code-server auto-sync 2026-06-28T06:05:01+00:00

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>

CLAUDE.md

@@ -47,6 +47,14 @@
 - Домены NPM: смотри `projects/dttb/npm-proxy-hosts.md`
 - Карта сети: смотри `projects/dttb/network-topology.md`
 
+## Podkop (обход РКН на OpenWrt — почти все объекты)
+**Канонический справочник:** `snippets/podkop-reference.md` (модель, списки, конфиг, грабли, инвентарь). Диагностика «не работает»: `snippets/podkop-fakeip-diagnostics.md`.
+Кардинальные правила (за них уже наступали на грабли):
+- Объект **в РФ** (выход туннеля зарубежный) → списки `russia_inside` / точечные `meta`/`youtube`/`telegram`. **НИКОГДА `russia_outside`** (это РФ-сайты для тех, кто ЗА границей — сломает gosuslugi/ozon/ЕИС).
+- РФ-сайт «Доступ ограничен» + FakeIP → убирать лишний **список**, а не лепить per-domain override (overrides слетают при реконфиге podkop).
+- Фейкапится ли домен: `ssh root@<router> 'nslookup ДОМЕН 127.0.0.42'` (198.18.x = ушёл в туннель).
+- busybox `ip -br` не работает; `disable_quic=1` обязателен; awg0 в firewall WAN-зоне.
+
 ## Как работать
 - Перед правкой — читай текущее состояние файла
 - Не предлагай решения, которые уже описаны в `decisions/`

audit/2026-05-31-creds-drift.md

@@ -0,0 +1,47 @@
+---
+date: 2026-05-31
+type: audit
+source: kb-audit-creds.py
+tags: [audit, creds, reachability]
+---
+
+# Credentials reachability — 2026-05-31
+
+Ping-проверка URL из [[../projects/dttb/credentials|credentials.md]].
+Проверяется только reachability (HTTP status), не реальный логин.
+
+- Всего URL: **20**
+- ✓ Reachable: 17 / ⚠ Questionable: 3 / ❌ Unreachable: 0
+
+## ⚠ Нестандартный ответ
+
+| URL | Status | Detail |
+|---|---|---|
+| `https://remot.dttb.ru/swagger/index.html` | 404 | Not Found |
+| `https://api.netbird.io` | 404 | Not Found |
+| `https://api.netbird.io/api/setup-keys` | 404 | Not Found |
+
+## ✓ Все ответили нормально
+
+| URL | Status | Категория |
+|---|---|---|
+| `https://10.0.0.250:8006` | 200 | ✓ reachable |
+| `https://pve.dttb.ru` | 200 | ✓ reachable |
+| `http://10.0.0.189:3000` | 200 | ✓ reachable |
+| `http://git.dttb.ru` | 200 | ✓ reachable |
+| `http://10.0.0.195:81` | 200 | ✓ reachable |
+| `https://npm.dttb.ru` | 200 | ✓ reachable |
+| `https://remot.dttb.ru/_admin` | 200 | ✓ reachable |
+| `https://dttb.ru` | 200 | ✓ reachable |
+| `https://dttb.ru/remote.php/dav/files/admin` | 401 | ✓ auth-required (сервер жив) |
+| `https://vps.sweb.ru` | 200 | ✓ reachable |
+| `https://api.sweb.ru/domains/dns` | 200 | ✓ reachable |
+| `https://mail.niikn.com` | 200 | ✓ reachable |
+| `http://192.168.1.22:81` | 200 | ✓ reachable |
+| `https://edit.telegra.ph/auth/f1tfgzYpPpGlAr7cYHRzSeH59fYuNVB2V3fbCdypDc` | 200 | ✓ reachable |
+| `https://api.telegra.ph/createPage` | 200 | ✓ reachable |
+| `https://api.telegra.ph/editPage` | 200 | ✓ reachable |
+| `https://telegra.ph/Nastrojka-VPN-04-24-2` | 200 | ✓ reachable |
+
+---
+*Автоматически через `scripts/kb-audit-creds.py`.*

audit/2026-05-31-dns-drift.md

@@ -0,0 +1,83 @@
+---
+date: 2026-05-31
+type: audit
+source: kb-audit-dns.py
+tags: [audit, dns]
+---
+
+# DNS resolve audit — 2026-05-31
+
+Резолвим все домены из NPM через публичный DNS (8.8.8.8) и локальный роутер (10.0.0.1).
+
+- Всего доменов: **23**
+- NXDOMAIN на 8.8.8.8: 2 / пустой ответ локально: 1 / split-horizon: 21
+
+## ❌ NXDOMAIN / не резолвится на 8.8.8.8 (публичный DNS)
+
+| Домен | Локальный IP |
+|---|---|
+| `itilegent.ru` | (тоже нет) |
+| `vpn.dttb.ru` | 10.0.0.195 |
+
+## ⚠ Split-horizon — разные IP снаружи и внутри
+
+Это нормально для *.dttb.ru (внешний Let's Encrypt IP vs локальный 10.0.0.195). Но неожиданный split может быть багом.
+
+| Домен | Публичный (8.8.8.8) | Локальный (10.0.0.1) |
+|---|---|---|
+| `ai.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bit.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bitrix24.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `git.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `home.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `ip.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `link.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `mail.dttb.ru` | 176.62.183.186 | 10.0.0.107 |
+| `matrix.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `npm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `office.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `omni.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `plex.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `porteiner.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `pve.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `rec.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `remot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `router.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `z.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+
+## ⚠ Пустой локальный резолв (роутер не знает)
+
+- `itilegent.ru` (публичный: -)
+
+## Полная таблица резолва
+
+| Домен | 8.8.8.8 | 10.0.0.1 |
+|---|---|---|
+| `ai.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bit.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bitrix24.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `git.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `home.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `ip.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `itilegent.ru` | — | — |
+| `link.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `mail.dttb.ru` | 176.62.183.186 | 10.0.0.107 |
+| `matrix.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `npm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `office.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `omni.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `plex.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `porteiner.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `pve.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `rec.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `remot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `router.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `vpn.dttb.ru` | — | 10.0.0.195 |
+| `z.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+
+---
+*Автоматически через `scripts/kb-audit-dns.py`.*

audit/2026-05-31-drift.md

@@ -0,0 +1,72 @@
+---
+date: 2026-05-31
+type: audit
+source: kb-audit.py
+tags: [audit, drift, infrastructure]
+---
+
+# KB drift audit — 2026-05-31
+
+Сравнение живого `pct list` / `qm list` с [[../projects/dttb/proxmox-inventory|proxmox-inventory.md]]
+
+- Живых гостей Proxmox: **40**
+- Упомянуто в inventory: **39**
+- В обоих: 38 / только в live: 2 / отсутствуют в live: 0
+- Известны как удалённые: 1 (в `## 🗑️ Удалённые`)
+
+## ⚠ В Proxmox есть, в inventory НЕТ (надо добавить)
+
+| VMID | Type | Status | Name |
+|---|---|---|---|
+| 131 | VM | stopped | ubuntu |
+| 139 | LXC | running | severny-les |
+
+## ✓ Удалённые хосты (задокументированы): 135
+
+## Полный живой список
+
+| VMID | Type | Status | Name |
+|---|---|---|---|
+| 100 | VM | stopped | NV |
+| 101 | LXC | stopped | n8n |
+| 102 | LXC | stopped | SMB |
+| 103 | LXC | running | NPM |
+| 104 | VM | stopped | Agent-DVR |
+| 105 | VM | stopped | Nextcloud-AIO-dttb.ru |
+| 106 | VM | running | pbs |
+| 107 | VM | running | Mailcow |
+| 108 | LXC | stopped | zabbix |
+| 109 | VM | stopped | itilelegent |
+| 110 | VM | stopped | Cloud |
+| 111 | VM | running | WinServer2025 |
+| 112 | VM | running | cloud-dttb |
+| 113 | LXC | running | VaultWarden |
+| 114 | LXC | running | LinkWarden |
+| 115 | LXC | running | watchyourlan |
+| 116 | LXC | running | rustdeskserver |
+| 117 | LXC | running | motioneye |
+| 118 | LXC | stopped | plex |
+| 119 | LXC | running | myspeed |
+| 120 | VM | stopped | 7 |
+| 121 | LXC | stopped | docker-windows |
+| 122 | LXC | stopped | qbittorrent |
+| 123 | LXC | stopped | proxmox-local |
+| 124 | VM | stopped | Matrix |
+| 125 | VM | stopped | datacentr |
+| 126 | LXC | running | debian |
+| 127 | VM | running | haos-17.0 |
+| 128 | LXC | stopped | profi-parser |
+| 129 | VM | stopped | profi-parser-vm |
+| 130 | VM | stopped | Zima-OS |
+| 131 | VM | stopped | ubuntu |
+| 132 | LXC | running | code-server |
+| 133 | VM | stopped | s1c-buzharovo |
+| 134 | LXC | running | ZnamSecurityBot |
+| 136 | LXC | running | gitea |
+| 137 | LXC | running | openclaw |
+| 138 | LXC | running | vpn-proxy |
+| 139 | LXC | running | severny-les |
+| 250 | VM | running | Nextcloud-AIO |
+
+---
+*Автоматически сгенерировано `scripts/kb-audit.py`. Применять правки — вручную после ревью.*

audit/2026-05-31-health.md

@@ -0,0 +1,221 @@
+---
+date: 2026-05-31
+type: audit
+source: kb-health.py
+score: 1181
+tags: [audit, health, metric]
+---
+
+# KB health — 2026-05-31
+
+**Score (меньше = лучше): `1181`**
+Проверено файлов: 1132
+
+## Разбивка
+
+| Категория | Кол-во | Вес | Штраф |
+|---|---:|---:|---:|
+| broken_wikilinks | 14 | 10 | 140 |
+| broken_paths | 76 | 10 | 760 |
+| missing_frontmatter | 21 | 3 | 63 |
+| orphan_files | 54 | 2 | 108 |
+| undated_todos | 80 | 1 | 80 |
+| duplicate_basenames | 6 | 5 | 30 |
+| **ИТОГО** | | | **1181** |
+
+## Битые wikilinks
+
+| Откуда | `[[таргет]]` |
+|---|---|
+| `decisions/2026-05-26-omni-domain-and-update.md` | `[[feedback_spaceweb_dns_desync]]` |
+| `decisions/2026-05-23-glavtorg-autologon-off.md` | `[[feedback_vmware_workstation_session]]` |
+| `projects/dttb/finland-hostkey-vps.md` | `[[../../claude-memory/finland-vps-security]]` |
+| `projects/niikn/maul-pc.md` | `[[project_niikn_maxim_assistant]]` |
+| `projects/niikn/maul-pc.md` | `[[../../snippets/netbird-claude-install.ps1]]` |
+| `projects/niikn/maul-pc.md` | `[[../../snippets/clients/]]` |
+| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 0]]` |
+| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 1]]` |
+| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 2]]` |
+| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 3]]` |
+| `snippets/podkop-reference.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_busybox_ip_br_flag\]]` |
+| `snippets/podkop-reference.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_iphone_breaks_fakeip\]]` |
+| `snippets/podkop-reference.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring]]` |
+| `snippets/podkop-fakeip-diagnostics.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_openclaw_crash_loop]]` |
+
+## Битые relative-пути
+
+| Откуда | Путь |
+|---|---|
+| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_superwhisper_no_license.md` |
+| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/reference_groq_api.md` |
+| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_superwhisper_no_license.md` |
+| `notes/ru-geoblocked-services.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_win11_unattended_upgrade.md` |
+| `notes/ru-geoblocked-services.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_nspd_blocks_mts.md` |
+| `notes/claude/2026-04-21-200915-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md` | `projects/dttb/vps-swtest.md` |
+| `notes/claude/2026-05-21-102751-давай-проверим-openvrt-benelux.md` | `snippets/clients/alexandr-benelux-amnezia-reinstall.md` |
+| `notes/claude/2026-04-24-194555-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `projects/dttb/credentials.md` |
+| `notes/claude/2026-04-20-113423-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md` |
+| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `decisions/2026-04-28-rustdesk-lejianwen-pro-migration.md` |
+| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/rustdesk.md` |
+| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/credentials.md` |
+| `notes/claude/2026-04-30-221054-найди-инфу-вчера-оксане-делали-доступ-через-рустде.md` | `projects/niikn/office-pc.md` |
+| `notes/claude/2026-04-29-153123-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/proxmox-inventory.md` |
+| `notes/claude/2026-04-29-153123-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/credentials.md` |
+| `notes/claude/2026-04-29-231939-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/happ-routing-roscomvpn.md` |
+| `notes/claude/2026-04-24-194322-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/clients/yaroslav-amnezia-setup.md` |
+| `notes/claude/2026-04-24-194322-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/apple-id-us-on-russia.md` |
+| `notes/claude/2026-05-04-100627-можешь-составлять-графические-схемы-на-dttbruhttpd.md` | `projects/znamenskoye/network-topology-diagram.md` |
+| `notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `projects/mmfb/mikrotik.md` |
+| `notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `projects/niikn/mikrotik.md` |
+| `notes/claude/2026-04-24-165527-новый-клиент-ммфб-юрий-витальевич-нужно-подключить.md` | `projects/mmfb/yuri-vitalievich.md` |
+| `notes/claude/2026-05-06-210824-superwhisper-можешь-проверить-не-работает.md` | `../knowledge-base/decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` |
+| `notes/claude/2026-05-20-195902-давай-проверим-openvrt-benelux.md` | `decisions/2026-05-20-benelux-compromise.md` |
+| `notes/claude/2026-05-28-131315-нужно-в-нетбирд-найти-и-настроить-подключение-к-эт.md` | `projects/niikn/maul-pc.md` |
+| `notes/claude/2026-04-29-160010-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/clients/yaroslav-happ-setup.md` |
+| `notes/claude/2026-05-04-085317-можешь-составлять-графические-схемы-на-dttbruhttpd.md` | `projects/dttb/network-topology-diagram.md` |
+| `notes/claude/2026-05-21-104248-давай-проверим-openvrt-benelux.md` | `projects/benilux/credentials.md` |
+| `notes/claude/2026-04-29-071329-на-компе-юрия-продолжим-проверь-он-сети.md` | `projects/mmfb/otchet-yuri-2026-04.md` |
+| `notes/claude/2026-05-23-133737-еще-клиент-ярослав-сервера-1с-главторг-жалуется-чт.md` | `projects/glavtorg/instruction-yaroslav-autologon.md` |
+| `notes/claude/2026-05-27-191956-давай-проверим-openvrt-benelux.md` | `snippets/clients/alexandr-benelux-power-recovery.md` |
+| `notes/claude/2026-04-21-203517-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md` | `/Users/ai/.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag.md` |
+| `notes/claude/2026-05-28-215219-102531240-администратор-ol260380eg-нужно-подключит.md` | `projects/mmfb/lionart-1c.md` |
+| `notes/claude/2026-05-26-111148-нужно-на-omni-робуте-установить-ему-домен-у-тебя-е.md` | `memory/feedback_antigravity_onboarding.md` |
+| `notes/claude/2026-05-26-111148-нужно-на-omni-робуте-установить-ему-домен-у-тебя-е.md` | `memory/MEMORY.md` |
+| `notes/claude/2026-04-29-150044-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/vpn-clients.md` |
+| `notes/claude/2026-04-29-223542-создадим-еще-одного-пользователя-подключение-к-vpn.md` | `snippets/clients/sergey-znamenskoye-happ-setup.md` |
+| `notes/claude/2026-05-20-204621-давай-проверим-openvrt-benelux.md` | `snippets/clients/alexandr-benelux-amnezia-reinstall.md` |
+| `notes/claude/2026-05-20-190402-давай-проверим-openvrt-benelux.md` | `projects/benilux/README.md` |
+| `notes/claude/2026-05-20-190402-давай-проверим-openvrt-benelux.md` | `decisions/2026-05-20-benelux-compromise.md` |
+| `notes/claude/2026-04-28-134112-можешь-найти-кп-мичуринец.md` | `projects/dttb/znamenskoye-network-topology.md` |
+| `notes/claude/2026-04-28-134112-можешь-найти-кп-мичуринец.md` | `claude-memory/benelux-topology.md` |
+| `notes/claude/2026-04-25-001105-на-сервере-glavtorg-можешь-запустить-виртулку-с-ам.md` | `projects/glavtorg/README.md` |
+| `notes/claude/2026-05-23-123133-давай-проверим-openvrt-benelux.md` | `snippets/clients/alexandr-benelux-amnezia-reinstall.md` |
+| `notes/claude/2026-04-24-230658-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/clients/yaroslav-amnezia-setup.md` |
+| `notes/claude/2026-04-24-193827-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/clients/yaroslav-amnezia-setup.md` |
+| `notes/claude/2026-04-24-193827-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `projects/dttb/vpn-clients.md` |
+| `notes/claude/2026-05-20-200220-давай-проверим-openvrt-benelux.md` | `projects/dttb/credentials.md` |
+| `notes/claude/2026-05-27-102650-давай-проверим-openvrt-benelux.md` | `snippets/clients/alexandr-benelux-amnezia-reinstall.md` |
+| `notes/claude/2026-04-29-180420-создадим-еще-одного-пользователя-подключение-к-vpn.md` | `snippets/clients/sergey-znamenskoye-happ-setup.md` |
+| ... | +26 ещё |
+
+## Без frontmatter (21)
+
+- `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md`
+- `notes/ru-geoblocked-services.md`
+- `projects/dttb/znamenskoye-log.md`
+- `projects/niikn/office-pc.md`
+- `projects/niikn/kripto-arm.md`
+- `projects/mmfb/yuri-vitalievich.md`
+- `projects/mmfb/otchet-yuri-2026-04.md`
+- `projects/dttb/graphify-out/GRAPH_REPORT.md`
+- `snippets/happ-vpn-client-instruction.md`
+- `snippets/invoice-template.md`
+- `snippets/assets/happ-routing-roscomvpn/README-upstream.md`
+- `claude-memory/servicedesk-dttb.md`
+- `claude-memory/benelux.md`
+- `claude-memory/nextcloud-dttb.md`
+- `claude-memory/nvr-fix.md`
+- `claude-memory/videonablyudenie.md`
+- `claude-memory/znamenskoe-home.md`
+- `claude-memory/niikn-nextcloud.md`
+- `claude-memory/krasnogorsk.md`
+- `claude-memory/mas-niikn.md`
+- `claude-memory/MEMORY.md`
+
+## Orphan — без бэклинков (54)
+
+_Эти файлы никто не упоминает через `[[..]]`. Кандидаты на удаление или добавление ссылок._
+
+- `decisions/2026-05-14-buzharovo-watchdog-public-only.md`
+- `decisions/2026-04-30-niikn-culture-gov-fakeip-fix.md`
+- `decisions/2026-05-26-server-upgrade-z6-g4.md`
+- `decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md`
+- `decisions/2026-05-26-omni-domain-and-update.md`
+- `decisions/2026-04-28-netbird-watchdog-lxc-132-137.md`
+- `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md`
+- `decisions/2026-05-23-glavtorg-autologon-off.md`
+- `decisions/2026-05-08-buzharovo-1c-licensing-options.md`
+- `decisions/2026-05-06-kb-search-overhaul.md`
+- `decisions/2026-04-28-niikn-uookn-sev-gov-fakeip-fix.md`
+- `notes/ru-geoblocked-services.md`
+- `projects/dttb/network-topology-diagram.md`
+- `projects/glavtorg/instruction-yaroslav-autologon.md`
+- `projects/benilux/credentials.md`
+- `projects/niikn/mailcow.md`
+- `projects/niikn/NIIKN-Infrastructure.md`
+- `projects/niikn/maul-pc.md`
+- `projects/niikn/groupfolders-migration.md`
+- `projects/niikn/credentials.md`
+- `projects/niikn/changelog.md`
+- `projects/niikn/matrix.md`
+- `projects/niikn/proxmox.md`
+- `projects/niikn/NIIKN-ChangeLog.md`
+- `projects/niikn/npm.md`
+- `projects/niikn/network-topology-diagram.md`
+- `projects/niikn/NC-Talk-Setup.md`
+- `projects/niikn/domofon.md`
+- `projects/niikn/vpn.md`
+- `projects/mmfb/mikrotik.md`
+- ... +24 ещё
+
+## TODO без даты (80 шт в 13 файлах)
+
+- `decisions/2026-04-30-rustdesk-pre-prod-audit.md` — 13 шт
+- `projects/lipki/README.md` — 11 шт
+- `templates/vpn-client.md` — 7 шт
+- `decisions/2026-05-26-server-upgrade-z6-g4.md` — 6 шт
+- `decisions/2026-04-29-rustdesk-client-deployment-package.md` — 6 шт
+- `projects/openwrt-4/README.md` — 6 шт
+- `projects/buzharovo/severny-les-bot.md` — 6 шт
+- `projects/dttb/vpn-clients.md` — 5 шт
+- `projects/vishnevyy-sad/README.md` — 5 шт
+- `claude-memory/mas-niikn.md` — 5 шт
+- `decisions/2026-05-20-benelux-compromise.md` — 4 шт
+- `projects/sergey/README.md` — 3 шт
+- `projects/peredelki/README.md` — 3 шт
+
+## Дубликаты имён (6)
+
+- `README.md`:
+  - `README.md`
+  - `decisions/README.md`
+  - `notes/README.md`
+  - `projects/znamenskoye/README.md`
+  - `projects/openwrt-4/README.md`
+  - `projects/dttb/README.md`
+  - `projects/glavtorg/README.md`
+  - `projects/benilux/README.md`
+  - `projects/vishnevyy-sad/README.md`
+  - `projects/sergey/README.md`
+  - `projects/niikn/README.md`
+  - `projects/lipki/README.md`
+  - `projects/krasnogorsk/README.md`
+  - `projects/mmfb/README.md`
+  - `projects/buzharovo/README.md`
+  - `projects/peredelki/README.md`
+  - `projects/zelenograd/README.md`
+  - `projects/dttb/nextcloud-talk-bot/README.md`
+  - `snippets/README.md`
+  - `snippets/mac-dictation/README.md`
+  - `scripts/README.md`
+- `nextcloud.md`:
+  - `projects/nextcloud.md`
+  - `projects/dttb/nextcloud.md`
+- `network-topology-diagram.md`:
+  - `projects/znamenskoye/network-topology-diagram.md`
+  - `projects/dttb/network-topology-diagram.md`
+  - `projects/niikn/network-topology-diagram.md`
+- `proxmox-inventory.md`:
+  - `projects/dttb/proxmox-inventory.md`
+  - `projects/mmfb/proxmox-inventory.md`
+- `credentials.md`:
+  - `projects/dttb/credentials.md`
+  - `projects/benilux/credentials.md`
+  - `projects/niikn/credentials.md`
+  - `projects/peredelki/credentials.md`
+- `mikrotik.md`:
+  - `projects/niikn/mikrotik.md`
+  - `projects/mmfb/mikrotik.md`
+
+---
+*Генерируется `scripts/kb-health.py`. JSON-версия в `audit/health-latest.json` для agent-loop.*

audit/2026-05-31-npm-drift.md

@@ -0,0 +1,63 @@
+---
+date: 2026-05-31
+type: audit
+source: kb-audit-npm.py
+tags: [audit, drift, npm]
+---
+
+# NPM drift audit — 2026-05-31
+
+Сверка [[../projects/dttb/npm-proxy-hosts|npm-proxy-hosts.md]] с NPM API (https://npm.dttb.ru).
+
+- Живых proxy hosts: **23**
+- В KB: **21**
+- Совпадений: 21 / новых: 2 / удалённых из NPM: 0 / с изменениями: 3
+
+## ⚠ Новые hosts (в NPM есть, в KB нет)
+
+| ID | Домены | Backend | SSL | Enabled |
+|---|---|---|---|---|
+| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
+| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
+
+## 🔄 Изменения (ID совпадает, но что-то сменилось)
+
+### #12 `bitrix24.dttb.ru`
+- backend: KB=`10.0.0.223:8080` → live=`10.0.0.224:8080`
+
+### #14 `remot.dttb.ru`
+- backend: KB=`10.0.0.43:21114` → live=`10.0.0.244:21114`
+
+### #22 `git.dttb.ru`
+- ssl: KB=✗ → live=✓
+
+## Полный живой список
+
+| ID | Домены | Backend | SSL | Enabled |
+|---|---|---|---|---|
+| 1 | `dttb.ru` | `10.0.0.230:11001` | ✓ | on |
+| 2 | `office.dttb.ru` | `10.0.0.169:8080` | ✓ | on |
+| 3 | `itilegent.ru` | `10.0.0.223:8080` | ✓ | on |
+| 4 | `npm.dttb.ru` | `10.0.0.195:81` | ✓ | on |
+| 5 | `porteiner.dttb.ru` | `10.0.0.10:9443` | ✓ | on |
+| 6 | `pve.dttb.ru` | `10.0.0.250:8006` | ✓ | on |
+| 9 | `ai.dttb.ru` | `10.0.0.179:8080` | ✓ | on |
+| 10 | `bit.dttb.ru` | `10.0.0.217:8080` | ✓ | on |
+| 11 | `link.dttb.ru` | `10.0.0.184:3000` | ✓ | on |
+| 12 | `bitrix24.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
+| 13 | `ip.dttb.ru` | `10.0.0.112:8840` | ✓ | on |
+| 14 | `remot.dttb.ru` | `10.0.0.244:21114` | ✓ | on |
+| 15 | `plex.dttb.ru` | `10.0.0.200:32400` | ✓ | on |
+| 16 | `home.dttb.ru` | `10.0.0.155:8123` | ✓ | on |
+| 17 | `z.dttb.ru` | `10.0.0.220:80` | ✓ | on |
+| 21 | `rec.dttb.ru` | `10.0.0.227:8091` | ✓ | on |
+| 22 | `git.dttb.ru` | `10.0.0.189:3000` | ✓ | on |
+| 23 | `matrix.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
+| 25 | `mail.dttb.ru` | `10.0.0.107:443` | ✓ | on |
+| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
+| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
+| 28 | `bot.dttb.ru` | `10.0.0.239:18789` | ✓ | on |
+| 29 | `omni.dttb.ru` | `10.0.0.179:20128` | ✓ | on |
+
+---
+*Автоматически через `scripts/kb-audit-npm.py`.*

