.py`.*

audit/2026-05-03-proposed.md

@@ -0,0 +1,13 @@
+---
+date: 2026-05-03
+type: audit-proposed
+source: kb-audit-propose.sh (Opus 4.7)
+tags: [audit, proposed, inventory]
+---
+
+# Предложенные правки inventory — 2026-05-03
+
+Сгенерировано Claude Opus на основе [[2026-05-03-drift|drift-отчёта]].
+**Правки НЕ применены.** Ревью — ты. Apply — вручную.
+
+

audit/2026-05-06-objects-audit.md

@@ -0,0 +1,37 @@
+---
+date: 2026-05-06
+type: audit
+source: scripts/kb-objects-audit.py
+tags: [audit, objects, frontmatter, links]
+score: 6
+---
+
+# KB objects audit — 2026-05-06
+
+**Score (меньше = лучше): `6`**
+
+- Проектов с frontmatter: **12/12** (0 проблем)
+- NetBird online-пиров без проектной карточки: **3**
+- Битых wiki-ссылок `[[...]]`: **0**
+
+## Frontmatter в projects/
+
+✅ все проекты имеют валидный frontmatter
+
+## Online netbird-пиры без проектной карточки
+
+Эти пиры онлайн в NetBird, но не привязаны ни к одной projects/-странице. 
+Бот не сможет ответить «найди X» осмысленно — нет файла или alias.
+
+Лечение: либо создать stub в `projects/<slug>/README.md` (см. `projects/lipki/` как образец), 
+либо добавить имя пира как полную строку в `aliases` подходящего проекта.
+
+| NetBird-имя | IP | OS | Город |
+|---|---|---|---|
+| `DESKTOP-2IOQS54` | 100.70.82.83 | Windows 10 | Saransk |
+| `DESKTOP-AGBMLPN` | 100.70.0.106 | Windows 11 | Helsinki |
+| `DESKTOP-HL0BB05` | 100.70.235.80 | Windows 11 | Lipetsk |
+
+## Битые wiki-ссылки
+
+✅ битых ссылок не найдено

audit/health-latest.json

@@ -1,13 +1,13 @@
 {
-  "date": "2026-04-26",
+  "date": "2026-05-03",
-  "score": 221,
+  "score": 458,
   "counts": {
-    "broken_wikilinks": 0,
+    "broken_wikilinks": 7,
-    "broken_paths": 9,
+    "broken_paths": 20,
-    "missing_frontmatter": 14,
+    "missing_frontmatter": 17,
-    "orphan_files": 32,
+    "orphan_files": 38,
-    "undated_todos": 5,
+    "undated_todos": 36,
-    "duplicate_basenames": 4
+    "duplicate_basenames": 5
   },
   "weights": {
     "broken_wikilinks": 10,
@@ -17,5 +17,5 @@
     "undated_todos": 1,
     "duplicate_basenames": 5
   },
-  "files_scanned": 501
+  "files_scanned": 327
 }

decisions/2026-04-28-niikn-uookn-sev-gov-fakeip-fix.md

@@ -12,7 +12,7 @@ tags: [decision, niikn, network, dns, podkop]
 
 ## Диагноз
 
-По алгоритму [[notes/govru-diagnosis]]:
+По алгоритму [[../projects/niikn/govru-quickfix-playbook]]:
 
 | Точка | HTTP | Real IP |
 |-------|------|---------|

decisions/2026-04-29-rustdesk-client-deployment-package.md

@@ -117,7 +117,7 @@ RustDesk при первом запуске парсит своё имя фай
 
 ## TODO / следующие шаги
 
-- [ ] Олег создаёт public share-link в Nextcloud (с паролем), кладёт ссылку в [[../snippets/clients/]]
+- [ ] Олег создаёт public share-link в Nextcloud (с паролем), кладёт ссылку в `snippets/clients/`
 - [ ] Подготовить **one-liner-скрипты** на сервере (NPM static path `/install/` → S3 или rustdesk-api resources/public)
 - [ ] **Configuration Strategy** в админке lejianwen-api — push config existing peers
 - [ ] Скачать `rustdesk-utils` 2.x (lejianwen-pro) для генерации `rustdesk-licensed-*.exe` — single-file deployment без скриптов

decisions/2026-04-30-niikn-culture-gov-fakeip-fix.md

@@ -0,0 +1,56 @@
+---
+date: 2026-04-30
+type: decision
+tags: [decision, niikn, network, dns, podkop]
+---
+
+# 2026-04-30: Открыть culture.gov.ru из НИИКН (DNS override)
+
+## Проблема
+
+Сотрудники НИИКН — не открывается `https://culture.gov.ru/` (Минкультуры РФ).
+
+## Диагноз
+
+По алгоритму [[../projects/niikn/govru-quickfix-playbook]]:
+
+| Точка | HTTP | Real IP |
+|-------|------|---------|
+| Mac (Ростелеком Истра) | 200 | 194.190.9.31 |
+| pve-niikn vmbr0 (МТС B2B) | 200 | 194.190.9.31 |
+| OpenWrt 192.168.1.50 nslookup → sing-box (127.0.0.42) | — | **198.18.0.96 (FakeIP)** |
+| OpenWrt curl через AWG | 000 | (Минкульт блочит зарубежные IP) |
+
+МТС B2B не блочит, сайт живой. **Причина** — `culture.gov.ru` подпадает под podkop community-list, DNS подменяется FakeIP, трафик уходит в awg0 Финляндию, оттуда Минкульт даёт Forbidden/timeout. Тот же паттерн, что `zakupki.gov.ru` и `sev.gov.ru`.
+
+## Решение
+
+OpenWrt `192.168.1.50` — добавлен домен в dnsmasq `server=`:
+
+```bash
+ssh root@192.168.1.50
+uci add_list dhcp.@dnsmasq[0].server='/culture.gov.ru/8.8.8.8'
+uci commit dhcp
+/etc/init.d/dnsmasq restart
+```
+
+NetBird route **НЕ требуется**.
+
+## Проверка
+
+```
+DNS 192.168.1.50:    culture.gov.ru → 194.190.9.31, 194.190.9.32
+pve-niikn curl:      HTTP 200, 74 ms через МТС WAN
+```
+
+Клиентам НИИКН — `ipconfig /flushdns` для сброса кэша FakeIP.
+
+## Текущий список dnsmasq override на 192.168.1.50
+
+```
+'127.0.0.42'                  # podkop sing-box
+'/nspd.gov.ru/8.8.8.8'        # + NetBird route 2.63.246.0/24
+'/zakupki.gov.ru/8.8.8.8'     # только DNS
+'/sev.gov.ru/8.8.8.8'         # только DNS
+'/culture.gov.ru/8.8.8.8'     # только DNS — добавлено сегодня
+```

decisions/2026-04-30-openwrt-homelab-agh-podkop-chain.md

@@ -0,0 +1,80 @@
+---
+date: 2026-04-30
+type: decision
+tags: [dttb, openwrt, adguard, podkop, dns, youtube-adblock]
+hosts: [10.0.0.1]
+---
+
+# OpenWrt HomeLab (10.0.0.1): AdGuard Home в DNS-цепочке, фильтры YouTube
+
+## Контекст
+
+На роутере 10.0.0.1 (OpenWrt 24.10.3, Mediatek Filogic) установлен `adguardhome 0.107.57-r1`, но трафик клиентов LAN его **обходил**. dnsmasq форвардил `127.0.0.42` (sing-box подкопа), AGH слушал `127.0.0.1:5353` без клиентов. user_rules в yaml были повреждены (куски Python-листа с залипшими кавычками). Цель — реальная блокировка рекламы для всей сети, в т.ч. максимум возможного для YouTube.
+
+## Решение — гибридная схема
+
+```
+LAN client → dnsmasq:53 → AGH:5353 → sing-box:127.0.0.42 → upstream
+```
+
+AGH ставится между dnsmasq и sing-box: блокирует ad-домены до sing-box, а sing-box продолжает делать fakeip и роутить подкоп-домены. Это отличается от двух канонических схем `podkop.net/docs/adguard/` (Схема 1: AGH на 127.0.0.10:53 как upstream подкопа; Схема 2: AGH перед подкопом для клиентов), но проще и сохраняет всю существующую логику подкопа.
+
+## Изменения
+
+### `/etc/adguardhome.yaml`
+- `dns.upstream_dns` → `127.0.0.42` (sing-box, единственный)
+- Добавлены фильтры:
+  - `HaGeZi Pro mini` — https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/pro.mini.txt
+  - `BlocklistProject YouTube` — https://blocklistproject.github.io/Lists/youtube.txt
+  - `GoodbyeAds YouTube AdBlock` — https://raw.githubusercontent.com/jerryn70/GoodbyeAds/master/Hosts/GoodbyeAds-YouTube-AdBlock.txt
+- `user_rules` очищены от мусора, оставлены работающие правила: `googlesyndication.com`, `doubleclick.net`, `youtube.com/{api/stats/watchtime,ptracking,pagead,ads,get_midroll}*`, `googlevideo.com/get_video_info*`, `pagead2.googlesyndication.com`, `static.doubleclick.net`, `stats.g.doubleclick.net`, `googleads.g.doubleclick.net`, `ads.yandex.ru`, `mc.yandex.ru`, `metrika.yandex.ru`, `yandex.ru/ads`, `*.yandex.ru/ads`, `dzen.ru/ads`, `ads.vk.com`, `vk.com/ads`, `top-fwz1.mail.ru`, `adfox.ru`
+
+### UCI
+```
+uci set podkop.settings.dont_touch_dhcp='1'        # подкоп больше не переписывает dhcp
+uci -q delete dhcp.@dnsmasq[0].server
+uci add_list dhcp.@dnsmasq[0].server='127.0.0.1#5353'
+uci commit podkop && uci commit dhcp
+/etc/init.d/adguardhome restart
+/etc/init.d/dnsmasq restart
+```
+
+### Бэкапы (на роутере)
+- `/etc/adguardhome.yaml.bak.20260430_001129`
+- `/etc/config/dhcp.bak.20260430_001129`
+
+## Верификация
+
+| Запрос на `10.0.0.1` | Ответ | Проверяет |
+|---|---|---|
+| `doubleclick.net` | `0.0.0.0` | AGH режет ad-домен |
+| `pagead2.googlesyndication.com` | `0.0.0.0` | YouTube ad-эндпоинт |
+| `wikipedia.org` | `185.15.59.224` | обычный сайт работает |
+| `youtube.com` | `198.18.1.77` | fakeip подкопа цел |
+
+## Граничные случаи / что НЕ блокируется
+
+DNS-блокировка убирает рекламную **телеметрию, баннеры, midroll-API** YouTube. **In-stream-ролики** в самих видео сидят на `*.googlevideo.com` (CDN видео) — DNS их разделить не может. Полная блокировка — только клиентом: uBlock Origin (Firefox/Chrome), SponsorBlock, ReVanced/NewPipe (Android), FreeTube (desktop).
+
+## Откат
+
+```bash
+ssh root@10.0.0.1 "cp /etc/adguardhome.yaml.bak.20260430_001129 /etc/adguardhome.yaml \
+ && cp /etc/config/dhcp.bak.20260430_001129 /etc/config/dhcp \
+ && uci set podkop.settings.dont_touch_dhcp=0 && uci commit podkop \
+ && /etc/init.d/adguardhome restart && /etc/init.d/dnsmasq restart"
+```
+
+## Запомнить (грабли)
+
+- `127.0.0.42` и `127.0.0.53` — зарезервированы подкопом и системой, не использовать как listen для других сервисов (`podkop.net/docs/adguard/`).
+- При `dont_touch_dhcp=0` подкоп при каждом start переписывает `dhcp.@dnsmasq[0].server` на `127.0.0.42`, кладя предыдущее в `podkop_server`. Любая ручная замена upstream без `dont_touch_dhcp=1` не переживёт перезапуск.
+- AGH-веб: http://10.0.0.1:3000 (admin / хеш в yaml).
+- SSH `root@10.0.0.1` с `1qaz!QAZ` **работает** — старая запись в `projects/dttb/openwrt-router.md` про "SSH не работает" устарела.
+
+## Ссылки
+
+- [[../projects/dttb/openwrt-router]] — карточка роутера
+- [[2026-04-17-peredelki-podkop-stability-fix]] — справка по подкопу (схемы AGH, fakeip 198.18.0.0/15)
+- https://podkop.net/docs/adguard/
+- https://podkop.net/docs/dont-touch-my-dhcp/

decisions/2026-04-30-rustdesk-pre-prod-audit.md

@@ -0,0 +1,192 @@
+---
+date: 2026-04-30
+type: audit
+tags: [rustdesk, security, audit, hardening]
+---
+
+# RustDesk pre-production audit + fixes
+
+## Контекст
+
+Перед запуском RustDesk-сервера в продакшн (для удалённого доступа клиентских организаций + личного использования) — системный аудит security, reliability, operations. Findings + примененные fixes.
+
+## Findings & fixes
+
+### 🔴 Critical (исправлено)
+
+#### 1. Права на критичные файлы 644 → 600/640
+
+**Что было:** все sensitive файлы на LXC 116 были world-readable (`-rw-r--r--`):
+- `/var/lib/rustdesk-server/id_ed25519` (**приватный ключ сервера**)
+- `/var/lib/rustdesk-server/id_ed25519.pub`
+- `/var/lib/rustdesk-server/db_v2.sqlite3*` (hbbs БД с peers UUID)
+- `/var/lib/rustdesk-api/data/rustdeskapi.db` (хеши паролей юзеров, токены сессий)
+- `/var/lib/rustdesk-api/conf/config.yaml` (содержит **JWT secret** и `key`)
+
+**Риск:** при компрометации любого non-root юзера на LXC 116 → leak приватного ключа сервера → весь парк клиентов перестаёт быть приватным; возможность подделки JWT и login as admin.
+
+**Fix (2026-04-30):**
+```bash
+chmod 600 /var/lib/rustdesk-server/id_ed25519*
+chmod 640 /var/lib/rustdesk-server/db_v2.sqlite3*
+chmod 640 /var/lib/rustdesk-api/data/rustdeskapi.db
+chmod 640 /var/lib/rustdesk-api/conf/config.yaml
+```
+
+#### 2. Нет logrotate для rustdesk-логов на 2GB-диске
+
+**Что было:** `/var/log/rustdesk-server/hbbs.log` ~260KB и rosт каждый день. На 2GB-диске LXC 116 (где уже 55% used) логи зальют диск за пару месяцев → сервер ляжет.
+
+**Fix (2026-04-30):** `/etc/logrotate.d/rustdesk`:
+```
+/var/log/rustdesk-server/*.log /var/log/rustdesk-server/*.error
+/var/log/rustdesk-api/*.log /var/log/rustdesk-api/*.error {
+    daily
+    rotate 14
+    compress
+    delaycompress
+    notifempty
+    missingok
+    copytruncate
+    su root root
+}
+```
+
+#### 3. Нет авто-бэкапа БД и ключей
+
+**Что было:** одна вручную сделанная копия `/root/rustdesk-backup-20260428-1134/`. Если завтра LVM упадёт — теряем весь стейт (peers, users, ключи).
+
+**Fix (2026-04-30):** cron daily 03:00 → `/usr/local/bin/rustdesk-backup.sh`:
+- tar.gz в `/root/rustdesk-backups/rustdesk-YYYYMMDD.tar.gz`
+- ключи + обе БД + config.yaml + systemd overrides
+- retention 30 дней (find -mtime +30 -delete)
+- chmod 600 на каждый tarball
+
+**TODO:** доставить копии бэкапа на ArtLeon (off-site) через NetBird/rsync.
+
+### 🟡 Medium (исправлено)
+
+#### 4. Нет rate-limit на login → brute-force admin password
+
+**Что было:** `https://remot.dttb.ru/api/admin/login` принимал безlimit запросы. С учётом стандартного pw `1qaz!QAZ` — кто-то с словарём найдёт его за час.
+
+**Fix (2026-04-30):** в NPM `/data/compose/2/data/nginx/custom/http.conf`:
+```nginx
+limit_req_zone $binary_remote_addr zone=adminlogin:10m rate=5r/m;
+limit_req_zone $binary_remote_addr zone=apilogin:10m rate=10r/m;
+```
+
+В Proxy Host 14 advanced_config:
+```nginx
+location = /api/admin/login {
+    limit_req zone=adminlogin burst=3 nodelay;
+    proxy_pass http://10.0.0.244:21114;
+    ...
+}
+location = /api/login {
+    limit_req zone=apilogin burst=5 nodelay;
+    proxy_pass http://10.0.0.244:21114;
+    ...
+}
+```
+
+**Verified:** после 4 быстрых попыток — 503 от NPM. На уровне rustdesk-api также `ban-threshold: 5` забанит user-account на ~1 час.
+
+**Грабли при настройке:** `limit_req_zone` нельзя класть в `server`-контекст — только `http`. Первая попытка положить в advanced_config привела к удалению NPM proxy_host/14.conf и обвалу `remot.dttb.ru`. Восстановилось через disable/enable + переноса zone в http.conf.
+
+### 🟡 Medium (отложено)
+
+#### 5. NC public-link без пароля + содержит RustDesk2.toml с key
+
+**Что было:** `https://dttb.ru/s/wPm8oaiFEyz7Ywx` без пароля и без expiration. ZIP внутри содержит `key=R0lA4r77...`. Любой нашедший ссылку может зарегистрировать peer'а на нашем сервере.
+
+**Status:** **Nextcloud-AIO сейчас лежит** (502 from NPM upstream), новую share создать не получается. Спавнен отдельный task на восстановление NC. После — пересоздать share с паролем + 30 дней expiration.
+
+**Митigation в текущем виде:** `MUST_LOGIN=Y` отбивает входящие connections к незалогиненным peers. Кто-то регистрируется как peer — heartbeat-флуд возможен, но connections не пройдут.
+
+#### 6. Security headers не наследуются в location /
+
+**Что было:** HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy не появляются в response от `https://remot.dttb.ru/_admin/`.
+
+**Корневая причина:** NPM в template для Proxy Host генерит `location /` со встроенным `add_header X-Served-By` (через include `proxy.conf`). По правилу nginx — если в location есть **хоть один** add_header, наследование от server-block отключается. Мои `add_header` в advanced_config (server-level) не применяются к location /.
+
+**Fix-варианты (выбран wait):**
+- (a) Patch NPM template `/etc/nginx/conf.d/include/proxy.conf` чтобы добавить headers — теряется при container recreate
+- (b) Использовать `more_set_headers` (модуль ngx_headers_more) — нужно проверить что он есть в openresty
+- (c) Override `location /` в advanced_config с явными add_header — конфликт с NPM-сгенерированным location /
+- (d) **Принять как cosmetic** — TLS 1.2/1.3 + LE cert + rate-limit обеспечивают основную защиту; HSTS на server-level записан в nginx.conf (не на response).
+
+**Status:** **отложено** как cosmetic. Если будем делать (b) или (a) — отдельной задачей.
+
+### 🟢 Low / Informational
+
+| Item | Status |
+|---|---|
+| Server header раскрывает `openresty` | Accept (мелкий fingerprinting, не критично) |
+| `show-swagger: 1` в API | Accept (Олег использует для разработки) |
+| TLS 1.2 + 1.3, intermediate ciphers | ✅ optimal |
+| LE cert valid until 28 June 2026 | ✅ auto-renew |
+| Block Common Exploits (NPM) | ✅ enabled на host 14 |
+| `block_exploits: true`, `caching_enabled: false` | ✅ verified |
+| `register: false` в API | ✅ закрытая система |
+| `ban-threshold: 5`, `captcha-threshold: 3` | ✅ enabled |
+| `MUST_LOGIN=Y` | ✅ enforced (видно в hbbs.log) |
+| RustDesk peers версии | 1.4.6 (latest stable) |
+| Disk LXC 116 free | 826 MB / 2 GB (55% used) — monitoring |
+| RAM LXC 116 used | 105M / 512M — большой запас |
+| NPM compose ports 21115-21119 | ✅ exposed после 2026-04-29 update |
+
+## Что осталось сделать (production todo)
+
+### Перед массовым deploy
+- [ ] Восстановить Nextcloud (отдельный task)
+- [ ] Создать share-link с паролем + expiration после восстановления NC
+- [ ] Создать минимум 2 группы в `/_admin/` (например `НИИКН`, `Клиенты-Internal`)
+- [ ] Настроить **Configuration Strategy** в админке lejianwen — push настроек существующим клиентам автоматически
+- [ ] Off-site бэкап `/root/rustdesk-backups/*.tar.gz` на ArtLeon через rsync over NetBird (cron weekly)
+
+### Полезное (не блокирует prod)
+- [ ] `more_set_headers` фикс security headers
+- [ ] fail2ban на NPM access logs (поверх rate-limit) — extra слой против distributed brute-force
+- [ ] Monitoring: alert на падение rustdesk сервиса (через watchyourlan/zabbix/uptime-kuma)
+- [ ] Auto-login клиента в API через service-token (упрощает onboarding)
+- [ ] `rustdesk-utils` 2.x для single-file `rustdesk-licensed-*.exe` deployment
+
+### Долгосрочное
+- [ ] Через 1-2 месяца — миграция в Docker `lejianwen/rustdesk-server-s6` (Вариант A3)
+- [ ] HA-схема на втором экземпляре (НИИКН Proxmox) с общей MySQL
+- [ ] MCP-обёртка поверх Swagger API для управления из Claude Code
+
+## Верификация
+
+```bash
+# Permissions OK
+ssh root@10.0.0.250 "pct exec 116 -- ls -la /var/lib/rustdesk-server/id_ed25519"
+# → -rw------- 1 root root 88 Oct 10  2025
+
+# Logrotate OK
+ssh root@10.0.0.250 "pct exec 116 -- logrotate -d /etc/logrotate.d/rustdesk"
+# → "considering log /var/log/rustdesk-..."
+
+# Auto-backup ran
+ssh root@10.0.0.250 "pct exec 116 -- ls -la /root/rustdesk-backups/"
+# → rustdesk-20260430.tar.gz
+
+# Rate-limit работает
+for i in {1..6}; do
+  curl -ks -o /dev/null -w "%{http_code} " -X POST https://remot.dttb.ru/api/admin/login \
+    -H "Content-Type: application/json" -d '{"username":"x","password":"y"}'
+done
+# → 200 200 200 200 503 503
+
+# Сервер отвечает
+curl -ksI https://remot.dttb.ru/_admin/ | head -1
+# → HTTP/2 200
+```
+
+## Связанные
+
+- [[../projects/dttb/rustdesk-runbook]] — операционный runbook (создан этим audit'ом)
+- [[2026-04-28-rustdesk-lejianwen-pro-migration]] — миграция с OSS
+- [[2026-04-29-rustdesk-client-deployment-package]] — пакет установки клиентов
+- [[../projects/dttb/rustdesk]] — справочник