audit/2026-05-31-objects-audit.md

@@ -0,0 +1,47 @@
+---
+date: 2026-05-31
+type: audit
+source: scripts/kb-objects-audit.py
+tags: [audit, objects, frontmatter, links]
+score: 39
+---
+
+# KB objects audit — 2026-05-31
+
+**Score (меньше = лучше): `39`**
+
+- Проектов с frontmatter: **14/14** (0 проблем)
+- NetBird online-пиров без проектной карточки: **3**
+- Битых wiki-ссылок `[[...]]`: **11**
+
+## Frontmatter в projects/
+
+✅ все проекты имеют валидный frontmatter
+
+## Online netbird-пиры без проектной карточки
+
+Эти пиры онлайн в NetBird, но не привязаны ни к одной projects/-странице. 
+Бот не сможет ответить «найди X» осмысленно — нет файла или alias.
+
+Лечение: либо создать stub в `projects/<slug>/README.md` (см. `projects/lipki/` как образец), 
+либо добавить имя пира как полную строку в `aliases` подходящего проекта.
+
+| NetBird-имя | IP | OS | Город |
+|---|---|---|---|
+| `DESKTOP-2IOQS54` | 100.70.82.83 | Windows 10 | Saransk |
+| `DESKTOP-AGBMLPN` | 100.70.0.106 | Windows 11 | Helsinki |
+| `DESKTOP-HL0BB05` | 100.70.235.80 | Windows 11 | Lipetsk |
+
+## Битые wiki-ссылки
+
+- [snippets/podkop-reference.md](snippets/podkop-reference.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_busybox_ip_br_flag\|памятка]]` → нет такого файла
+- [snippets/podkop-reference.md](snippets/podkop-reference.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_iphone_breaks_fakeip\|памятка]]` → нет такого файла
+- [snippets/podkop-reference.md](snippets/podkop-reference.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring|памятка: корень vs band-aid]]` → нет такого файла
+- [snippets/podkop-fakeip-diagnostics.md](snippets/podkop-fakeip-diagnostics.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_openclaw_crash_loop|памятку про sing-box crash-loop]]` → нет такого файла
+- [decisions/2026-05-26-omni-domain-and-update.md](decisions/2026-05-26-omni-domain-and-update.md) — `[[feedback_spaceweb_dns_desync]]` → нет такого файла
+- [decisions/2026-05-23-glavtorg-autologon-off.md](decisions/2026-05-23-glavtorg-autologon-off.md) — `[[feedback_vmware_workstation_session]]` → нет такого файла
+- [projects/dttb/finland-hostkey-vps.md](projects/dttb/finland-hostkey-vps.md) — `[[../../claude-memory/finland-vps-security]]` → нет такого файла
+- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[project_niikn_maxim_assistant|Максима Мауля]]` → нет такого файла
+- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[../../snippets/netbird-claude-install.ps1]]` → нет такого файла
+- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[rustdesk\|lejianwen-pro LXC 116]]` → нет такого файла
+- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[../../snippets/clients/|метод]]` → нет такого файла

audit/2026-05-31-proposed.md

@@ -0,0 +1,41 @@
+---
+date: 2026-05-31
+type: audit-proposed
+source: kb-audit-propose.sh (Opus 4.7)
+tags: [audit, proposed, inventory]
+---
+
+# Предложенные правки inventory — 2026-05-31
+
+Сгенерировано Claude Opus на основе [[2026-05-31-drift|drift-отчёта]].
+**Правки НЕ применены.** Ревью — ты. Apply — вручную.
+
+План записан в `/root/.claude/plans/swift-tinkering-ladybug.md`. Кратко:
+
+## 1. Резюме
+В Proxmox добавился `LXC 139 severny-les`, а VMIDs **129 и 133** (раньше Clawdbot/clawdbot-1 в разделе «🗑️ Удалённые») **переиспользованы** под новые VM `profi-parser-vm` и `s1c-buzharovo`. Сводка/счётчики устарели и расходятся с телом таблиц.
+
+## 2. Блоки правок
+
+**A. Шапка** — дату обновления → 2026-05-31.
+
+**B. Сводка** — пересчёт:
+- VM: 15→**18** (5/13)
+- LXC: 21→**22** (11/11)
+- Итого: 36→**40** (16/24)
+
+**C. Остановленные VM** — добавить две строки (129 `profi-parser-vm`, 133 `s1c-buzharovo`) с пометкой «VMID переиспользован».
+
+**D. Запущенные LXC** — добавить блок `### LXC 139 — severny-les` (только статус + плейсхолдер «уточнить» для IP/CPU/RAM — данных в отчёте нет).
+
+**E. Раздел «🗑️ Удалённые»** — к строкам 129/133 дописать **жирным**, что VMID переиспользованы (иначе кто-то решит, что они свободны).
+
+Полные diff-блоки — в плане.
+
+## 3. Предупреждения
+
+- **VM 131 `ubuntu`** — drift-скрипт ошибочно пометил как «отсутствует». На деле он уже есть в inventory с пометкой «(новый, уточнить)». Править не нужно, но парсер `kb-audit.py` стоит починить.
+- **CPU/RAM/диск/IP для 129, 133, 139** в drift-отчёте отсутствуют — в плане стоят плейсхолдеры. Перед коммитом дёрнуть `qm config 129/133` и `pct config 139` на pve.
+- **`profi-parser-vm` (VM 129) vs `profi-parser` (LXC 128)** — похоже на миграцию парсера с LXC на VM, стоит уточнить.
+- **`s1c-buzharovo` (VM 133)** — имя похоже на «1С buzharovo». Уже есть VM 111 (бывшая 1С, теперь Parsec) — возможно, это отдельное окружение 1С. Не утверждаю без подтверждения.
+- Сводка и тело таблиц расходились ещё **до** drift'а — текущий пересчёт это попутно чинит.

audit/2026-06-07-creds-drift.md

@@ -0,0 +1,52 @@
+---
+date: 2026-06-07
+type: audit
+source: kb-audit-creds.py
+tags: [audit, creds, reachability]
+---
+
+# Credentials reachability — 2026-06-07
+
+Ping-проверка URL из [[../projects/dttb/credentials|credentials.md]].
+Проверяется только reachability (HTTP status), не реальный логин.
+
+- Всего URL: **20**
+- ✓ Reachable: 10 / ⚠ Questionable: 1 / ❌ Unreachable: 9
+
+## ❌ Недоступные (проверить: сервер упал? URL поменялся?)
+
+| URL | Status | Detail | Контекст |
+|---|---|---|---|
+| `https://vps.sweb.ru` | FAIL | timed out | --------- ----------    URL   https://vps.sweb.ru  |
+| `https://api.sweb.ru/domains/dns` | FAIL | timed out | ароль   `1qaz!QAZ`     API   `https://api.sweb.ru/ |
+| `https://mail.niikn.com` | FAIL | timed out | --------- ----------    URL   https://mail.niikn.c |
+| `https://edit.telegra.ph/auth/f1tfgzYpPpGlAr7cYHRzSeH59fYuNVB2V3fbCdypDc` | FAIL | [Errno 104] Connection reset by peer | Auth URL (вход в редактор)   https://edit.telegra. |
+| `https://api.telegra.ph/createPage` | FAIL | [Errno 104] Connection reset by peer | тся. Создание страницы: `POST https://api.telegra. |
+| `https://api.telegra.ph/editPage` | FAIL | [Errno 104] Connection reset by peer | _token. Редактирование: `POST https://api.telegra. |
+| `https://telegra.ph/Nastrojka-VPN-04-24-2` | FAIL | [Errno 104] Connection reset by peer | `.  **Созданные страницы:** - https://telegra.ph/N |
+| `https://api.netbird.io` | FAIL | timed out | C0AAXjN21NPvM`     API URL   `https://api.netbird. |
+| `https://api.netbird.io/api/setup-keys` | FAIL | timed out | it":0,"ephemeral":false}' \   https://api.netbird. |
+
+## ⚠ Нестандартный ответ
+
+| URL | Status | Detail |
+|---|---|---|
+| `https://remot.dttb.ru/swagger/index.html` | 404 | Not Found |
+
+## ✓ Все ответили нормально
+
+| URL | Status | Категория |
+|---|---|---|
+| `https://10.0.0.250:8006` | 200 | ✓ reachable |
+| `https://pve.dttb.ru` | 200 | ✓ reachable |
+| `http://10.0.0.189:3000` | 200 | ✓ reachable |
+| `http://git.dttb.ru` | 200 | ✓ reachable |
+| `http://10.0.0.195:81` | 200 | ✓ reachable |
+| `https://npm.dttb.ru` | 200 | ✓ reachable |
+| `https://remot.dttb.ru/_admin` | 200 | ✓ reachable |
+| `https://dttb.ru` | 200 | ✓ reachable |
+| `https://dttb.ru/remote.php/dav/files/admin` | 401 | ✓ auth-required (сервер жив) |
+| `http://192.168.1.22:81` | 200 | ✓ reachable |
+
+---
+*Автоматически через `scripts/kb-audit-creds.py`.*

audit/2026-06-07-dns-drift.md

@@ -0,0 +1,56 @@
+---
+date: 2026-06-07
+type: audit
+source: kb-audit-dns.py
+tags: [audit, dns]
+---
+
+# DNS resolve audit — 2026-06-07
+
+Резолвим все домены из NPM через публичный DNS (8.8.8.8) и локальный роутер (10.0.0.1).
+
+- Всего доменов: **25**
+- NXDOMAIN на 8.8.8.8: 1 / пустой ответ локально: 1 / split-horizon: 0
+
+## ❌ NXDOMAIN / не резолвится на 8.8.8.8 (публичный DNS)
+
+| Домен | Локальный IP |
+|---|---|
+| `itilegent.ru` | (тоже нет) |
+
+## ⚠ Пустой локальный резолв (роутер не знает)
+
+- `itilegent.ru` (публичный: -)
+
+## Полная таблица резолва
+
+| Домен | 8.8.8.8 | 10.0.0.1 |
+|---|---|---|
+| `ai.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
+| `bit.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
+| `bitrix24.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
+| `bot.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
+| `dttb.ru` | 10.0.0.195 | 10.0.0.195 |
+| `git.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
+| `home.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
+| `ip.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
+| `itilegent.ru` | — | — |
+| `link.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
+| `mail.dttb.ru` | 10.0.0.107 | 10.0.0.107 |
+| `matrix.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
+| `npm.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
+| `office.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
+| `omni.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
+| `omni.umnybot.ru` | 176.62.183.186 | 176.62.183.186 |
+| `plex.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
+| `porteiner.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
+| `pve.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
+| `rec.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
+| `remot.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
+| `router.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
+| `vpn.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
+| `z.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
+| `zima.umnybot.ru` | 176.62.183.186 | 176.62.183.186 |
+
+---
+*Автоматически через `scripts/kb-audit-dns.py`.*

audit/2026-06-07-drift.md

@@ -0,0 +1,71 @@
+---
+date: 2026-06-07
+type: audit
+source: kb-audit.py
+tags: [audit, drift, infrastructure]
+---
+
+# KB drift audit — 2026-06-07
+
+Сравнение живого `pct list` / `qm list` с [[../projects/dttb/proxmox-inventory|proxmox-inventory.md]]
+
+- Живых гостей Proxmox: **40**
+- Упомянуто в inventory: **40**
+- В обоих: 39 / только в live: 1 / отсутствуют в live: 0
+- Известны как удалённые: 1 (в `## 🗑️ Удалённые`)
+
+## ⚠ В Proxmox есть, в inventory НЕТ (надо добавить)
+
+| VMID | Type | Status | Name |
+|---|---|---|---|
+| 139 | LXC | running | severny-les |
+
+## ✓ Удалённые хосты (задокументированы): 135
+
+## Полный живой список
+
+| VMID | Type | Status | Name |
+|---|---|---|---|
+| 100 | VM | stopped | NV |
+| 101 | LXC | stopped | n8n |
+| 102 | LXC | stopped | SMB |
+| 103 | LXC | running | NPM |
+| 104 | VM | stopped | Agent-DVR |
+| 105 | VM | stopped | Nextcloud-AIO-dttb.ru |
+| 106 | VM | running | pbs |
+| 107 | VM | running | Mailcow |
+| 108 | LXC | stopped | zabbix |
+| 109 | VM | stopped | itilelegent |
+| 110 | VM | stopped | Cloud |
+| 111 | VM | running | WinServer2025 |
+| 112 | VM | running | cloud-dttb |
+| 113 | LXC | running | VaultWarden |
+| 114 | LXC | running | LinkWarden |
+| 115 | LXC | running | watchyourlan |
+| 116 | LXC | running | rustdeskserver |
+| 117 | LXC | running | motioneye |
+| 118 | LXC | stopped | plex |
+| 119 | LXC | running | myspeed |
+| 120 | VM | stopped | 7 |
+| 121 | LXC | stopped | docker-windows |
+| 122 | LXC | stopped | qbittorrent |
+| 123 | LXC | stopped | proxmox-local |
+| 124 | VM | stopped | Matrix |
+| 125 | VM | stopped | datacentr |
+| 126 | LXC | stopped | debian |
+| 127 | VM | running | haos-17.0 |
+| 128 | LXC | stopped | profi-parser |
+| 129 | VM | stopped | profi-parser-vm |
+| 130 | VM | stopped | Zima-OS |
+| 131 | VM | stopped | ubuntu |
+| 132 | LXC | running | code-server |
+| 133 | VM | stopped | s1c-buzharovo |
+| 134 | LXC | running | ZnamSecurityBot |
+| 136 | LXC | running | gitea |
+| 137 | LXC | running | openclaw |
+| 138 | LXC | stopped | vpn-proxy |
+| 139 | LXC | running | severny-les |
+| 250 | VM | running | Nextcloud-AIO |
+
+---
+*Автоматически сгенерировано `scripts/kb-audit.py`. Применять правки — вручную после ревью.*

audit/2026-06-07-health.md

@@ -0,0 +1,233 @@
+---
+date: 2026-06-07
+type: audit
+source: kb-health.py
+score: 1720
+tags: [audit, health, metric]
+---
+
+# KB health — 2026-06-07
+
+**Score (меньше = лучше): `1720`**
+Проверено файлов: 1282
+
+## Разбивка
+
+| Категория | Кол-во | Вес | Штраф |
+|---|---:|---:|---:|
+| broken_wikilinks | 16 | 10 | 160 |
+| broken_paths | 96 | 10 | 960 |
+| missing_frontmatter | 22 | 3 | 66 |
+| orphan_files | 58 | 2 | 116 |
+| undated_todos | 388 | 1 | 388 |
+| duplicate_basenames | 6 | 5 | 30 |
+| **ИТОГО** | | | **1720** |
+
+## Битые wikilinks
+
+| Откуда | `[[таргет]]` |
+|---|---|
+| `decisions/2026-05-26-omni-domain-and-update.md` | `[[feedback_spaceweb_dns_desync]]` |
+| `decisions/2026-05-23-glavtorg-autologon-off.md` | `[[feedback_vmware_workstation_session]]` |
+| `projects/openwrt-4/credentials.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag]]` |
+| `projects/dttb/finland-hostkey-vps.md` | `[[../../claude-memory/finland-vps-security]]` |
+| `projects/benilux/kp-alexandr-umny-server.md` | `[[../../claude-memory/project_alexandr_assistant]]` |
+| `projects/niikn/maul-pc.md` | `[[project_niikn_maxim_assistant]]` |
+| `projects/niikn/maul-pc.md` | `[[../../snippets/netbird-claude-install.ps1]]` |
+| `projects/niikn/maul-pc.md` | `[[../../snippets/clients/]]` |
+| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 0]]` |
+| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 1]]` |
+| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 2]]` |
+| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 3]]` |
+| `snippets/podkop-reference.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_busybox_ip_br_flag\]]` |
+| `snippets/podkop-reference.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_iphone_breaks_fakeip\]]` |
+| `snippets/podkop-reference.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring]]` |
+| `snippets/podkop-fakeip-diagnostics.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_openclaw_crash_loop]]` |
+
+## Битые relative-пути
+
+| Откуда | Путь |
+|---|---|
+| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_superwhisper_no_license.md` |
+| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/reference_groq_api.md` |
+| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_superwhisper_no_license.md` |
+| `notes/ru-geoblocked-services.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_win11_unattended_upgrade.md` |
+| `notes/ru-geoblocked-services.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_nspd_blocks_mts.md` |
+| `notes/claude/2026-04-21-200915-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md` | `projects/dttb/vps-swtest.md` |
+| `notes/claude/2026-05-21-102751-давай-проверим-openvrt-benelux.md` | `snippets/clients/alexandr-benelux-amnezia-reinstall.md` |
+| `notes/claude/2026-04-24-194555-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `projects/dttb/credentials.md` |
+| `notes/claude/2026-04-20-113423-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md` |
+| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `decisions/2026-04-28-rustdesk-lejianwen-pro-migration.md` |
+| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/rustdesk.md` |
+| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/credentials.md` |
+| `notes/claude/2026-04-30-221054-найди-инфу-вчера-оксане-делали-доступ-через-рустде.md` | `projects/niikn/office-pc.md` |
+| `notes/claude/2026-04-29-153123-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/proxmox-inventory.md` |
+| `notes/claude/2026-04-29-153123-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/credentials.md` |
+| `notes/claude/2026-05-29-234117-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-pve-147.md` |
+| `notes/claude/2026-05-29-234117-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-inventory.md` |
+| `notes/claude/2026-04-29-231939-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/happ-routing-roscomvpn.md` |
+| `notes/claude/2026-05-30-105828-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-pve-147.md` |
+| `notes/claude/2026-04-24-194322-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/clients/yaroslav-amnezia-setup.md` |
+| `notes/claude/2026-04-24-194322-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/apple-id-us-on-russia.md` |
+| `notes/claude/2026-05-04-100627-можешь-составлять-графические-схемы-на-dttbruhttpd.md` | `projects/znamenskoye/network-topology-diagram.md` |
+| `notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `projects/mmfb/mikrotik.md` |
+| `notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `projects/niikn/mikrotik.md` |
+| `notes/claude/2026-04-24-165527-новый-клиент-ммфб-юрий-витальевич-нужно-подключить.md` | `projects/mmfb/yuri-vitalievich.md` |
+| `notes/claude/2026-05-06-210824-superwhisper-можешь-проверить-не-работает.md` | `../knowledge-base/decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` |
+| `notes/claude/2026-05-20-195902-давай-проверим-openvrt-benelux.md` | `decisions/2026-05-20-benelux-compromise.md` |
+| `notes/claude/2026-05-28-131315-нужно-в-нетбирд-найти-и-настроить-подключение-к-эт.md` | `projects/niikn/maul-pc.md` |
+| `notes/claude/2026-04-29-160010-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/clients/yaroslav-happ-setup.md` |
+| `notes/claude/2026-05-04-085317-можешь-составлять-графические-схемы-на-dttbruhttpd.md` | `projects/dttb/network-topology-diagram.md` |
+| `notes/claude/2026-05-21-104248-давай-проверим-openvrt-benelux.md` | `projects/benilux/credentials.md` |
+| `notes/claude/2026-04-29-071329-на-компе-юрия-продолжим-проверь-он-сети.md` | `projects/mmfb/otchet-yuri-2026-04.md` |
+| `notes/claude/2026-05-23-133737-еще-клиент-ярослав-сервера-1с-главторг-жалуется-чт.md` | `projects/glavtorg/instruction-yaroslav-autologon.md` |
+| `notes/claude/2026-05-27-191956-давай-проверим-openvrt-benelux.md` | `snippets/clients/alexandr-benelux-power-recovery.md` |
+| `notes/claude/2026-04-21-203517-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md` | `/Users/ai/.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag.md` |
+| `notes/claude/2026-05-28-215219-102531240-администратор-ol260380eg-нужно-подключит.md` | `projects/mmfb/lionart-1c.md` |
+| `notes/claude/2026-05-26-111148-нужно-на-omni-робуте-установить-ему-домен-у-тебя-е.md` | `memory/feedback_antigravity_onboarding.md` |
+| `notes/claude/2026-05-26-111148-нужно-на-omni-робуте-установить-ему-домен-у-тебя-е.md` | `memory/MEMORY.md` |
+| `notes/claude/2026-06-02-001742-есть-клиент-француз-у-него-есть-cudy-tr3000-с-podk.md` | `projects/openwrt-4/canal-plus-setup-runbook.md` |
+| `notes/claude/2026-04-29-150044-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/vpn-clients.md` |
+| `notes/claude/2026-04-29-223542-создадим-еще-одного-пользователя-подключение-к-vpn.md` | `snippets/clients/sergey-znamenskoye-happ-setup.md` |
+| `notes/claude/2026-05-30-002747-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-pve-147.md` |
+| `notes/claude/2026-05-20-204621-давай-проверим-openvrt-benelux.md` | `snippets/clients/alexandr-benelux-amnezia-reinstall.md` |
+| `notes/claude/2026-05-30-003032-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-pve-147.md` |
+| `notes/claude/2026-05-20-190402-давай-проверим-openvrt-benelux.md` | `projects/benilux/README.md` |
+| `notes/claude/2026-05-20-190402-давай-проверим-openvrt-benelux.md` | `decisions/2026-05-20-benelux-compromise.md` |
+| `notes/claude/2026-04-28-134112-можешь-найти-кп-мичуринец.md` | `projects/dttb/znamenskoye-network-topology.md` |
+| `notes/claude/2026-04-28-134112-можешь-найти-кп-мичуринец.md` | `claude-memory/benelux-topology.md` |
+| `notes/claude/2026-04-25-001105-на-сервере-glavtorg-можешь-запустить-виртулку-с-ам.md` | `projects/glavtorg/README.md` |
+| `notes/claude/2026-05-23-123133-давай-проверим-openvrt-benelux.md` | `snippets/clients/alexandr-benelux-amnezia-reinstall.md` |
+| ... | +46 ещё |
+
+## Без frontmatter (22)
+
+- `decisions/2026-06-01-claude-remote-control-mobile.md`
+- `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md`
+- `notes/ru-geoblocked-services.md`
+- `projects/dttb/znamenskoye-log.md`
+- `projects/niikn/office-pc.md`
+- `projects/niikn/kripto-arm.md`
+- `projects/mmfb/yuri-vitalievich.md`
+- `projects/mmfb/otchet-yuri-2026-04.md`
+- `projects/dttb/graphify-out/GRAPH_REPORT.md`
+- `snippets/happ-vpn-client-instruction.md`
+- `snippets/invoice-template.md`
+- `snippets/assets/happ-routing-roscomvpn/README-upstream.md`
+- `claude-memory/servicedesk-dttb.md`
+- `claude-memory/benelux.md`
+- `claude-memory/nextcloud-dttb.md`
+- `claude-memory/nvr-fix.md`
+- `claude-memory/videonablyudenie.md`
+- `claude-memory/znamenskoe-home.md`
+- `claude-memory/niikn-nextcloud.md`
+- `claude-memory/krasnogorsk.md`
+- `claude-memory/mas-niikn.md`
+- `claude-memory/MEMORY.md`
+
+## Orphan — без бэклинков (58)
+
+_Эти файлы никто не упоминает через `[[..]]`. Кандидаты на удаление или добавление ссылок._
+
+- `decisions/2026-05-14-buzharovo-watchdog-public-only.md`
+- `decisions/2026-04-30-niikn-culture-gov-fakeip-fix.md`
+- `decisions/2026-06-01-claude-remote-control-mobile.md`
+- `decisions/2026-05-26-server-upgrade-z6-g4.md`
+- `decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md`
+- `decisions/2026-05-26-omni-domain-and-update.md`
+- `decisions/2026-04-28-netbird-watchdog-lxc-132-137.md`
+- `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md`
+- `decisions/2026-05-23-glavtorg-autologon-off.md`
+- `decisions/2026-05-08-buzharovo-1c-licensing-options.md`
+- `decisions/2026-05-06-kb-search-overhaul.md`
+- `decisions/2026-04-28-niikn-uookn-sev-gov-fakeip-fix.md`
+- `notes/ru-geoblocked-services.md`
+- `projects/openwrt-4/session-handoff-2026-06-02.md`
+- `projects/openwrt-4/client-letter.md`
+- `projects/dttb/network-topology-diagram.md`
+- `projects/glavtorg/instruction-yaroslav-autologon.md`
+- `projects/benilux/kp-alexandr-umny-server.md`
+- `projects/benilux/credentials.md`
+- `projects/niikn/mailcow.md`
+- `projects/niikn/NIIKN-Infrastructure.md`
+- `projects/niikn/maul-pc.md`
+- `projects/niikn/groupfolders-migration.md`
+- `projects/niikn/credentials.md`
+- `projects/niikn/changelog.md`
+- `projects/niikn/matrix.md`
+- `projects/niikn/proxmox.md`
+- `projects/niikn/NIIKN-ChangeLog.md`
+- `projects/niikn/npm.md`
+- `projects/niikn/network-topology-diagram.md`
+- ... +28 ещё
+
+## TODO без даты (388 шт в 76 файлах)
+
+- `decisions/2026-04-30-rustdesk-pre-prod-audit.md` — 13 шт
+- `projects/lipki/README.md` — 11 шт
+- `templates/vpn-client.md` — 7 шт
+- `decisions/2026-05-26-server-upgrade-z6-g4.md` — 6 шт
+- `decisions/2026-04-29-rustdesk-client-deployment-package.md` — 6 шт
+- `projects/buzharovo/severny-les-bot.md` — 6 шт
+- `notes/claude/2026-05-30-223109-session.md` — 5 шт
+- `notes/claude/2026-05-31-230412-session.md` — 5 шт
+- `notes/claude/2026-06-01-115908-session.md` — 5 шт
+- `notes/claude/2026-05-31-212135-session.md` — 5 шт
+- `notes/claude/2026-05-31-150934-session.md` — 5 шт
+- `notes/claude/2026-05-30-143711-session.md` — 5 шт
+- `notes/claude/2026-05-31-232509-session.md` — 5 шт
+- `notes/claude/2026-05-31-183858-session.md` — 5 шт
+- `notes/claude/2026-05-30-140307-session.md` — 5 шт
+- `notes/claude/2026-05-31-153910-session.md` — 5 шт
+- `notes/claude/2026-05-31-125729-session.md` — 5 шт
+- `notes/claude/2026-05-31-111053-session.md` — 5 шт
+- `notes/claude/2026-05-31-194441-session.md` — 5 шт
+- `notes/claude/2026-06-01-213930-session.md` — 5 шт
+
+## Дубликаты имён (6)
+
+- `README.md`:
+  - `README.md`
+  - `decisions/README.md`
+  - `notes/README.md`
+  - `projects/znamenskoye/README.md`
+  - `projects/openwrt-4/README.md`
+  - `projects/dttb/README.md`
+  - `projects/glavtorg/README.md`
+  - `projects/benilux/README.md`
+  - `projects/vishnevyy-sad/README.md`
+  - `projects/sergey/README.md`
+  - `projects/niikn/README.md`
+  - `projects/lipki/README.md`
+  - `projects/krasnogorsk/README.md`
+  - `projects/mmfb/README.md`
+  - `projects/buzharovo/README.md`
+  - `projects/peredelki/README.md`
+  - `projects/zelenograd/README.md`
+  - `projects/dttb/nextcloud-talk-bot/README.md`
+  - `snippets/README.md`
+  - `snippets/mac-dictation/README.md`
+  - `scripts/README.md`
+- `nextcloud.md`:
+  - `projects/nextcloud.md`
+  - `projects/dttb/nextcloud.md`
+- `network-topology-diagram.md`:
+  - `projects/znamenskoye/network-topology-diagram.md`
+  - `projects/dttb/network-topology-diagram.md`
+  - `projects/niikn/network-topology-diagram.md`
+- `credentials.md`:
+  - `projects/openwrt-4/credentials.md`
+  - `projects/dttb/credentials.md`
+  - `projects/benilux/credentials.md`
+  - `projects/niikn/credentials.md`
+  - `projects/peredelki/credentials.md`
+  - `projects/dttb/ai-assistant-pilot/credentials.md`
+- `proxmox-inventory.md`:
+  - `projects/dttb/proxmox-inventory.md`
+  - `projects/mmfb/proxmox-inventory.md`
+- `mikrotik.md`:
+  - `projects/niikn/mikrotik.md`
+  - `projects/mmfb/mikrotik.md`
+
+---
+*Генерируется `scripts/kb-health.py`. JSON-версия в `audit/health-latest.json` для agent-loop.*

audit/2026-06-07-npm-drift.md

@@ -0,0 +1,67 @@
+---
+date: 2026-06-07
+type: audit
+source: kb-audit-npm.py
+tags: [audit, drift, npm]
+---
+
+# NPM drift audit — 2026-06-07
+
+Сверка [[../projects/dttb/npm-proxy-hosts|npm-proxy-hosts.md]] с NPM API (https://npm.dttb.ru).
+
+- Живых proxy hosts: **25**
+- В KB: **21**
+- Совпадений: 21 / новых: 4 / удалённых из NPM: 0 / с изменениями: 3
+
+## ⚠ Новые hosts (в NPM есть, в KB нет)
+
+| ID | Домены | Backend | SSL | Enabled |
+|---|---|---|---|---|
+| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
+| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
+| 30 | `omni.umnybot.ru` | `10.0.0.163:20128` | ✓ | on |
+| 31 | `zima.umnybot.ru` | `10.0.0.190:80` | ✓ | on |
+
+## 🔄 Изменения (ID совпадает, но что-то сменилось)
+
+### #12 `bitrix24.dttb.ru`
+- backend: KB=`10.0.0.223:8080` → live=`10.0.0.224:8080`
+
+### #14 `remot.dttb.ru`
+- backend: KB=`10.0.0.43:21114` → live=`10.0.0.244:21114`
+
+### #22 `git.dttb.ru`
+- ssl: KB=✗ → live=✓
+
+## Полный живой список
+
+| ID | Домены | Backend | SSL | Enabled |
+|---|---|---|---|---|
+| 1 | `dttb.ru` | `10.0.0.230:11001` | ✓ | on |
+| 2 | `office.dttb.ru` | `10.0.0.169:8080` | ✓ | on |
+| 3 | `itilegent.ru` | `10.0.0.223:8080` | ✓ | on |
+| 4 | `npm.dttb.ru` | `10.0.0.195:81` | ✓ | on |
+| 5 | `porteiner.dttb.ru` | `10.0.0.10:9443` | ✓ | on |
+| 6 | `pve.dttb.ru` | `10.0.0.250:8006` | ✓ | on |
+| 9 | `ai.dttb.ru` | `10.0.0.179:8080` | ✓ | on |
+| 10 | `bit.dttb.ru` | `10.0.0.217:8080` | ✓ | on |
+| 11 | `link.dttb.ru` | `10.0.0.184:3000` | ✓ | on |
+| 12 | `bitrix24.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
+| 13 | `ip.dttb.ru` | `10.0.0.112:8840` | ✓ | on |
+| 14 | `remot.dttb.ru` | `10.0.0.244:21114` | ✓ | on |
+| 15 | `plex.dttb.ru` | `10.0.0.200:32400` | ✓ | on |
+| 16 | `home.dttb.ru` | `10.0.0.155:8123` | ✓ | on |
+| 17 | `z.dttb.ru` | `10.0.0.220:80` | ✓ | on |
+| 21 | `rec.dttb.ru` | `10.0.0.227:8091` | ✓ | on |
+| 22 | `git.dttb.ru` | `10.0.0.189:3000` | ✓ | on |
+| 23 | `matrix.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
+| 25 | `mail.dttb.ru` | `10.0.0.107:443` | ✓ | on |
+| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
+| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
+| 28 | `bot.dttb.ru` | `10.0.0.239:18789` | ✓ | on |
+| 29 | `omni.dttb.ru` | `10.0.0.179:20128` | ✓ | on |
+| 30 | `omni.umnybot.ru` | `10.0.0.163:20128` | ✓ | on |
+| 31 | `zima.umnybot.ru` | `10.0.0.190:80` | ✓ | on |
+
+---
+*Автоматически через `scripts/kb-audit-npm.py`.*

audit/2026-06-07-objects-audit.md

@@ -0,0 +1,49 @@
+---
+date: 2026-06-07
+type: audit
+source: scripts/kb-objects-audit.py
+tags: [audit, objects, frontmatter, links]
+score: 45
+---
+
+# KB objects audit — 2026-06-07
+
+**Score (меньше = лучше): `45`**
+
+- Проектов с frontmatter: **14/14** (0 проблем)
+- NetBird online-пиров без проектной карточки: **3**
+- Битых wiki-ссылок `[[...]]`: **13**
+
+## Frontmatter в projects/
+
+✅ все проекты имеют валидный frontmatter
+
+## Online netbird-пиры без проектной карточки
+
+Эти пиры онлайн в NetBird, но не привязаны ни к одной projects/-странице. 
+Бот не сможет ответить «найди X» осмысленно — нет файла или alias.
+
+Лечение: либо создать stub в `projects/<slug>/README.md` (см. `projects/lipki/` как образец), 
+либо добавить имя пира как полную строку в `aliases` подходящего проекта.
+
+| NetBird-имя | IP | OS | Город |
+|---|---|---|---|
+| `DESKTOP-2IOQS54` | 100.70.82.83 | Windows 10 | Saransk |
+| `DESKTOP-AGBMLPN` | 100.70.0.106 | Windows 11 | Helsinki |
+| `DESKTOP-HL0BB05` | 100.70.235.80 | Windows 11 | Lipetsk |
+
+## Битые wiki-ссылки
+
+- [snippets/podkop-reference.md](snippets/podkop-reference.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_busybox_ip_br_flag\|памятка]]` → нет такого файла
+- [snippets/podkop-reference.md](snippets/podkop-reference.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_iphone_breaks_fakeip\|памятка]]` → нет такого файла
+- [snippets/podkop-reference.md](snippets/podkop-reference.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring|памятка: корень vs band-aid]]` → нет такого файла
+- [snippets/podkop-fakeip-diagnostics.md](snippets/podkop-fakeip-diagnostics.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_openclaw_crash_loop|памятку про sing-box crash-loop]]` → нет такого файла
+- [decisions/2026-05-26-omni-domain-and-update.md](decisions/2026-05-26-omni-domain-and-update.md) — `[[feedback_spaceweb_dns_desync]]` → нет такого файла
+- [decisions/2026-05-23-glavtorg-autologon-off.md](decisions/2026-05-23-glavtorg-autologon-off.md) — `[[feedback_vmware_workstation_session]]` → нет такого файла
+- [projects/openwrt-4/credentials.md](projects/openwrt-4/credentials.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag|памятка]]` → нет такого файла
+- [projects/dttb/finland-hostkey-vps.md](projects/dttb/finland-hostkey-vps.md) — `[[../../claude-memory/finland-vps-security]]` → нет такого файла
+- [projects/benilux/kp-alexandr-umny-server.md](projects/benilux/kp-alexandr-umny-server.md) — `[[../../claude-memory/project_alexandr_assistant]]` → нет такого файла
+- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[project_niikn_maxim_assistant|Максима Мауля]]` → нет такого файла
+- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[../../snippets/netbird-claude-install.ps1]]` → нет такого файла
+- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[rustdesk\|lejianwen-pro LXC 116]]` → нет такого файла
+- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[../../snippets/clients/|метод]]` → нет такого файла

audit/2026-06-07-proposed.md

@@ -0,0 +1,123 @@
+---
+date: 2026-06-07
+type: audit-proposed
+source: kb-audit-propose.sh (Opus 4.7)
+tags: [audit, proposed, inventory]
+---
+
+# Предложенные правки inventory — 2026-06-07
+
+Сгенерировано Claude Opus на основе [[2026-06-07-drift|drift-отчёта]].
+**Правки НЕ применены.** Ревью — ты. Apply — вручную.
+
+## 1. Краткое резюме
+
+Аудит формально нашёл один drift (LXC 139 `severny-les` есть в Proxmox, нет в inventory), но прямое сравнение живого списка из отчёта с inventory выявило ещё **6 расхождений по статусу/идентичности**: 4 хоста стоят с неверным статусом (112/117/119/138), а VMID **129 и 133 переиспользованы** под новые гости (`profi-parser-vm`, `s1c-buzharovo`), хотя в inventory числятся как удалённые `Clawdbot`/`clawdbot-1`. Аудит-скрипт их не поймал, т.к. проверяет только наличие VMID в тексте, а не статус/имя.
+
+---
+
+## 2. Конкретные правки
+
+### A. Добавить LXC 139 (главный drift из отчёта)
+В раздел **🟢 Запущенные LXC**:
+```diff
++### LXC 139 — severny-les
++| Параметр | Значение |
++|----------|----------|
++| Статус | 🟢 running |
++| IP | (уточнить — нет в отчёте) |
++| Назначение | (уточнить — нет в отчёте) |
+```
+
+### B. Статус живой ≠ inventory: 112 cloud-dttb (running)
+Удалить из таблицы **🔴 Остановленные VM**:
+```diff
+-| 112 | cloud-dttb | 8 | 16 GB | 80 GB | — |
+```
+Добавить в **🟢 Запущенные VM**:
+```diff
++### VM 112 — cloud-dttb
++| Параметр | Значение |
++|----------|----------|
++| Статус | 🟢 running |
++| CPU | 8 | RAM | 16 GB | Диск | 80 GB |
++| Назначение | (уточнить) |
+```
+
+### C. Статус: 117 motioneye и 119 myspeed (live running)
+Удалить из таблицы **🔴 Остановленные LXC**:
+```diff
+-| 117 | motioneye | MotionEye NVR |
+-| 119 | myspeed | Speed test мониторинг |
+```
+Добавить в **🟢 Запущенные LXC** (myspeed уже имеет IP 10.0.0.113? — нет, это watchyourlan; IP не брать):
+```diff
++### LXC 117 — motioneye
++| Статус | 🟢 running | Назначение | MotionEye NVR |
++
++### LXC 119 — myspeed
++| Статус | 🟢 running | Назначение | Speed test мониторинг |
+```
+
+### D. Статус: 138 vpn-proxy (live stopped)
+Удалить блок из **🟢 Запущенные LXC**:
+```diff
+-### LXC 138 — vpn-proxy
+-| Статус | 🟢 running |
+-| IP | 10.0.0.141 (LAN) / 100.70.161.29 (NetBird) |
+-| Назначение | VPN-proxy (детали уточнить) |
+```
+Добавить в **🔴 Остановленные LXC** (IP/NetBird можно сохранить в примечании):
+```diff
++| 138 | vpn-proxy | VPN-proxy (LAN 10.0.0.141 / NetBird 100.70.161.29) |
+```
+
+### E. Переиспользование VMID 129 → profi-parser-vm
+Сейчас 129 в **🗑️ Удалённые** = `Clawdbot`. Живой 129 = `profi-parser-vm` (VM, stopped).
+Добавить в **🔴 Остановленные VM**:
+```diff
++| 129 | profi-parser-vm | — | — | — | VM-вариант profi-parser (пара к LXC 128) |
+```
+Поправить строку истории (VMID освобождён ранее, теперь занят заново):
+```diff
+-| 129 | Clawdbot | ~апрель 2026 | Данные перенесены на code-server (132) ... IP 10.0.0.206 освобождён |
++| 129 | Clawdbot (старый) | ~апрель 2026 | Перенесён на code-server (132); **VMID 129 переиспользован под `profi-parser-vm`** |
+```
+
+### F. Переиспользование VMID 133 → s1c-buzharovo
+Сейчас 133 в **🗑️ Удалённые** = `clawdbot-1`. Живой 133 = `s1c-buzharovo` (VM, stopped).
+Добавить в **🔴 Остановленные VM**:
+```diff
++| 133 | s1c-buzharovo | — | — | — | 1С-сервер Бужарово (уточнить) |
+```
+Поправить строку истории:
+```diff
+-| 133 | clawdbot-1 | ~апрель 2026 | Функционал мигрирован на openclaw (137) |
++| 133 | clawdbot-1 (старый) | ~апрель 2026 | Мигрирован на openclaw (137); **VMID 133 переиспользован под `s1c-buzharovo`** |
+```
+
+### G. Пересчёт сводки и даты
+После правок главной ноды (250) живых гостей = 40 (18 VM / 22 LXC):
+```diff
+-| QEMU VM | 15 | 5 | 10 |
+-| LXC | 21 | 11 | 10 |
+-| **Итого** | **36** | **16** | **20** |
++| QEMU VM | 18 | 6 | 12 |
++| LXC | 22 | 12 | 10 |
++| **Итого** | **40** | **18** | **22** |
+-> Последнее обновление: 2026-05-27 ...
++> Последнее обновление: 2026-06-07 (drift-аудит: +139, статусы 112/117/119/138, реюз VMID 129/133)
+```
+
+---
+
+## 3. Предупреждения (неоднозначное)
+
+- **VMID 129 и 133 переиспользованы** — критично. Перед фиксацией подтверди живьём: `qm config 129` / `qm config 133`. Возможно, старые `Clawdbot`/`clawdbot-1` были удалены, а номера переназначены новым гостям. Имена `profi-parser-vm` / `s1c-buzharovo` и назначение «1С Бужарово» — мои предположения по имени, в отчёте назначения нет.
+- **Аудит недооценил drift**: `kb-audit.py` сверяет только наличие VMID, не статус и не имя. Расхождения B–F найдены ручным сравнением живого списка (он есть в отчёте) с inventory — не выдуманы.
+- **139 severny-les**: в отчёте только VMID/тип/статус/имя. IP, ресурсы, назначение — НЕТ. Оставил `(уточнить)`, не выдумывал.
+- **IP/ресурсы для 112/117/119**: в отчёте отсутствуют, в блоках не заполнял.
+- **Вторая нода 10.0.0.147** ([[proxmox-pve-147]], VM 100 ZimaOS / LXC 101 NPM) drift-отчётом НЕ покрыта (отчёт по ноде .250). Её записи не трогать — иначе пересечётся с VM 100 `NV` / LXC 101 `n8n` главной ноды.
+- В текущем inventory уже есть внутреннее расхождение (сводка «10 stopped VM», а в таблице 11) — правка G его заодно устраняет.
+
+Файл не правил — это только предложения к ревью.

audit/2026-06-14-creds-drift.md

@@ -0,0 +1,47 @@
+---
+date: 2026-06-14
+type: audit
+source: kb-audit-creds.py
+tags: [audit, creds, reachability]
+---
+
+# Credentials reachability — 2026-06-14
+
+Ping-проверка URL из [[../projects/dttb/credentials|credentials.md]].
+Проверяется только reachability (HTTP status), не реальный логин.
+
+- Всего URL: **20**
+- ✓ Reachable: 17 / ⚠ Questionable: 3 / ❌ Unreachable: 0
+
+## ⚠ Нестандартный ответ
+
+| URL | Status | Detail |
+|---|---|---|
+| `https://remot.dttb.ru/swagger/index.html` | 404 | Not Found |
+| `https://api.netbird.io` | 404 | Not Found |
+| `https://api.netbird.io/api/setup-keys` | 404 | Not Found |
+
+## ✓ Все ответили нормально
+
+| URL | Status | Категория |
+|---|---|---|
+| `https://10.0.0.250:8006` | 200 | ✓ reachable |
+| `https://pve.dttb.ru` | 200 | ✓ reachable |
+| `http://10.0.0.189:3000` | 200 | ✓ reachable |
+| `http://git.dttb.ru` | 200 | ✓ reachable |
+| `http://10.0.0.195:81` | 200 | ✓ reachable |
+| `https://npm.dttb.ru` | 200 | ✓ reachable |
+| `https://remot.dttb.ru/_admin` | 200 | ✓ reachable |
+| `https://dttb.ru` | 200 | ✓ reachable |
+| `https://dttb.ru/remote.php/dav/files/admin` | 401 | ✓ auth-required (сервер жив) |
+| `https://vps.sweb.ru` | 200 | ✓ reachable |
+| `https://api.sweb.ru/domains/dns` | 200 | ✓ reachable |
+| `https://mail.niikn.com` | 200 | ✓ reachable |
+| `http://192.168.1.22:81` | 200 | ✓ reachable |
+| `https://edit.telegra.ph/auth/f1tfgzYpPpGlAr7cYHRzSeH59fYuNVB2V3fbCdypDc` | 200 | ✓ reachable |
+| `https://api.telegra.ph/createPage` | 200 | ✓ reachable |
+| `https://api.telegra.ph/editPage` | 200 | ✓ reachable |
+| `https://telegra.ph/Nastrojka-VPN-04-24-2` | 200 | ✓ reachable |
+
+---
+*Автоматически через `scripts/kb-audit-creds.py`.*

audit/2026-06-14-dns-drift.md

@@ -0,0 +1,90 @@
+---
+date: 2026-06-14
+type: audit
+source: kb-audit-dns.py
+tags: [audit, dns]
+---
+
+# DNS resolve audit — 2026-06-14
+
+Резолвим все домены из NPM через публичный DNS (8.8.8.8) и локальный роутер (10.0.0.1).
+
+- Всего доменов: **29**
+- NXDOMAIN на 8.8.8.8: 2 / пустой ответ локально: 1 / split-horizon: 22
+
+## ❌ NXDOMAIN / не резолвится на 8.8.8.8 (публичный DNS)
+
+| Домен | Локальный IP |
+|---|---|
+| `itilegent.ru` | (тоже нет) |
+| `vpn.dttb.ru` | 10.0.0.195 |
+
+## ⚠ Split-horizon — разные IP снаружи и внутри
+
+Это нормально для *.dttb.ru (внешний Let's Encrypt IP vs локальный 10.0.0.195). Но неожиданный split может быть багом.
+
+| Домен | Публичный (8.8.8.8) | Локальный (10.0.0.1) |
+|---|---|---|
+| `ai.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bit.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bitrix24.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `git.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `home.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `ip.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `link.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `mail.dttb.ru` | 176.62.183.186 | 10.0.0.107 |
+| `matrix.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `npm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `office.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `omni.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `plex.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `porteiner.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `pve.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `rec.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `remot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `router.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `swarm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `z.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+
+## ⚠ Пустой локальный резолв (роутер не знает)
+
+- `itilegent.ru` (публичный: -)
+
+## Полная таблица резолва
+
+| Домен | 8.8.8.8 | 10.0.0.1 |
+|---|---|---|
+| `ai.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `ai.umnybot.ru` | 176.62.183.186 | 176.62.183.186 |
+| `bit.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bitrix24.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `git.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `home.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `ip.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `itilegent.ru` | — | — |
+| `link.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `mail.dttb.ru` | 176.62.183.186 | 10.0.0.107 |
+| `matrix.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `npm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `office.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `omni.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `omni.umnybot.ru` | 176.62.183.186 | 176.62.183.186 |
+| `plex.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `porteiner.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `pve.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `rec.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `remot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `router.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `rustdesk.umnybot.ru` | 176.62.183.186 | 176.62.183.186 |
+| `swarm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `tg.umnybot.ru` | 176.62.183.186 | 176.62.183.186 |
+| `vpn.dttb.ru` | — | 10.0.0.195 |
+| `z.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `zima.umnybot.ru` | 176.62.183.186 | 176.62.183.186 |
+
+---
+*Автоматически через `scripts/kb-audit-dns.py`.*

audit/2026-06-14-drift.md

@@ -0,0 +1,70 @@
+---
+date: 2026-06-14
+type: audit
+source: kb-audit.py
+tags: [audit, drift, infrastructure]
+---
+
+# KB drift audit — 2026-06-14
+
+Сравнение живого `pct list` / `qm list` с [[../projects/dttb/proxmox-inventory|proxmox-inventory.md]]
+
+- Живых гостей Proxmox: **41**
+- Упомянуто в inventory: **40**
+- В обоих: 40 / только в live: 1 / отсутствуют в live: 0
+- Известны как удалённые: 0 (в `## 🗑️ Удалённые`)
+
+## ⚠ В Proxmox есть, в inventory НЕТ (надо добавить)
+
+| VMID | Type | Status | Name |
+|---|---|---|---|
+| 139 | LXC | running | severny-les |
+
+## Полный живой список
+
+| VMID | Type | Status | Name |
+|---|---|---|---|
+| 100 | VM | stopped | NV |
+| 101 | LXC | stopped | n8n |
+| 102 | LXC | stopped | SMB |
+| 103 | LXC | running | NPM |
+| 104 | VM | stopped | Agent-DVR |
+| 105 | VM | stopped | Nextcloud-AIO-dttb.ru |
+| 106 | VM | running | pbs |
+| 107 | VM | running | Mailcow |
+| 108 | LXC | stopped | zabbix |
+| 109 | VM | stopped | itilelegent |
+| 110 | VM | stopped | Cloud |
+| 111 | VM | running | WinServer2025 |
+| 112 | VM | running | cloud-dttb |
+| 113 | LXC | running | VaultWarden |
+| 114 | LXC | running | LinkWarden |
+| 115 | LXC | running | watchyourlan |
+| 116 | LXC | running | rustdeskserver |
+| 117 | LXC | stopped | motioneye |
+| 118 | LXC | stopped | plex |
+| 119 | LXC | running | myspeed |
+| 120 | VM | stopped | 7 |
+| 121 | LXC | stopped | docker-windows |
+| 122 | LXC | stopped | qbittorrent |
+| 123 | LXC | stopped | proxmox-local |
+| 124 | VM | stopped | Matrix |
+| 125 | VM | stopped | datacentr |
+| 126 | LXC | stopped | debian |
+| 127 | VM | running | haos-17.0 |
+| 128 | LXC | stopped | profi-parser |
+| 129 | VM | stopped | profi-parser-vm |
+| 130 | VM | stopped | Zima-OS |
+| 131 | VM | stopped | ubuntu |
+| 132 | LXC | running | code-server |
+| 133 | VM | stopped | s1c-buzharovo |
+| 134 | LXC | stopped | ZnamSecurityBot |
+| 135 | LXC | running | swarmclaw |
+| 136 | LXC | running | gitea |
+| 137 | LXC | running | openclaw |
+| 138 | LXC | stopped | vpn-proxy |
+| 139 | LXC | running | severny-les |
+| 250 | VM | running | Nextcloud-AIO |
+
+---
+*Автоматически сгенерировано `scripts/kb-audit.py`. Применять правки — вручную после ревью.*