decisions/2026-05-02-apple-id-tj-via-residential-proxy.md

@@ -0,0 +1,151 @@
+---
+date: 2026-05-02
+type: decision
+tags: [decision, apple-id, tajikistan, proxy, residential]
+---
+
+# 2026-05-02: Apple ID TJ через residential proxy (без VPS, без резидентства)
+
+## Проблема
+
+Нужен Apple ID с регионом **Таджикистан** (для AppStore TJ — там разрешены AmneziaVPN, Happ и другие приложения, заблокированные в RU AppStore).
+
+Прямые пути не работают:
+
+- **TJ-VPS** требуют KYC + резидента (паспорт TJ + ИНН). Все локальные провайдеры (Babilon-T, GlobexCamHost, Navicosoft, Hoster.tj, Serversinasia) отказывают нерезидентам, даже за крипту.
+- **Международные хостеры** с TJ-нодой — Evoxt анонсировал, но `/locations` 404; реально TJ-локации почти нет ни у кого крупного.
+- **Своя SIM в TJ** — требует физического присутствия (у Олега виза есть, но ехать ради Apple ID не вариант).
+
+## Анализ
+
+Apple проверяет регион по **GeoIP исходящего соединения** в момент регистрации. После создания Apple ID привязан к региону постоянно — IP больше не нужен. То есть VPS избыточен — нужен **TJ-IP на 1 час разово**.
+
+### Сравнение proxy-провайдеров с TJ
+
+| Провайдер | TJ IPs | Типы | Цена | Особенность |
+|---|---|---|---|---|
+| **IPRoyal** | 285 617 | residential, mobile 4G/3G | mobile от $10/день, residential ~$7/GB | Самый большой пул, надёжный |
+| **Litport** | 38 656 | residential, mobile 3G/4G/5G, ISP, datacenter | по запросу | Полный набор, в т.ч. ISP |
+| **Soax** | 10 800 | residential, mobile 4G/5G | от $2/GB на больших планах, trial $1.99/400MB/3 дня | Чистые IP, дешёвый trial |
+| **BrightData** | премиум | residential, mobile, ISP, datacenter | дорого | Стандарт индустрии |
+| **LumiProxy** | н/д | residential, mobile, ISP, datacenter | по запросу | 4G/LTE TJ |
+| **Databay** | н/д | mobile 4G/5G | по запросу | Carrier-level targeting |
+
+## Решение
+
+Связка **IPRoyal Royal Residential pay-as-you-go + grizzlysms TJ-номер**.
+
+Soax исключён — сайт плохо работает из RU (ISP DPI / Cloudflare anti-bot), trial не получить без VPN.
+IPRoyal стабильно открывается из RU, сайт не блочат, оплата картой/PayPal/криптой.
+
+### Шаги
+
+1. **Купить TJ SMS-номер** на [grizzlysms.com](https://grizzlysms.com) (~$0.43, сервис Apple).
+2. **Купить IPRoyal Royal Residential** [iproyal.com](https://iproyal.com) → Pay as you go, минимум **$7 за 1 GB** (хватит на 5+ регистраций):
+   - Sign Up → Products → Royal Residential Proxies → Pay as you go
+   - Оплата: Wise/foreign Mastercard / PayPal / **Crypto BTC/ETH/USDT** (крипта без KYC)
+3. **Получить базовые credentials** в Dashboard → Royal Residential → Proxy List (host/port/user/pass).
+   - В UI устанавливать Country/Sticky **не нужно** — параметры передаются через password-модификаторы (см. шаг 4).
+4. **Сформировать endpoint с TJ + sticky** через password-модификаторы IPRoyal:
+   ```
+   host: geo.iproyal.com
+   port: 12321
+   user: <BASE_USER>
+   pass: <BASE_PASS>_country-tj_session-<любая-метка>_lifetime-30m
+   ```
+   Важно: `country-tj` (lowercase ISO), не `country-Tajikistan` (последнее не работает, возвращает пустоту).
+5. **Проверить IP**:
+   ```bash
+   curl -x "http://USER:PASS_country-tj_session-test01_lifetime-30m@geo.iproyal.com:12321" https://ipinfo.io
+   ```
+   Подтверждено 2026-05-03: вернулся `185.177.2.130`, Dushanbe, country `TJ`, ASN `AS51346 Tojiktelecom`, timezone `Asia/Dushanbe`. Apple примет такой IP.
+6. **Зарегистрировать Apple ID** на [appleid.apple.com](https://appleid.apple.com):
+   - страна: Tajikistan
+   - адрес: любой реальный из Душанбе (Google Maps → жилой дом)
+   - телефон: TJ-номер из шага 1, SMS-код принять в grizzlysms
+   - **способ оплаты: «Нет / None»** (опция доступна только при регистрации через веб с TJ-IP)
+7. **Войти на iPhone** с этим Apple ID. После первой авторизации IP-проверка отпадает — proxy можно отключить.
+
+### Бюджет
+
+~$8 разово (TJ SMS $0.43 + IPRoyal 1 GB $7 + резерв). 1 GB трафика хватает на 5-10 регистраций Apple ID.
+
+## Подводные камни
+
+- **Datacenter proxy не подходит** — Apple использует MaxMind + собственные блок-листы DC ASN. Только residential или mobile.
+- **Регистрировать с того же IP, с которого первый раз залогинишься** — иначе риск flagging аккаунта.
+- **Не входить с RU-IP в первые 24 часа** — Apple может заблокировать "fraud detection". Использовать NetBird exit-node Finland (Trance group) до первого входа на iPhone.
+- **TJ-карту привязывать не нужно** — для бесплатных приложений (AmneziaVPN, Happ, Telegram alts) оплата не требуется. Если потребуется — Wise multi-currency или PayPal.
+
+### TJ-IP сам по себе НЕДОСТАТОЧЕН
+
+Apple палит «русского пользователя» по нескольким сигналам одновременно. Подтверждено 2026-05-03:
+- **Accept-Language** — Firefox по умолчанию шлёт `ru-RU`. Apple читает → показывает «Россия» внизу страницы → отказывается слать SMS на TJ-номера. Лечится `about:config` → `intl.accept_languages` = `tg-TJ, tg, en-US, en`.
+- **Cookies от прошлых посещений apple.com** — даже на новом профиле могут протекать через sync. Лечится приватным окном (Cmd+Shift+P).
+- **WebRTC** — обязательно `media.peerconnection.enabled = false` + `media.peerconnection.ice.default_address_only = true`.
+- **Country/Region в форме регистрации** — нужно **вручную выбрать Tajikistan**, Apple по умолчанию ставит US.
+- **Footer страницы apple.com** — должно быть «Tajikistan», не «Россия»/«United States». Это критическая проверка ДО заполнения формы.
+- **@icloud.com нельзя на этапе регистрации** — Apple даёт его только ПОСЛЕ создания Apple ID, в iCloud settings. Используй внешний email (proton.me лучший выбор).
+
+### SMS-блок Apple
+
+Grizzlysms TJ-pool **полностью забанен** Apple на текущий момент (2026-05-03): любой номер оттуда даёт «Verification codes cannot be sent to this phone number at this time», даже после успешного Country=Tajikistan + footer=Tajikistan. После 2-3 неудачных попыток Apple ставит soft-cooldown 1-2 часа на IP-сессию.
+
+**Альтернативные SMS-сервисы для TJ Apple:**
+- **5sim.net** — другой пул, проверять первым
+- **sms-activate.io** — большой пул, но Apple часть знает
+- **smshub.org** — премиум, реже банят
+
+**Формат корректного TJ-номера:** `+992 9X XXX XXXX` (мобильный, операторы 90/91/92/93/95/98). Префиксы 4X/7X/8X (фиксированные) Apple не принимает.
+
+## Альтернативы (если Soax trial не подойдёт)
+
+- **IPRoyal pay-as-you-go** residential — без trial, но pay-as-you-go от $7/GB.
+- **Litport mobile** — настоящие 4G IPs местных операторов TJ (Babilon-Mobile AS204106, TT Mobile AS43197, Tacom/Beeline AS34557).
+
+## Альтернативный путь: покупка US Adidas-аккаунта + смена региона на TJ
+
+Когда самостоятельная регистрация через virtual SMS не идёт (Apple блочит весь grizzlysms TJ-pool), можно купить готовый US Adidas Apple ID за 100-300 ₽ и сменить регион на TJ.
+
+**Когда подходит:** платёжная стратегия "карта на нуле, пополнение перед покупкой" — потеря аккаунта не критична.
+
+**Workflow:**
+1. Покупка US Apple ID (массовые "Adidas" аккаунты, без payment method, 2FA через trusted devices, не SMS).
+2. Проверка жизнеспособности на appleid.apple.com — не должно быть pending verification.
+3. **Очистка следов продавца в правильном порядке:** смена пароля → удаление recovery contacts → удаление recovery key → удаление чужих trusted devices → смена recovery email на свой → перевыбор security questions.
+4. **Пауза 24-48 часов** — проверять что продавец не пытается восстановить через forgot password.
+5. **Смена региона US → TJ через Firefox с TJ-proxy** — Personal Information → Country/Region → Tajikistan → Payment Method: None.
+6. На iPhone: **Настройки → текущий Apple ID → Медиа и покупки → Sign Out** (только App Store, НЕ iCloud) → войти под новым TJ-аккаунтом.
+7. Когда появится TJ-карта — привязка через Payment & Shipping (на ненулевом балансе для $1 hold).
+
+**Риски:**
+- Продавец сохраняет recovery key/devices/email — может вернуть. Очистка в шаге 3 минимизирует, но не на 100%.
+- Apple anti-fraud может flagнуть смену региона US → TJ + TJ residential proxy + новая карта в первый месяц — до бана аккаунта. Поэтому **не привязывать критичную TJ-карту в первый месяц**.
+- Adidas-пакеты массовые → Apple периодически их банит за нарушение TOS (создание сериями).
+
+**Когда НЕ подходит:** долгосрочное хранение Apple Cash, привязка карт с большим балансом, использование как primary iCloud (там этот US Apple ID лучше не использовать вообще, только App Store).
+
+## Статус на 2026-05-06
+
+**Прогресс:**
+- ✅ IPRoyal Royal Residential куплен (1 GB pay-as-you-go), TJ residential подтверждён рабочим (см. [[../snippets/iproyal-gost-relay]])
+- ✅ Локальный gost-relay отлажен (порт 9999 для TJ, 9998 для FI), FoxyProxy multi-port
+- ✅ Firefox настроен: `intl.accept_languages = tg-TJ`, WebRTC отключён, приватное окно
+- ✅ Apple footer показывает «Tajikistan» при правильной комбинации IP + locale + cookies-чистка
+- ✅ US Adidas-аккаунт куплен (`hbuggle819@icloud.com`), 2FA через trusted devices, карта привязана
+- ⚠️ **Сложности с virtual SMS** — grizzlysms TJ-pool забанен Apple, требуются альтернативы (5sim, smsbower) или реальная TJ SIM
+- ⚠️ **Митинский радиорынок «высох»** (2026-05-04 проверено лично): продажа TJ-SIM мигрантам сократилась после ужесточения ФЗ-178. Альтернативные источники: Avito с доставкой (1500-3500 ₽), Telegram-каналы, знакомые в TJ
+- 🔴 **Регион US Adidas пока не менялся на TJ** — ждём реальную TJ-SIM либо premium DID. Аккаунт пока используется только для скачивания приложений.
+
+**Текущий план:**
+1. Найти реальную TJ SIM-карту (Avito / Telegram / знакомые)
+2. После получения SIM — менять регион Adidas-аккаунта на TJ через TJ-IP (gost), привязка к новой TJ-карте
+3. До этого момента — US Adidas-аккаунт используется только в App Store на iPhone для скачивания заблокированных в RU приложений (по схеме [[../snippets/apple-id-us-on-russia]])
+
+**Параллельная находка:** Google гораздо строже Apple к virtual SMS — на TJ-IP при регистрации нового @gmail сразу требует QR-верификацию через trusted device. Web-регистрация Google под TJ через grizzlysms — путь в тупик, требует Android-эмулятор или готовый купленный аккаунт.
+
+## Связанные
+
+- [[../README]] — индекс vault
+- TODO в MEMORY был «отложено с 2026-04-23», теперь активирован.
+- Решение по `snippets/clients/` для US Apple ID на RU iPhone — структурно тот же подход (proxy + foreign SMS).