audit/2026-06-14-health.md

@@ -0,0 +1,236 @@
+---
+date: 2026-06-14
+type: audit
+source: kb-health.py
+score: 2043
+tags: [audit, health, metric]
+---
+
+# KB health — 2026-06-14
+
+**Score (меньше = лучше): `2043`**
+Проверено файлов: 1416
+
+## Разбивка
+
+| Категория | Кол-во | Вес | Штраф |
+|---|---:|---:|---:|
+| broken_wikilinks | 18 | 10 | 180 |
+| broken_paths | 117 | 10 | 1170 |
+| missing_frontmatter | 23 | 3 | 69 |
+| orphan_files | 60 | 2 | 120 |
+| undated_todos | 474 | 1 | 474 |
+| duplicate_basenames | 6 | 5 | 30 |
+| **ИТОГО** | | | **2043** |
+
+## Битые wikilinks
+
+| Откуда | `[[таргет]]` |
+|---|---|
+| `decisions/2026-06-08-swarmclaw-lxc135-deploy.md` | `[[../snippets/spaceweb-dns-api]]` |
+| `decisions/2026-05-26-omni-domain-and-update.md` | `[[feedback_spaceweb_dns_desync]]` |
+| `decisions/2026-06-04-lipki-deco-p9-powerline-degradation.md` | `[[../claude-memory/feedback_lipki_deco_powerline]]` |
+| `decisions/2026-05-23-glavtorg-autologon-off.md` | `[[feedback_vmware_workstation_session]]` |
+| `projects/openwrt-4/credentials.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag]]` |
+| `projects/dttb/finland-hostkey-vps.md` | `[[../../claude-memory/finland-vps-security]]` |
+| `projects/benilux/kp-alexandr-umny-server.md` | `[[../../claude-memory/project_alexandr_assistant]]` |
+| `projects/niikn/maul-pc.md` | `[[project_niikn_maxim_assistant]]` |
+| `projects/niikn/maul-pc.md` | `[[../../snippets/netbird-claude-install.ps1]]` |
+| `projects/niikn/maul-pc.md` | `[[../../snippets/clients/]]` |
+| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 0]]` |
+| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 1]]` |
+| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 2]]` |
+| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 3]]` |
+| `snippets/podkop-reference.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_busybox_ip_br_flag\]]` |
+| `snippets/podkop-reference.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_iphone_breaks_fakeip\]]` |
+| `snippets/podkop-reference.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring]]` |
+| `snippets/podkop-fakeip-diagnostics.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_openclaw_crash_loop]]` |
+
+## Битые relative-пути
+
+| Откуда | Путь |
+|---|---|
+| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_superwhisper_no_license.md` |
+| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/reference_groq_api.md` |
+| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_superwhisper_no_license.md` |
+| `notes/ru-geoblocked-services.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_win11_unattended_upgrade.md` |
+| `notes/ru-geoblocked-services.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_nspd_blocks_mts.md` |
+| `notes/claude/2026-04-21-200915-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md` | `projects/dttb/vps-swtest.md` |
+| `notes/claude/2026-05-21-102751-давай-проверим-openvrt-benelux.md` | `snippets/clients/alexandr-benelux-amnezia-reinstall.md` |
+| `notes/claude/2026-04-24-194555-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `projects/dttb/credentials.md` |
+| `notes/claude/2026-04-20-113423-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md` |
+| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `decisions/2026-04-28-rustdesk-lejianwen-pro-migration.md` |
+| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/rustdesk.md` |
+| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/credentials.md` |
+| `notes/claude/2026-04-30-221054-найди-инфу-вчера-оксане-делали-доступ-через-рустде.md` | `projects/niikn/office-pc.md` |
+| `notes/claude/2026-04-29-153123-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/proxmox-inventory.md` |
+| `notes/claude/2026-04-29-153123-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/credentials.md` |
+| `notes/claude/2026-05-29-234117-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-pve-147.md` |
+| `notes/claude/2026-05-29-234117-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-inventory.md` |
+| `notes/claude/2026-04-29-231939-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/happ-routing-roscomvpn.md` |
+| `notes/claude/2026-05-30-105828-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-pve-147.md` |
+| `notes/claude/2026-04-24-194322-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/clients/yaroslav-amnezia-setup.md` |
+| `notes/claude/2026-04-24-194322-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/apple-id-us-on-russia.md` |
+| `notes/claude/2026-05-04-100627-можешь-составлять-графические-схемы-на-dttbruhttpd.md` | `projects/znamenskoye/network-topology-diagram.md` |
+| `notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `projects/mmfb/mikrotik.md` |
+| `notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `projects/niikn/mikrotik.md` |
+| `notes/claude/2026-04-24-165527-новый-клиент-ммфб-юрий-витальевич-нужно-подключить.md` | `projects/mmfb/yuri-vitalievich.md` |
+| `notes/claude/2026-05-06-210824-superwhisper-можешь-проверить-не-работает.md` | `../knowledge-base/decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` |
+| `notes/claude/2026-05-20-195902-давай-проверим-openvrt-benelux.md` | `decisions/2026-05-20-benelux-compromise.md` |
+| `notes/claude/2026-05-28-131315-нужно-в-нетбирд-найти-и-настроить-подключение-к-эт.md` | `projects/niikn/maul-pc.md` |
+| `notes/claude/2026-04-29-160010-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/clients/yaroslav-happ-setup.md` |
+| `notes/claude/2026-05-04-085317-можешь-составлять-графические-схемы-на-dttbruhttpd.md` | `projects/dttb/network-topology-diagram.md` |
+| `notes/claude/2026-05-21-104248-давай-проверим-openvrt-benelux.md` | `projects/benilux/credentials.md` |
+| `notes/claude/2026-06-05-123547-давай-проверим-openvrt-benelux.md` | `decisions/2026-06-05-benelux-blackout-fw4-recovery.md` |
+| `notes/claude/2026-04-29-071329-на-компе-юрия-продолжим-проверь-он-сети.md` | `projects/mmfb/otchet-yuri-2026-04.md` |
+| `notes/claude/2026-05-23-133737-еще-клиент-ярослав-сервера-1с-главторг-жалуется-чт.md` | `projects/glavtorg/instruction-yaroslav-autologon.md` |
+| `notes/claude/2026-05-27-191956-давай-проверим-openvrt-benelux.md` | `snippets/clients/alexandr-benelux-power-recovery.md` |
+| `notes/claude/2026-04-21-203517-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md` | `/Users/ai/.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag.md` |
+| `notes/claude/2026-05-28-215219-102531240-администратор-ol260380eg-нужно-подключит.md` | `projects/mmfb/lionart-1c.md` |
+| `notes/claude/2026-05-26-111148-нужно-на-omni-робуте-установить-ему-домен-у-тебя-е.md` | `memory/feedback_antigravity_onboarding.md` |
+| `notes/claude/2026-05-26-111148-нужно-на-omni-робуте-установить-ему-домен-у-тебя-е.md` | `memory/MEMORY.md` |
+| `notes/claude/2026-06-02-001742-есть-клиент-француз-у-него-есть-cudy-tr3000-с-podk.md` | `projects/openwrt-4/canal-plus-setup-runbook.md` |
+| `notes/claude/2026-06-08-213054-найди-аналог-openclaw-для-меня-нужен-аркестратор-и.md` | `decisions/2026-06-08-swarmclaw-lxc135-deploy.md` |
+| `notes/claude/2026-04-29-150044-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/vpn-clients.md` |
+| `notes/claude/2026-04-29-223542-создадим-еще-одного-пользователя-подключение-к-vpn.md` | `snippets/clients/sergey-znamenskoye-happ-setup.md` |
+| `notes/claude/2026-05-30-002747-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-pve-147.md` |
+| `notes/claude/2026-05-20-204621-давай-проверим-openvrt-benelux.md` | `snippets/clients/alexandr-benelux-amnezia-reinstall.md` |
+| `notes/claude/2026-05-30-003032-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-pve-147.md` |
+| `notes/claude/2026-05-20-190402-давай-проверим-openvrt-benelux.md` | `projects/benilux/README.md` |
+| `notes/claude/2026-05-20-190402-давай-проверим-openvrt-benelux.md` | `decisions/2026-05-20-benelux-compromise.md` |
+| `notes/claude/2026-04-28-134112-можешь-найти-кп-мичуринец.md` | `projects/dttb/znamenskoye-network-topology.md` |
+| `notes/claude/2026-04-28-134112-можешь-найти-кп-мичуринец.md` | `claude-memory/benelux-topology.md` |
+| ... | +67 ещё |
+
+## Без frontmatter (23)
+
+- `decisions/2026-06-01-claude-remote-control-mobile.md`
+- `decisions/2026-06-11-niikn-opyt-arhiv-100mb.md`
+- `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md`
+- `notes/ru-geoblocked-services.md`
+- `projects/dttb/znamenskoye-log.md`
+- `projects/niikn/office-pc.md`
+- `projects/niikn/kripto-arm.md`
+- `projects/mmfb/yuri-vitalievich.md`
+- `projects/mmfb/otchet-yuri-2026-04.md`
+- `projects/dttb/graphify-out/GRAPH_REPORT.md`
+- `snippets/happ-vpn-client-instruction.md`
+- `snippets/invoice-template.md`
+- `snippets/assets/happ-routing-roscomvpn/README-upstream.md`
+- `claude-memory/servicedesk-dttb.md`
+- `claude-memory/benelux.md`
+- `claude-memory/nextcloud-dttb.md`
+- `claude-memory/nvr-fix.md`
+- `claude-memory/videonablyudenie.md`
+- `claude-memory/znamenskoe-home.md`
+- `claude-memory/niikn-nextcloud.md`
+- `claude-memory/krasnogorsk.md`
+- `claude-memory/mas-niikn.md`
+- `claude-memory/MEMORY.md`
+
+## Orphan — без бэклинков (60)
+
+_Эти файлы никто не упоминает через `[[..]]`. Кандидаты на удаление или добавление ссылок._
+
+- `decisions/2026-05-14-buzharovo-watchdog-public-only.md`
+- `decisions/2026-04-30-niikn-culture-gov-fakeip-fix.md`
+- `decisions/2026-06-01-claude-remote-control-mobile.md`
+- `decisions/2026-05-26-server-upgrade-z6-g4.md`
+- `decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md`
+- `decisions/2026-05-26-omni-domain-and-update.md`
+- `decisions/2026-06-11-niikn-opyt-arhiv-100mb.md`
+- `decisions/2026-06-04-deapple-migration-roadmap.md`
+- `decisions/2026-04-28-netbird-watchdog-lxc-132-137.md`
+- `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md`
+- `decisions/2026-05-23-glavtorg-autologon-off.md`
+- `decisions/2026-06-08-finland-vless-happ-dns-diag.md`
+- `decisions/2026-05-08-buzharovo-1c-licensing-options.md`
+- `decisions/2026-05-06-kb-search-overhaul.md`
+- `decisions/2026-04-28-niikn-uookn-sev-gov-fakeip-fix.md`
+- `notes/ru-geoblocked-services.md`
+- `projects/openwrt-4/session-handoff-2026-06-02.md`
+- `projects/openwrt-4/client-letter.md`
+- `projects/dttb/network-topology-diagram.md`
+- `projects/glavtorg/instruction-yaroslav-autologon.md`
+- `projects/benilux/kp-alexandr-umny-server.md`
+- `projects/niikn/mailcow.md`
+- `projects/niikn/NIIKN-Infrastructure.md`
+- `projects/niikn/maul-pc.md`
+- `projects/niikn/groupfolders-migration.md`
+- `projects/niikn/credentials.md`
+- `projects/niikn/changelog.md`
+- `projects/niikn/matrix.md`
+- `projects/niikn/proxmox.md`
+- `projects/niikn/NIIKN-ChangeLog.md`
+- ... +30 ещё
+
+## TODO без даты (474 шт в 92 файлах)
+
+- `decisions/2026-06-04-deapple-migration-roadmap.md` — 13 шт
+- `decisions/2026-04-30-rustdesk-pre-prod-audit.md` — 13 шт
+- `projects/lipki/README.md` — 11 шт
+- `templates/vpn-client.md` — 7 шт
+- `decisions/2026-05-26-server-upgrade-z6-g4.md` — 6 шт
+- `decisions/2026-04-29-rustdesk-client-deployment-package.md` — 6 шт
+- `projects/buzharovo/severny-les-bot.md` — 6 шт
+- `notes/claude/2026-05-30-223109-session.md` — 5 шт
+- `notes/claude/2026-05-31-230412-session.md` — 5 шт
+- `notes/claude/2026-06-01-115908-session.md` — 5 шт
+- `notes/claude/2026-05-31-212135-session.md` — 5 шт
+- `notes/claude/2026-05-31-150934-session.md` — 5 шт
+- `notes/claude/2026-05-30-143711-session.md` — 5 шт
+- `notes/claude/2026-05-31-232509-session.md` — 5 шт
+- `notes/claude/2026-06-08-161105-session.md` — 5 шт
+- `notes/claude/2026-06-07-235211-session.md` — 5 шт
+- `notes/claude/2026-06-08-160130-session.md` — 5 шт
+- `notes/claude/2026-06-08-002741-session.md` — 5 шт
+- `notes/claude/2026-05-31-183858-session.md` — 5 шт
+- `notes/claude/2026-05-30-140307-session.md` — 5 шт
+
+## Дубликаты имён (6)
+
+- `README.md`:
+  - `README.md`
+  - `decisions/README.md`
+  - `notes/README.md`
+  - `projects/znamenskoye/README.md`
+  - `projects/openwrt-4/README.md`
+  - `projects/dttb/README.md`
+  - `projects/glavtorg/README.md`
+  - `projects/benilux/README.md`
+  - `projects/vishnevyy-sad/README.md`
+  - `projects/sergey/README.md`
+  - `projects/niikn/README.md`
+  - `projects/lipki/README.md`
+  - `projects/krasnogorsk/README.md`
+  - `projects/mmfb/README.md`
+  - `projects/buzharovo/README.md`
+  - `projects/peredelki/README.md`
+  - `projects/zelenograd/README.md`
+  - `projects/dttb/nextcloud-talk-bot/README.md`
+  - `snippets/README.md`
+  - `snippets/mac-dictation/README.md`
+  - `scripts/README.md`
+- `nextcloud.md`:
+  - `projects/nextcloud.md`
+  - `projects/dttb/nextcloud.md`
+- `network-topology-diagram.md`:
+  - `projects/znamenskoye/network-topology-diagram.md`
+  - `projects/dttb/network-topology-diagram.md`
+  - `projects/niikn/network-topology-diagram.md`
+- `credentials.md`:
+  - `projects/openwrt-4/credentials.md`
+  - `projects/dttb/credentials.md`
+  - `projects/benilux/credentials.md`
+  - `projects/niikn/credentials.md`
+  - `projects/peredelki/credentials.md`
+  - `projects/dttb/ai-assistant-pilot/credentials.md`
+- `proxmox-inventory.md`:
+  - `projects/dttb/proxmox-inventory.md`
+  - `projects/mmfb/proxmox-inventory.md`
+- `mikrotik.md`:
+  - `projects/niikn/mikrotik.md`
+  - `projects/mmfb/mikrotik.md`
+
+---
+*Генерируется `scripts/kb-health.py`. JSON-версия в `audit/health-latest.json` для agent-loop.*

audit/2026-06-14-npm-drift.md

@@ -0,0 +1,70 @@
+---
+date: 2026-06-14
+type: audit
+source: kb-audit-npm.py
+tags: [audit, drift, npm]
+---
+
+# NPM drift audit — 2026-06-14
+
+Сверка [[../projects/dttb/npm-proxy-hosts|npm-proxy-hosts.md]] с NPM API (https://npm.dttb.ru).
+
+- Живых proxy hosts: **29**
+- В KB: **26**
+- Совпадений: 26 / новых: 3 / удалённых из NPM: 0 / с изменениями: 3
+
+## ⚠ Новые hosts (в NPM есть, в KB нет)
+
+| ID | Домены | Backend | SSL | Enabled |
+|---|---|---|---|---|
+| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
+| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
+| 35 | `ai.umnybot.ru` | `10.0.0.239:9119` | ✓ | on |
+
+## 🔄 Изменения (ID совпадает, но что-то сменилось)
+
+### #12 `bitrix24.dttb.ru`
+- backend: KB=`10.0.0.223:8080` → live=`10.0.0.224:8080`
+
+### #14 `remot.dttb.ru`
+- backend: KB=`10.0.0.43:21114` → live=`10.0.0.244:21114`
+
+### #22 `git.dttb.ru`
+- ssl: KB=✗ → live=✓
+
+## Полный живой список
+
+| ID | Домены | Backend | SSL | Enabled |
+|---|---|---|---|---|
+| 1 | `dttb.ru` | `10.0.0.230:11001` | ✓ | on |
+| 2 | `office.dttb.ru` | `10.0.0.169:8080` | ✓ | on |
+| 3 | `itilegent.ru` | `10.0.0.223:8080` | ✓ | on |
+| 4 | `npm.dttb.ru` | `10.0.0.195:81` | ✓ | on |
+| 5 | `porteiner.dttb.ru` | `10.0.0.10:9443` | ✓ | on |
+| 6 | `pve.dttb.ru` | `10.0.0.250:8006` | ✓ | on |
+| 9 | `ai.dttb.ru` | `10.0.0.179:8080` | ✓ | on |
+| 10 | `bit.dttb.ru` | `10.0.0.217:8080` | ✓ | on |
+| 11 | `link.dttb.ru` | `10.0.0.184:3000` | ✓ | on |
+| 12 | `bitrix24.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
+| 13 | `ip.dttb.ru` | `10.0.0.112:8840` | ✓ | on |
+| 14 | `remot.dttb.ru` | `10.0.0.244:21114` | ✓ | on |
+| 15 | `plex.dttb.ru` | `10.0.0.200:32400` | ✓ | on |
+| 16 | `home.dttb.ru` | `10.0.0.155:8123` | ✓ | on |
+| 17 | `z.dttb.ru` | `10.0.0.220:80` | ✓ | on |
+| 21 | `rec.dttb.ru` | `10.0.0.227:8091` | ✓ | on |
+| 22 | `git.dttb.ru` | `10.0.0.189:3000` | ✓ | on |
+| 23 | `matrix.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
+| 25 | `mail.dttb.ru` | `10.0.0.107:443` | ✓ | on |
+| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
+| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
+| 28 | `bot.dttb.ru` | `10.0.0.239:18789` | ✓ | on |
+| 29 | `omni.dttb.ru` | `10.0.0.179:20128` | ✓ | on |
+| 30 | `omni.umnybot.ru` | `10.0.0.163:20128` | ✓ | on |
+| 31 | `zima.umnybot.ru` | `10.0.0.190:80` | ✓ | on |
+| 32 | `swarm.dttb.ru` | `10.0.0.135:3456` | ✓ | on |
+| 33 | `tg.umnybot.ru` | `10.0.0.190:3000` | ✓ | on |
+| 34 | `rustdesk.umnybot.ru` | `10.0.0.190:3005` | ✓ | on |
+| 35 | `ai.umnybot.ru` | `10.0.0.239:9119` | ✓ | on |
+
+---
+*Автоматически через `scripts/kb-audit-npm.py`.*

audit/2026-06-14-objects-audit.md

@@ -0,0 +1,51 @@
+---
+date: 2026-06-14
+type: audit
+source: scripts/kb-objects-audit.py
+tags: [audit, objects, frontmatter, links]
+score: 51
+---
+
+# KB objects audit — 2026-06-14
+
+**Score (меньше = лучше): `51`**
+
+- Проектов с frontmatter: **14/14** (0 проблем)
+- NetBird online-пиров без проектной карточки: **3**
+- Битых wiki-ссылок `[[...]]`: **15**
+
+## Frontmatter в projects/
+
+✅ все проекты имеют валидный frontmatter
+
+## Online netbird-пиры без проектной карточки
+
+Эти пиры онлайн в NetBird, но не привязаны ни к одной projects/-странице. 
+Бот не сможет ответить «найди X» осмысленно — нет файла или alias.
+
+Лечение: либо создать stub в `projects/<slug>/README.md` (см. `projects/lipki/` как образец), 
+либо добавить имя пира как полную строку в `aliases` подходящего проекта.
+
+| NetBird-имя | IP | OS | Город |
+|---|---|---|---|
+| `DESKTOP-2IOQS54` | 100.70.82.83 | Windows 10 | Saransk |
+| `DESKTOP-AGBMLPN` | 100.70.0.106 | Windows 11 | Helsinki |
+| `DESKTOP-HL0BB05` | 100.70.235.80 | Windows 11 | Lipetsk |
+
+## Битые wiki-ссылки
+
+- [snippets/podkop-reference.md](snippets/podkop-reference.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_busybox_ip_br_flag\|памятка]]` → нет такого файла
+- [snippets/podkop-reference.md](snippets/podkop-reference.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_iphone_breaks_fakeip\|памятка]]` → нет такого файла
+- [snippets/podkop-reference.md](snippets/podkop-reference.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring|памятка: корень vs band-aid]]` → нет такого файла
+- [snippets/podkop-fakeip-diagnostics.md](snippets/podkop-fakeip-diagnostics.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_openclaw_crash_loop|памятку про sing-box crash-loop]]` → нет такого файла
+- [decisions/2026-06-08-swarmclaw-lxc135-deploy.md](decisions/2026-06-08-swarmclaw-lxc135-deploy.md) — `[[../snippets/spaceweb-dns-api]]` → нет такого файла
+- [decisions/2026-05-26-omni-domain-and-update.md](decisions/2026-05-26-omni-domain-and-update.md) — `[[feedback_spaceweb_dns_desync]]` → нет такого файла
+- [decisions/2026-06-04-lipki-deco-p9-powerline-degradation.md](decisions/2026-06-04-lipki-deco-p9-powerline-degradation.md) — `[[../claude-memory/feedback_lipki_deco_powerline]]` → нет такого файла
+- [decisions/2026-05-23-glavtorg-autologon-off.md](decisions/2026-05-23-glavtorg-autologon-off.md) — `[[feedback_vmware_workstation_session]]` → нет такого файла
+- [projects/openwrt-4/credentials.md](projects/openwrt-4/credentials.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag|памятка]]` → нет такого файла
+- [projects/dttb/finland-hostkey-vps.md](projects/dttb/finland-hostkey-vps.md) — `[[../../claude-memory/finland-vps-security]]` → нет такого файла
+- [projects/benilux/kp-alexandr-umny-server.md](projects/benilux/kp-alexandr-umny-server.md) — `[[../../claude-memory/project_alexandr_assistant]]` → нет такого файла
+- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[project_niikn_maxim_assistant|Максима Мауля]]` → нет такого файла
+- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[../../snippets/netbird-claude-install.ps1]]` → нет такого файла
+- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[rustdesk\|lejianwen-pro LXC 116]]` → нет такого файла
+- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[../../snippets/clients/|метод]]` → нет такого файла