decisions/2026-05-04-niikn-nspd-via-netbird-lionart.md

@@ -0,0 +1,136 @@
+---
+date: 2026-05-04
+type: decision
+status: рабочее
+tags: [decision, niikn, mmfb, network, netbird, nspd, fix]
+---
+
+# 2026-05-04: NSPD из НИИКН — финальная схема через NetBird → pve-LionART
+
+## Контекст
+
+После отката WG-туннеля 2026-04-20 (общее замедление трафика) NSPD-bypass был на стороне NetBird Networks. Сегодня клиенты НИИКН пожаловались "не работает даже через NetBird и другие сайты тоже".
+
+## Что нашёл
+
+1. **Сетевая часть исправна** — netbird route `nspd-bypass` (2.63.246.0/24) активен, трейс `pve-niikn → 100.70.128.49 (pve-lionart) → 10.253.1.1 (MikroTik LionART)` работает. С `pve-niikn` `curl -k https://nspd.gov.ru/` отдаёт `HTTP:200`.
+2. **Цепочка для клиентов разорвана в трёх местах:**
+   - OpenWrt 192.168.1.50: пропал `dnsmasq override` для `nspd.gov.ru` → podkop ловит в FakeIP `198.18.x.x` → AWG → Финляндия → блок (НСПД режет foreign IP).
+   - MikroTik 192.168.1.1: нет static route `2.63.246.0/24 → 192.168.1.201` (pve-niikn) → пакеты идут в default WAN → MTS WAF блок.
+   - pve-niikn: нет SNAT/MASQUERADE для `192.168.1.0/24 → wt0` → пакеты приходили на pve-lionart с приватным src → asymmetric routing.
+3. **TLS-сертификат** NSPD выпущен `Russian Trusted Sub CA` (Минцифра, valid from 2026-01-23). Chrome/Edge без ru-trust → `ERR_CERT_AUTHORITY_INVALID`. Yandex Browser работает нативно. Попутный артефакт: `curl` из OpenWrt 24.10 на mbedTLS не парсит ASN.1 этого cert (`X509 - The name tag or value is invalid`) — но это не проблема пользователей.
+
+## Применённый фикс
+
+### 1. OpenWrt (192.168.1.50) — DNS-override
+
+```bash
+ssh root@192.168.1.50  # 1qaz!QAZ
+uci add_list dhcp.@dnsmasq[0].server='/nspd.gov.ru/77.88.8.8'
+uci add_list dhcp.@dnsmasq[0].server='/nspd.gov.ru/8.8.8.8'
+uci commit dhcp
+/etc/init.d/dnsmasq restart
+rm -f /tmp/sing-box/cache.db
+/etc/init.d/sing-box restart
+```
+
+Проверка: `nslookup nspd.gov.ru 127.0.0.1` → `2.63.246.x` (НЕ 198.18.x.x).
+
+### 2. MikroTik НИИКН (192.168.1.1) — static route
+
+```
+/ip/route/add dst-address=2.63.246.0/24 gateway=192.168.1.201 \
+    comment="NSPD via NetBird->LionART"
+```
+
+### 3. pve-niikn (192.168.1.201 / 100.70.120.229) — SNAT на wt0
+
+```bash
+iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o wt0 \
+    -m comment --comment 'nspd-bypass-via-lionart' -j MASQUERADE
+```
+
+Persist через systemd unit `/etc/systemd/system/iptables-nspd-restore.service` (idempotent: `iptables -C ... || iptables -A ...`).
+
+## Подтверждение работы
+
+```
+# tcpdump на vmbr0 при curl с OpenWrt → nspd.gov.ru:443
+192.168.1.50 > 2.63.246.73:443  Flags [S]    ← клиент
+2.63.246.73:443 > 192.168.1.50  Flags [S.]   ← НСПД отвечает!
+192.168.1.50 > 2.63.246.73:443  Flags [P.] len 276   ← TLS ClientHello
+2.63.246.73:443 > 192.168.1.50  Flags [.] len 1228   ← TLS ServerHello+Cert
+... full data flow ...
+```
+
+## Что нужно от пользователей
+
+- **Yandex Browser** — открывают `nspd.gov.ru` сразу (встроенно доверяет Минцифре).
+- **Chrome/Edge/Firefox** — установить ru-trust сертификаты с https://www.gosuslugi.ru/crt:
+  - `russian_trusted_root_ca.cer` → Trusted Root Certification Authorities
+  - `russian_trusted_sub_ca.cer` → Intermediate Certification Authorities
+  
+  PowerShell от админа (через RustDesk):
+  ```powershell
+  $tmp=$env:TEMP
+  iwr https://gu-st.ru/content/Other/doc/russian_trusted_root_ca.cer -OutFile $tmp\r.cer
+  iwr https://gu-st.ru/content/Other/doc/russian_trusted_sub_ca.cer  -OutFile $tmp\s.cer
+  Import-Certificate -FilePath $tmp\r.cer -CertStoreLocation Cert:\LocalMachine\Root
+  Import-Certificate -FilePath $tmp\s.cer -CertStoreLocation Cert:\LocalMachine\CA
+  ```
+
+## Распространение на другие гос-сайты
+
+Тот же ru-trust cert у `culture.gov.ru`, `gosuslugi.ru`, `rosreestr.gov.ru` (последний ещё блокирует MTS-IP отдельно — нужен такой же bypass через LionART).
+
+### 2026-05-04 — добавлены zakupki и telemost
+
+Аналогичная схема (без TLS-cert проблем — `zakupki.gov.ru` имеет GlobalSign cert, `telemost.yandex.ru` тоже стандартный).
+
+NetBird Routes API (`POST /api/routes`):
+- `zakupki-bypass` → `95.167.245.0/24` (id `d7s61o2fadhs73bjk520`) → peer `cuisnd3l0ubs73bsbbl0` (pve-lionart)
+- `telemost-bypass` → `87.250.251.0/24` (id `d7s61oafadhs73bjk750`) → тот же peer
+
+MikroTik НИИКН:
+```
+/ip/route/add dst-address=95.167.245.0/24 gateway=192.168.1.201 comment="zakupki via NetBird->LionART"
+/ip/route/add dst-address=87.250.251.0/24 gateway=192.168.1.201 comment="telemost via NetBird->LionART"
+```
+
+pve-niikn — добавлен **MSS clamping** для wt0 (NetBird MTU=1280, br-lan/vmbr0=1500 → большие TCP-ответы дропались):
+```bash
+iptables -t mangle -A FORWARD -o wt0 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
+iptables -t mangle -A FORWARD -i wt0 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
+```
+
+Не забыть `iptables-save > /etc/iptables/rules.v4` для persist (или дополнить `iptables-nspd-restore.service`).
+
+Известный артефакт: `lk.zakupki.gov.ru` (`94.25.27.250`) даёт TLS handshake failure даже с LionART — у него mTLS / ГОСТ-крипто-провайдер требуется. Решается локально на клиенте (КриптоПро/JaCarta), не сетевыми средствами.
+
+## Откат
+
+```bash
+# pve-niikn
+systemctl disable --now iptables-nspd-restore.service
+rm /etc/systemd/system/iptables-nspd-restore.service
+iptables -t nat -D POSTROUTING -s 192.168.1.0/24 -o wt0 \
+    -m comment --comment 'nspd-bypass-via-lionart' -j MASQUERADE
+
+# MikroTik НИИКН
+/ip/route/remove [find comment="NSPD via NetBird->LionART"]
+
+# OpenWrt
+uci -q del_list dhcp.@dnsmasq[0].server='/nspd.gov.ru/77.88.8.8'
+uci -q del_list dhcp.@dnsmasq[0].server='/nspd.gov.ru/8.8.8.8'
+uci commit dhcp
+/etc/init.d/dnsmasq restart
+```
+
+## Связанные
+
+- [decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md](2026-04-20-niikn-nspd-bypass-via-lionart.md) — предыдущая попытка через WG-туннель MikroTik↔MikroTik, откачено
+- [projects/niikn/openwrt-bypass.md](../projects/niikn/openwrt-bypass.md) — раздел "Исключение доменов из проксирования"
+- [decisions/2026-04-28-niikn-uookn-sev-gov-fakeip-fix.md](2026-04-28-niikn-uookn-sev-gov-fakeip-fix.md) — другие gov-сайты
+
+## Теги
+`#niikn` `#mmfb` `#lionart` `#netbird` `#nspd` `#mikrotik` `#openwrt` `#fix`

decisions/2026-05-05-mac-dictation-groq-hammerspoon.md

@@ -0,0 +1,72 @@
+# 2026-05-05 — Mac dictation: Hammerspoon + Groq Whisper
+
+## Контекст
+Олег на Intel MacBook Pro (i9-9880H, 2019), нужна голосовая диктовка для русского. Все современные приложения (superwhisper PRO, VoiceInk, Spokenly Parakeet) либо требуют Apple Silicon, либо платную PRO-лицензию ($150-250). Бесплатный free-tier у superwhisper исчерпан и валидируется на их сервере (см. [feedback_superwhisper_no_license](../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_superwhisper_no_license.md)).
+
+## Решение
+Свой скрипт + Hammerspoon + Groq Whisper API:
+- **Hammerspoon** ловит глобальный hotkey `⌘⇧D`
+- **Bash скрипт** toggle-режим: первый запуск → ffmpeg запись с микрофона; второй → стоп → POST в Groq → текст в `/tmp/groq-dictate.last`
+- **Lua callback** в Hammerspoon читает файл, кладёт в pasteboard, нажимает Cmd+V через `hs.eventtap.keyStroke`
+- **Groq Whisper-large-v3-turbo** — бесплатно ~14400 запросов/день, 0.5с на 4-сек запись, RU IP не блочится
+
+## Файлы
+- `~/bin/groq-dictate.sh` — скрипт записи + Groq POST + **fallback на whisper-cpp** + write to `/tmp/groq-dictate.last`
+- `~/bin/dictation-doctor.sh` — health-check всех компонентов (Hammerspoon / TCC / зависимости / Groq / mic / Fn-key); запускать когда «не работает»
+- `~/.hammerspoon/init.lua` — Fn (одиночное нажатие) trigger через eventtap, paste через `hs.eventtap.keyStroke`
+- `~/.cache/whisper-cpp/ggml-tiny-q5_1.bin` — 31MB локальная модель для offline fallback
+- Groq API key — в `reference_groq_api.md` private memory
+
+## Финальный hotkey
+**Fn (Globe) одиночное нажатие** — toggle (старт/стоп). Срабатывает быстрее ⌘⇧D, освобождает руки. Apple Dictation на двойное Fn остаётся (если не отключить «Нажатие клавиши Fn» в System Settings → Keyboard).
+
+## Критические грабли (и фиксы)
+1. **Hammerspoon Accessibility кеширует статус** — после Enable в System Settings нужен **`killall Hammerspoon && open -a Hammerspoon`**, иначе Hammerspoon продолжает показывать WARNING и hotkey не работает.
+
+2. **`hs.hotkey.bind({"cmd","shift"}, "d", ...)`** на русской раскладке выдаёт warning `key 'd' not found in active keymap; using ANSI-standard US keyboard layout as fallback, returning '2'`. Решение: **биндить по числовому keycode** — `hs.hotkey.bind({"cmd","shift"}, 2, ...)` (2 = физическая клавиша D). Так работает на любой раскладке.
+
+3. **`osascript -e 'tell application "System Events" to keystroke "v" using command down'`** на русской раскладке вместо Cmd+V вставляет UTF-8 байты текста как символы → получается мусор типа `—В—ь—А—∞—ь—В?` для строки «Ты меня слышишь?». Решение: **никогда не использовать `keystroke` для paste**. Использовать `hs.eventtap.keyStroke({"cmd"}, "v")` напрямую из Lua (отправляет настоящий low-level KeyDown event).
+
+4. **Toggle через PID-файл** — `/tmp/groq-dictate.pid`. Если процесс упал/убит — удалить руками. Скрипт устойчив: `kill -INT` корректно закрывает .wav, ждёт до 0.5с дописать заголовок.
+
+5. **ffmpeg avfoundation `:0`** = default mic. Если нужен другой — `ffmpeg -f avfoundation -list_devices true -i ""`.
+
+## Стоимость
+- Hammerspoon бесплатный
+- Groq бесплатный (14400 req/day, ~120 минут диктовки в день — намного больше нужного)
+- Итого: 0₽
+
+## Альтернативы которые НЕ подошли
+- **superwhisper** — free tier 530 сек, потом сервер бракует
+- **VoiceInk** — официально Apple Silicon only, на Intel CPU крутит большую модель часами
+- **Spokenly** — `cdn.spokenly.app` блокирует RU IP (3.8 KB/s), Parakeet требует Neural Engine
+- **Wispr Flow** — `dl.wisprflow.com` блокирует RU IP, плюс $144/год Pro для регулярного использования
+- **MacWhisper** — $59 lifetime + не пробовали (всё уже работало бесплатно)
+- **OpenWhispr** — 273MB dmg в GitHub, не докачался
+
+## Связано
+- [RU-заблокированные сервисы](../notes/ru-geoblocked-services.md)
+- [Groq API](../../.claude/projects/-Users-ai-knowledge-base/memory/reference_groq_api.md)
+- [Superwhisper — нет PRO](../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_superwhisper_no_license.md)
+
+## Воспроизведение на новом Mac
+```bash
+brew install --cask hammerspoon
+brew install whisper-cpp jq ffmpeg
+mkdir -p ~/bin ~/.hammerspoon ~/.cache/whisper-cpp
+
+# скопировать ~/bin/groq-dictate.sh + ~/bin/dictation-doctor.sh → chmod +x
+# скопировать ~/.hammerspoon/init.lua
+
+# скачать локальную fallback-модель (31 MB, GitHub не блочит RU)
+curl -sSL -o ~/.cache/whisper-cpp/ggml-tiny-q5_1.bin \
+  "https://huggingface.co/ggerganov/whisper.cpp/resolve/main/ggml-tiny-q5_1.bin?download=true"
+
+open -a Hammerspoon
+# Hammerspoon Preferences → Enable Accessibility → System Settings → включить
+killall Hammerspoon && open -a Hammerspoon  # ОБЯЗАТЕЛЬНО после grant — кеш
+
+# System Settings → Клавиатура → Нажатие клавиши Fn → "Действие не требуется"
+~/bin/dictation-doctor.sh  # должно быть всё зелёное
+```
+Готово. **Fn → говори → Fn** — текст вставится в активное окно.

decisions/2026-05-06-kb-search-overhaul.md

@@ -0,0 +1,101 @@
+---
+date: 2026-05-06
+type: decision
+tags: [kb, openclaw, search, fts, infra, summary]
+status: applied
+---
+
+# Перестройка KB-поиска и синхронизации (8 фаз за один день)
+
+## Что было до
+
+Запрос «OpenWRT Липки» Максимке возвращал `netbird-inventory.md`, потому что:
+- слова «Липки» во всём vault'е была одна строка в табличке инвентаря,
+- слово «OpenWRT» статистически перевешивали НИИКН-документы (`govru-quickfix`, `niikn-openwrt-awg-fix`),
+- кросс-ссылок и aliases не было, embeddings не было,
+- лаг push→бот доходил до 16 минут (cron `*/5` Mac→Gitea + cron `*/15` Gitea→openclaw).
+
+Пользователь жаловался: «бот путает, я ему про Липки, он мне про НИИКН».
+
+## Что сделано
+
+| Фаза | Эффект |
+|---|---|
+| 1. Embeddings (ollama+bge-m3) | ⛔ откачено — openclaw 2026.5.2 при `provider: ollama` шлёт inputs целиком, ollama тратит >5 мин/запрос, undici fetch валится по headers timeout. ollama на LXC 132 готова (uptime, bge-m3 1024d), но сторона openclaw нуждается в фиксе chunking |
+| 2. Webhook + auto-reindex | Gitea push→listener (HMAC SHA-256)→`kb-pull.sh`→`openclaw memory index`. **push→FTS: 15 мин → 50 c**. См. [[../snippets/openclaw-kb-webhook]] и [[2026-05-06-openclaw-kb-webhook-deployment]] |
+| 3. objects-map.json + _index.md | Скрипт `scripts/kb-objects-map.py` парсит netbird-inventory + frontmatter и пишет JSON для бота + human-readable [[../projects/_index]]. Базовый структурный слой |
+| 4. Stubs + frontmatter | Создано 6 README (`znamenskoye`, `mmfb`, `lipki` уже был, + 4 stub'а клиентских OpenWrt). Обогащён frontmatter в `niikn`, `dttb`, `glavtorg`, `krasnogorsk`, `zelenograd` с aliases для netbird-имён. **38 → 14 orphan-пиров** |
+| 5.1. Слить дубли видео | Удалён `dttb/video-surveillance-report.md` (297 строк, неполная копия), canonical `videonablyudenie-znam.md` обогащён aliases |
+| 5.2. Архив audit/ | 18 устаревших drift-отчётов 2026-04-* перенесены в `audit/archive/`, в active остались 7 свежих |
+| 6. Recall + dreaming | `openclaw memory promote --apply`: 17/39 коротких воспоминаний переехали в долгую. `dreaming.enabled=true` (cron `0 3 * * *`). Weekly cron на promote |
+| 7. Расширенный kb-audit | Скрипт `scripts/kb-objects-audit.py` пишет еженедельный отчёт с score: проверяет frontmatter, online-orphans, битые wiki-ссылки. Первый запуск — score=84 (12/12 frontmatter ✓, 3 online orphan, 26 битых wiki) |
+| 8. UX бота | `memorySearch.query.minScore=0.4`, IDENTITY.md разводит двух Максимок (homelab vs НИИКН), INFRASTRUCTURE.md переписан как навигатор по vault'у |
+
+## Метрики до / после
+
+| Параметр | До | После |
+|---|---|---|
+| «OpenWRT Липки» top-1 | `netbird-inventory.md` ❌ | `projects/lipki/README.md` ✅ |
+| «Антон клиент Звенигород» top-1 | ничего | `projects/lipki/README.md` ✅ |
+| «AgentDVR ЧОП Знаменское» top-1 | три дубля | `videonablyudenie-znam.md` ✅ |
+| «Константин Вишневый сад» top-1 | `netbird-inventory.md` | `projects/vishnevyy-sad/README.md` ✅ |
+| Лаг push → видно боту | 5–16 мин | **~50 секунд** |
+| Проектов с netbird-привязкой | 0 | **9** |
+| Структурный объект-граф | нет | `objects-map.json` (34 entries) |
+| Online orphan-пиров | ~30+ | **3** |
+| Auto-reindex после pull | нет | есть |
+| Recall promoted | 0 (mёртв 16 дней) | 17 + weekly cron |
+| Dreaming | off | on (ночной cron) |
+| FTS-шум audit/ | 24 файла | 7 active + 18 в archive |
+
+## Грабли (для будущей памяти)
+
+1. **Gitea SSRF-protection.** Без `webhook.ALLOWED_HOST_LIST` в `app.ini` Gitea silently отказывает доставлять webhook на private IP. В docker-логах: `webhook can only call allowed HTTP servers, deny '10.0.0.239'`. Listener при этом получает 0 запросов, journal пустой.
+
+2. **`flock -n` теряет двойные push.** Если webhook прилетел во время pull/reindex — non-blocking lock молча выходит. Заменить на `flock -w 180`.
+
+3. **openclaw 2026.5.2 ollama-провайдер игнорирует chunking.** При `provider: ollama` шлёт файлы целиком в `/api/embed`, ollama buffer растёт до 700 MB, обработка >5 мин, fetch валится. Не лечится `chunking.tokens=512`, `nonBatchConcurrency=1`, `batch.enabled=false`. Bug либо в openclaw, либо неочевидный конфиг-флаг.
+
+4. **substring matching → false positives.** Alias `cloud` подхватывал `Cloud-NIIKN New niikn.com`. Перешли на exact-match с нормализацией `ye→e`. Aliases теперь должны содержать **полные** имена пиров как в netbird-inventory.
+
+5. **Heredoc через ssh с backticks** — bash интерпретирует backticks как command-substitution внутри пути файла. Для записи структурных markdown'ов с inline-кодом — пушить через base64 или scp/pct push, не heredoc.
+
+6. **`git commit` без `-a` или явного `git add`** забирает только staged. Удаление через `git rm` помечается автоматом, а modify — нет. Один коммит может оставить часть правок несинхронизированными — дополнительный коммит лечит.
+
+## Что отложено
+
+| Задача | Причина | Когда возвращаться |
+|---|---|---|
+| Векторный поиск через ollama | bug в openclaw 2026.5.2 ollama-провайдере | при апгрейде openclaw, или попробовать `provider: local` (transformers.js встроен в openclaw) |
+| 14 orphan-пиров (Денис Тихая, DESKTOP-2IOQS54 Saransk, KOMPUTER, MastaNotebook, …) | нужны факты от Олега чьи это машины | по мере выяснения — добавлять в aliases подходящих проектов |
+| 26 битых wiki-ссылок | автоматический фикс не всегда возможен (некоторые цели реально удалены) | semi-auto проход: показать список, для очевидных — починить, остальное — оставить TODO |
+| Singleton-проекты (`projects/*.md`) без frontmatter | не критично — они top-level note'ы | при касании |
+
+## Артефакты в vault
+
+- [[../projects/lipki/README]], [[../projects/znamenskoye/README]], [[../projects/mmfb/README]]
+- [[../projects/sergey/README]], [[../projects/benilux/README]], [[../projects/vishnevyy-sad/README]], [[../projects/openwrt-4/README]]
+- [[../projects/_index]] — авто-генерированный реестр
+- `audit/objects-map.json` — машинно-читаемый граф
+- [[../audit/2026-05-06-objects-audit]] — первый health-check
+- `scripts/kb-objects-map.py`, `scripts/kb-objects-audit.py`
+- [[../snippets/openclaw-kb-webhook]]
+- [[2026-05-06-openclaw-kb-webhook-deployment]]
+- frontmatter добавлен в `projects/{niikn,dttb,glavtorg,krasnogorsk,zelenograd}/README.md`
+
+## Артефакты вне vault
+
+**LXC 137 (openclaw):**
+- `/usr/local/bin/kb-pull-webhook.py` (Python listener, HMAC)
+- `/etc/systemd/system/kb-pull-webhook.service`
+- Обновлённый `/usr/local/bin/kb-pull.sh` (`flock -w 180`, hash-diff, auto-reindex)
+- Cron `0 4 * * 1` weekly memory promote
+- Config: `memorySearch.query.minScore=0.4`, `dreaming.enabled=true`, ollama-провайдер откачен (бэкап `/root/.openclaw/openclaw.json.bak.embed-2026-05-06-112441`)
+- Переписаны `/root/clawd/IDENTITY.md`, `INFRASTRUCTURE.md`
+
+**LXC 136 (Gitea):**
+- `webhook.ALLOWED_HOST_LIST = 10.0.0.0/24,*.dttb.ru,private` в `/opt/gitea/data/gitea/conf/app.ini`
+- Webhook id=1 на репо `oleg/knowledge-base`
+
+**LXC 132 (code-server):**
+- ollama systemd override `OLLAMA_HOST=0.0.0.0:11434, KEEP_ALIVE=24h` (для будущего возврата к embeddings)

decisions/2026-05-06-openclaw-kb-webhook-deployment.md

@@ -0,0 +1,78 @@
+---
+date: 2026-05-06
+type: decision
+tags: [openclaw, gitea, webhook, kb-sync, performance]
+status: applied
+---
+
+# Webhook Gitea → openclaw kb-pull (Фаза 2 плана улучшения KB-поиска)
+
+## Контекст
+
+После публикации `projects/lipki/README.md` стало видно, что openclaw (Максимка) видит новые правки vault только через cron `*/15` — лаг до 15 минут. Это первое, что бьёт по UX («только что записал → бот всё ещё не знает»).
+
+План улучшения KB-поиска расписан в чате с Claude Code 2026-05-06 утром, Фаза 2 — webhook + автоматический FTS-реиндекс.
+
+## Решение
+
+Push-канал Gitea → listener на LXC 137 → `kb-pull.sh` → `openclaw memory index`. Cron `*/15` оставлен как safety net.
+
+Подробная реализация — [[../snippets/openclaw-kb-webhook]].
+
+## Что развёрнуто
+
+| Компонент | Где |
+|---|---|
+| `/usr/local/bin/kb-pull-webhook.py` | LXC 137, Python http.server, HMAC-SHA256 проверка, journal-лог |
+| `/etc/systemd/system/kb-pull-webhook.service` | LXC 137, system unit, Restart=on-failure, secret в env |
+| Обновлённый `/usr/local/bin/kb-pull.sh` | `flock -w 180`, hash-diff, авто `openclaw memory index` при новом HEAD |
+| Webhook в Gitea (id=1, репо `oleg/knowledge-base`) | events: push, branch: main, secret в HMAC |
+| `webhook.ALLOWED_HOST_LIST = 10.0.0.0/24,*.dttb.ru,private` в `app.ini` | LXC 136 (Gitea в docker), `/opt/gitea/data/gitea/conf/app.ini` |
+
+## Метрика
+
+End-to-end push → видно боту:
+
+| Этап | Время |
+|---|---|
+| `git push` с Mac → Gitea ack | ~2 c |
+| Gitea → webhook listener | ~3 c |
+| listener → kb-pull.sh → git pull → новый HEAD | ~6 c |
+| **Итого до видимости HEAD на 137** | **~11 c** |
+| FTS reindex (875 файлов / 1791 chunk) | +38 c |
+| **Итого до видимости в `openclaw memory search`** | **~50 c** |
+
+Было: до 15 минут (cron */15) + до 38 c reindex (если бы он раньше был) = до **~16 минут**.
+
+Улучшение: **×20 латентности до видимости HEAD, ×16 до полного FTS**.
+
+## Грабли (для будущей памяти)
+
+1. **Gitea SSRF-protection.** Без `ALLOWED_HOST_LIST` Gitea silently отказывает доставлять webhook на private IP. Test delivery возвращает `204`, но в Gitea log: `webhook can only call allowed HTTP servers, deny '10.0.0.239'`. Listener при этом не видит ничего — пустой journal. Это была первая причина почему ничего не работало.
+
+2. **`flock -n` теряет вторую серию push'ов.** Если webhook прилетел во время уже идущего pull/reindex (быстрый двойной push) — non-blocking flock молча выходит. Надо `-w 180` (ждать в очереди до 3 мин).
+
+3. **sed по строке с `||` ломается, если разделитель `|`.** `sed -i 's|flock -n|flock -w 180|'` падает с `unknown option to s`. Использовать `#` или другой разделитель — `sed -i 's#flock -n#flock -w 180#'`.
+
+4. **Listener `log_message: pass` гасит **все** логи http.server.** Если хочется видеть приём POST — переопределить как `sys.stderr.write(...)`. Иначе debug невозможен.
+
+## Альтернативы, которые отвергнуты
+
+- **Полностью убрать cron**: рискованно — если listener умер и не заметили, vault зависнет. Cron `*/15` ничего не стоит и страхует.
+- **Webhook напрямую через NPM/публичный URL**: лишний хоп, нужен HTTPS, всё в LAN — не нужно.
+- **iptables на 18790**: HMAC-secret уже отсекает левые запросы. Homelab trusted. Не делал.
+
+## Откат
+
+См. секцию «Откат» в [[../snippets/openclaw-kb-webhook]]. Один rm-рецепт + удаление webhook через Gitea API.
+
+## Что дальше
+
+Фаза 1 плана (embeddings ollama × bge-m3) — пока **отложена**. При попытке развёртывания openclaw 2026.5.2 со всеми правильными config-полями (`provider=ollama`, `remote.baseUrl`, `model=bge-m3`, `chunking.tokens=512`) **игнорирует chunking** и шлёт в `/api/embed` файлы целиком — output buffer ollama растёт до 700+ MB, обработка >5 мин, undici fetch падает по дефолтному 5-min Headers Timeout. Конфигурация откачена, состояние FTS-only сохранено.
+
+Возможные пути возврата к векторному поиску:
+- `provider: local` (transformers.js встроенный) — попробовать без сетевого хопа
+- Ждать openclaw 2026.5.3+ с фиксом chunking
+- GitHub Copilot embeddings (требует токен)
+
+Следующая фаза по плану — **Фаза 3** (`audit/objects-map.json` + `projects/_index.md`) или **Фаза 5.1** (слить дубли видеонаблюдения).

decisions/2026-05-06-openclaw-opus-4-7-via-max-cliproxy.md

@@ -0,0 +1,119 @@
+---
+date: 2026-05-06
+type: decision
+tags: [decision, openclaw, omniroute, claude, opus, cliproxy, max-plan]
+---
+
+# 2026-05-06: openclaw перешёл на Claude Opus 4.7 через Max-подписку (cc/* в OmniRoute)
+
+## Контекст
+
+Искали стабильный источник Claude Opus 4.6/4.7 для openclaw — обсуждали построение Workspace-фарма на новом домене с пулом аккаунтов под Antigravity. Перед тем как затевать фарм ($12/домен + время на регистрации + риск массового бана), проверили что фактически работает в текущей OmniRoute.
+
+## Что обнаружили в OmniRoute (10.0.0.179:20128)
+
+В каталоге **17 моделей с opus в id**, но реально пингуются только три:
+
+| Model ID | Источник | Статус |
+|---|---|---|
+| **`cc/claude-opus-4-7`** | Claude Code OAuth (Max-подписка Олега) | ✅ Работает |
+| `cc/claude-opus-4-6` | то же | ✅ Работает |
+| `claude/claude-opus-4-7` | прямой Anthropic API | ✅ Работает (платный per-token) |
+| `gh/claude-opus-4.6` | GitHub Copilot integrator MS | ❌ MS убрала Opus 4.6 из integrator scope, отдаёт «model not available» |
+| `gh/claude-opus-4.7` | то же | ❌ ID mismatch: OmniRoute шлёт `4.7`, MS ждёт `4-7` (баг mapping в текущей версии) |
+| `kr/claude-opus-4.6` / `4.7` | Kiro/AWS | ❌ Kiro Opus не выдаёт, только Sonnet |
+| `kiro/claude-opus-*` | то же | ❌ |
+| `kc/anthropic/claude-opus-4.7` | KiloCode | ❌ Empty response |
+| `kilocode/anthropic/claude-opus-4.7` | то же | ❌ |
+| `antigravity/claude-opus-4-6-thinking` | Google Antigravity | ❌ «Missing Google projectId — reconnect OAuth in Providers → Antigravity» |
+
+## Решение
+
+**Workspace-фарм для Antigravity не нужен.** У Олега уже есть рабочий Opus 4.7 через **`cc/claude-opus-4-7`** — это его собственная Max-подписка Anthropic, проксированная через CLIProxy в OmniRoute. Лучше любого фарма потому что:
+
+- Нет per-token биллинга, фиксированная стоимость Max ($200/мес за Max20x)
+- Не нужны множественные аккаунты, recovery emails, virtual cards
+- Один источник = один ключ = простая интеграция
+- Нет риска массового бана как у фарм-аккаунтов
+- Самая свежая модель Opus 4.7 (новее чем 4.6 которая в фармовых Antigravity)
+
+### Изменения в `/root/.openclaw/openclaw.json` (LXC 137)
+
+**Было:**
+```json
+"agents.defaults.model": {
+  "primary": "omniroute/kr/claude-sonnet-4.5",
+  "fallbacks": [
+    "omniroute/cc/claude-sonnet-4-6",
+    "omniroute/cx/gpt-5.4"
+  ]
+}
+```
+
+**Стало:**
+```json
+"agents.defaults.model": {
+  "primary": "omniroute/cc/claude-opus-4-7",
+  "fallbacks": [
+    "omniroute/cc/claude-sonnet-4-6",
+    "omniroute/kr/claude-sonnet-4.5",
+    "omniroute/cx/gpt-5.4"
+  ]
+}
+```
+
+Также добавлена запись в `models.providers.omniroute.models[]`:
+```json
+{
+  "id": "cc/claude-opus-4-7",
+  "name": "Claude Opus 4.7 (CLIProxy/Max)",
+  "reasoning": false,
+  "input": ["text", "image"],
+  "contextWindow": 200000,
+  "maxTokens": 8192
+}
+```
+
+Без этой записи openclaw fallback'нет на следующий — модель должна быть в каталоге провайдера.
+
+### Применение
+
+OpenClaw подхватил изменения **через hot-reload без рестарта** (видно в журнале: `[reload] config hot reload applied`). После я ещё раз сделал `systemctl --user restart openclaw-gateway.service` для чистоты, но это было необязательно.
+
+В логах после старта:
+```
+[gateway] agent model: omniroute/cc/claude-opus-4-7
+[gateway] http server listening (7 plugins: ..., telegram; 8.6s)
+[telegram] [default] starting provider (@maxim_dttb_bot)
+[gateway] ready
+```
+
+## Бэкап и rollback
+
+Автобэкап перед изменениями: `/root/.openclaw/openclaw.json.bak.opus47-20260506-090832`
+
+Rollback одной командой:
+```bash
+sshpass -p '1qaz!QAZ' ssh root@10.0.0.250 "pct exec 137 -- bash -c '
+  cp /root/.openclaw/openclaw.json.bak.opus47-20260506-090832 /root/.openclaw/openclaw.json
+  XDG_RUNTIME_DIR=/run/user/0 systemctl --user restart openclaw-gateway.service
+'"
+```
+
+## Известные риски и мониторинг
+
+1. **Max-подписка fair-use лимиты** — Anthropic размывает по нагрузке, точных цифр нет. Когда упрёмся — openclaw сам перейдёт на `cc/claude-sonnet-4-6` (видно в логах `model fallback decision`).
+2. **CLIProxy OAuth refresh** — может протухнуть. Мониторинг: `journalctl --user -u openclaw-gateway -f` на LXC 137. При ошибке 401 от Anthropic API → переподключить Claude Code OAuth в OmniRoute (Dashboard → Providers → Claude → Reconnect).
+3. **Скорость** — Opus 4.7 в среднем 2-5 сек медленнее Sonnet 4.5. Для интерактива в Telegram это норма.
+
+## Параллельные находки
+
+- **Antigravity** требует OAuth re-connect. По заметке `feedback_antigravity_onboarding.md`: открыть [antigravity.google](https://antigravity.google), залогиниться, создать Cloud Code project → projectId подтянется → `antigravity/claude-opus-4-6-thinking` оживёт. Сейчас не критично.
+- **`Unknown model: cx/gpt-5.4`** — каждые 30 минут в логах ошибка. Health-check тыкается в модель которой нет в каталоге `omniroute.models[]` openclaw. Не блокер — failover работает. Решение: либо добавить `cx/gpt-5.4` в каталог openclaw, либо убрать из health-check'ов.
+
+## Связанные
+
+- [[../claude-memory/omniroute]] — OmniRoute setup, провайдеры, версии
+- [[../projects/dttb/openclaw]] — справочник по openclaw
+- [[../snippets/clawdbot-cliproxy-config]] — старый шаблон CLIProxy
+- [[../snippets/omniroute-models-audit]] — шаблон smoke-тестов и парсинга ошибок (использовался при этом аудите)