audit/2026-06-14-proposed.md

@@ -0,0 +1,120 @@
+---
+date: 2026-06-14
+type: audit-proposed
+source: kb-audit-propose.sh (Opus 4.7)
+tags: [audit, proposed, inventory]
+---
+
+# Предложенные правки inventory — 2026-06-14
+
+Сгенерировано Claude Opus на основе [[2026-06-14-drift|drift-отчёта]].
+**Правки НЕ применены.** Ревью — ты. Apply — вручную.
+
+## 1. Резюме
+
+Drift минимальный по составу (скрипт нашёл 1 «лишнего» гостя — LXC 139 `severny-les`, его нет в inventory), но при ручной сверке полного живого списка вылезли **4 расхождения по статусам** (112, 119 — стали running; 134, 138 — стали stopped) и **2 конфликта переиспользования VMID** (129 и 133 числятся в «Удалённых», но live показывает на этих ID новые гостей). Сводная таблица и счётчики тоже устарели (37 → 41).
+
+## 2. Конкретные правки
+
+### A. Добавить LXC 139 `severny-les` (главная находка скрипта)
+В раздел `## 🟢 Запущенные LXC`:
+```diff
++### LXC 139 — severny-les
++| Параметр | Значение |
++|----------|----------|
++| Статус | 🟢 running |
++| IP | (уточнить) |
++| Назначение | (уточнить) |
+```
+⚠ В drift-отчёте есть только VMID/type/status/name — IP и назначение неизвестны, оставлены заглушки.
+
+### B. Статус-дрифт VM 112 `cloud-dttb`: stopped → running
+Удалить строку из `## 🔴 Остановленные VM`:
+```diff
+-| 112 | cloud-dttb | 8 | 16 GB | 80 GB | — |
+```
+Добавить блок в `## 🟢 Запущенные VM`:
+```diff
++### VM 112 — cloud-dttb
++| Параметр | Значение |
++|----------|----------|
++| Статус | 🟢 running |
++| Назначение | — |
+```
+
+### C. Статус-дрифт LXC 119 `myspeed`: stopped → running
+Удалить из `## 🔴 Остановленные LXC`:
+```diff
+-| 119 | myspeed | Speed test мониторинг |
+```
+Добавить в `## 🟢 Запущенные LXC`:
+```diff
++### LXC 119 — myspeed
++| Параметр | Значение |
++|----------|----------|
++| Статус | 🟢 running |
++| Назначение | Speed test мониторинг |
+```
+
+### D. Статус-дрифт LXC 134 `ZnamSecurityBot`: running → stopped
+Удалить блок из `## 🟢 Запущенные LXC` (весь блок «LXC 134 — ZnamSecurityBot»).
+Добавить строку в `## 🔴 Остановленные LXC`:
+```diff
++| 134 | ZnamSecurityBot | ZnamSecurity Telegram-бот |
+```
+
+### E. Статус-дрифт LXC 138 `vpn-proxy`: running → stopped
+Удалить блок из `## 🟢 Запущенные LXC` (весь блок «LXC 138 — vpn-proxy»).
+Добавить строку в `## 🔴 Остановленные LXC`:
+```diff
++| 138 | vpn-proxy | VPN-proxy (детали уточнить) |
+```
+
+### F. Конфликт VMID 129 — переиспользован
+Live: `129 VM stopped profi-parser-vm`. В inventory 129 числится в «🗑️ Удалённые» как `Clawdbot`.
+Добавить в `## 🔴 Остановленные VM`:
+```diff
++| 129 | profi-parser-vm | — | — | — | (новый, уточнить) |
+```
+И поправить историческую запись (ID переиспользован под новую VM):
+```diff
+-| 129 | Clawdbot | ~апрель 2026 | Данные перенесены ... IP 10.0.0.206 освобождён |
++| 129 | Clawdbot | ~апрель 2026 | Удалён; VMID 129 переиспользован под profi-parser-vm |
+```
+
+### G. Конфликт VMID 133 — переиспользован
+Live: `133 VM stopped s1c-buzharovo`. В inventory 133 числится в «🗑️ Удалённые» как `clawdbot-1`.
+Добавить в `## 🔴 Остановленные VM`:
+```diff
++| 133 | s1c-buzharovo | — | — | — | (новый, уточнить) |
+```
+Поправить историческую запись:
+```diff
+-| 133 | clawdbot-1 | ~апрель 2026 | Функционал мигрирован на openclaw (137) |
++| 133 | clawdbot-1 | ~апрель 2026 | Удалён; VMID 133 переиспользован под s1c-buzharovo |
+```
+
+### H. Пересчитать сводную таблицу (по факту live = 41 гость)
+```diff
+-| QEMU VM | 15 | 5 | 10 |
+-| LXC | 22 | 12 | 10 |
+-| **Итого** | **37** | **17** | **20** |
++| QEMU VM | 18 | 6 | 12 |
++| LXC | 23 | 11 | 12 |
++| **Итого** | **41** | **17** | **24** |
+```
+(VM: running 106,107,111,112,127,250 = 6; LXC running 103,113,114,115,116,119,132,135,136,137,139 = 11.)
+
+### I. Обновить дату
+```diff
+-> Последнее обновление: 2026-06-08 (добавлен LXC 135 swarmclaw)
++> Последнее обновление: 2026-06-14 (drift-аудит: +LXC 139; статусы 112/119/134/138; VMID 129/133 переиспользованы)
+```
+
+## 3. Предупреждения / неоднозначности
+
+- **Нет данных в отчёте** для IP/назначения у: 139 `severny-les`, 129 `profi-parser-vm`, 133 `s1c-buzharovo`. Я оставил «уточнить» — заполнять вручную, не выдумывать.
+- **Статус-дрифты (B–E) скрипт НЕ флагал** — он сверяет только присутствие/тип, не статус. Найдено вручную по «Полному живому списку» отчёта. Статус — вещь динамическая (могли просто запустить/остановить); прежде чем двигать блоки, убедись что это устойчивое состояние, а не разовый запуск.
+- **VMID 135**: в «Удалённых» есть `whisper-bot (135)`, а live/активный inventory — `swarmclaw (135)`. Это уже корректно отражено в активном разделе; запись в истории трогать не обязательно (просто факт переиспользования ID).
+- **Второй нода 10.0.0.147**: в шапке упомянуты VM 100 / LXC 101 на standalone-ноде. В live-списке 100=`NV`, 101=`n8n` — это ID основной ноды. Drift-отчёт сверяет только основную ноду, расхождение по второй ноде здесь не оценивается.
+- Блоки B и F (oба VM с минимумом полей) даны в сокращённом виде — CPU/RAM/диск в отчёте отсутствуют.

audit/2026-06-21-creds-drift.md

@@ -0,0 +1,52 @@
+---
+date: 2026-06-21
+type: audit
+source: kb-audit-creds.py
+tags: [audit, creds, reachability]
+---
+
+# Credentials reachability — 2026-06-21
+
+Ping-проверка URL из [[../projects/dttb/credentials|credentials.md]].
+Проверяется только reachability (HTTP status), не реальный логин.
+
+- Всего URL: **20**
+- ✓ Reachable: 15 / ⚠ Questionable: 3 / ❌ Unreachable: 2
+
+## ❌ Недоступные (проверить: сервер упал? URL поменялся?)
+
+| URL | Status | Detail | Контекст |
+|---|---|---|---|
+| `https://vps.sweb.ru` | FAIL | [Errno 104] Connection reset by peer | --------- ----------    URL   https://vps.sweb.ru  |
+| `https://api.sweb.ru/domains/dns` | FAIL | [Errno 104] Connection reset by peer | ароль   `1qaz!QAZ`     API   `https://api.sweb.ru/ |
+
+## ⚠ Нестандартный ответ
+
+| URL | Status | Detail |
+|---|---|---|
+| `https://remot.dttb.ru/swagger/index.html` | 404 | Not Found |
+| `https://api.netbird.io` | 404 | Not Found |
+| `https://api.netbird.io/api/setup-keys` | 404 | Not Found |
+
+## ✓ Все ответили нормально
+
+| URL | Status | Категория |
+|---|---|---|
+| `https://10.0.0.250:8006` | 200 | ✓ reachable |
+| `https://pve.dttb.ru` | 200 | ✓ reachable |
+| `http://10.0.0.189:3000` | 200 | ✓ reachable |
+| `http://git.dttb.ru` | 200 | ✓ reachable |
+| `http://10.0.0.195:81` | 200 | ✓ reachable |
+| `https://npm.dttb.ru` | 200 | ✓ reachable |
+| `https://remot.dttb.ru/_admin` | 200 | ✓ reachable |
+| `https://dttb.ru` | 200 | ✓ reachable |
+| `https://dttb.ru/remote.php/dav/files/admin` | 401 | ✓ auth-required (сервер жив) |
+| `https://mail.niikn.com` | 200 | ✓ reachable |
+| `http://192.168.1.22:81` | 200 | ✓ reachable |
+| `https://edit.telegra.ph/auth/f1tfgzYpPpGlAr7cYHRzSeH59fYuNVB2V3fbCdypDc` | 200 | ✓ reachable |
+| `https://api.telegra.ph/createPage` | 200 | ✓ reachable |
+| `https://api.telegra.ph/editPage` | 200 | ✓ reachable |
+| `https://telegra.ph/Nastrojka-VPN-04-24-2` | 200 | ✓ reachable |
+
+---
+*Автоматически через `scripts/kb-audit-creds.py`.*

audit/2026-06-21-dns-drift.md

@@ -0,0 +1,93 @@
+---
+date: 2026-06-21
+type: audit
+source: kb-audit-dns.py
+tags: [audit, dns]
+---
+
+# DNS resolve audit — 2026-06-21
+
+Резолвим все домены из NPM через публичный DNS (8.8.8.8) и локальный роутер (10.0.0.1).
+
+- Всего доменов: **31**
+- NXDOMAIN на 8.8.8.8: 2 / пустой ответ локально: 1 / split-horizon: 23
+
+## ❌ NXDOMAIN / не резолвится на 8.8.8.8 (публичный DNS)
+
+| Домен | Локальный IP |
+|---|---|
+| `itilegent.ru` | (тоже нет) |
+| `vpn.dttb.ru` | 10.0.0.195 |
+
+## ⚠ Split-horizon — разные IP снаружи и внутри
+
+Это нормально для *.dttb.ru (внешний Let's Encrypt IP vs локальный 10.0.0.195). Но неожиданный split может быть багом.
+
+| Домен | Публичный (8.8.8.8) | Локальный (10.0.0.1) |
+|---|---|---|
+| `ai.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bit.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bitrix24.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `git.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `home.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `ip.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `link.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `mail.dttb.ru` | 176.62.183.186 | 10.0.0.107 |
+| `matrix.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `npm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `office.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `omni.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `plex.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `porteiner.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `pve.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `rec.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `remot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `router.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `swarm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `unifi.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `z.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+
+## ⚠ Пустой локальный резолв (роутер не знает)
+
+- `itilegent.ru` (публичный: -)
+
+## Полная таблица резолва
+
+| Домен | 8.8.8.8 | 10.0.0.1 |
+|---|---|---|
+| `ai.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `ai.umnybot.ru` | 158.255.0.139 | 158.255.0.139 |
+| `bit.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bitrix24.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `git.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `home.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `ip.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `itilegent.ru` | — | — |
+| `link.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `mail.dttb.ru` | 176.62.183.186 | 10.0.0.107 |
+| `matrix.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `npm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `office.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `omni.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `omni.umnybot.ru` | 158.255.0.139 | 158.255.0.139 |
+| `plex.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `porteiner.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `pve.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `rec.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `remot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `router.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `rustdesk.umnybot.ru` | 158.255.0.139 | 158.255.0.139 |
+| `swarm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `tg.umnybot.ru` | 158.255.0.139 | 158.255.0.139 |
+| `umnybot.ru` | 158.255.0.139 | 158.255.0.139 |
+| `unifi.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `vpn.dttb.ru` | — | 10.0.0.195 |
+| `z.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `zima.umnybot.ru` | 158.255.0.139 | 158.255.0.139 |
+
+---
+*Автоматически через `scripts/kb-audit-dns.py`.*

audit/2026-06-21-drift.md

@@ -0,0 +1,72 @@
+---
+date: 2026-06-21
+type: audit
+source: kb-audit.py
+tags: [audit, drift, infrastructure]
+---
+
+# KB drift audit — 2026-06-21
+
+Сравнение живого `pct list` / `qm list` с [[../projects/dttb/proxmox-inventory|proxmox-inventory.md]]
+
+- Живых гостей Proxmox: **43**
+- Упомянуто в inventory: **42**
+- В обоих: 42 / только в live: 1 / отсутствуют в live: 0
+- Известны как удалённые: 0 (в `## 🗑️ Удалённые`)
+
+## ⚠ В Proxmox есть, в inventory НЕТ (надо добавить)
+
+| VMID | Type | Status | Name |
+|---|---|---|---|
+| 139 | LXC | running | severny-les |
+
+## Полный живой список
+
+| VMID | Type | Status | Name |
+|---|---|---|---|
+| 100 | VM | stopped | NV |
+| 101 | LXC | stopped | n8n |
+| 102 | LXC | stopped | SMB |
+| 103 | LXC | running | NPM |
+| 104 | VM | stopped | Agent-DVR |
+| 105 | VM | stopped | Nextcloud-AIO-dttb.ru |
+| 106 | VM | running | pbs |
+| 107 | VM | running | Mailcow |
+| 108 | LXC | stopped | zabbix |
+| 109 | VM | stopped | itilelegent |
+| 110 | VM | stopped | Cloud |
+| 111 | VM | running | WinServer2025 |
+| 112 | VM | running | cloud-dttb |
+| 113 | LXC | running | VaultWarden |
+| 114 | LXC | running | LinkWarden |
+| 115 | LXC | running | watchyourlan |
+| 116 | LXC | running | rustdeskserver |
+| 117 | LXC | stopped | motioneye |
+| 118 | LXC | stopped | plex |
+| 119 | LXC | running | myspeed |
+| 120 | VM | stopped | 7 |
+| 121 | LXC | stopped | docker-windows |
+| 122 | LXC | stopped | qbittorrent |
+| 123 | LXC | stopped | proxmox-local |
+| 124 | VM | stopped | Matrix |
+| 125 | VM | stopped | datacentr |
+| 126 | LXC | stopped | debian |
+| 127 | VM | running | haos-17.0 |
+| 128 | LXC | stopped | profi-parser |
+| 129 | VM | stopped | profi-parser-vm |
+| 130 | VM | running | Zima-OS |
+| 131 | VM | stopped | ubuntu |
+| 132 | LXC | running | code-server |
+| 133 | VM | stopped | s1c-buzharovo |
+| 134 | LXC | stopped | ZnamSecurityBot |
+| 135 | LXC | running | swarmclaw |
+| 136 | LXC | running | gitea |
+| 137 | LXC | running | openclaw |
+| 138 | LXC | stopped | vpn-proxy |
+| 139 | LXC | running | severny-les |
+| 140 | LXC | running | unifi |
+| 141 | LXC | running | german |
+| 250 | VM | running | Nextcloud-AIO |
+
+---
+*Автоматически сгенерировано `scripts/kb-audit.py`. Применять правки — вручную после ревью.*

audit/2026-06-21-health.md

@@ -0,0 +1,241 @@
+---
+date: 2026-06-21
+type: audit
+source: kb-health.py
+score: 2285
+tags: [audit, health, metric]
+---
+
+# KB health — 2026-06-21
+
+**Score (меньше = лучше): `2285`**
+Проверено файлов: 1431
+
+## Разбивка
+
+| Категория | Кол-во | Вес | Штраф |
+|---|---:|---:|---:|
+| broken_wikilinks | 23 | 10 | 230 |
+| broken_paths | 132 | 10 | 1320 |
+| missing_frontmatter | 23 | 3 | 69 |
+| orphan_files | 62 | 2 | 124 |
+| undated_todos | 512 | 1 | 512 |
+| duplicate_basenames | 6 | 5 | 30 |
+| **ИТОГО** | | | **2285** |
+
+## Битые wikilinks
+
+| Откуда | `[[таргет]]` |
+|---|---|
+| `decisions/2026-06-15-unifi-controller-homelab.md` | `[[feedback_dttb_dns_split_view]]` |
+| `decisions/2026-06-08-swarmclaw-lxc135-deploy.md` | `[[../snippets/spaceweb-dns-api]]` |
+| `decisions/2026-05-26-omni-domain-and-update.md` | `[[feedback_spaceweb_dns_desync]]` |
+| `decisions/2026-06-04-lipki-deco-p9-powerline-degradation.md` | `[[../claude-memory/feedback_lipki_deco_powerline]]` |
+| `decisions/2026-05-23-glavtorg-autologon-off.md` | `[[feedback_vmware_workstation_session]]` |
+| `decisions/2026-06-20-german-hermes-out-of-usage.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_omniroute_update]]` |
+| `decisions/2026-06-20-german-hermes-out-of-usage.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/project_german_hermes]]` |
+| `decisions/2026-06-20-german-hermes-out-of-usage.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring]]` |
+| `projects/openwrt-4/credentials.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag]]` |
+| `projects/dttb/proxmox-pve-147.md` | `[[../../claude-memory/project_alexandr_assistant]]` |
+| `projects/dttb/finland-hostkey-vps.md` | `[[../../claude-memory/finland-vps-security]]` |
+| `projects/benilux/kp-alexandr-umny-server.md` | `[[../../claude-memory/project_alexandr_assistant]]` |
+| `projects/niikn/maul-pc.md` | `[[project_niikn_maxim_assistant]]` |
+| `projects/niikn/maul-pc.md` | `[[../../snippets/netbird-claude-install.ps1]]` |
+| `projects/niikn/maul-pc.md` | `[[../../snippets/clients/]]` |
+| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 0]]` |
+| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 1]]` |
+| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 2]]` |
+| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 3]]` |
+| `snippets/podkop-reference.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_busybox_ip_br_flag\]]` |
+| `snippets/podkop-reference.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_iphone_breaks_fakeip\]]` |
+| `snippets/podkop-reference.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring]]` |
+| `snippets/podkop-fakeip-diagnostics.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_openclaw_crash_loop]]` |
+
+## Битые relative-пути
+
+| Откуда | Путь |
+|---|---|
+| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_superwhisper_no_license.md` |
+| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/reference_groq_api.md` |
+| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_superwhisper_no_license.md` |
+| `notes/ru-geoblocked-services.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_win11_unattended_upgrade.md` |
+| `notes/ru-geoblocked-services.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_nspd_blocks_mts.md` |
+| `notes/claude/2026-04-21-200915-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md` | `projects/dttb/vps-swtest.md` |
+| `notes/claude/2026-05-21-102751-давай-проверим-openvrt-benelux.md` | `snippets/clients/alexandr-benelux-amnezia-reinstall.md` |
+| `notes/claude/2026-04-24-194555-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `projects/dttb/credentials.md` |
+| `notes/claude/2026-04-20-113423-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md` |
+| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `decisions/2026-04-28-rustdesk-lejianwen-pro-migration.md` |
+| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/rustdesk.md` |
+| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/credentials.md` |
+| `notes/claude/2026-04-30-221054-найди-инфу-вчера-оксане-делали-доступ-через-рустде.md` | `projects/niikn/office-pc.md` |
+| `notes/claude/2026-04-29-153123-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/proxmox-inventory.md` |
+| `notes/claude/2026-04-29-153123-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/credentials.md` |
+| `notes/claude/2026-05-29-234117-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-pve-147.md` |
+| `notes/claude/2026-05-29-234117-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-inventory.md` |
+| `notes/claude/2026-04-29-231939-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/happ-routing-roscomvpn.md` |
+| `notes/claude/2026-05-30-105828-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-pve-147.md` |
+| `notes/claude/2026-04-24-194322-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/clients/yaroslav-amnezia-setup.md` |
+| `notes/claude/2026-04-24-194322-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/apple-id-us-on-russia.md` |
+| `notes/claude/2026-05-04-100627-можешь-составлять-графические-схемы-на-dttbruhttpd.md` | `projects/znamenskoye/network-topology-diagram.md` |
+| `notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `projects/mmfb/mikrotik.md` |
+| `notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `projects/niikn/mikrotik.md` |
+| `notes/claude/2026-04-24-165527-новый-клиент-ммфб-юрий-витальевич-нужно-подключить.md` | `projects/mmfb/yuri-vitalievich.md` |
+| `notes/claude/2026-05-06-210824-superwhisper-можешь-проверить-не-работает.md` | `../knowledge-base/decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` |
+| `notes/claude/2026-05-20-195902-давай-проверим-openvrt-benelux.md` | `decisions/2026-05-20-benelux-compromise.md` |
+| `notes/claude/2026-05-28-131315-нужно-в-нетбирд-найти-и-настроить-подключение-к-эт.md` | `projects/niikn/maul-pc.md` |
+| `notes/claude/2026-04-29-160010-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/clients/yaroslav-happ-setup.md` |
+| `notes/claude/2026-05-04-085317-можешь-составлять-графические-схемы-на-dttbruhttpd.md` | `projects/dttb/network-topology-diagram.md` |
+| `notes/claude/2026-05-21-104248-давай-проверим-openvrt-benelux.md` | `projects/benilux/credentials.md` |
+| `notes/claude/2026-06-05-123547-давай-проверим-openvrt-benelux.md` | `decisions/2026-06-05-benelux-blackout-fw4-recovery.md` |
+| `notes/claude/2026-04-29-071329-на-компе-юрия-продолжим-проверь-он-сети.md` | `projects/mmfb/otchet-yuri-2026-04.md` |
+| `notes/claude/2026-05-23-133737-еще-клиент-ярослав-сервера-1с-главторг-жалуется-чт.md` | `projects/glavtorg/instruction-yaroslav-autologon.md` |
+| `notes/claude/2026-05-27-191956-давай-проверим-openvrt-benelux.md` | `snippets/clients/alexandr-benelux-power-recovery.md` |
+| `notes/claude/2026-04-21-203517-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md` | `/Users/ai/.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag.md` |
+| `notes/claude/2026-05-28-215219-102531240-администратор-ol260380eg-нужно-подключит.md` | `projects/mmfb/lionart-1c.md` |
+| `notes/claude/2026-05-26-111148-нужно-на-omni-робуте-установить-ему-домен-у-тебя-е.md` | `memory/feedback_antigravity_onboarding.md` |
+| `notes/claude/2026-05-26-111148-нужно-на-omni-робуте-установить-ему-домен-у-тебя-е.md` | `memory/MEMORY.md` |
+| `notes/claude/2026-06-02-001742-есть-клиент-француз-у-него-есть-cudy-tr3000-с-podk.md` | `projects/openwrt-4/canal-plus-setup-runbook.md` |
+| `notes/claude/2026-06-08-213054-найди-аналог-openclaw-для-меня-нужен-аркестратор-и.md` | `decisions/2026-06-08-swarmclaw-lxc135-deploy.md` |
+| `notes/claude/2026-04-29-150044-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/vpn-clients.md` |
+| `notes/claude/2026-04-29-223542-создадим-еще-одного-пользователя-подключение-к-vpn.md` | `snippets/clients/sergey-znamenskoye-happ-setup.md` |
+| `notes/claude/2026-05-30-002747-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-pve-147.md` |
+| `notes/claude/2026-05-20-204621-давай-проверим-openvrt-benelux.md` | `snippets/clients/alexandr-benelux-amnezia-reinstall.md` |
+| `notes/claude/2026-05-30-003032-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-pve-147.md` |
+| `notes/claude/2026-05-20-190402-давай-проверим-openvrt-benelux.md` | `projects/benilux/README.md` |
+| `notes/claude/2026-05-20-190402-давай-проверим-openvrt-benelux.md` | `decisions/2026-05-20-benelux-compromise.md` |
+| `notes/claude/2026-04-28-134112-можешь-найти-кп-мичуринец.md` | `projects/dttb/znamenskoye-network-topology.md` |
+| `notes/claude/2026-04-28-134112-можешь-найти-кп-мичуринец.md` | `claude-memory/benelux-topology.md` |
+| ... | +82 ещё |
+
+## Без frontmatter (23)
+
+- `decisions/2026-06-01-claude-remote-control-mobile.md`
+- `decisions/2026-06-11-niikn-opyt-arhiv-100mb.md`
+- `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md`
+- `notes/ru-geoblocked-services.md`
+- `projects/dttb/znamenskoye-log.md`
+- `projects/niikn/office-pc.md`
+- `projects/niikn/kripto-arm.md`
+- `projects/mmfb/yuri-vitalievich.md`
+- `projects/mmfb/otchet-yuri-2026-04.md`
+- `projects/dttb/graphify-out/GRAPH_REPORT.md`
+- `snippets/happ-vpn-client-instruction.md`
+- `snippets/invoice-template.md`
+- `snippets/assets/happ-routing-roscomvpn/README-upstream.md`
+- `claude-memory/servicedesk-dttb.md`
+- `claude-memory/benelux.md`
+- `claude-memory/nextcloud-dttb.md`
+- `claude-memory/nvr-fix.md`
+- `claude-memory/videonablyudenie.md`
+- `claude-memory/znamenskoe-home.md`
+- `claude-memory/niikn-nextcloud.md`
+- `claude-memory/krasnogorsk.md`
+- `claude-memory/mas-niikn.md`
+- `claude-memory/MEMORY.md`
+
+## Orphan — без бэклинков (62)
+
+_Эти файлы никто не упоминает через `[[..]]`. Кандидаты на удаление или добавление ссылок._
+
+- `decisions/2026-05-14-buzharovo-watchdog-public-only.md`
+- `decisions/2026-04-30-niikn-culture-gov-fakeip-fix.md`
+- `decisions/2026-06-01-claude-remote-control-mobile.md`
+- `decisions/2026-06-17-niikn-deco-p9-backhaul-degradation.md`
+- `decisions/2026-05-26-server-upgrade-z6-g4.md`
+- `decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md`
+- `decisions/2026-06-11-niikn-opyt-arhiv-100mb.md`
+- `decisions/2026-06-04-deapple-migration-roadmap.md`
+- `decisions/2026-04-28-netbird-watchdog-lxc-132-137.md`
+- `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md`
+- `decisions/2026-05-23-glavtorg-autologon-off.md`
+- `decisions/2026-06-08-finland-vless-happ-dns-diag.md`
+- `decisions/2026-05-08-buzharovo-1c-licensing-options.md`
+- `decisions/2026-05-06-kb-search-overhaul.md`
+- `decisions/2026-04-28-niikn-uookn-sev-gov-fakeip-fix.md`
+- `decisions/2026-06-20-german-hermes-out-of-usage.md`
+- `notes/ru-geoblocked-services.md`
+- `projects/openwrt-4/STATUS-2026-06-03-eod.md`
+- `projects/openwrt-4/session-handoff-2026-06-02.md`
+- `projects/openwrt-4/client-letter.md`
+- `projects/dttb/network-topology-diagram.md`
+- `projects/glavtorg/instruction-yaroslav-autologon.md`
+- `projects/benilux/kp-alexandr-umny-server.md`
+- `projects/niikn/mailcow.md`
+- `projects/niikn/NIIKN-Infrastructure.md`
+- `projects/niikn/maul-pc.md`
+- `projects/niikn/groupfolders-migration.md`
+- `projects/niikn/credentials.md`
+- `projects/niikn/changelog.md`
+- `projects/niikn/matrix.md`
+- ... +32 ещё
+
+## TODO без даты (512 шт в 93 файлах)
+
+- `projects/backlog-current.md` — 39 шт
+- `decisions/2026-06-04-deapple-migration-roadmap.md` — 13 шт
+- `decisions/2026-04-30-rustdesk-pre-prod-audit.md` — 13 шт
+- `projects/lipki/README.md` — 11 шт
+- `templates/vpn-client.md` — 7 шт
+- `decisions/2026-05-26-server-upgrade-z6-g4.md` — 6 шт
+- `decisions/2026-04-29-rustdesk-client-deployment-package.md` — 6 шт
+- `projects/buzharovo/severny-les-bot.md` — 6 шт
+- `notes/claude/2026-05-30-223109-session.md` — 5 шт
+- `notes/claude/2026-05-31-230412-session.md` — 5 шт
+- `notes/claude/2026-06-01-115908-session.md` — 5 шт
+- `notes/claude/2026-05-31-212135-session.md` — 5 шт
+- `notes/claude/2026-05-31-150934-session.md` — 5 шт
+- `notes/claude/2026-05-30-143711-session.md` — 5 шт
+- `notes/claude/2026-05-31-232509-session.md` — 5 шт
+- `notes/claude/2026-06-08-161105-session.md` — 5 шт
+- `notes/claude/2026-06-07-235211-session.md` — 5 шт
+- `notes/claude/2026-06-08-160130-session.md` — 5 шт
+- `notes/claude/2026-06-08-002741-session.md` — 5 шт
+- `notes/claude/2026-05-31-183858-session.md` — 5 шт
+
+## Дубликаты имён (6)
+
+- `README.md`:
+  - `README.md`
+  - `decisions/README.md`
+  - `notes/README.md`
+  - `projects/znamenskoye/README.md`
+  - `projects/openwrt-4/README.md`
+  - `projects/dttb/README.md`
+  - `projects/glavtorg/README.md`
+  - `projects/benilux/README.md`
+  - `projects/vishnevyy-sad/README.md`
+  - `projects/sergey/README.md`
+  - `projects/niikn/README.md`
+  - `projects/lipki/README.md`
+  - `projects/krasnogorsk/README.md`
+  - `projects/mmfb/README.md`
+  - `projects/buzharovo/README.md`
+  - `projects/peredelki/README.md`
+  - `projects/zelenograd/README.md`
+  - `projects/dttb/nextcloud-talk-bot/README.md`
+  - `snippets/README.md`
+  - `snippets/mac-dictation/README.md`
+  - `scripts/README.md`
+- `nextcloud.md`:
+  - `projects/nextcloud.md`
+  - `projects/dttb/nextcloud.md`
+- `network-topology-diagram.md`:
+  - `projects/znamenskoye/network-topology-diagram.md`
+  - `projects/dttb/network-topology-diagram.md`
+  - `projects/niikn/network-topology-diagram.md`
+- `credentials.md`:
+  - `projects/openwrt-4/credentials.md`
+  - `projects/dttb/credentials.md`
+  - `projects/benilux/credentials.md`
+  - `projects/niikn/credentials.md`
+  - `projects/peredelki/credentials.md`
+  - `projects/dttb/ai-assistant-pilot/credentials.md`
+- `proxmox-inventory.md`:
+  - `projects/dttb/proxmox-inventory.md`
+  - `projects/mmfb/proxmox-inventory.md`
+- `mikrotik.md`:
+  - `projects/niikn/mikrotik.md`
+  - `projects/mmfb/mikrotik.md`
+
+---
+*Генерируется `scripts/kb-health.py`. JSON-версия в `audit/health-latest.json` для agent-loop.*