decisions/2026-05-07-buzharovo-1c-rmngr-loop-after-crash.md

@@ -0,0 +1,90 @@
+---
+date: 2026-05-07
+type: decision
+tags: [buzharovo, server1c, 1c, troubleshooting]
+---
+
+# Бужарово 1С сервер — rmngr-loop после грязного ребута: рецепт
+
+## Контекст
+
+07.05.2026 утром локальные пользователи в Бужарово начали жаловаться на резкое замедление 1С. NetBird и удалённый доступ ни при чём — тормозило в локальной сети офиса.
+
+Сервер: `Server1C` (Win 2012 R2, 100.70.75.103 / 185.13.47.2), 1С 8.3.27.1606, MSSQL.
+
+## Что нашли
+
+Сегодня в **09:05 сервер ушёл в crash**:
+- `System / Kernel-Power Event 41` (Critical): "rebooted without cleanly shutting down — system stopped responding, crashed, or lost power"
+- `System / EventLog 6008`: "previous shutdown was unexpected"
+
+После загрузки:
+- `rmngr.exe` (менеджер кластера 1С) держит **~1.7 ядра постоянно** в idle (норма <2% одного ядра).
+- `rphost`, `sqlservr`, диски (avg sec/write 1.6 ms, queue 0.03), память (5/64 GB) — **в норме**.
+- `rac.exe localhost:1540 cluster list` → "ошибка соединения с сервером", exit -1 — **admin-канал rmngr повис**, кластером невозможно управлять извне.
+- `netbird.exe` параллельно жжёт 1.4 ядра — побочный reconnect-loop после crash, после ребута сам успокоился.
+
+## Что не помогло
+
+**Полный ребут сервера** (через `Restart-Computer`) — НЕ решает проблему. На свежезагруженном сервере с uptime=37 секунд rmngr опять на 178% одного ядра. То есть проблема воспроизводится при каждом первом запуске агента после crash.
+
+## Что помогло
+
+```powershell
+Restart-Service -Name '1C:Enterprise 8.3 Server Agent (x86-64)' -Force
+```
+
+После рестарта службы (не сервера!):
+
+| Процесс | До рестарта | После рестарта |
+|---|---|---|
+| rmngr | 178% ядра | 3% ядра |
+| rphost | 19% | 1% |
+| ragent | 0% | 1% |
+
+Все клиенты в этот момент вылетают — нужно предупредить за 2-3 минуты. Перезаход штатный.
+
+## Побочный эффект
+
+После рестарта остался орфан-процесс старого `ragent` от прошлого запуска (не слушает 1540, висит в памяти). Можно безопасно прибить:
+
+```powershell
+Get-Process ragent | Where-Object { $_.Id -ne (Get-NetTCPConnection -LocalPort 1540).OwningProcess } | Stop-Process -Force
+```
+
+## Корневая причина — открыта
+
+Почему `rmngr` зацикливается после первого запуска ragent — точно не выяснено. Гипотезы:
+1. Повреждённый кэш кластера `C:\Program Files\1cv8\srvinfo\reg_*\` после crash.
+2. Регресс в 8.3.27.1606 при восстановлении сеансов.
+3. Disabled-служба `RagentServer_8327` (старый дубликат) что-то мешает в реестре при первом старте.
+
+Если повторится — смотреть `C:\Program Files\1cv8\srvinfo\reg_*\1Cv8FTLog\` и `1Cv8Log` на ошибки.
+
+## Что сделать долгосрочно
+
+В кластере 1С сейчас **один rphost на всех локальных пользователей** — бутылочное горлышко. Через консоль администрирования сервера 1С увеличить количество рабочих процессов: 1 rphost на 8-12 сеансов. Это отдельная задача, не на горячую.
+
+## Команды диагностики (для повтора)
+
+WinRM-сессия с Mac:
+```python
+import winrm
+s = winrm.Session('http://100.70.75.103:5985/wsman',
+                  auth=('dttb','1qaz!QAZ'),
+                  transport='basic')
+```
+
+Дельта CPU за 5 сек по процессам:
+```powershell
+$names='rmngr','rphost','netbird','sqlservr','ragent'
+$first=@{}; $last=@{}
+Get-Process | ?{$names -contains $_.Name} | %{ $first[$_.Name]=$_.CPU }
+Start-Sleep 5
+Get-Process | ?{$names -contains $_.Name} | %{ $last[$_.Name]=$_.CPU }
+foreach($n in $names){ "$n delta=$($last[$n]-$first[$n])s" }
+```
+
+Если у rmngr дельта >50 за 5 секунд — диагноз "rmngr-loop" подтверждён, делать рестарт службы.
+
+См. также [[projects/buzharovo/server1c]].

decisions/2026-05-08-buzharovo-sql-native-backup.md

@@ -0,0 +1,75 @@
+---
+date: 2026-05-08
+type: decision
+tags: [decision, buzharovo, 1c, backup, mssql, effector-saver]
+---
+
+# 2026-05-08: Бэкап Бужарово 1С — переход с Effector Saver DT на native MS SQL Backup
+
+## Контекст
+
+Вечером 2026-05-08, после починки rmngr-loop, регулярная задача `Бэкап 1Cv8` в Effector Saver Free 4.8/2 на `server1c.netbird.cloud` (Win 2012 R2, MSSQL 2012 SP4, 1С 8.3.27.1606) **отказывалась завершаться успешно**. Шесть подряд запусков (19:51 → 22:21) падали с одной и той же связкой ошибок:
+
+1. `HRESULT=800401F3` — `V83.ComConnector` не зарегистрирован → Olег зарегистрировал через UI Effector Saver, переключился на 64-bit
+2. `HRESULT=80004005` — "Администратор кластера не аутентифицирован" — у кластера 1С есть проверка авторизации, но **в кластере нет ни одного admin'а**, а добавить нельзя:
+   - В Серверной консоли 1С: `Локальный кластер → Администраторы` показывает количество=0, форма "Новый администратор" заполнена, но при OK **просит логин/пароль и не принимает agent-уровневый admin** (создан Olегом отдельно)
+   - Через COM `V83.COMConnector`: `AuthenticateAgent('admin', '1qaz!QAZ')` проходит, но `RegClusterAdmin` падает "пользователь не выполнил аутентификацию для требуемой операции" (chicken-and-egg: для создания первого cluster admin нужен уже cluster admin)
+   - Через `rac` с `--agent-user`: cluster operations не принимают agent-уровневую аутентификацию (design choice 1С)
+
+3. `Ошибка исключительной блокировки информационной базы` — даже без cluster admin'а Effector Saver продолжает выгрузку, но не может получить эксклюзив, потому что в БД активные сессии. Особенно "вечная" сессия `КулябинПИ sid=4514, начат 12:55:42` — после моего рестарта службы 1С в 19:30 и последующих SQL `KILL` сессий, она **раз за разом возвращается** (вероятно, реально открытый где-то тонкий клиент Павла Ивановича + persistent state в `1CV8Clst.lst`).
+
+## Что пробовали и почему не сработало
+
+| Попытка | Результат |
+|---|---|
+| `regsvr32` x64 `comcntr.dll` | ✅ COM зарегистрирован, переключение Effector Saver на 64-bit убрало `800401F3` |
+| `Restart-Service '1C:Enterprise 8.3 Server Agent'` | ✅ rmngr вылечен, но session 4514 в реестре кластера **persists** между рестартами |
+| `KILL` SQL-сессий через `sa/Qwer1122334400` | ✅ временно (sess=0, locks=0), но 1С rphost восстанавливает соединения за 1-2 мин и сессия 4514 reanimates |
+| `rac cluster admin register` без auth | ❌ "оператор не существует" |
+| `RegClusterAdmin` через COM с `AuthenticateAgent` | ❌ "пользователь не аутентифицирован для требуемой операции" |
+| GUI Серверной консоли 1С — добавить cluster admin | ❌ форма не сохраняет, требует cluster auth (которой нет) |
+
+Тупик: **в кластере БД 1С нет cluster admin'а, и зарегистрировать первого нельзя ни через GUI, ни через rac, ни через COM.** Возможный единственный путь — обнулить `srvinfo\reg_1541\1CV8Clst.lst` целиком (потеря и админов, и регистрации ИБ — нужна перерегистрация ИБ с SQL params; рискованно).
+
+## Решение: native MS SQL Backup
+
+Effector Saver делает **DT-выгрузку через 1С Конфигуратор** (`1cv8.exe DESIGNER /DumpIB`), которая требует эксклюзив на ИБ. Это исторический способ для **файловых** ИБ. Для **клиент-серверных** ИБ на MS SQL правильный путь — **`BACKUP DATABASE` на уровне SQL Server**:
+
+- ✅ **Online backup** — снимает копию во время работы, не требует эксклюзива
+- ✅ Не зависит от 1С-кластера, cluster admin'а, активных сессий
+- ✅ С `WITH COMPRESSION` файл сжимается ~3:1 (3.8 GB → 1.1 GB)
+- ✅ Быстрее — у нас 2 секунды на 3.8 GB БД
+- ✅ Восстанавливается одним запросом `RESTORE DATABASE`
+
+Реализация:
+
+```sql
+BACKUP DATABASE [RitmUl]
+TO DISK = N'C:\backup\RitmUl_<ts>.bak'
+WITH FORMAT, INIT, NAME = N'RitmUl-Full',
+     SKIP, NOREWIND, NOUNLOAD, COMPRESSION, COPY_ONLY,
+     STATS = 5
+```
+
+`COPY_ONLY` — чтобы наш бэкап не ломал log chain если потом настроят differential/log backups.
+
+Запускается через WinRM `python3 + System.Data.SqlClient` с LXC 139 `severny-les` (бот). Storage: `C:\backup\` на server1c (374 GB свободно).
+
+## Артефакт
+
+- **Первый успешный бэкап 2026-05-08:** `C:\backup\RitmUl_2026-05-08_2225.bak` (1105 MB)
+- **Скрипт:** `/root/clawd/scripts/sql_native_backup.py` на LXC 139
+
+## TODO (после возвращения Olега из Египта)
+
+1. **Автоматизировать** — добавить cron на LXC 139 `severny-les`: каждый день в 03:00 МСК запускать `sql_native_backup.py`, ротировать (хранить N дней). Алерт в Telegram-группу при сбое.
+2. **Ротация и трансфер** — настроить копирование `.bak` файлов на внешний носитель (Nextcloud / S3 / Gitea-LFS).
+3. **Тест восстановления** — раз в N дней автоматически развернуть бэкап в тестовую БД и проверить целостность.
+4. **Effector Saver** оставить как есть, не чинить (чинить cluster admin = разбирать `1CV8Clst.lst` бинарник, риск убить ИБ). Можно отключить регулярную задачу `Бэкап 1Cv8` в Effector Saver чтобы не плодились алерты "ошибка".
+5. **TODO документировать** SQL creds в `projects/dttb/credentials.md` (см. блок Бужарово).
+
+## Связанные
+
+- [[projects/buzharovo/server1c]] — обновлён с SQL backup как новый канон
+- [[projects/buzharovo/severny-les-bot]] — бот теперь умеет бэкапить через WinRM+SQL
+- [[decisions/2026-05-07-buzharovo-1c-rmngr-loop-after-crash]] — про rmngr (отдельная история, починена)

decisions/2026-05-08-severny-les-bot-buzharovo.md

@@ -0,0 +1,77 @@
+---
+date: 2026-05-08
+type: decision
+tags: [decision, buzharovo, bot, openclaw, watchdog, telegram]
+---
+
+# 2026-05-08: Северный лес — отдельный AI-ассистент + watchdog для server1c (Бужарово)
+
+## Контекст
+
+Олег уезжает в отпуск в Египет 2026-05-09 → 2026-05-22. На server1c (Бужарово, VDS 185.13.47.2 / NetBird 100.70.75.103) недавно (2026-05-07) был rmngr-loop, который лечится только `Restart-Service '1C:Enterprise 8.3 Server Agent (x86-64)' -Force` — ребут не помогает (см. [[decisions/2026-05-07-buzharovo-1c-rmngr-loop-after-crash]]).
+
+Пока Олег в отпуске, нужно:
+1. Чтобы кто-то узнавал когда сервер упал (Telegram-группа руководящего состава Северного леса);
+2. Чтобы можно было дёрнуть восстановительное действие (`/approve restart_1c`) не дожидаясь возвращения Олега из Египта.
+
+Через ~2 недели (после Египта) планируется миграция server1c с VDS на собственный сервер. Бот должен работать **до и после** миграции — поэтому он не на самом server1c, а на dttb-Proxmox через NetBird.
+
+## Развилка: clawdbot vs openclaw vs другой watchdog
+
+Рассматривались три варианта:
+
+| Вариант | Плюсы | Минусы |
+|---|---|---|
+| **clawdbot** (как у [[projects/niikn/clawdbot-niikn|Максимки-Мауля]]) | Проверенный рецепт, проще | Старый стек, не обновляется. exec-approvals самописные. |
+| **openclaw** (свежий стек 137) | Встроенный `exec-approvals.json` whitelist для shell-команд. Plugins, skills, делегирование на Opus 4.7 через Max. Свежий, активная разработка. | Жёсткая schema, есть тонкости (bonjour, IPv6, FakeIP DNS) — но они уже разобраны на 137. |
+| **Голый watchdog без AI** | Минимум зависимостей. | Нет диагностики "почему упало". Невозможно дёрнуть `/restart_1c` через `/approve` — только ручной WinRM. |
+
+**Решение:** **openclaw** — встроенный whitelist для shell-команд (`exec-approvals.json`) — это прямо то что нужно для `/approve` flow. Плюс Опус 4.7 через Max.
+
+## Архитектура
+
+**Изоляция от Максимки (LXC 137):** не подвешиваем как доп.канал на 137 — если openclaw на 137 упадёт (а это бывает: bonjour, FakeIP, Kiro 402), упадут и алерты Бужарово. Для критичной мониторинг-задачи нужен **отдельный** инстанс.
+
+**Хост:** новый LXC 139 на dttb (10.0.0.240, NetBird 100.70.212.78, Ubuntu 24.04, 2c/4GB/10GB).
+
+**Два слоя независимых:**
+1. **buzharovo-watchdog** — bash + curl→TG bot API напрямую, systemd timer 60s. **Не зависит от openclaw.** Если AI-часть упала, алерт всё равно дойдёт.
+2. **openclaw 2026.5.7** — AI-помощник для диагностики и `/approve`-action'ов через WinRM.
+
+**Алерт-уровни:**
+- `OK` — всё доступно;
+- `WARNING` — часть проверок упала;
+- `WARNING_NETBIRD` — NetBird до server1c лежит, публично сервер виден;
+- `CRITICAL` — сервер не отвечает ни публично, ни через NetBird.
+
+Антиспам: алерт шлётся **только при смене уровня**, состояние в `/var/lib/severny-les/state.json`.
+
+**WinRM-actions с подтверждением:**
+- read-only без approval (`/status`, `/check_1c`, `/check_rmngr`);
+- destructive с обязательным `/approve` от Олега `1292155421` (`/restart_1c`, `/kill_orphan_ragent`);
+- ребута сервера НЕ даём (по опыту 2026-05-07 не помогает rmngr-loop).
+
+## Превентивные правки на старте (уроки 137)
+
+Все три "ловушки openclaw" пропатчены сразу:
+1. `plugins.entries.bonjour.enabled = false` — против mDNS crash-loop (см. [[projects/dttb/openclaw#Crash-loop-каждые-40-сек]]).
+2. `pct set 139 --nameserver '1.1.1.1 8.8.8.8'` + правка `/etc/resolv.conf` — против FakeIP DNS от 10.0.0.1.
+3. `NODE_OPTIONS=--dns-result-order=ipv4first` в systemd unit — против IPv6-сбоев Telegram API.
+
+systemd unit для openclaw — **system-level** (`/etc/systemd/system/openclaw-gateway.service`), а не `--user` как на 137. В LXC без user-session `systemctl --user` не работает (`Failed to connect to bus`).
+
+## Что осталось сделать после возвращения Олега
+
+1. **NetBird ACL** `severny-les` → `server1c` (порт 5985 TCP минимум) — без него WinRM-actions не работают, watchdog мониторит только публичные проверки.
+2. **Добавить @bz_sl_bot в TG-группу** руководящего состава, узнать `chat_id`, обновить `/etc/severny-les/watchdog.env` `BZ_TG_CHAT` и `openclaw.json` `groupAllowFrom`.
+3. После миграции server1c на свой сервер — обновить IP в `/root/clawd/INFRASTRUCTURE.md` и в `buzharovo-watchdog.sh`.
+
+## Артефакты
+
+- LXC 139 `severny-les` (10.0.0.240)
+- TG bot `@bz_sl_bot` (token `8322860033:...`)
+- Справочник: [[projects/buzharovo/severny-les-bot]]
+- Persona: `/root/clawd/{IDENTITY,INFRASTRUCTURE,USER,SOUL,TOOLS,MEMORY,HEARTBEAT}.md`
+- Скрипты: `/root/clawd/scripts/check_buzharovo.sh`, `winrm_lib.py`, `check_1c_service.py`, `check_rmngr_cpu.py`, `restart_1c_agent.py`, `kill_orphan_ragent.py`, `heartbeat.sh`
+- Watchdog: `/usr/local/bin/buzharovo-watchdog.sh` + `.service` + `.timer` (60s); `netbird-watchdog` clone с 137 (2 мин)
+- Whitelist: `/root/.openclaw/exec-approvals.json`

decisions/2026-05-14-buzharovo-watchdog-public-only.md

@@ -0,0 +1,85 @@
+---
+date: 2026-05-14
+type: decision
+tags: [decision, buzharovo, watchdog, netbird, monitoring, openclaw]
+---
+
+# 2026-05-14: Watchdog Бужарово — только публичный канал, NetBird вынесен из alert level
+
+## Контекст
+
+Олег в Египте, прислал что бот "сыпал ошибками вчера, попросил отключить мониторинг". Разведка:
+
+1. **Все сервисы на LXC 139 живы** (`openclaw-gateway`, `buzharovo-watchdog.timer`, `netbird-watchdog.timer`, `netbird.service` — `active+enabled`). Олег ничего не отключал.
+2. **Watchdog v1 правильно держал `WARNING_NETBIRD`** (последний алерт 13 мая ~19:32 МСК), антиспам корректный — повторных алертов не слал.
+3. **Истинный источник "ошибок"** — `openclaw primary model = omniroute/cc/claude-opus-4-7` упёрся в лимит Max-подписки:
+   ```
+   omniroute (cc/claude-opus-4-7) returned a billing error — your API key has run out of credits
+   400 [400]: You're out of extra usage. Add more at claude.ai/settings/usage and keep going.
+   ```
+   Каждое сообщение в боте + каждое ночное `memory-core dreaming` (cron 03:00) → billing 400 → failover на `kr/claude-sonnet-4.5`. На клиенте часть запросов могла отдаться с ошибкой раньше чем failover отработал.
+4. **Server1C NetBird daemon (Windows)** регулярно flap'ает, `last_seen=2026-05-13T08:24:26` — > 25 часов вне mesh, хотя сервер сам публично жив (ping + RDP 3389 OK).
+
+## Решения
+
+### Фикс 1: primary model → free Sonnet 4.5
+
+`/root/.openclaw/openclaw.json`:
+```json
+{
+  "primary": "omniroute/kr/claude-sonnet-4.5",
+  "fallbacks": [
+    "omniroute/cc/claude-sonnet-4-6",
+    "omniroute/gh/claude-sonnet-4.5",
+    "omniroute/cc/claude-opus-4-7"
+  ]
+}
+```
+Hot-reload подхватился. Backup конфига — `/root/.openclaw/openclaw.json.bak.opus-billing-<ts>`.
+
+**Возврат на Opus как primary — только после пополнения Max** или подключения второго конектора в OmniRoute.
+
+### Фикс 2: watchdog v2 — только публичный канал
+
+Переписан `/usr/local/bin/buzharovo-watchdog.sh`. Логика alert-level **больше не учитывает NetBird-проверки**:
+
+- `OK` — `ping 185.13.47.2` ✓ + `TCP 3389` (RDP) ✓
+- `DEGRADED` — один из публичных упал
+- `CRITICAL` — оба публичных упали
+
+NetBird-уровень (`ping 100.70.75.103` + `TCP 5985`) **только логируется** в `state.json` (`ping_nb`, `winrm_nb`), но не меняет level и не порождает алерт.
+
+При первом алерте в новую сессию (prev_level=INIT) добавляется пометка:
+> _NetBird до сервера сейчас лежит — это известная регулярная проблема со стороны Windows-сервера, не влияет на работу 1С для пользователей. Watchdog проверяет только публичный канал._
+
+**Почему так:** NetBird daemon на Server1C (Windows 2012 R2) теряет mesh-сессию регулярно (memory `feedback_netbird_watchdog`). Лечится `Restart-Service netbird` через RDP — но это ручная операция, и поток алертов из-за этого был шумом, а не сигналом. Сервер для пользователей в Бужарово при этом работает — 1С локально доступна.
+
+**Что теряем:** WinRM-actions (`check_1c_service.py`, `check_rmngr_cpu.py`, `restart_1c_agent.py`, `sql_native_backup.py`) идут через NetBird (`100.70.75.103:5985`). Когда NetBird падает — эти actions недоступны. Бот в группе об этом честно скажет: "Не могу проверить состояние службы 1С — туннель до сервера временно лежит". Восстанавливается после `Restart-Service netbird` на server1c через RDP.
+
+**Что НЕ теряем:** алерты о реально критичных событиях (сервер физически лёг публично, сеть провайдера упала, RDP закрылся).
+
+## Деплой
+
+```bash
+pct push 139 wd.sh /usr/local/bin/buzharovo-watchdog.sh
+chmod +x /usr/local/bin/buzharovo-watchdog.sh
+chown root:root /usr/local/bin/buzharovo-watchdog.sh
+echo "{}" > /var/lib/severny-les/state.json   # force re-evaluate
+# Manual run → level=OK, alert "Мониторинг включён" ушёл в группу
+```
+
+## Обновления в vault и persona
+
+- `/root/clawd/MEMORY.md` на LXC 139 — добавлены уроки про Opus billing + watchdog v2
+- [[projects/buzharovo/severny-les-bot]] — обновить ссылку на watchdog v2 (TODO)
+- Этот decision-файл
+
+## NetBird route 10.0.0.0/24 — попутно
+
+Существующий route `Dom` (`cud7q73l0ubs73dr3gc0`) advertised через peer `pve 100.70.121.235 (Эстония)`, **disconnected**. Переключил routing peer на **`openclaw` (`d79s9g2fadhs739mihkg`)** через PUT `/api/routes/cud7q73l0ubs73dr3gc0`. Mac получил доступ к 10.0.0.0/24 через NetBird → openclaw → LAN.
+
+## TODO (опционально, не сейчас)
+
+- **Reverse SSH-туннель** server1c → severny-les для WinRM-actions без зависимости от NetBird. Server1C сам делает outbound SSH → LXC 139 пробрасывает 127.0.0.1:55985 → server1c:5985. WinRM-скрипты целятся в `localhost:55985`. Решает проблему "NetBird лёг — WinRM недоступен".
+- **HTTPS WinRM (5986)** публично с certificate-pin'ом — альтернатива через интернет, но требует настройки SSL и хорошего firewall.
+- **Ночной cron sql_native_backup.py** — автоматизация ежедневных бэкапов БД (TODO от 2026-05-08, см. соответствующий decision).

notes/claude/2026-04-17-232309-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,23 @@
+---
+date: 2026-04-17
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-17T20:23:09.680Z
+messages: 26
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Тестирую session-saver на текущей сессии и обновляю Stop-hook.
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 26 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-17-232506-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,33 @@
+---
+date: 2026-04-17
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-17T20:25:06.155Z
+messages: 26
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+## Готово — оба компонента интеграции работают
+
+### 1. Терминал внутри Obsidian ✓
+
+Плагин `terminal` v3.23.0 установлен в `.obsidian/plugins/terminal/`, активирован в `community-plugins.json`, Obsidian перезапущен.
+
+**Как пользоваться:**
+- `Cmd+P` → **«Terminal: Open terminal in...»** → выбрать *External* (кит + shell) / *Integrated* (внутри панели) / *Developer console*
+- Integrated — терминал-панель справа/снизу
+- Запускаешь там `claude` — чат параллельно с заметками
+- Можно открыть несколько:
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 26 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-17-232716-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,35 @@
+---
+date: 2026-04-17
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-17T20:27:16.829Z
+messages: 27
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Лог-стрим openclaw запущен в фоне. Отправляй в Telegram `@maxim_dttb_bot` тестовое сообщение — **любое из этих**:
+
+### Вариант A — явный триггер делегации
+```
+Максимка, через опус прочитай decisions/2026-04-17-nextcloud-sync-schema.md и расскажи одним абзацем что ключевого
+```
+
+### Вариант B — тихий ресёрч (без делегации)
+```
+Максимка, какие сейчас активные LXC на Proxmox по последнему inventory?
+```
+
+Вариант **A** проверяет **полную цепочку делегации**: openclaw → wrapper → SSH Proxmox → pct ex
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 27 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-17-232924-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,34 @@
+---
+date: 2026-04-17
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-17T20:29:24.787Z
+messages: 28
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+**Полезная диагностика.** Ответ ты получил **хороший и точный** (бот прочитал decision-файл и правильно суммировал). **Но пришёл он не через opus-делегацию**, а через бесплатную модель:
+
+## Что показали логи
+
+```
+20:27:35  [telegram:direct:1292155421] бот получил твоё сообщение
+20:27:35  попробовал kr/claude-sonnet-4.5 → Unknown model
+20:27:35  fallback → zai/kr/claude-sonnet-4.5 (Sonnet 4.5 через другой провайдер)
+20:28:01  candidate_succeeded — ответ получен (через 26 сек)
+```
+
+Бот ответил **с
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 28 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-17-233454-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,33 @@
+---
+date: 2026-04-17
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-17T20:34:54.866Z
+messages: 29
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Покопался глубоко. Честная диагностика:
+
+## Что нашёл
+
+1. **Openclaw — компилированный npm-пакет** (`/usr/lib/node_modules/openclaw/dist/*.js` — всё минифицировано). Исходников нет, патчить bot-handler не получится без reverse-engineering.
+
+2. **CLIProxy-провайдер с Opus уже настроен** в `~/.openclaw/agents/main/agent/models.json`:
+   ```
+   cliproxy/claude-opus-4-6 → http://10.0.0.179:8317/v1 (CLIProxy на code-server)
+   ```
+   То есть openclaw **знает** как дёргать Opus, просто не использует п
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 29 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-001938-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,31 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-17T21:19:38.539Z
+messages: 30
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Коротко какие есть реальные способы самообучения/актуализации, и моя рекомендация.
+
+## Уровни автоматизации от безопасного к радикальному
+
+### 1. **Weekly audit-скрипт (drift detection)** — safest, зеро риска
+Cron на code-server раз в неделю:
+- снимает живое состояние (`pct list`, `qm list`, NPM API, DNS записи, `netstat` на хостах)
+- сравнивает с `proxmox-inventory.md`, `npm-proxy-hosts.md`, `network-topology.md`
+- пишет diff в `audit/2026-04-18-drift.md` (новые/удалённые LXC, изменившиеся IP, 
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 30 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-002710-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,42 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-17T21:27:10.615Z
+messages: 31
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+## Всё собрано и работает
+
+### Что построили
+```
+воскр 06:00 на code-server (LXC 132, крон)
+   │
+   ▼
+kb-audit.py (чистые факты, без LLM)
+   • pct list + qm list → сравнение с proxmox-inventory.md
+   • парсит и таблицы, и секцию «🗑️ Удалённые»
+   → audit/2026-04-DD-drift.md
+   │
+   ▼
+kb-audit-propose.sh (Opus 4.7 через Max OAuth)
+   • drift-отчёт + текущий inventory → claude -p
+   • --permission-mode plan (только предлагает)
+   → audit/2026-04-DD-proposed.md
+   │
+   ▼
+kb-autosync.sh (каждые 5 ми
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 31 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-003031-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,31 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-17T21:30:31.063Z
+messages: 32
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+## Одной фразой
+Твоя база знаний теперь живёт одновременно в пяти местах, синхронизируется сама, а раз в неделю она сама себя проверяет и предлагает что исправить.
+
+## Где она живёт
+
+1. **Mac** — папка `~/knowledge-base`. Главное место где ты пишешь.
+2. **Nextcloud на dttb.ru** — копия для iPhone (смотришь заметки с телефона через Obsidian).
+3. **Gitea (git.dttb.ru)** — «библиотека» с историей: видно кто что правил, можно откатиться.
+4. **Code-server** — там же есть копия, можно редактировать че
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 32 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-003621-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,34 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-17T21:36:21.388Z
+messages: 33
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+## Честный результат поиска
+
+В марте 2026 Karpathy на GitHub был активен **только** в двух репах:
+
+| Репо | Тема |
+|---|---|
+| `karpathy/nanochat` | LLM training framework |
+| `karpathy/autoresearch` | AI-агенты сами дообучают модели через эксперименты с `train.py` |
+
+**Ни в одном — ничего про Obsidian, Claude Code, knowledge management или personal workflow.**
+
+В issue-ах `nanochat` с 2026-03-01 (30 шт) — ноль совпадений по ключевым словам «obsidian / claude code / vault / note / knowledge / ag
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 33 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-003856-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,39 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-17T21:38:56.200Z
+messages: 34
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+**Нашёл — это `autoresearch`, именно то что ты имел в виду.**
+
+## Как там работает «самообучение»
+
+Вот вся суть одной страницы:
+
+```
+У агента есть доступ к:
+  - train.py  ← только это редактирует
+  - prepare.py ← трогать нельзя (утилиты)
+  - program.md ← инструкция что улучшать
+  - val_bpb   ← метрика (меньше = лучше)
+
+Цикл на всю ночь (≥100 раз):
+  1. Меняет train.py (архитектура, batch size, optimizer...)
+  2. git commit на ветку autoresearch/DATE
+  3. uv run train.py > run.log (ровно 5 минут)
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 34 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-004501-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,35 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-17T21:45:01.480Z
+messages: 35
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+## Готово — уровень 3 (karpathy-style)
+
+### Как это теперь работает
+
+```
+воскр 06:00 на code-server:
+   │
+   ├─ kb-audit.py          — фактовый diff → audit/DATE-drift.md
+   ├─ kb-audit-apply.py    — APPLIES safe структурные правки автоматом
+   │                         • новый VMID в stopped → добавить строку
+   │                         • missing VMID → в секцию 🗑️ с датой
+   │                         • commit как `kb-audit-bot <kb-audit@dttb.ru>`
+   │                         • git push (код и
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 35 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-004756-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,33 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-17T21:47:56.459Z
+messages: 36
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Реальные слабые места в порядке ценности:
+
+## Что бы я улучшил
+
+### 1. **Расширить audit на NPM + DNS + Credentials** (средне)
+Сейчас audit проверяет только Proxmox VM/LXC. Но `npm-proxy-hosts.md` и `credentials.md` тоже дрейфуют:
+- NPM API → сверить с таблицей доменов
+- DNS A-записи Spaceweb → сверить с backend-IP в NPM
+- Credentials → пингануть каждый URL, проверить не сменились ли пароли (по 401/403)
+
+**Ценность:** тот же механизм что для inventory, но покрывает сеть и авторизации. Раз в неде
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 36 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-005146-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,38 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-17T21:51:46.864Z
+messages: 37
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+## Самый простой путь
+
+1. В Obsidian нажми **`Cmd+P`**
+2. Набери **`terminal`**
+3. Выбери **«Terminal: Open terminal in vault root»** → **Integrated**
+
+Откроется терминал-панель снизу/справа в том же окне Obsidian, уже в `~/knowledge-base`.
+
+4. Набери **`claude`** и Enter
+
+Всё. Claude Code запущен в том же окне, слева — заметки vault, справа/снизу — чат.
+
+## Горячие клавиши
+
+Можно назначить хоткей чтобы не лазить в Command Palette каждый раз:
+- **Settings → Hotkeys** → найти `Terminal: Open inte
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 37 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-005406-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,32 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-17T21:54:06.760Z
+messages: 37
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Выбирай **Integrated** (уже подсвечен синим) и жми **Enter**.
+
+Откроется терминал прямо в окне Obsidian — снизу или справа. Там набирай `claude` — и погнали.
+
+Три варианта которые видишь:
+- **External** — открывает внешний Terminal.app (отдельное окно)
+- **Integrated** ← **этот, внутри Obsidian** ✓
+- **Developer console** — только для отладки самого Obsidian, не нужен
+
+Кстати на графе вижу что уже создана заметка от сегодняшней сессии — `2026-04-17-nextcl...` — session-saver работает.
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 37 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-005723-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,41 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-17T21:57:23.108Z
+messages: 38
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Просто в том же окне Claude набери:
+
+```
+/login
+```
+
+Откроется браузер с авторизацией Claude — жми **Continue with Claude / Use Max subscription**. После авторизации вернись в терминал, Claude подхватит токен и работает.
+
+## Почему так получилось
+
+У тебя в `~/.claude/settings.json` прописано:
+```json
+"apiBaseUrl": "http://localhost:8317",
+"apiKey": "sk-cliproxyapi-local",
+```
+
+Это настройки для **CLIProxy** который раньше крутился на Mac. CLIProxy на Маке сейчас не запущен → 401.
+
+## Если `/logi
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 38 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-010133-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,31 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-17T22:01:33.415Z
+messages: 39
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Готово — обе строки убраны, JSON валиден, остальные настройки (permissions, hooks, marketplaces) целы.
+
+## Теперь в открытом Claude в Obsidian
+
+1. Выйди из сессии: **`/exit`** или **`Ctrl+C`**
+2. Запусти заново: **`claude`**
+3. Если снова 401 — набери **`/login`**, в браузере **Continue with Claude**, разреши доступ
+
+После этого пойдёт через твою Max-подписку (Opus 4.7 xhigh как в баннере).
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 39 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-010441-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,33 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-17T22:04:41.652Z
+messages: 41
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Нашёл причину. В env shell'а Obsidian-terminal'а висит:
+
+```
+CLAUDE_CODE_PROVIDER_MANAGED_BY_HOST=1
+CLAUDE_INTERNAL_FC_OVERRIDES={"tengu_ccr_bridge":true}
+CLAUDE_CODE_ENTRYPOINT=claude-desktop
+```
+
+Эти переменные значат: «**auth-токеном управляет host-приложение** (Claude Desktop)». `/login` внутри CLI успешно сохраняет токен, но сам CLI его **не использует** — ждёт auth от родителя. Родитель (Claude Desktop) этот токен не передаёт в терминал Obsidian.
+
+Откуда это — **Obsidian был запущен из Cla
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 41 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-010600-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,34 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-17T22:06:00.315Z
+messages: 41
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Готово. План на завтра в `daily/2026-04-19.md`, уехал в Gitea → автоматом синкнется на code-server, openclaw, Nextcloud и iPhone.
+
+## Что увидишь завтра утром
+
+Откроешь Obsidian → Daily Notes → `2026-04-19.md` → чеклист:
+
+1. **🔧 Блокер:** починить env-переменные (чтобы `claude` в Obsidian-terminal работал)
+2. **⭐ Топ-3 улучшения:**
+   - Консолидация MEMORY.md (5 мин)
+   - Расширить audit на NPM/DNS/Credentials (час)
+   - KB health + level 4 agent loop (день) — главное, самое karpathy-style
+3. **
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 41 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-010820-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,33 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-17T22:08:20.025Z
+messages: 42
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Обе проверки прошли:
+- проблемные `CLAUDE_CODE_PROVIDER_MANAGED_BY_HOST` и ко. — убраны
+- **живой OAuth-токен** `CLAUDE_CODE_OAUTH_TOKEN=sk-ant-oat01-...` — остался
+
+## Теперь в Obsidian
+
+1. Закрой текущий терминал в Obsidian (крестик на панели)
+2. Открой новый: **`Cmd+P`** → `Terminal: Open integrated terminal in vault root`
+3. Набери `claude` — **должен стартануть без 401** (использует оставшийся OAuth-токен напрямую)
+
+Если вдруг снова 401 — `/login` один раз, потом больше не понадобится (токе
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 42 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-011206-aimacbookpro-knowledge-base-claude.md