audit/2026-06-21-npm-drift.md

@@ -0,0 +1,76 @@
+---
+date: 2026-06-21
+type: audit
+source: kb-audit-npm.py
+tags: [audit, drift, npm]
+---
+
+# NPM drift audit — 2026-06-21
+
+Сверка [[../projects/dttb/npm-proxy-hosts|npm-proxy-hosts.md]] с NPM API (https://npm.dttb.ru).
+
+- Живых proxy hosts: **31**
+- В KB: **27**
+- Совпадений: 27 / новых: 4 / удалённых из NPM: 0 / с изменениями: 4
+
+## ⚠ Новые hosts (в NPM есть, в KB нет)
+
+| ID | Домены | Backend | SSL | Enabled |
+|---|---|---|---|---|
+| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
+| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
+| 35 | `ai.umnybot.ru` | `10.0.0.239:9119` | ✓ | on |
+| 37 | `umnybot.ru` | `10.0.0.103:3456` | - | on |
+
+## 🔄 Изменения (ID совпадает, но что-то сменилось)
+
+### #12 `bitrix24.dttb.ru`
+- backend: KB=`10.0.0.223:8080` → live=`10.0.0.224:8080`
+
+### #14 `remot.dttb.ru`
+- backend: KB=`10.0.0.43:21114` → live=`10.0.0.244:21114`
+
+### #22 `git.dttb.ru`
+- ssl: KB=✗ → live=✓
+
+### #33 `tg.umnybot.ru`
+- backend: KB=`10.0.0.190:3000` → live=`10.0.0.221:80`
+
+## Полный живой список
+
+| ID | Домены | Backend | SSL | Enabled |
+|---|---|---|---|---|
+| 1 | `dttb.ru` | `10.0.0.230:11001` | ✓ | on |
+| 2 | `office.dttb.ru` | `10.0.0.169:8080` | ✓ | on |
+| 3 | `itilegent.ru` | `10.0.0.223:8080` | ✓ | on |
+| 4 | `npm.dttb.ru` | `10.0.0.195:81` | ✓ | on |
+| 5 | `porteiner.dttb.ru` | `10.0.0.10:9443` | ✓ | on |
+| 6 | `pve.dttb.ru` | `10.0.0.250:8006` | ✓ | on |
+| 9 | `ai.dttb.ru` | `10.0.0.179:8080` | ✓ | on |
+| 10 | `bit.dttb.ru` | `10.0.0.217:8080` | ✓ | on |
+| 11 | `link.dttb.ru` | `10.0.0.184:3000` | ✓ | on |
+| 12 | `bitrix24.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
+| 13 | `ip.dttb.ru` | `10.0.0.112:8840` | ✓ | on |
+| 14 | `remot.dttb.ru` | `10.0.0.244:21114` | ✓ | on |
+| 15 | `plex.dttb.ru` | `10.0.0.200:32400` | ✓ | on |
+| 16 | `home.dttb.ru` | `10.0.0.155:8123` | ✓ | on |
+| 17 | `z.dttb.ru` | `10.0.0.220:80` | ✓ | on |
+| 21 | `rec.dttb.ru` | `10.0.0.227:8091` | ✓ | on |
+| 22 | `git.dttb.ru` | `10.0.0.189:3000` | ✓ | on |
+| 23 | `matrix.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
+| 25 | `mail.dttb.ru` | `10.0.0.107:443` | ✓ | on |
+| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
+| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
+| 28 | `bot.dttb.ru` | `10.0.0.239:18789` | ✓ | on |
+| 29 | `omni.dttb.ru` | `10.0.0.179:20128` | ✓ | on |
+| 30 | `omni.umnybot.ru` | `10.0.0.163:20128` | ✓ | on |
+| 31 | `zima.umnybot.ru` | `10.0.0.190:80` | ✓ | on |
+| 32 | `swarm.dttb.ru` | `10.0.0.135:3456` | ✓ | on |
+| 33 | `tg.umnybot.ru` | `10.0.0.221:80` | ✓ | on |
+| 34 | `rustdesk.umnybot.ru` | `10.0.0.190:3005` | ✓ | on |
+| 35 | `ai.umnybot.ru` | `10.0.0.239:9119` | ✓ | on |
+| 36 | `unifi.dttb.ru` | `10.0.0.196:8443` | ✓ | on |
+| 37 | `umnybot.ru` | `10.0.0.103:3456` | - | on |
+
+---
+*Автоматически через `scripts/kb-audit-npm.py`.*

audit/2026-06-21-objects-audit.md

@@ -0,0 +1,56 @@
+---
+date: 2026-06-21
+type: audit
+source: scripts/kb-objects-audit.py
+tags: [audit, objects, frontmatter, links]
+score: 66
+---
+
+# KB objects audit — 2026-06-21
+
+**Score (меньше = лучше): `66`**
+
+- Проектов с frontmatter: **14/14** (0 проблем)
+- NetBird online-пиров без проектной карточки: **3**
+- Битых wiki-ссылок `[[...]]`: **20**
+
+## Frontmatter в projects/
+
+✅ все проекты имеют валидный frontmatter
+
+## Online netbird-пиры без проектной карточки
+
+Эти пиры онлайн в NetBird, но не привязаны ни к одной projects/-странице. 
+Бот не сможет ответить «найди X» осмысленно — нет файла или alias.
+
+Лечение: либо создать stub в `projects/<slug>/README.md` (см. `projects/lipki/` как образец), 
+либо добавить имя пира как полную строку в `aliases` подходящего проекта.
+
+| NetBird-имя | IP | OS | Город |
+|---|---|---|---|
+| `DESKTOP-2IOQS54` | 100.70.82.83 | Windows 10 | Saransk |
+| `DESKTOP-AGBMLPN` | 100.70.0.106 | Windows 11 | Helsinki |
+| `DESKTOP-HL0BB05` | 100.70.235.80 | Windows 11 | Lipetsk |
+
+## Битые wiki-ссылки
+
+- [snippets/podkop-reference.md](snippets/podkop-reference.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_busybox_ip_br_flag\|памятка]]` → нет такого файла
+- [snippets/podkop-reference.md](snippets/podkop-reference.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_iphone_breaks_fakeip\|памятка]]` → нет такого файла
+- [snippets/podkop-reference.md](snippets/podkop-reference.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring|памятка: корень vs band-aid]]` → нет такого файла
+- [snippets/podkop-fakeip-diagnostics.md](snippets/podkop-fakeip-diagnostics.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_openclaw_crash_loop|памятку про sing-box crash-loop]]` → нет такого файла
+- [decisions/2026-06-15-unifi-controller-homelab.md](decisions/2026-06-15-unifi-controller-homelab.md) — `[[feedback_dttb_dns_split_view]]` → нет такого файла
+- [decisions/2026-06-08-swarmclaw-lxc135-deploy.md](decisions/2026-06-08-swarmclaw-lxc135-deploy.md) — `[[../snippets/spaceweb-dns-api]]` → нет такого файла
+- [decisions/2026-05-26-omni-domain-and-update.md](decisions/2026-05-26-omni-domain-and-update.md) — `[[feedback_spaceweb_dns_desync]]` → нет такого файла
+- [decisions/2026-06-04-lipki-deco-p9-powerline-degradation.md](decisions/2026-06-04-lipki-deco-p9-powerline-degradation.md) — `[[../claude-memory/feedback_lipki_deco_powerline]]` → нет такого файла
+- [decisions/2026-05-23-glavtorg-autologon-off.md](decisions/2026-05-23-glavtorg-autologon-off.md) — `[[feedback_vmware_workstation_session]]` → нет такого файла
+- [decisions/2026-06-20-german-hermes-out-of-usage.md](decisions/2026-06-20-german-hermes-out-of-usage.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_omniroute_update]]` → нет такого файла
+- [decisions/2026-06-20-german-hermes-out-of-usage.md](decisions/2026-06-20-german-hermes-out-of-usage.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/project_german_hermes]]` → нет такого файла
+- [decisions/2026-06-20-german-hermes-out-of-usage.md](decisions/2026-06-20-german-hermes-out-of-usage.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring]]` → нет такого файла
+- [projects/openwrt-4/credentials.md](projects/openwrt-4/credentials.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag|памятка]]` → нет такого файла
+- [projects/dttb/proxmox-pve-147.md](projects/dttb/proxmox-pve-147.md) — `[[../../claude-memory/project_alexandr_assistant]]` → нет такого файла
+- [projects/dttb/finland-hostkey-vps.md](projects/dttb/finland-hostkey-vps.md) — `[[../../claude-memory/finland-vps-security]]` → нет такого файла
+- [projects/benilux/kp-alexandr-umny-server.md](projects/benilux/kp-alexandr-umny-server.md) — `[[../../claude-memory/project_alexandr_assistant]]` → нет такого файла
+- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[project_niikn_maxim_assistant|Максима Мауля]]` → нет такого файла
+- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[../../snippets/netbird-claude-install.ps1]]` → нет такого файла
+- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[rustdesk\|lejianwen-pro LXC 116]]` → нет такого файла
+- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[../../snippets/clients/|метод]]` → нет такого файла

audit/2026-06-21-proposed.md

@@ -0,0 +1,98 @@
+---
+date: 2026-06-21
+type: audit-proposed
+source: kb-audit-propose.sh (Opus 4.7)
+tags: [audit, proposed, inventory]
+---
+
+# Предложенные правки inventory — 2026-06-21
+
+Сгенерировано Claude Opus на основе [[2026-06-21-drift|drift-отчёта]].
+**Правки НЕ применены.** Ревью — ты. Apply — вручную.
+
+Аудит формально нашёл только 1 расхождение, но сверка **полного** live-списка из отчёта вскрывает ещё несколько. Разбор ниже.
+
+## 1. Резюме
+
+Помимо отсутствующего `LXC 139 severny-les`, в inventory разъехались **4 статуса** (112, 119, 130 на самом деле `running`; 134 — `stopped`) и устарел раздел «Удалённые»: VMID **129/133/135 переиспользованы** живыми гостями. Сводные числа тоже неверны (39 → должно быть 43).
+
+## 2. Конкретные правки
+
+**A. Добавить блок LXC 139 (раздел «Запущенные LXC»)**
+```diff
++### LXC 139 — severny-les
++| Параметр | Значение |
++|----------|----------|
++| Статус | 🟢 running |
++| IP | (уточнить — в отчёте нет) |
++| Назначение | (уточнить) |
+```
+> В drift-отчёте по 139 есть только имя+статус. IP/роль не выдумывал — заглушки.
+
+**B. Исправить статусы (running, а не stopped)** — убрать из таблиц остановленных:
+```diff
+# Остановленные VM:
+-| 112 | cloud-dttb | 8 | 16 GB | 80 GB | — |
+-| 130 | Zima-OS | 4 | 12 GB | 32 GB | ZimaOS |
+
+# Остановленные LXC:
+-| 119 | myspeed | Speed test мониторинг |
+```
+…и добавить их как running (минимальные записи, деталей в отчёте нет):
+```diff
+# Запущенные VM:
++### VM 112 — cloud-dttb  → 🟢 running (IP уточнить)
++### VM 130 — Zima-OS     → 🟢 running (IP уточнить)
+# Запущенные LXC:
++### LXC 119 — myspeed    → 🟢 running (IP уточнить)
+```
+
+**C. LXC 134 ZnamSecurityBot — теперь stopped**
+```diff
+-### LXC 134 — ZnamSecurityBot
+-| Статус | 🟢 running |
++# переместить в таблицу «Остановленные LXC»:
++| 134 | ZnamSecurityBot | ZnamSecurity Telegram-бот (10.0.0.238) |
+```
+
+**D. Раздел «Удалённые» устарел — VMID переиспользованы**
+```diff
+-| 129 | Clawdbot   | ~апрель 2026 | Данные перенесены на code-server (132)... |
+-| 133 | clawdbot-1 | ~апрель 2026 | Функционал мигрирован на openclaw (137) |
+-| 135 | whisper-bot| ~апрель 2026 | — |
+```
+> 129 → живой `profi-parser-vm` (VM, stopped); 133 → `s1c-buzharovo` (VM, stopped); 135 → `swarmclaw` (LXC, running — **уже** описан отдельным блоком, т.е. сейчас числится дважды). Историю можно сохранить, но пометкой «VMID освобождён и переиспользован», а не как «удалён».
+
+Добавить 129/133 в «Остановленные VM»:
+```diff
++| 129 | profi-parser-vm | — | — | — | (уточнить) |
++| 133 | s1c-buzharovo   | — | — | — | (уточнить) |
+```
+
+**E. Сводка**
+```diff
+-| QEMU VM | 15 | 5 | 10 |
+-| LXC     | 24 | 14| 10 |
+-| **Итого** | **39** | **19** | **20** |
++| QEMU VM | 18 | 7 | 11 |
++| LXC     | 25 | 13| 12 |
++| **Итого** | **43** | **20** | **23** |
+```
+> Пересчитано по live-списку отчёта (VM 18 / LXC 25; running 20 / stopped 23).
+
+**F. Дата обновления (шапка)**
+```diff
+-> Последнее обновление: 2026-06-18 (добавлен LXC 141 german...)
++> Последнее обновление: 2026-06-21 (drift-аудит: +LXC 139; статусы 112/119/130/134; переиспользование VMID 129/133/135)
+```
+
+## 3. Предупреждения (неоднозначное)
+
+- **139, 112, 119, 130**: в отчёте нет IP/назначения — поставил `(уточнить)`, заполнять вручную из живых хостов, не из отчёта.
+- **133 `s1c-buzharovo`**: имя намекает на 1С (Бужарово), но отчёт это не подтверждает — назначение оставил «уточнить», не додумывал.
+- **VMID 129/133/135 переиспользованы**: перед удалением старых записей убедись, что привязки прежних ролей (напр. `backup-lxc129` на code-server) уже не актуальны.
+- **Статусы — снимок на момент аудита**. VM включают/выключают; running/stopped мог измениться — сверить при применении.
+- Мелочь вне drift: `LXC 138 vpn-proxy` лежит в секции «Запущенные LXC», хотя статус stopped (и в live тоже stopped) — стоит переложить в остановленные.
+
+---
+Файл не трогал, как просили. Если хочешь — могу применить эти правки (выйдя из plan-режима) или отдать готовый патч.

audit/2026-06-28-creds-drift.md

@@ -0,0 +1,55 @@
+---
+date: 2026-06-28
+type: audit
+source: kb-audit-creds.py
+tags: [audit, creds, reachability]
+---
+
+# Credentials reachability — 2026-06-28
+
+Ping-проверка URL из [[../projects/dttb/credentials|credentials.md]].
+Проверяется только reachability (HTTP status), не реальный логин.
+
+- Всего URL: **28**
+- ✓ Reachable: 25 / ⚠ Questionable: 3 / ❌ Unreachable: 0
+
+## ⚠ Нестандартный ответ
+
+| URL | Status | Detail |
+|---|---|---|
+| `https://remot.dttb.ru/swagger/index.html` | 404 | Not Found |
+| `https://api.netbird.io` | 404 | Not Found |
+| `https://api.netbird.io/api/setup-keys` | 404 | Not Found |
+
+## ✓ Все ответили нормально
+
+| URL | Status | Категория |
+|---|---|---|
+| `https://10.0.0.250:8006` | 200 | ✓ reachable |
+| `https://pve.dttb.ru` | 200 | ✓ reachable |
+| `http://10.0.0.143:5000` | 200 | ✓ reachable |
+| `http://100.70.9.163:5000` | 200 | ✓ reachable |
+| `http://10.0.0.189:3000` | 200 | ✓ reachable |
+| `http://git.dttb.ru` | 200 | ✓ reachable |
+| `http://10.0.0.195:81` | 200 | ✓ reachable |
+| `https://npm.dttb.ru` | 200 | ✓ reachable |
+| `https://remot.dttb.ru/_admin` | 200 | ✓ reachable |
+| `https://dttb.ru` | 200 | ✓ reachable |
+| `https://dttb.ru/remote.php/dav/files/admin` | 401 | ✓ auth-required (сервер жив) |
+| `http://10.0.0.221` | 200 | ✓ reachable |
+| `http://10.0.0.221:7681` | 200 | ✓ reachable |
+| `https://vps.sweb.ru` | 200 | ✓ reachable |
+| `https://api.sweb.ru/domains/dns` | 200 | ✓ reachable |
+| `https://mail.niikn.com` | 200 | ✓ reachable |
+| `http://192.168.1.22:81` | 200 | ✓ reachable |
+| `https://german.dttb.ru` | 200 | ✓ reachable |
+| `https://auth.dttb.ru` | 200 | ✓ reachable |
+| `https://dash.dttb.ru` | 401 | ✓ auth-required (сервер жив) |
+| `http://10.0.0.148:3000` | 200 | ✓ reachable |
+| `https://edit.telegra.ph/auth/f1tfgzYpPpGlAr7cYHRzSeH59fYuNVB2V3fbCdypDc` | 200 | ✓ reachable |
+| `https://api.telegra.ph/createPage` | 200 | ✓ reachable |
+| `https://api.telegra.ph/editPage` | 200 | ✓ reachable |
+| `https://telegra.ph/Nastrojka-VPN-04-24-2` | 200 | ✓ reachable |
+
+---
+*Автоматически через `scripts/kb-audit-creds.py`.*

audit/2026-06-28-dns-drift.md

@@ -0,0 +1,101 @@
+---
+date: 2026-06-28
+type: audit
+source: kb-audit-dns.py
+tags: [audit, dns]
+---
+
+# DNS resolve audit — 2026-06-28
+
+Резолвим все домены из NPM через публичный DNS (8.8.8.8) и локальный роутер (10.0.0.1).
+
+- Всего доменов: **35**
+- NXDOMAIN на 8.8.8.8: 2 / пустой ответ локально: 1 / split-horizon: 27
+
+## ❌ NXDOMAIN / не резолвится на 8.8.8.8 (публичный DNS)
+
+| Домен | Локальный IP |
+|---|---|
+| `itilegent.ru` | (тоже нет) |
+| `vpn.dttb.ru` | 10.0.0.195 |
+
+## ⚠ Split-horizon — разные IP снаружи и внутри
+
+Это нормально для *.dttb.ru (внешний Let's Encrypt IP vs локальный 10.0.0.195). Но неожиданный split может быть багом.
+
+| Домен | Публичный (8.8.8.8) | Локальный (10.0.0.1) |
+|---|---|---|
+| `ai.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `auth.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bit.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bitrix24.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `chat.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `dash.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `german.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `git.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `home.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `ip.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `link.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `mail.dttb.ru` | 176.62.183.186 | 10.0.0.107 |
+| `matrix.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `npm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `office.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `omni.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `plex.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `porteiner.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `pve.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `rec.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `remot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `router.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `swarm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `unifi.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `z.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+
+## ⚠ Пустой локальный резолв (роутер не знает)
+
+- `itilegent.ru` (публичный: -)
+
+## Полная таблица резолва
+
+| Домен | 8.8.8.8 | 10.0.0.1 |
+|---|---|---|
+| `ai.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `ai.umnybot.ru` | 158.255.0.139 | 158.255.0.139 |
+| `auth.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bit.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bitrix24.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `chat.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `dash.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `german.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `git.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `home.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `ip.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `itilegent.ru` | — | — |
+| `link.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `mail.dttb.ru` | 176.62.183.186 | 10.0.0.107 |
+| `matrix.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `npm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `office.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `omni.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `omni.umnybot.ru` | 158.255.0.139 | 158.255.0.139 |
+| `plex.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `porteiner.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `pve.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `rec.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `remot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `router.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `rustdesk.umnybot.ru` | 158.255.0.139 | 158.255.0.139 |
+| `swarm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `tg.umnybot.ru` | 158.255.0.139 | 158.255.0.139 |
+| `umnybot.ru` | 158.255.0.139 | 158.255.0.139 |
+| `unifi.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `vpn.dttb.ru` | — | 10.0.0.195 |
+| `z.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `zima.umnybot.ru` | 158.255.0.139 | 158.255.0.139 |
+
+---
+*Автоматически через `scripts/kb-audit-dns.py`.*