@@ -0,0 +1,54 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: a39df94b-f167-4eed-80b5-f3b9bb785f31
+started: 2026-04-17T22:10:17.807Z
+ended: 2026-04-17T22:12:06.709Z
+messages: 2
+tools: [Bash, Edit, Read, Write]
+tags: [claude, session]
+---
+
+# ai@MacBookPro knowledge-base % claude
+
+## Запрос
+
+ai@MacBookPro knowledge-base % claude
+           Claude Code v2.1.112
+ ▐▛███▜▌   Sonnet 4.6 with high effort · Claude API
+▝▜█████▛▘  ~/knowledge-base
+  ▘▘ ▝▝    Welcome to Opus 4.7 xhigh! · /effort to tune speed vs…
+
+❯ gjh                                                                
+  ⎿  Please run /login · API Error: 401 {"type":"error","error":{"typ
+     e":"authentication_error","message":"Invalid authentication     
+     credentials"},"request_id":"req_011CaA7AEdYiUvasBEZWaRua"}    
+                                                                     
+❯ /login                                                             
+                                                                     
+─────────────────────────────────────────────────────────────────────
+  Login                                                            
+           Claude Code v2.1.112
+ ▐▛███▜▌   Sonnet 4.6 with high effort · Claude API
+▝▜█████▛▘  ~/knowledge-base
+  ▘▘ ▝▝    Welcome to Opus 4.7 xhigh! · /effort to tune speed vs…
+
+❯ gjh                                                                
+  ⎿  Please run /login · API Error: 401 {"type":"error","error":{"typ
+     e":"authentication_error","message":"Invalid authentication
+     credentials"},"request_id":"req_011CaA7AEdYiUvasBEZWaRua"}
+
+❯ /login                                                             
+  ⎿  Login successful
+
+❯ gh                                                                 
+  ⎿  Please run /login · API Error: 401 {"type":"error","error":{"typ
+     e":"authentication_error","message":"Invalid authentication
+     credentials"},"request_id":"req_011CaA7C5zweQF5p3yLq6buC"}
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Добавил unset в `~/.zshenv` и записал паттерн в память. Открой новый терминал и запусти `claude` — 401 должен уйти.
+
+---
+*Автосохранено из session [`a39df94b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/a39df94b-f167-4eed-80b5-f3b9bb785f31.jsonl) — 2 сообщ., тулы: Bash, Edit, Read, Write*

notes/claude/2026-04-18-011252-aimacbookpro-knowledge-base-claude.md

@@ -0,0 +1,54 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: a39df94b-f167-4eed-80b5-f3b9bb785f31
+started: 2026-04-17T22:10:17.807Z
+ended: 2026-04-17T22:12:52.504Z
+messages: 3
+tools: [Bash, Edit, Read, Write]
+tags: [claude, session]
+---
+
+# ai@MacBookPro knowledge-base % claude
+
+## Запрос
+
+ai@MacBookPro knowledge-base % claude
+           Claude Code v2.1.112
+ ▐▛███▜▌   Sonnet 4.6 with high effort · Claude API
+▝▜█████▛▘  ~/knowledge-base
+  ▘▘ ▝▝    Welcome to Opus 4.7 xhigh! · /effort to tune speed vs…
+
+❯ gjh                                                                
+  ⎿  Please run /login · API Error: 401 {"type":"error","error":{"typ
+     e":"authentication_error","message":"Invalid authentication     
+     credentials"},"request_id":"req_011CaA7AEdYiUvasBEZWaRua"}    
+                                                                     
+❯ /login                                                             
+                                                                     
+─────────────────────────────────────────────────────────────────────
+  Login                                                            
+           Claude Code v2.1.112
+ ▐▛███▜▌   Sonnet 4.6 with high effort · Claude API
+▝▜█████▛▘  ~/knowledge-base
+  ▘▘ ▝▝    Welcome to Opus 4.7 xhigh! · /effort to tune speed vs…
+
+❯ gjh                                                                
+  ⎿  Please run /login · API Error: 401 {"type":"error","error":{"typ
+     e":"authentication_error","message":"Invalid authentication
+     credentials"},"request_id":"req_011CaA7AEdYiUvasBEZWaRua"}
+
+❯ /login                                                             
+  ⎿  Login successful
+
+❯ gh                                                                 
+  ⎿  Please run /login · API Error: 401 {"type":"error","error":{"typ
+     e":"authentication_error","message":"Invalid authentication
+     credentials"},"request_id":"req_011CaA7C5zweQF5p3yLq6buC"}
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Добавил unset в `~/.zshenv` и записал паттерн в память. Открой новый терминал и запусти `claude` — 401 должен уйти.
+
+---
+*Автосохранено из session [`a39df94b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/a39df94b-f167-4eed-80b5-f3b9bb785f31.jsonl) — 3 сообщ., тулы: Bash, Edit, Read, Write*

notes/claude/2026-04-18-011639-ghg.md

@@ -0,0 +1,23 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6
+started: 2026-04-17T22:15:50.961Z
+ended: 2026-04-17T22:16:39.757Z
+messages: 2
+tools: [Bash, Read]
+tags: [claude, session]
+---
+
+# ghg
+
+## Запрос
+
+ghg
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Это похоже на случайный ввод. Что нужно сделать?
+
+---
+*Автосохранено из session [`d655a41a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6.jsonl) — 2 сообщ., тулы: Bash, Read*

notes/claude/2026-04-18-042354-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,40 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-18T01:23:54.501Z
+messages: 43
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Готово. Всё синхронизировалось.
+
+## Итог по терминалу
+
+```
+~/.zshenv  ← твой финальный вариант, снимает 7 env-переменных
+    ↓
+любой новый shell (login / non-login / interactive) → env чистый
+    ↓
+claude CLI идёт в Keychain → свежий токен после /login → работает
+```
+
+## На завтра остался один шаг
+
+Утром в daily-note увидишь:
+> [ ] Утром проверить: Obsidian → Cmd+P → Integrated terminal → `claude` → без 401
+
+Это sanity check новой настройки. Потом можно сразу к **консолидации MEMORY.md** (5 мин)
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 43 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-092547-ghg.md

@@ -0,0 +1,23 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6
+started: 2026-04-17T22:15:50.961Z
+ended: 2026-04-18T06:25:47.041Z
+messages: 3
+tools: [Bash, Read]
+tags: [claude, session]
+---
+
+# ghg
+
+## Запрос
+
+ghg
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Нашёл корневую причину. Проверю cx и fallback-цепочку.
+
+---
+*Автосохранено из session [`d655a41a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6.jsonl) — 3 сообщ., тулы: Bash, Read*

notes/claude/2026-04-18-092855-ghg.md

@@ -0,0 +1,34 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6
+started: 2026-04-17T22:15:50.961Z
+ended: 2026-04-18T06:28:55.364Z
+messages: 4
+tools: [Bash, Read]
+tags: [claude, session]
+---
+
+# ghg
+
+## Запрос
+
+ghg
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+## Причина "Something went wrong" сейчас
+
+IPv6-фикс (прошлая причина) уже применён — дело не в нём. Сегодняшняя цепочка падения:
+
+| Попытка | Модель | Результат |
+|---|---|---|
+| 1 | `kr/claude-sonnet-4.5` (Kiro) | **`No credentials for provider: kiro`** — токен отвалился/истёк |
+| 2 (fallback) | `zai/kr/claude-sonnet-4.5` (ZenAI) | **`402 You have reached the limit`** — биллинг исчерпан |
+| — | ⛔ fallback-цепочка закончилась → бот возвращает "Something went wrong" |
+
+Проверил остальные:
+- ✅ `cx
+
+---
+*Автосохранено из session [`d655a41a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6.jsonl) — 4 сообщ., тулы: Bash, Read*

notes/claude/2026-04-18-093049-ghg.md

@@ -0,0 +1,37 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6
+started: 2026-04-17T22:15:50.961Z
+ended: 2026-04-18T06:30:49.431Z
+messages: 5
+tools: [Bash, Read]
+tags: [claude, session]
+---
+
+# ghg
+
+## Запрос
+
+ghg
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+## Учётки gpt-5.4 (codex) в OmniRoute
+
+**7 активных** учёток, все здоровые (`test_status=active`):
+
+| email | статус |
+|---|---|
+| batlaew@gmail.com | rate-limited до 06:27:16 UTC |
+| kosmasmaksim70@gmail.com | rate-limited до 06:27:22 |
+| uk.evrope@gmail.com | rate-limited до 06:27:29 |
+| mhxpm9j72v@privaterelay | rate-limited до 06:27:36 |
+| dbyq4s75y7@privaterelay | rate-limited до 06:27:43 |
+| urijpro032@gmail.com | rate-limited до 06:27:55 |
+| nadyapalmanova@gmail.com | **свободна** |
+
+Сейч
+
+---
+*Автосохранено из session [`d655a41a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6.jsonl) — 5 сообщ., тулы: Bash, Read*

notes/claude/2026-04-18-093322-ghg.md

@@ -0,0 +1,32 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6
+started: 2026-04-17T22:15:50.961Z
+ended: 2026-04-18T06:33:22.541Z
+messages: 6
+tools: [Bash, Read]
+tags: [claude, session]
+---
+
+# ghg
+
+## Запрос
+
+ghg
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+## Kiro — не токен, а биллинг
+
+Обе учётки:
+
+| auth | test_status | error | token истекает | expires_at |
+|---|---|---|---|---|
+| oauth | **credits_exhausted** | `402 You have reached the limit` | 2026-04-18T07:17:45 | 2026-04-17T18:17:17 |
+| oauth | **credits_exhausted** | `402 You have reached the limit` | 2026-04-18T07:17:58 | 2026-04-16T14:59:42 |
+
+Токен ещё живой (до 07:17 UTC = 10:17 MSK). Проблема — **исчерпан дневной лимит AWS Kiro на обеих учётках**. Поэтому OmniRoute и отвечает "No cred
+
+---
+*Автосохранено из session [`d655a41a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6.jsonl) — 6 сообщ., тулы: Bash, Read*

notes/claude/2026-04-18-093524-ghg.md

@@ -0,0 +1,23 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6
+started: 2026-04-17T22:15:50.961Z
+ended: 2026-04-18T06:35:24.372Z
+messages: 7
+tools: [Bash, Read]
+tags: [claude, session]
+---
+
+# ghg
+
+## Запрос
+
+ghg
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Сбросил флаги — но Kiro API всё равно отвечает 402. Значит это **реальный лимит на стороне Kiro**, а не кеш OmniRoute. Смотрю детали ошибки.
+
+---
+*Автосохранено из session [`d655a41a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6.jsonl) — 7 сообщ., тулы: Bash, Read*

notes/claude/2026-04-18-093922-ghg.md

@@ -0,0 +1,23 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6
+started: 2026-04-17T22:15:50.961Z
+ended: 2026-04-18T06:39:22.052Z
+messages: 8
+tools: [Bash, Read]
+tags: [claude, session]
+---
+
+# ghg
+
+## Запрос
+
+ghg
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Переключил. Но заметил — **я потерял fallback-цепочку**: было `{primary, fallbacks[3]}`, стало строка `"cx/gpt-5.4"`. Сейчас проверю и восстановлю с fallback, и отвечу про учётки.
+
+---
+*Автосохранено из session [`d655a41a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6.jsonl) — 8 сообщ., тулы: Bash, Read*

notes/claude/2026-04-18-094233-ghg.md

@@ -0,0 +1,37 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6
+started: 2026-04-17T22:15:50.961Z
+ended: 2026-04-18T06:42:33.344Z
+messages: 9
+tools: [Bash, Read]
+tags: [claude, session]
+---
+
+# ghg
+
+## Запрос
+
+ghg
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+## Учётки cx/gpt-5.4 по факту СЕЙЧАС
+
+Сейчас на LXC 132: **06:40:59 UTC**. Rate-limit у 6 учёток был до **06:27 UTC** (13 минут назад) — то есть **все 7 уже свободны**:
+
+| email | cooldown истёк |
+|---|---|
+| batlaew@gmail.com | 06:27:16 ✅ |
+| kosmasmaksim70@gmail.com | 06:27:22 ✅ |
+| uk.evrope@gmail.com | 06:27:29 ✅ |
+| mhxpm9j72v@privaterelay | 06:27:36 ✅ |
+| dbyq4s75y7@privaterelay | 06:27:43 ✅ |
+| urijpro032@gmail.com | 06:27:55 ✅ |
+| nadyapalmanova@gmail.com | (не трогалась) ✅ |
+
+Мой SQL не
+
+---
+*Автосохранено из session [`d655a41a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6.jsonl) — 9 сообщ., тулы: Bash, Read*

notes/claude/2026-04-18-094753-ghg.md

@@ -0,0 +1,28 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6
+started: 2026-04-17T22:15:50.961Z
+ended: 2026-04-18T06:47:53.251Z
+messages: 10
+tools: [Bash, Read]
+tags: [claude, session]
+---
+
+# ghg
+
+## Запрос
+
+ghg
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Две проблемы нашёл:
+
+1. **Бот берёт модель из сессии пользователя**, а не из дефолта конфига. Сессия захардкодила `kr/claude-sonnet-4.5`. Мой `config set` не влияет на существующие сессии.
+2. **`cx/gpt-5.4` без префикса не зарегистрирована** — openclaw знает только `zai/cx/gpt-5.4`. Fallback тоже провалился.
+
+Правлю дефолт на `zai/cx/gpt-5.4` (с префиксом) и проверяю. Пользователю после этого нужно сказать `/new` в Максимке — иначе старая сессия продолжит ломаться.
+
+---
+*Автосохранено из session [`d655a41a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6.jsonl) — 10 сообщ., тулы: Bash, Read*

notes/claude/2026-04-18-095240-ghg.md

@@ -0,0 +1,37 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6
+started: 2026-04-17T22:15:50.961Z
+ended: 2026-04-18T06:52:40.852Z
+messages: 11
+tools: [Bash, Read]
+tags: [claude, session]
+---
+
+# ghg
+
+## Запрос
+
+ghg
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+## Текущий статус
+
+**Kiro** — всё ещё `402 You have reached the limit`. Реально исчерпано.
+
+**Default теперь `zai/cx/gpt-5.4`** — openclaw знает модель (видно в `openclaw models list`):
+```
+zai/cx/gpt-5.4              default
+zai/glm/glm-5.1             fallback#1
+zai/gh/claude-sonnet-4.5    fallback#2
+zai/kr/claude-sonnet-4.5    fallback#3
+```
+
+## Почему бот всё ещё в ошибке
+
+Новая модель применится **только к новым сессиям**. Текущая Telegram-сессия захардкодила `kr/claude-sonnet-4.5` в `sessi
+
+---
+*Автосохранено из session [`d655a41a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6.jsonl) — 11 сообщ., тулы: Bash, Read*

notes/claude/2026-04-18-095457-ghg.md

@@ -0,0 +1,23 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6
+started: 2026-04-17T22:15:50.961Z
+ended: 2026-04-18T06:54:57.860Z
+messages: 12
+tools: [Bash, Read]
+tags: [claude, session]
+---
+
+# ghg
+
+## Запрос
+
+ghg
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Проверю по фактическим данным — не буду гадать.
+
+---
+*Автосохранено из session [`d655a41a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6.jsonl) — 12 сообщ., тулы: Bash, Read*

notes/claude/2026-04-18-095710-ghg.md

@@ -0,0 +1,34 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6
+started: 2026-04-17T22:15:50.961Z
+ended: 2026-04-18T06:57:10.714Z
+messages: 13
+tools: [Bash, Read]
+tags: [claude, session]
+---
+
+# ghg
+
+## Запрос
+
+ghg
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+**Нет, не точно. Моё "5 часов" было догадкой.** По фактическим данным OmniRoute:
+
+**Реальные интервалы от 429 до восстановления одной учётки:**
+
+| когда | cooldown |
+|---|---|
+| 13.04 06:47 → 09:37-10:12 | **3.5 часа** ← похоже на настоящее окно |
+| 12.04 14:32 → 14:36 | 4 мин (мягкий 429, OR подождал) |
+| 12.04 07:24 → 07:30 | 6 мин |
+| 11.04 разные | 0-5 мин |
+
+Длинный паттерн один — **~3-3.5 часа**, не 5. Короткие (<10 мин) — это не сброс лимита, а OR успешно перезапустил после кратковременно
+
+---
+*Автосохранено из session [`d655a41a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6.jsonl) — 13 сообщ., тулы: Bash, Read*

notes/claude/2026-04-18-100106-ghg.md

@@ -0,0 +1,29 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6
+started: 2026-04-17T22:15:50.961Z
+ended: 2026-04-18T07:01:06.160Z
+messages: 14
+tools: [Bash, Read]
+tags: [claude, session]
+---
+
+# ghg
+
+## Запрос
+
+ghg
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Моё мнение — **нет, не стоит как постоянную primary**. Три причины:
+
+**1. Экономика в разы хуже.** 
+Один Kiro-аккаунт (free tier) = ~60-120M токенов/месяц бесплатно. Одна codex-free учётка = ~30 успешных запросов/сутки = ~900/месяц на все, а по токенам сильно меньше (короче контексты, чат plan). Чтобы заменить 1 Kiro, нужно **5-7 codex-учёток**.
+
+**2. Качество под задачи Максимки.**
+Бот много работает с русским, инструментами, делегирует на Opus, держит канвас-сессии. Sonnet 4.5 стабильнее в too
+
+---
+*Автосохранено из session [`d655a41a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6.jsonl) — 14 сообщ., тулы: Bash, Read*

notes/claude/2026-04-18-100208-ghg.md

@@ -0,0 +1,23 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6
+started: 2026-04-17T22:15:50.961Z
+ended: 2026-04-18T07:02:08.838Z
+messages: 15
+tools: [Bash, Read]
+tags: [claude, session]
+---
+
+# ghg
+
+## Запрос
+
+ghg
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Да, перепутал — `ai.dttb.ru` это code-server (VS Code UI), не OmniRoute. OmniRoute крутится на **том же LXC 132, порт 20128** внутренний. Проверю есть ли у него внешний домен через NPM.
+
+---
+*Автосохранено из session [`d655a41a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6.jsonl) — 15 сообщ., тулы: Bash, Read*

notes/claude/2026-04-18-100510-ghg.md

@@ -0,0 +1,38 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6
+started: 2026-04-17T22:15:50.961Z
+ended: 2026-04-18T07:05:10.174Z
+messages: 16
+tools: [Bash, Read]
+tags: [claude, session]
+---
+
+# ghg
+
+## Запрос
+
+ghg
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+OmniRoute НЕ проксирован через NPM — только code-server на `ai.dttb.ru`. Три способа открыть UI OmniRoute:
+
+## Вариант 1 (быстро) — SSH-туннель с Mac
+
+```bash
+sshpass -p '1qaz!QAZ' ssh -L 20128:10.0.0.179:20128 root@10.0.0.250 -N
+```
+Держи открытым → в браузере Mac: **http://localhost:20128**
+
+## Вариант 2 (один раз настроить) — добавить в NPM
+
+Зайти на https://npm.dttb.ru → **Add Proxy Host**:
+- Domain: `or.dttb.ru` (или `omniroute.dttb.ru`)
+- Scheme: `http`
+- Forward IP: `10.0.0.179`
+- Port: `
+
+---
+*Автосохранено из session [`d655a41a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6.jsonl) — 16 сообщ., тулы: Bash, Read*

notes/claude/2026-04-18-101313-ghg.md

@@ -0,0 +1,31 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6
+started: 2026-04-17T22:15:50.961Z
+ended: 2026-04-18T07:13:13.796Z
+messages: 17
+tools: [Bash, Read]
+tags: [claude, session]
+---
+
+# ghg
+
+## Запрос
+
+ghg
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Классический OAuth-глюк: в браузере остались **cookies текущего Google-аккаунта**, и Google видит уже авторизованную сессию → пропускает шаг ввода логина и сразу выдаёт согласие с твоим основным акком.
+
+## Как заставить Google показать выбор аккаунта
+
+**Правильный способ — полностью чистое состояние Google.** Обычного инкогнито **недостаточно**, если ты когда-то там заходил в Google:
+
+### Вариант А — отдельный профиль браузера (рекомендую)
+
+Chrome/Edge → **правый верх → аватар → "Add" / "Добавит
+
+---
+*Автосохранено из session [`d655a41a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6.jsonl) — 17 сообщ., тулы: Bash, Read*

notes/claude/2026-04-18-104215-ghg.md

@@ -0,0 +1,23 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6
+started: 2026-04-17T22:15:50.961Z
+ended: 2026-04-18T07:42:15.060Z
+messages: 18
+tools: [Bash, Read, Write]
+tags: [claude, session]
+---
+
+# ghg
+
+## Запрос
+
+ghg
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Обе модели работают. Теперь чищу openclaw — оставляю только Sonnet primary + GLM fallback.
+
+---
+*Автосохранено из session [`d655a41a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6.jsonl) — 18 сообщ., тулы: Bash, Read, Write*

notes/claude/2026-04-18-104613-ghg.md

@@ -0,0 +1,23 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6
+started: 2026-04-17T22:15:50.961Z
+ended: 2026-04-18T07:46:13.015Z
+messages: 19
+tools: [Bash, Edit, Read, Write]
+tags: [claude, session]
+---
+
+# ghg
+
+## Запрос
+
+ghg
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Теперь обновлю KB-справочник с новыми находками.
+
+---
+*Автосохранено из session [`d655a41a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6.jsonl) — 19 сообщ., тулы: Bash, Edit, Read, Write*

notes/claude/2026-04-18-104625-ghg.md

@@ -0,0 +1,31 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6
+started: 2026-04-17T22:15:50.961Z
+ended: 2026-04-18T07:46:25.587Z
+messages: 20
+tools: [Bash, Edit, Read, Write]
+tags: [claude, session]
+---
+
+# ghg
+
+## Запрос
+
+ghg
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+## Записал
+
+**В memory** (`feedback_openclaw_models.md`) — уточнил правило про префикс `zai/`: в конфиге **обязателен**, в sessions.json трогать нельзя. Удаление модели из каталога → пользователю нужен `/new`.
+
+**В KB** (`projects/dttb/openclaw.md`) — добавил разделы:
+- "Something went wrong" после чистки каталога моделей → `/new` в Максимке
+- Kiro 402 = **месячный кредит AWS** (~60M tok/учётку/мес), reset 1 числа
+- cx/gpt-5.4 free plan = rolling 3h окно, не годится как primary
+- Как добавить Ki
+
+---
+*Автосохранено из session [`d655a41a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6.jsonl) — 20 сообщ., тулы: Bash, Edit, Read, Write*

notes/claude/2026-04-18-105124-ghg.md

@@ -0,0 +1,31 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6
+started: 2026-04-17T22:15:50.961Z
+ended: 2026-04-18T07:51:24.965Z
+messages: 21
+tools: [Bash, Edit, Read, Write]
+tags: [claude, session]
+---
+
+# ghg
+
+## Запрос
+
+ghg
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Ок, план:
+
+1. Посмотреть что сейчас настроено у бота — tools, DELEGATION.md, каналы
+2. Проверить что gateway поднял новую модель без ошибок
+3. Протестировать делегирование на Opus (wrapper)
+4. Протестировать end-to-end: сообщение в бота → ответ
+5. Найти и починить что сломано
+
+Начинаю с разведки — параллельно.
+
+---
+*Автосохранено из session [`d655a41a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6.jsonl) — 21 сообщ., тулы: Bash, Edit, Read, Write*

notes/claude/2026-04-18-111617-ghg.md

@@ -0,0 +1,35 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6
+started: 2026-04-17T22:15:50.961Z
+ended: 2026-04-18T08:16:17.917Z
+messages: 22
+tools: [Bash, Edit, Read, Write]
+tags: [claude, session]
+---
+
+# ghg
+
+## Запрос
+
+ghg
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+## Прогресс
+
+**✅ Критичные уязвимости: 5 → 0** (остался 1 warn про multi-user heuristic, но он менее критичен)
+**✅ allowlist применён:** Telegram DM только `1292155421`, groups пусто, Nextcloud Talk DM — admin/oleg/maximka
+**✅ rate limit на gateway auth** (10 попыток / мин, lockout 5 мин)
+
+**⚠️ Два вопроса осталось:**
+
+### 1. MCP не стартанул — неверный URL
+```
+[bundle-mcp] failed to start server "omniroute": ECONNREFUSED 127.0.0.1:20128
+```
+OmniRoute живёт на **LXC 132 (10.0.0.179:20128)**, а н
+
+---
+*Автосохранено из session [`d655a41a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6.jsonl) — 22 сообщ., тулы: Bash, Edit, Read, Write*

notes/claude/2026-04-18-111659-ghg.md

@@ -0,0 +1,27 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6
+started: 2026-04-17T22:15:50.961Z
+ended: 2026-04-18T08:16:59.343Z
+messages: 23
+tools: [Bash, Edit, Read, Write]
+tags: [claude, session]
+---
+
+# ghg
+
+## Запрос
+
+ghg
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Это системное уведомление о завершении бэкграунд-задачи (скрипт harden2.sh), результаты уже обработаны в предыдущем сообщении.
+
+Жду твоего ответа на **настоящий вопрос:** отключить MCP из конфига (раз он не стартует), или оставить как есть с ошибкой в логах?
+
+И не забудь про **`/new` в Максимке** — пока ты это не сделаешь, бот продолжит падать на старой сессии.
+
+---
+*Автосохранено из session [`d655a41a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6.jsonl) — 23 сообщ., тулы: Bash, Edit, Read, Write*

notes/claude/2026-04-18-114423-ghg.md

@@ -0,0 +1,27 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6
+started: 2026-04-17T22:15:50.961Z
+ended: 2026-04-18T08:44:23.350Z
+messages: 24
+tools: [Bash, Edit, Read, Write]
+tags: [claude, session]
+---
+
+# ghg
+
+## Запрос
+
+ghg
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Это системное уведомление о завершении бэкграунд-задачи (скрипт harden2.sh), результаты уже обработаны в предыдущем сообщении.
+
+Жду твоего ответа на **настоящий вопрос:** отключить MCP из конфига (раз он не стартует), или оставить как есть с ошибкой в логах?
+
+И не забудь про **`/new` в Максимке** — пока ты это не сделаешь, бот продолжит падать на старой сессии.
+
+---
+*Автосохранено из session [`d655a41a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6.jsonl) — 24 сообщ., тулы: Bash, Edit, Read, Write*

notes/claude/2026-04-18-115629-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,32 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-18T08:56:29.229Z
+messages: 44
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+## Итог проверки openclaw
+
+✅ **Синхронизирован** с origin (коммит `77efae1 obsidian auto-sync 11:45:21` — самый свежий)
+✅ **Все файлы** на месте: `scripts/kb-audit*`, `audit/*`, `daily/2026-04-19.md`, `notes/claude/*`
+✅ **Cron активен** каждые 15 мин
+✅ **`kb-pull.sh` апгрейднут** — теперь auto-reset при divergence (защита от будущих force-push'ей)
+
+## Что было
+
+Утром я делал `git push --force-with-lease` чтобы откатить тестовый коммит kb-audit-bot. Это переписало историю в Gitea. Openclaw до это
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 44 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-115702-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,29 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-18T08:57:02.500Z
+messages: 45
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Доброе утро. 
+
+В `daily/2026-04-19.md` лежит план на сегодня — открой в Obsidian. Первый пункт — sanity check терминала (Cmd+P → Integrated terminal → `claude`, без 401).
+
+Дальше по списку: консолидация MEMORY.md → расширение audit → level 4 agent loop.
+
+Как будешь готов — скажи.
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 45 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-123054-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,33 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-18T09:30:54.978Z
+messages: 47
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Консолидация готова. Вот «разжёванный» итог:
+
+## Что поменялось в `~/.claude/projects/-Users-ai-knowledge-base/memory/`
+
+**Было:** 14 файлов, 242 строки. Индекс перегружен, openclaw размазан на 4 файла.
+
+**Стало:** 12 файлов, более плотно упакованы.
+
+### Смёрджил (4 → 2)
+- **3 openclaw-feedback** (IPv6, модели, cliproxy_env) → добавил секциями в `project_openclaw_bot.md`. Теперь один файл покрывает весь openclaw с troubleshooting.
+- **2 env-feedback** (cliproxy + 401) → новый `feedback_env_clean
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 47 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-123608-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,32 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-18T09:36:08.621Z
+messages: 48
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+## Разжёванный итог — что теперь делает audit-система
+
+Раз в неделю (воскр 06:00) на code-server автоматом запускается **пять проверок подряд**:
+
+### 1. `kb-audit.py` — Proxmox inventory
+Сравнивает live `pct list` / `qm list` с `projects/dttb/proxmox-inventory.md`. Находит новые/удалённые/переименованные LXC/VM.
+**Сегодня:** всё в порядке (0 drift).
+
+### 2. `kb-audit-npm.py` — NPM proxy hosts ⭐ новый
+Логинится в NPM API, забирает список всех 22 proxy hosts, сравнивает с `projects/dttb/npm-proxy-
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 48 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-124403-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,36 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-18T09:44:03.752Z
+messages: 49
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Понял, оставим для ревью в понедельник. Все drift-отчёты уже в `audit/` — никуда не денутся.
+
+## Итог сессии
+
+По плану на сегодня выполнено 3 из 4:
+- ✅ Fix B (env cleanup) — `.zshenv`
+- ✅ Консолидация MEMORY.md (14 → 12 файлов, смёрджено openclaw+env)
+- ✅ Audit расширен на NPM + Creds + DNS (3 новых скрипта, в cron)
+- ⏭ **KB health + level 4 agent loop** — осталось
+
+## Что дальше
+
+**Level 4** это финальный karpathy-style — когда KB сама себя лечит без твоего участия. Состоит из:
+1. `scripts/kb-h
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 49 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-201655-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,37 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-18T17:16:55.184Z
+messages: 50
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Agent-loop запущен в фоне. Пока Opus думает (может 5-15 минут), разжевываю суть этого финального уровня.
+
+## Что он делает прямо сейчас
+
+```
+1. kb-health.py → сегодня score=493 (файлов с missing_frontmatter 70, 
+   orphan 90, undated TODO 48, 4 битых пути, 3 дубликата имён)
+   
+2. git checkout -b auto-fix/2026-04-18
+
+3. claude -p --permission-mode acceptEdits "Прочитай audit/2026-04-18-health.md,
+   фикси что можешь. Не удаляй. Не трогай factual inventories."
+   
+   → Opus читает health-отчёт
+  
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 50 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-202513-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,31 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-18T17:25:13.404Z
+messages: 51
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+На Mac после pull: **score 493 → 45** (−91%).
+
+## Что Opus сделал за 7 минут
+
+### Просто по правилам
+- **frontmatter** 70 файлов: добавил `---\ndate/type/tags\n---` — дату взял из имени файла / git log
+- **undated TODOs** 48 штук: проставил `(YYYY-MM-DD)` у каждого
+- **broken path** 1 шт: починил ссылку `feedback_spaceweb_dns.md` в `projects/dttb/spaceweb-dns.md`
+- **orphan files** 90 штук: написал **собственный helper** `scripts/kb-add-indexes.py` который создаёт секцию `## Навигация` с wikilin
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 51 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-204659-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,44 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-18T17:46:59.114Z
+messages: 52
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+## Проверка прошла — всё адекватно
+
+### Frontmatter-ы аккуратные:
+
+```yaml
+notes/2026-02-26-session-summary.md:
+  date: 2026-02-26       ← взят из имени файла
+  type: note
+  tags: [note]
+
+projects/bitrix-sites.md:
+  date: 2026-04-17       ← взят из git log (создан вчера)
+  type: project          ← по папке
+  tags: [note]
+
+snippets/proxmox-console-quirks.md:
+  date: 2026-03-04
+  type: reference        ← по папке snippets → reference
+  tags: [snippet, proxmox]   ← осмысленно извлёк тему
+```
+
+### Н
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 52 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-204911-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,31 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-18T17:49:11.598Z
+messages: 53
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Safety done (hard timeout 30 мин). Теперь большой выбор.
+
+## Что осталось из плана — выбери одно
+
+| # | Задача | Время | ROI |
+|---|---|---|---|
+| **A** | **iPhone Obsidian через iCloud Drive** — symlink vault в iCloud, iPhone-Obsidian подхватывает, real-time из любого места | 30 мин | Высокий (daily) |
+| **B** | **Тест восстановления PBS** — симуляция потери LXC 136 gitea / VM 250 Nextcloud. Узнать сколько минут до рабочего состояния | 1 час | Средний (реже нужно) |
+| **C** | **RAG для openclaw
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 53 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-205136-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,31 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-18T17:51:36.699Z
+messages: 54
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Важное открытие: у тебя уже есть vault `mozg2` в iCloud-Obsidian контейнере. Значит iPhone Obsidian настроен. Но **перемещать `~/knowledge-base` в iCloud рискованно** — это ломает все пути в Stop-hook, rclone, Obsidian registry, весь день работы сегодня.
+
+## 3 реальных пути — выбирай
+
+### **A. Nextcloud iOS app + Obsidian (5 минут, 0 риска)** ⭐
+На iPhone ты уже имеешь vault на Nextcloud dttb.ru через существующий sync. Просто:
+
+1. На iPhone установи приложение **Nextcloud** (из App Store)
+2. Лог
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 54 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-205353-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,35 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-18T17:53:53.970Z
+messages: 55
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Nextcloud iOS уже настроен — тогда QR не нужен. Финальные шаги в нём + Obsidian iOS.
+
+## Что сделать на iPhone — 3 шага
+
+### 1. Nextcloud iOS: пометить папку для оффлайн-доступа
+- Открой Nextcloud app → Files
+- Найди папку **Knowledge Base**
+- Тапни по **«…»** (три точки) рядом с ней → **«Make available offline»** (или «Доступно офлайн»)
+- Подожди пока скачает (~4 MB, секунды)
+
+Это важно: иначе Obsidian iOS будет тормозить на каждом открытии файла, ждать скачивания.
+
+### 2. Obsidian iOS: открыть
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 55 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-211902-ghg.md

@@ -0,0 +1,33 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6
+started: 2026-04-17T22:15:50.961Z
+ended: 2026-04-18T18:19:02.204Z
+messages: 25
+tools: [Bash, Edit, Read, Write]
+tags: [claude, session]
+---
+
+# ghg
+
+## Запрос
+
+ghg
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Нашёл причину. Смотри логи:
+
+```
+Apr 18 08:38:25 ... lane=session:agent:main:telegram:direct:1292155421 
+    error="FailoverError: Unknown model: kr/claude-sonnet-4.5"
+model fallback decision: ... next=zai/kr/claude-sonnet-4.5
+```
+
+**Твоя сессия продолжает использовать `kr/claude-sonnet-4.5` (bare, без префикса).** Я этой модели удалил из каталога, когда чистили. Каждый твой запрос:
+1. Пытается `kr/claude-sonnet-4.5` → Unknown model
+2. Падает в fallback → `zai/kr/...` → если эта тоже не сработае
+
+---
+*Автосохранено из session [`d655a41a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6.jsonl) — 25 сообщ., тулы: Bash, Edit, Read, Write*

notes/claude/2026-04-18-213716-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,36 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-18T18:37:16.548Z
+messages: 55
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Ты попал в окно **«Создать хранилище в iCloud»** — это не то. Жми **Назад**, на главном экране Obsidian выбери другой вариант.
+
+## Нужный путь
+
+На экране добавления хранилища должно быть **4 варианта**:
+
+1. ❌ **Хранить в iCloud** — не это (Apple iCloud, нам не нужно)
+2. ❌ **Хранить локально** — только на iPhone, без sync
+3. ✅ **«Открыть папку в качестве хранилища»** (иногда «Open folder as vault») ← **ВОТ ЭТО**
+4. **Запустить в режиме только чтения**
+
+## Следующий шаг
+
+После выбора **«Открыть па
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 55 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*