audit/2026-06-28-drift.md

@@ -0,0 +1,76 @@
+---
+date: 2026-06-28
+type: audit
+source: kb-audit.py
+tags: [audit, drift, infrastructure]
+---
+
+# KB drift audit — 2026-06-28
+
+Сравнение живого `pct list` / `qm list` с [[../projects/dttb/proxmox-inventory|proxmox-inventory.md]]
+
+- Живых гостей Proxmox: **47**
+- Упомянуто в inventory: **46**
+- В обоих: 46 / только в live: 1 / отсутствуют в live: 0
+- Известны как удалённые: 0 (в `## 🗑️ Удалённые`)
+
+## ⚠ В Proxmox есть, в inventory НЕТ (надо добавить)
+
+| VMID | Type | Status | Name |
+|---|---|---|---|
+| 139 | LXC | running | severny-les |
+
+## Полный живой список
+
+| VMID | Type | Status | Name |
+|---|---|---|---|
+| 100 | VM | stopped | NV |
+| 101 | LXC | stopped | n8n |
+| 102 | LXC | stopped | SMB |
+| 103 | LXC | running | NPM |
+| 104 | VM | stopped | Agent-DVR |
+| 105 | VM | stopped | Nextcloud-AIO-dttb.ru |
+| 106 | VM | running | pbs |
+| 107 | VM | running | Mailcow |
+| 108 | LXC | stopped | zabbix |
+| 109 | VM | stopped | itilelegent |
+| 110 | VM | stopped | Cloud |
+| 111 | VM | running | WinServer2025 |
+| 112 | VM | running | cloud-dttb |
+| 113 | LXC | running | VaultWarden |
+| 114 | LXC | running | LinkWarden |
+| 115 | LXC | running | watchyourlan |
+| 116 | LXC | running | rustdeskserver |
+| 117 | LXC | stopped | motioneye |
+| 118 | LXC | stopped | plex |
+| 119 | LXC | stopped | myspeed |
+| 120 | VM | stopped | 7 |
+| 121 | LXC | stopped | docker-windows |
+| 122 | LXC | stopped | qbittorrent |
+| 123 | LXC | stopped | proxmox-local |
+| 124 | VM | stopped | Matrix |
+| 125 | VM | stopped | datacentr |
+| 126 | LXC | stopped | debian |
+| 127 | VM | running | haos-17.0 |
+| 128 | LXC | stopped | profi-parser |
+| 129 | VM | stopped | profi-parser-vm |
+| 130 | VM | running | Zima-OS |
+| 131 | VM | stopped | ubuntu |
+| 132 | LXC | running | code-server |
+| 133 | VM | stopped | s1c-buzharovo |
+| 134 | LXC | stopped | ZnamSecurityBot |
+| 135 | LXC | running | swarmclaw |
+| 136 | LXC | running | gitea |
+| 137 | LXC | running | openclaw |
+| 138 | LXC | stopped | vpn-proxy |
+| 139 | LXC | running | severny-les |
+| 140 | LXC | running | unifi |
+| 141 | LXC | running | german |
+| 142 | LXC | running | open-webui |
+| 143 | LXC | running | amnezia-panel |
+| 144 | LXC | running | authentik |
+| 145 | LXC | running | homepage |
+| 250 | VM | running | Nextcloud-AIO |
+
+---
+*Автоматически сгенерировано `scripts/kb-audit.py`. Применять правки — вручную после ревью.*

audit/2026-06-28-health.md

@@ -0,0 +1,254 @@
+---
+date: 2026-06-28
+type: audit
+source: kb-health.py
+score: 2800
+tags: [audit, health, metric]
+---
+
+# KB health — 2026-06-28
+
+**Score (меньше = лучше): `2800`**
+Проверено файлов: 1754
+
+## Разбивка
+
+| Категория | Кол-во | Вес | Штраф |
+|---|---:|---:|---:|
+| broken_wikilinks | 31 | 10 | 310 |
+| broken_paths | 171 | 10 | 1710 |
+| missing_frontmatter | 25 | 3 | 75 |
+| orphan_files | 68 | 2 | 136 |
+| undated_todos | 534 | 1 | 534 |
+| duplicate_basenames | 7 | 5 | 35 |
+| **ИТОГО** | | | **2800** |
+
+## Битые wikilinks
+
+| Откуда | `[[таргет]]` |
+|---|---|
+| `decisions/2026-06-15-unifi-controller-homelab.md` | `[[feedback_dttb_dns_split_view]]` |
+| `decisions/2026-06-26-authentik-sso-deploy.md` | `[[project_deapple_migration]]` |
+| `decisions/2026-06-08-swarmclaw-lxc135-deploy.md` | `[[../snippets/spaceweb-dns-api]]` |
+| `decisions/2026-05-26-omni-domain-and-update.md` | `[[feedback_spaceweb_dns_desync]]` |
+| `decisions/2026-06-04-lipki-deco-p9-powerline-degradation.md` | `[[../claude-memory/feedback_lipki_deco_powerline]]` |
+| `decisions/2026-05-23-glavtorg-autologon-off.md` | `[[feedback_vmware_workstation_session]]` |
+| `decisions/2026-06-20-german-hermes-out-of-usage.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_omniroute_update]]` |
+| `decisions/2026-06-20-german-hermes-out-of-usage.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/project_german_hermes]]` |
+| `decisions/2026-06-20-german-hermes-out-of-usage.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring]]` |
+| `decisions/2026-06-20-german-hermes-out-of-usage.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring]]` |
+| `notes/claude/2026-06-22-045321-на-proxmox-homelab-установи-hermes-agent-я-его-буд.md` | `[[project_swarmclaw]]` |
+| `notes/claude/2026-06-22-013250-на-proxmox-homelab-установи-hermes-agent-я-его-буд.md` | `[[feedback_antigravity_onboarding]]` |
+| `projects/openwrt-4/credentials.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag]]` |
+| `projects/dttb/proxmox-pve-147.md` | `[[../../claude-memory/project_alexandr_assistant]]` |
+| `projects/dttb/finland-hostkey-vps.md` | `[[../../claude-memory/finland-vps-security]]` |
+| `projects/benilux/kp-alexandr-umny-server.md` | `[[../../claude-memory/project_alexandr_assistant]]` |
+| `projects/niikn/maul-pc.md` | `[[project_niikn_maxim_assistant]]` |
+| `projects/niikn/maul-pc.md` | `[[../../snippets/netbird-claude-install.ps1]]` |
+| `projects/niikn/maul-pc.md` | `[[../../snippets/clients/]]` |
+| `projects/niikn/desktop-jt9qee4.md` | `[[../../snippets/netbird-claude-install.ps1]]` |
+| `projects/niikn/desktop-35c8vmi.md` | `[[../../snippets/netbird-claude-install.ps1]]` |
+| `projects/buzharovo/podkop-router.md` | `[[buzharovo-router]]` |
+| `projects/buzharovo/podkop-router.md` | `[[reference_infra]]` |
+| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 0]]` |
+| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 1]]` |
+| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 2]]` |
+| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 3]]` |
+| `snippets/podkop-reference.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_busybox_ip_br_flag\]]` |
+| `snippets/podkop-reference.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_iphone_breaks_fakeip\]]` |
+| `snippets/podkop-reference.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring]]` |
+| `snippets/podkop-fakeip-diagnostics.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_openclaw_crash_loop]]` |
+
+## Битые relative-пути
+
+| Откуда | Путь |
+|---|---|
+| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_superwhisper_no_license.md` |
+| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/reference_groq_api.md` |
+| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_superwhisper_no_license.md` |
+| `notes/ru-geoblocked-services.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_win11_unattended_upgrade.md` |
+| `notes/ru-geoblocked-services.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_nspd_blocks_mts.md` |
+| `notes/claude/2026-06-23-185108-привет.md` | `projects/dttb/openwrt-router.md` |
+| `notes/claude/2026-06-23-185108-привет.md` | `snippets/podkop-reference.md` |
+| `notes/claude/2026-04-21-200915-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md` | `projects/dttb/vps-swtest.md` |
+| `notes/claude/2026-05-21-102751-давай-проверим-openvrt-benelux.md` | `snippets/clients/alexandr-benelux-amnezia-reinstall.md` |
+| `notes/claude/2026-04-24-194555-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `projects/dttb/credentials.md` |
+| `notes/claude/2026-04-20-113423-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md` |
+| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `decisions/2026-04-28-rustdesk-lejianwen-pro-migration.md` |
+| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/rustdesk.md` |
+| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/credentials.md` |
+| `notes/claude/2026-04-30-221054-найди-инфу-вчера-оксане-делали-доступ-через-рустде.md` | `projects/niikn/office-pc.md` |
+| `notes/claude/2026-04-29-153123-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/proxmox-inventory.md` |
+| `notes/claude/2026-04-29-153123-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/credentials.md` |
+| `notes/claude/2026-05-29-234117-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-pve-147.md` |
+| `notes/claude/2026-05-29-234117-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-inventory.md` |
+| `notes/claude/2026-04-29-231939-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/happ-routing-roscomvpn.md` |
+| `notes/claude/2026-06-27-230948-httpsmaildttbrudomainadmin-можешь-найти-креды.md` | `projects/dttb/mailcow-dttb.md` |
+| `notes/claude/2026-05-30-105828-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-pve-147.md` |
+| `notes/claude/2026-04-24-194322-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/clients/yaroslav-amnezia-setup.md` |
+| `notes/claude/2026-04-24-194322-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/apple-id-us-on-russia.md` |
+| `notes/claude/2026-05-04-100627-можешь-составлять-графические-схемы-на-dttbruhttpd.md` | `projects/znamenskoye/network-topology-diagram.md` |
+| `notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `projects/mmfb/mikrotik.md` |
+| `notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `projects/niikn/mikrotik.md` |
+| `notes/claude/2026-06-19-142423-10001-установи-обновление-sh-wget-o-httpsrawgithub.md` | `projects/dttb/credentials.md` |
+| `notes/claude/2026-06-19-142423-10001-установи-обновление-sh-wget-o-httpsrawgithub.md` | `projects/dttb/proxmox-inventory.md` |
+| `notes/claude/2026-04-24-165527-новый-клиент-ммфб-юрий-витальевич-нужно-подключить.md` | `projects/mmfb/yuri-vitalievich.md` |
+| `notes/claude/2026-05-06-210824-superwhisper-можешь-проверить-не-работает.md` | `../knowledge-base/decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` |
+| `notes/claude/2026-06-11-235741-npm-api-креды-не-подходят-поищу-точные-логинпароль.md` | `projects/dttb/npm-proxy-hosts.md` |
+| `notes/claude/2026-05-20-195902-давай-проверим-openvrt-benelux.md` | `decisions/2026-05-20-benelux-compromise.md` |
+| `notes/claude/2026-05-28-131315-нужно-в-нетбирд-найти-и-настроить-подключение-к-эт.md` | `projects/niikn/maul-pc.md` |
+| `notes/claude/2026-04-29-160010-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/clients/yaroslav-happ-setup.md` |
+| `notes/claude/2026-05-04-085317-можешь-составлять-графические-схемы-на-dttbruhttpd.md` | `projects/dttb/network-topology-diagram.md` |
+| `notes/claude/2026-06-18-134919-добей-swarmclaw-по-хэндофу.md` | `snippets/podkop-agent-runbook.md` |
+| `notes/claude/2026-05-21-104248-давай-проверим-openvrt-benelux.md` | `projects/benilux/credentials.md` |
+| `notes/claude/2026-06-05-123547-давай-проверим-openvrt-benelux.md` | `decisions/2026-06-05-benelux-blackout-fw4-recovery.md` |
+| `notes/claude/2026-04-29-071329-на-компе-юрия-продолжим-проверь-он-сети.md` | `projects/mmfb/otchet-yuri-2026-04.md` |
+| `notes/claude/2026-05-23-133737-еще-клиент-ярослав-сервера-1с-главторг-жалуется-чт.md` | `projects/glavtorg/instruction-yaroslav-autologon.md` |
+| `notes/claude/2026-05-27-191956-давай-проверим-openvrt-benelux.md` | `snippets/clients/alexandr-benelux-power-recovery.md` |
+| `notes/claude/2026-04-21-203517-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md` | `/Users/ai/.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag.md` |
+| `notes/claude/2026-06-20-152229-npm-api-креды-не-подходят-поищу-точные-логинпароль.md` | `projects/backlog-current.md` |
+| `notes/claude/2026-06-28-014229-httpsmaildttbrudomainadmin-можешь-найти-креды.md` | `projects/dttb/mailcow-dttb.md` |
+| `notes/claude/2026-05-28-215219-102531240-администратор-ol260380eg-нужно-подключит.md` | `projects/mmfb/lionart-1c.md` |
+| `notes/claude/2026-05-26-111148-нужно-на-omni-робуте-установить-ему-домен-у-тебя-е.md` | `memory/feedback_antigravity_onboarding.md` |
+| `notes/claude/2026-05-26-111148-нужно-на-omni-робуте-установить-ему-домен-у-тебя-е.md` | `memory/MEMORY.md` |
+| `notes/claude/2026-06-02-001742-есть-клиент-француз-у-него-есть-cudy-tr3000-с-podk.md` | `projects/openwrt-4/canal-plus-setup-runbook.md` |
+| `notes/claude/2026-06-08-213054-найди-аналог-openclaw-для-меня-нужен-аркестратор-и.md` | `decisions/2026-06-08-swarmclaw-lxc135-deploy.md` |
+| ... | +121 ещё |
+
+## Без frontmatter (25)
+
+- `decisions/2026-06-01-claude-remote-control-mobile.md`
+- `decisions/2026-06-11-niikn-opyt-arhiv-100mb.md`
+- `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md`
+- `notes/ru-geoblocked-services.md`
+- `projects/dttb/znamenskoye-log.md`
+- `projects/niikn/office-pc.md`
+- `projects/niikn/_kbtmp_readme.md`
+- `projects/niikn/kripto-arm.md`
+- `projects/niikn/_kbtmp_claude.md`
+- `projects/mmfb/yuri-vitalievich.md`
+- `projects/mmfb/otchet-yuri-2026-04.md`
+- `projects/dttb/graphify-out/GRAPH_REPORT.md`
+- `snippets/happ-vpn-client-instruction.md`
+- `snippets/invoice-template.md`
+- `snippets/assets/happ-routing-roscomvpn/README-upstream.md`
+- `claude-memory/servicedesk-dttb.md`
+- `claude-memory/benelux.md`
+- `claude-memory/nextcloud-dttb.md`
+- `claude-memory/nvr-fix.md`
+- `claude-memory/videonablyudenie.md`
+- `claude-memory/znamenskoe-home.md`
+- `claude-memory/niikn-nextcloud.md`
+- `claude-memory/krasnogorsk.md`
+- `claude-memory/mas-niikn.md`
+- `claude-memory/MEMORY.md`
+
+## Orphan — без бэклинков (68)
+
+_Эти файлы никто не упоминает через `[[..]]`. Кандидаты на удаление или добавление ссылок._
+
+- `decisions/2026-05-14-buzharovo-watchdog-public-only.md`
+- `decisions/2026-04-30-niikn-culture-gov-fakeip-fix.md`
+- `decisions/2026-06-01-claude-remote-control-mobile.md`
+- `decisions/2026-06-17-niikn-deco-p9-backhaul-degradation.md`
+- `decisions/2026-05-26-server-upgrade-z6-g4.md`
+- `decisions/2026-06-27-benelux-foreign-banks-eu-exit.md`
+- `decisions/2026-06-21-buzharovo-mcp-1c-deploy.md`
+- `decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md`
+- `decisions/2026-06-11-niikn-opyt-arhiv-100mb.md`
+- `decisions/2026-06-04-deapple-migration-roadmap.md`
+- `decisions/2026-04-28-netbird-watchdog-lxc-132-137.md`
+- `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md`
+- `decisions/2026-05-23-glavtorg-autologon-off.md`
+- `decisions/2026-06-08-finland-vless-happ-dns-diag.md`
+- `decisions/2026-05-08-buzharovo-1c-licensing-options.md`
+- `decisions/2026-05-06-kb-search-overhaul.md`
+- `decisions/2026-04-28-niikn-uookn-sev-gov-fakeip-fix.md`
+- `decisions/2026-06-20-german-hermes-out-of-usage.md`
+- `notes/ru-geoblocked-services.md`
+- `projects/openwrt-4/STATUS-2026-06-03-eod.md`
+- `projects/openwrt-4/session-handoff-2026-06-02.md`
+- `projects/openwrt-4/client-letter.md`
+- `projects/dttb/network-topology-diagram.md`
+- `projects/glavtorg/instruction-yaroslav-autologon.md`
+- `projects/benilux/kp-alexandr-umny-server.md`
+- `projects/niikn/mailcow.md`
+- `projects/niikn/NIIKN-Infrastructure.md`
+- `projects/niikn/credentials.md`
+- `projects/niikn/changelog.md`
+- `projects/niikn/_kbtmp_tpl_decision.md`
+- ... +38 ещё
+
+## TODO без даты (534 шт в 99 файлах)
+
+- `projects/backlog-current.md` — 39 шт
+- `decisions/2026-06-04-deapple-migration-roadmap.md` — 13 шт
+- `decisions/2026-04-30-rustdesk-pre-prod-audit.md` — 13 шт
+- `projects/lipki/README.md` — 11 шт
+- `templates/vpn-client.md` — 7 шт
+- `decisions/2026-05-26-server-upgrade-z6-g4.md` — 6 шт
+- `decisions/2026-04-29-rustdesk-client-deployment-package.md` — 6 шт
+- `projects/buzharovo/severny-les-bot.md` — 6 шт
+- `notes/claude/2026-05-30-223109-session.md` — 5 шт
+- `notes/claude/2026-05-31-230412-session.md` — 5 шт
+- `notes/claude/2026-06-01-115908-session.md` — 5 шт
+- `notes/claude/2026-05-31-212135-session.md` — 5 шт
+- `notes/claude/2026-05-31-150934-session.md` — 5 шт
+- `notes/claude/2026-06-15-203254-session.md` — 5 шт
+- `notes/claude/2026-05-30-143711-session.md` — 5 шт
+- `notes/claude/2026-05-31-232509-session.md` — 5 шт
+- `notes/claude/2026-06-08-161105-session.md` — 5 шт
+- `notes/claude/2026-06-07-235211-session.md` — 5 шт
+- `notes/claude/2026-06-08-160130-session.md` — 5 шт
+- `notes/claude/2026-06-08-002741-session.md` — 5 шт
+
+## Дубликаты имён (7)
+
+- `README.md`:
+  - `README.md`
+  - `decisions/README.md`
+  - `notes/README.md`
+  - `projects/znamenskoye/README.md`
+  - `projects/openwrt-4/README.md`
+  - `projects/dttb/README.md`
+  - `projects/glavtorg/README.md`
+  - `projects/benilux/README.md`
+  - `projects/vishnevyy-sad/README.md`
+  - `projects/sergey/README.md`
+  - `projects/niikn/README.md`
+  - `projects/lipki/README.md`
+  - `projects/krasnogorsk/README.md`
+  - `projects/mmfb/README.md`
+  - `projects/buzharovo/README.md`
+  - `projects/peredelki/README.md`
+  - `projects/zelenograd/README.md`
+  - `projects/dttb/nextcloud-talk-bot/README.md`
+  - `snippets/README.md`
+  - `snippets/mac-dictation/README.md`
+  - `scripts/README.md`
+- `nextcloud.md`:
+  - `projects/nextcloud.md`
+  - `projects/dttb/nextcloud.md`
+- `network-topology-diagram.md`:
+  - `projects/znamenskoye/network-topology-diagram.md`
+  - `projects/dttb/network-topology-diagram.md`
+  - `projects/niikn/network-topology-diagram.md`
+- `credentials.md`:
+  - `projects/openwrt-4/credentials.md`
+  - `projects/dttb/credentials.md`
+  - `projects/benilux/credentials.md`
+  - `projects/niikn/credentials.md`
+  - `projects/peredelki/credentials.md`
+  - `projects/dttb/ai-assistant-pilot/credentials.md`
+- `proxmox-inventory.md`:
+  - `projects/dttb/proxmox-inventory.md`
+  - `projects/mmfb/proxmox-inventory.md`
+- `server1c.md`:
+  - `projects/dttb/server1c.md`
+  - `projects/buzharovo/server1c.md`
+- `mikrotik.md`:
+  - `projects/niikn/mikrotik.md`
+  - `projects/mmfb/mikrotik.md`
+
+---
+*Генерируется `scripts/kb-health.py`. JSON-версия в `audit/health-latest.json` для agent-loop.*

audit/2026-06-28-npm-drift.md

@@ -0,0 +1,80 @@
+---
+date: 2026-06-28
+type: audit
+source: kb-audit-npm.py
+tags: [audit, drift, npm]
+---
+
+# NPM drift audit — 2026-06-28
+
+Сверка [[../projects/dttb/npm-proxy-hosts|npm-proxy-hosts.md]] с NPM API (https://npm.dttb.ru).
+
+- Живых proxy hosts: **35**
+- В KB: **31**
+- Совпадений: 31 / новых: 4 / удалённых из NPM: 0 / с изменениями: 4
+
+## ⚠ Новые hosts (в NPM есть, в KB нет)
+
+| ID | Домены | Backend | SSL | Enabled |
+|---|---|---|---|---|
+| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
+| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
+| 35 | `ai.umnybot.ru` | `10.0.0.239:9119` | ✓ | on |
+| 37 | `umnybot.ru` | `10.0.0.103:3456` | - | on |
+
+## 🔄 Изменения (ID совпадает, но что-то сменилось)
+
+### #12 `bitrix24.dttb.ru`
+- backend: KB=`10.0.0.223:8080` → live=`10.0.0.224:8080`
+
+### #14 `remot.dttb.ru`
+- backend: KB=`10.0.0.43:21114` → live=`10.0.0.244:21114`
+
+### #22 `git.dttb.ru`
+- ssl: KB=✗ → live=✓
+
+### #33 `tg.umnybot.ru`
+- backend: KB=`10.0.0.190:3000` → live=`10.0.0.221:80`
+
+## Полный живой список
+
+| ID | Домены | Backend | SSL | Enabled |
+|---|---|---|---|---|
+| 1 | `dttb.ru` | `10.0.0.230:11001` | ✓ | on |
+| 2 | `office.dttb.ru` | `10.0.0.169:8080` | ✓ | on |
+| 3 | `itilegent.ru` | `10.0.0.223:8080` | ✓ | on |
+| 4 | `npm.dttb.ru` | `10.0.0.195:81` | ✓ | on |
+| 5 | `porteiner.dttb.ru` | `10.0.0.10:9443` | ✓ | on |
+| 6 | `pve.dttb.ru` | `10.0.0.250:8006` | ✓ | on |
+| 9 | `ai.dttb.ru` | `10.0.0.179:8080` | ✓ | on |
+| 10 | `bit.dttb.ru` | `10.0.0.217:8080` | ✓ | on |
+| 11 | `link.dttb.ru` | `10.0.0.184:3000` | ✓ | on |
+| 12 | `bitrix24.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
+| 13 | `ip.dttb.ru` | `10.0.0.112:8840` | ✓ | on |
+| 14 | `remot.dttb.ru` | `10.0.0.244:21114` | ✓ | on |
+| 15 | `plex.dttb.ru` | `10.0.0.200:32400` | ✓ | on |
+| 16 | `home.dttb.ru` | `10.0.0.155:8123` | ✓ | on |
+| 17 | `z.dttb.ru` | `10.0.0.220:80` | ✓ | on |
+| 21 | `rec.dttb.ru` | `10.0.0.227:8091` | ✓ | on |
+| 22 | `git.dttb.ru` | `10.0.0.189:3000` | ✓ | on |
+| 23 | `matrix.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
+| 25 | `mail.dttb.ru` | `10.0.0.107:443` | ✓ | on |
+| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
+| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
+| 28 | `bot.dttb.ru` | `10.0.0.239:18789` | ✓ | on |
+| 29 | `omni.dttb.ru` | `10.0.0.179:20128` | ✓ | on |
+| 30 | `omni.umnybot.ru` | `10.0.0.163:20128` | ✓ | on |
+| 31 | `zima.umnybot.ru` | `10.0.0.190:80` | ✓ | on |
+| 32 | `swarm.dttb.ru` | `10.0.0.135:3456` | ✓ | on |
+| 33 | `tg.umnybot.ru` | `10.0.0.221:80` | ✓ | on |
+| 34 | `rustdesk.umnybot.ru` | `10.0.0.190:3005` | ✓ | on |
+| 35 | `ai.umnybot.ru` | `10.0.0.239:9119` | ✓ | on |
+| 36 | `unifi.dttb.ru` | `10.0.0.196:8443` | ✓ | on |
+| 37 | `umnybot.ru` | `10.0.0.103:3456` | - | on |
+| 39 | `chat.dttb.ru` | `10.0.0.142:3000` | ✓ | on |
+| 40 | `german.dttb.ru` | `10.0.0.141:9119` | ✓ | on |
+| 41 | `auth.dttb.ru` | `10.0.0.144:9000` | ✓ | on |
+| 42 | `dash.dttb.ru` | `10.0.0.148:3000` | ✓ | on |
+
+---
+*Автоматически через `scripts/kb-audit-npm.py`.*

audit/2026-06-28-objects-audit.md

@@ -0,0 +1,67 @@
+---
+date: 2026-06-28
+type: audit
+source: scripts/kb-objects-audit.py
+tags: [audit, objects, frontmatter, links]
+score: 99
+---
+
+# KB objects audit — 2026-06-28
+
+**Score (меньше = лучше): `99`**
+
+- Проектов с frontmatter: **14/14** (0 проблем)
+- NetBird online-пиров без проектной карточки: **3**
+- Битых wiki-ссылок `[[...]]`: **31**
+
+## Frontmatter в projects/
+
+✅ все проекты имеют валидный frontmatter
+
+## Online netbird-пиры без проектной карточки
+
+Эти пиры онлайн в NetBird, но не привязаны ни к одной projects/-странице. 
+Бот не сможет ответить «найди X» осмысленно — нет файла или alias.
+
+Лечение: либо создать stub в `projects/<slug>/README.md` (см. `projects/lipki/` как образец), 
+либо добавить имя пира как полную строку в `aliases` подходящего проекта.
+
+| NetBird-имя | IP | OS | Город |
+|---|---|---|---|
+| `DESKTOP-2IOQS54` | 100.70.82.83 | Windows 10 | Saransk |
+| `DESKTOP-AGBMLPN` | 100.70.0.106 | Windows 11 | Helsinki |
+| `DESKTOP-HL0BB05` | 100.70.235.80 | Windows 11 | Lipetsk |
+
+## Битые wiki-ссылки
+
+- [snippets/podkop-reference.md](snippets/podkop-reference.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_busybox_ip_br_flag\|памятка]]` → нет такого файла
+- [snippets/podkop-reference.md](snippets/podkop-reference.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_iphone_breaks_fakeip\|памятка]]` → нет такого файла
+- [snippets/podkop-reference.md](snippets/podkop-reference.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring|памятка: корень vs band-aid]]` → нет такого файла
+- [snippets/podkop-fakeip-diagnostics.md](snippets/podkop-fakeip-diagnostics.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_openclaw_crash_loop|памятку про sing-box crash-loop]]` → нет такого файла
+- [decisions/2026-06-15-unifi-controller-homelab.md](decisions/2026-06-15-unifi-controller-homelab.md) — `[[feedback_dttb_dns_split_view]]` → нет такого файла
+- [decisions/2026-06-26-authentik-sso-deploy.md](decisions/2026-06-26-authentik-sso-deploy.md) — `[[project_deapple_migration]]` → нет такого файла
+- [decisions/2026-06-08-swarmclaw-lxc135-deploy.md](decisions/2026-06-08-swarmclaw-lxc135-deploy.md) — `[[../snippets/spaceweb-dns-api]]` → нет такого файла
+- [decisions/2026-05-26-omni-domain-and-update.md](decisions/2026-05-26-omni-domain-and-update.md) — `[[feedback_spaceweb_dns_desync]]` → нет такого файла
+- [decisions/2026-06-04-lipki-deco-p9-powerline-degradation.md](decisions/2026-06-04-lipki-deco-p9-powerline-degradation.md) — `[[../claude-memory/feedback_lipki_deco_powerline]]` → нет такого файла
+- [decisions/2026-05-23-glavtorg-autologon-off.md](decisions/2026-05-23-glavtorg-autologon-off.md) — `[[feedback_vmware_workstation_session]]` → нет такого файла
+- [decisions/2026-06-20-german-hermes-out-of-usage.md](decisions/2026-06-20-german-hermes-out-of-usage.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_omniroute_update]]` → нет такого файла
+- [decisions/2026-06-20-german-hermes-out-of-usage.md](decisions/2026-06-20-german-hermes-out-of-usage.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/project_german_hermes]]` → нет такого файла
+- [decisions/2026-06-20-german-hermes-out-of-usage.md](decisions/2026-06-20-german-hermes-out-of-usage.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring]]` → нет такого файла
+- [decisions/2026-06-20-german-hermes-out-of-usage.md](decisions/2026-06-20-german-hermes-out-of-usage.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring]]` → нет такого файла
+- [projects/openwrt-4/credentials.md](projects/openwrt-4/credentials.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag|памятка]]` → нет такого файла
+- [projects/dttb/proxmox-pve-147.md](projects/dttb/proxmox-pve-147.md) — `[[../../claude-memory/project_alexandr_assistant]]` → нет такого файла
+- [projects/dttb/finland-hostkey-vps.md](projects/dttb/finland-hostkey-vps.md) — `[[../../claude-memory/finland-vps-security]]` → нет такого файла
+- [projects/benilux/kp-alexandr-umny-server.md](projects/benilux/kp-alexandr-umny-server.md) — `[[../../claude-memory/project_alexandr_assistant]]` → нет такого файла
+- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[project_niikn_maxim_assistant|Максима Мауля]]` → нет такого файла
+- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[../../snippets/netbird-claude-install.ps1]]` → нет такого файла
+- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[rustdesk\|lejianwen-pro LXC 116]]` → нет такого файла
+- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[../../snippets/clients/|метод]]` → нет такого файла
+- [projects/niikn/desktop-jt9qee4.md](projects/niikn/desktop-jt9qee4.md) — `[[../../snippets/netbird-claude-install.ps1]]` → нет такого файла
+- [projects/niikn/desktop-jt9qee4.md](projects/niikn/desktop-jt9qee4.md) — `[[rustdesk\|lejianwen-pro LXC 116]]` → нет такого файла
+- [projects/niikn/desktop-35c8vmi.md](projects/niikn/desktop-35c8vmi.md) — `[[../../snippets/netbird-claude-install.ps1]]` → нет такого файла
+- [projects/niikn/desktop-35c8vmi.md](projects/niikn/desktop-35c8vmi.md) — `[[rustdesk\|lejianwen-pro LXC 116]]` → нет такого файла
+- [projects/niikn/_kbtmp_claude.md](projects/niikn/_kbtmp_claude.md) — `[[двойные скобки]]` → нет такого файла
+- [projects/buzharovo/podkop-router.md](projects/buzharovo/podkop-router.md) — `[[buzharovo-router|Cudy WR6500H 185.13.47.2]]` → нет такого файла
+- [projects/buzharovo/podkop-router.md](projects/buzharovo/podkop-router.md) — `[[reference_infra]]` → нет такого файла
+- [notes/claude/2026-06-22-045321-на-proxmox-homelab-установи-hermes-agent-я-его-буд.md](notes/claude/2026-06-22-045321-на-proxmox-homelab-установи-hermes-agent-я-его-буд.md) — `[[project_swarmclaw]]` → нет такого файла
+- [notes/claude/2026-06-22-013250-на-proxmox-homelab-установи-hermes-agent-я-его-буд.md](notes/claude/2026-06-22-013250-на-proxmox-homelab-установи-hermes-agent-я-его-буд.md) — `[[feedback_antigravity_onboarding]]` → нет такого файла

audit/2026-06-28-proposed.md

@@ -0,0 +1,124 @@
+---
+date: 2026-06-28
+type: audit-proposed
+source: kb-audit-propose.sh (Opus 4.7)
+tags: [audit, proposed, inventory]
+---
+
+# Предложенные правки inventory — 2026-06-28
+
+Сгенерировано Claude Opus на основе [[2026-06-28-drift|drift-отчёта]].
+**Правки НЕ применены.** Ревью — ты. Apply — вручную.
+
+Данные у меня все есть прямо в задании (оба файла inline), править ничего не нужно — выдаю анализ.
+
+## 1. Резюме
+
+Живых гостей 47, в inventory корректно отражено меньше. Аудит явно поймал только **LXC 139 severny-les** (нет в inventory), но сверка полного live-списка с inventory вскрывает ещё несколько расхождений: два запущенных VM (112, 130) числятся остановленными; два VMID из раздела «Удалённые» (129, 133) переиспользованы и снова живы; VMID 135 задвоен (running + Удалённые); сводная таблица и счётчики устарели (42→47).
+
+## 2. Конкретные правки
+
+### A. Добавить LXC 139 (флаг аудита) — раздел «🟢 Запущенные LXC»
+```diff
++### LXC 139 — severny-les
++| Параметр | Значение |
++|----------|----------|
++| Статус | 🟢 running |
++| IP | (уточнить) |
++| Назначение | (уточнить) |
+```
+> В drift-отчёте только VMID/type/status/name. IP и назначение не выдумываю — пометил «уточнить».
+
+### B. VM 112 cloud-dttb: stopped → running
+Live: `112 VM running cloud-dttb`. В inventory он в таблице «🔴 Остановленные VM».
+```diff
+@@ Остановленные VM (QEMU) @@
+-| 112 | cloud-dttb | 8 | 16 GB | 80 GB | — |
+```
+И добавить блок в «🟢 Запущенные VM»:
+```diff
++### VM 112 — cloud-dttb
++| Параметр | Значение |
++|----------|----------|
++| Статус | 🟢 running |
++| CPU | 8 vCPU |
++| RAM | 16 GB |
++| Диск | 80 GB |
++| Назначение | (уточнить) |
+```
+
+### C. VM 130 Zima-OS: stopped → running
+Live: `130 VM running Zima-OS`. В inventory — в остановленных (детали есть: IP 10.0.0.221).
+```diff
+@@ Остановленные VM (QEMU) @@
+-| 130 | Zima-OS | 4 | 12 GB | 32 GB | ZimaOS NAS — 10.0.0.221, веб `dttb`/`1qaz!QAZ` (см. credentials) |
+```
+```diff
++### VM 130 — Zima-OS
++| Параметр | Значение |
++|----------|----------|
++| Статус | 🟢 running |
++| CPU | 4 vCPU |
++| RAM | 12 GB |
++| Диск | 32 GB |
++| IP | 10.0.0.221 (веб `dttb`/`1qaz!QAZ`, см. credentials) |
++| Назначение | ZimaOS NAS |
+```
+
+### D. VM 129 profi-parser-vm — VMID переиспользован (см. предупреждения)
+Live: `129 VM stopped profi-parser-vm`. В inventory 129 числится только в «🗑️ Удалённые» как Clawdbot.
+Добавить в «🔴 Остановленные VM»:
+```diff
++| 129 | profi-parser-vm | — | — | — | VM-пара к LXC 128 profi-parser (уточнить) |
+```
+Аннотировать историческую строку (VMID переиспользован):
+```diff
+@@ 🗑️ Удалённые (история) @@
+-| 129 | Clawdbot | ~апрель 2026 | Данные перенесены на code-server (132) ... |
++| 129 | Clawdbot | ~апрель 2026 | Данные на code-server (132) `/root/backup-lxc129/`. ⚠️ VMID 129 переиспользован под VM profi-parser-vm |
+```
+
+### E. VM 133 s1c-buzharovo — VMID переиспользован
+Live: `133 VM stopped s1c-buzharovo`. В inventory 133 только в «Удалённые» как clawdbot-1.
+```diff
++| 133 | s1c-buzharovo | — | — | — | (уточнить; вероятно 1С Бужарово) |
+```
+```diff
+@@ 🗑️ Удалённые (история) @@
+-| 133 | clawdbot-1 | ~апрель 2026 | Функционал мигрирован на openclaw (137) |
++| 133 | clawdbot-1 | ~апрель 2026 | Мигрирован на openclaw (137). ⚠️ VMID 133 переиспользован под VM s1c-buzharovo |
+```
+
+### F. VMID 135 задвоен
+Live: `135 LXC running swarmclaw` (в inventory корректный блок уже есть). Но 135 также висит в «Удалённые» как whisper-bot.
+```diff
+@@ 🗑️ Удалённые (история) @@
+-| 135 | whisper-bot | ~апрель 2026 | — |
++| 135 | whisper-bot | ~апрель 2026 | удалён; ⚠️ VMID 135 переиспользован под LXC swarmclaw |
+```
+
+### G. Обновить «Сводка»
+```diff
+-| QEMU VM | 15 | 5 | 10 |
+-| LXC | 27 | 17 | 10 |
+-| **Итого** | **42** | **22** | **20** |
++| QEMU VM | 18 | 7 | 11 |
++| LXC | 29 | 17 | 12 |
++| **Итого** | **47** | **24** | **23** |
+```
+> Пересчёт по live-списку: VM 18 (7 running/11 stopped), LXC 29 (17 running/12 stopped).
+
+### H. Обновить шапку
+```diff
+-> Последнее обновление: 2026-06-27 (добавлен LXC 145 homepage ...)
++> Последнее обновление: 2026-06-28 (drift-аудит: +LXC 139 severny-les; 112/130 → running; VMID 129/133/135 переиспользованы)
+```
+
+## 3. Предупреждения
+
+- **Аудит занизил drift.** `kb-audit.py` сверяет только наличие VMID (упомянут/нет), а не статус и не роль. Поэтому он показал «46/46 совпало» и поймал лишь 139 — расхождения по статусу (112, 130) и переиспользованные VMID (129, 133, 135) скрипт не видит. Стоит доработать аудит на сверку status/name.
+- **Переиспользование VMID (129, 133, 135).** Не из выдумки — прямо из live-списка отчёта: 129=profi-parser-vm, 133=s1c-buzharovo, 135=swarmclaw, тогда как в «Удалённые» те же VMID = Clawdbot/clawdbot-1/whisper-bot. Это разные сущности на одном номере. Я предложил **сохранить историю** + пометку, а не удалять строки. Реши, как вести: возможно, в «Удал될» лучше указывать дату и не держать сырой VMID, который потом переиспользуется.
+- **Нет данных для деталей.** Для 139, 112, 129, 133 в отчёте нет IP/CPU/RAM/назначения — везде проставил «уточнить», ничего не сочинял. Для 130 детали взял из существующей строки inventory.
+- **s1c-buzharovo** по имени похоже на 1С-сервер Бужарово (в памяти есть проект роутера Бужарово), но в отчёте подтверждения роли нет — поэтому «вероятно», не факт.
+
+Если хочешь, могу применить эти правки к `proxmox-inventory.md` (тогда выйди из plan mode или дай добро).

audit/health-latest.json

@@ -1,13 +1,13 @@
 {
-  "date": "2026-05-24",
-  "score": 785,
+  "date": "2026-06-28",
+  "score": 2800,
   "counts": {
-    "broken_wikilinks": 4,
-    "broken_paths": 48,
-    "missing_frontmatter": 21,
-    "orphan_files": 51,
-    "undated_todos": 70,
-    "duplicate_basenames": 6
+    "broken_wikilinks": 31,
+    "broken_paths": 171,
+    "missing_frontmatter": 25,
+    "orphan_files": 68,
+    "undated_todos": 534,
+    "duplicate_basenames": 7
   },
   "weights": {
     "broken_wikilinks": 10,
@@ -17,5 +17,5 @@
     "undated_todos": 1,
     "duplicate_basenames": 5
   },
-  "files_scanned": 862
+  "files_scanned": 1754
 }

audit/objects-map.json

@@ -5,7 +5,8 @@
     "names": [
       "Benilux",
       "OpenWrt Benilux",
-      "benilux"
+      "benilux",
+      "Бенелюкс"
     ],
     "netbird_peers": [
       {
@@ -22,12 +23,13 @@
       "openwrt",
       "netbird",
       "client",
-      "todo",
-      "istra"
+      "istra",
+      "podkop",
+      "residential"
     ],
     "owner": null,
     "region": null,
-    "status": "stub",
+    "status": "active",
     "file": "projects/benilux/README.md"
   },
   {
@@ -390,9 +392,13 @@
     "id": "openwrt-4",
     "type": "project",
     "names": [
+      "Olivier",
       "OpenWrt_4",
+      "canal+",
       "openwrt-4",
-      "openwrt4"
+      "openwrt4",
+      "Оливье",
+      "француз"
     ],
     "netbird_peers": [
       {
@@ -409,19 +415,46 @@
       "openwrt",
       "netbird",
       "client",
-      "todo",
-      "moscow",
-      "anonymous"
+      "podkop",
+      "amneziawg",
+      "canal-plus",
+      "france",
+      "moscow"
     ],
     "owner": null,
     "region": null,
-    "status": "stub",
+    "status": "active",
     "file": "projects/openwrt-4/README.md"
   },
+  {
+    "id": "peredelki",
+    "type": "project",
+    "names": [
+      "OpenWrt_Peredelki",
+      "Peredelki",
+      "peredelki",
+      "Переделки",
+      "Переделкино"
+    ],
+    "netbird_peers": [],
+    "tags": [
+      "object",
+      "openwrt",
+      "netbird",
+      "unifi",
+      "podkop",
+      "peredelki"
+    ],
+    "owner": null,
+    "region": null,
+    "status": "offline",
+    "file": "projects/peredelki/README.md"
+  },
   {
     "id": "sergey",
     "type": "project",
     "names": [
+      "Cudy_TR3000_Sergey",
       "OpenWrt_Sergey",
       "Sergey",
       "sergey",
@@ -442,11 +475,12 @@
       "openwrt",
       "netbird",
       "client",
-      "todo"
+      "podkop",
+      "amneziawg"
     ],
     "owner": null,
     "region": null,
-    "status": "stub",
+    "status": "active",
     "file": "projects/sergey/README.md"
   },
   {
@@ -597,6 +631,23 @@
     "status": "unknown",
     "file": "projects/all-projects-summary.md"
   },
+  {
+    "id": "backlog-current",
+    "type": "project-note",
+    "names": [
+      "backlog-current"
+    ],
+    "netbird_peers": [],
+    "tags": [
+      "backlog",
+      "todo",
+      "open-issues"
+    ],
+    "owner": null,
+    "region": null,
+    "status": "unknown",
+    "file": "projects/backlog-current.md"
+  },
   {
     "id": "bitrix-sites",
     "type": "project-note",

claude-memory/benelux.md

@@ -1,12 +1,9 @@
 # Проект Бенелюкс — OpenWrt роутер
 
-> **2026-05-20 СЕКЬЮРИТИ-ИНЦИДЕНТ.** Роутер был скомпрометирован через WAN-SSH brute-force. Подробности и список изменений: [[decisions/2026-05-20-benelux-compromise]]. Пароль root сменён (новый — в auto-memory), вход теперь только по mac-ed25519 ключу.
-
 ## Устройство
 - Cudy TR3000 v1, OpenWrt 24.10.3 (MediaTek Filogic, aarch64)
 - Hostname: Benelux
-- SSH: только по ключу `~/.ssh/id_ed25519` (старый пароль `1qaz!QAZ` скомпрометирован, новый в auto-memory)
-- SSH на WAN заблокирован nft-правилом из `/etc/nftables.d/99-incident-20260520.nft`
+- SSH: root / 1qaz!QAZ (через expect, sshpass не работает с Dropbear)
 - Netbird VPN: 100.70.207.97 (wt0)
 - WAN: eth0, DHCP от 10.0.0.1 (получает 10.0.0.190)
 - LAN: br-lan, 192.168.1.1/24
@@ -36,9 +33,13 @@
 - Masquerade на wan (eth0)
 - PodkopTable в nftables — маркировка 0x00100000
 
-## DNAT / Netbird правила
-- Принтер HP M775 (192.168.1.148): `https://100.70.207.97:8148` → `:443`
-- **2026-05-27:** правило сделано постоянным в `/etc/nftables.d/50-printer-dnat.nft` (chain `printer_dnat_pre` + `printer_masq_post`). Переживёт ребут Cudy.
+## DNAT / Netbird правила (добавлены 2026-03-15, НЕПОСТОЯННЫ — сброс при ребуте)
+```
+iifname "wt0" tcp dport 8148 dnat ip to 192.168.1.148:443   # Принтер HP M775
+iifname "wt0" oifname "br-lan" masquerade                   # Форвардинг Netbird→LAN
+```
+- Принтер доступен с Mac через Netbird: https://100.70.207.97:8148
+- Чтобы сохранить постоянно: добавить правила в `/etc/nftables.d/` или через UCI firewall
 
 ## Mac (клиент, Бенелюкс)
 - Hostname: macbook-pro.netbird.cloud

claude-memory/omniroute.md

@@ -1,15 +1,14 @@
 ---
 name: OmniRoute AI Gateway
-description: OmniRoute v3.8.3 на LXC 132 (10.0.0.179) — AI-шлюз для 154 моделей, порт 20128, домен omni.dttb.ru
+description: OmniRoute v3.6.5 на LXC 132 (10.0.0.179) — AI-шлюз для 60+ LLM провайдеров, порт 20128
 type: project
 originSessionId: 9f26284f-db92-456f-813d-fd8210b7d7b6
 ---
-## OmniRoute v3.8.3 (LXC 132, 10.0.0.179) — обновлено 2026-05-26
+## OmniRoute v3.6.5 (LXC 132, 10.0.0.179)
 
 - **Путь**: /root/OmniRoute/, Node.js 22, Next.js 16.2, git repo (github.com/diegosouzapw/OmniRoute)
-- **Dashboard**: https://omni.dttb.ru/ (NPM #29, LE до 2026-08-24, HTTP/2, WSS) или http://10.0.0.179:20128, пароль: 1qaz!QAZ
-- **API**: https://omni.dttb.ru/v1 или http://10.0.0.179:20128/v1
-- **DNS**: A-запись `omni → 176.62.183.186` в Spaceweb через `editMain action=add` (2026-05-26)
+- **Dashboard**: http://10.0.0.179:20128, пароль: 1qaz!QAZ
+- **API**: http://10.0.0.179:20128/v1
 - **API Key**: sk-225e902dc95ff192-6bdad7-3ec8cdc6
 - **SQLite DB**: /root/.omniroute/storage.sqlite
 - **Service**: omniroute.service (systemd, enabled), запускает **npx-кэш** (НЕ git repo)
@@ -31,33 +30,12 @@ originSessionId: 9f26284f-db92-456f-813d-fd8210b7d7b6
 ### Обновление git-репозитория (отдельно, для разработки)
 1. `cd /root/OmniRoute && git pull origin main && npm install && npm run build`
 
-### Подключённые провайдеры (2026-05-26)
-| Префикс | Провайдер | Что выгодно | Заметки |
-|---------|-----------|-------------|---------|
-| cc/ | Claude Code (Max OAuth) | claude-opus-4-7, sonnet-4-6, haiku-4-5 | основной путь к Opus 4.7 для Антошки |
-| kr/, kiro/ | Kiro (AWS OAuth) | opus-4.7, sonnet-4.6, sonnet-4.5, haiku-4.5, deepseek-3.2, minimax-m2.5, glm-5, qwen3-coder-next | **бесплатные, появились Opus 4.7 / Sonnet 4.6** — резерв на случай billing-ошибок Max |
-| cx/ | Codex (OpenAI) | gpt-5.4, gpt-5.4-mini, 11 моделей | бесплатный free-plan |
-| gh/ | GitHub Models | 14 моделей | claude-opus-* сломан (MS Copilot scope + ID dot-vs-dash bug) |
-| antigravity/ | Google Antigravity | 17 моделей (gemini) | требует OAuth reconnect (projectId) |
-| kc/, kilocode/ | Kilocode | 14 моделей | — |
-| kmc/, kimi-coding/ | Kimi Coding | 2 модели | — |
-| glm/ | Zhipu GLM | 10 моделей | — |
-| gemini-cli/ | Gemini CLI | 6 моделей | — |
-| claude/ | прямой Claude API | 6 моделей | — |
-
-### Kиrа (kr/*) бесплатные модели — 11 шт. (2026-05-26)
-- `kr/auto-kiro` — автовыбор
-- `kr/claude-opus-4.7` ⭐ **новинка** (резерв вместо cc/claude-opus-4-7)
-- `kr/claude-opus-4.6`
-- `kr/claude-sonnet-4.6` ⭐ **новинка**
-- `kr/claude-sonnet-4.5`
-- `kr/claude-haiku-4.5`
-- `kr/deepseek-3.2`
-- `kr/minimax-m2.5`, `kr/minimax-m2.1`
-- `kr/glm-5`
-- `kr/qwen3-coder-next`
-
-Алиас `kiro/*` идентичен `kr/*`.
+### Подключённые провайдеры (2026-04-11)
+| Провайдер | Аккаунт | Модели | Статус |
+|-----------|---------|--------|--------|
+| Codex (OpenAI) | batlaew@gmail.com (free plan) | gpt-5.4, gpt-5.4-mini | Работает, refresh проблема |
+| Claude | OAuth | claude-opus-4-6, sonnet | Токен есть, refresh проблема |
+| Kiro (AWS) | OAuth | claude-sonnet-4.5, haiku | Токен есть, refresh проблема |
 
 ### Использование
 - Prefix модели: `cx/gpt-5.4` (Codex), `cc/claude-opus-4-6` (Claude)

decisions/2026-05-29-niikn-diadoc-ozon-fix.md

@@ -6,6 +6,14 @@ tags: [niikn, network, ozon, diadoc, podkop, netbird, lionart, troubleshooting]
 
 # НИИКН: diadoc.ru и ozon.ru не открывались — два разных корня
 
+> ## 🎯 ИТОГ / КОРНЕВОЕ РЕШЕНИЕ (2026-05-29, вечер)
+> **Из podkop убран список `russia_outside`** — он и был первопричиной всех повторяющихся жалоб на gov/РФ-сайты.
+> `russia_outside` (itdoginfo) = «РФ-сайты, доступные только из РФ-подсетей, для людей **за границей**». Для офиса в РФ он подменял gosuslugi/ozon/ЕИС/nspd на FakeIP и гнал в **финский** туннель → гео-блок «Доступ ограничен».
+> Правильный «in-Russia bypass» список — `russia_inside` (заблокированное зарубежное), но он не нужен: точечные `meta`/`youtube`/`telegram` уже покрывают рабочее. Спасибо инсайту Олега про inside/outside.
+> **Проверка (sing-box 127.0.0.42 до/после):** РФ-сайты перестали фейкапиться (стали реальными), заблокированные (instagram/youtube/whatsapp) остались в туннеле.
+> **Эффект:** dnsmasq-overrides больше не нужны (оставлены как backup) — **слетать и ломать больше нечему**. Цикл «реконфиг → слетело → сломалось» разорван в корне.
+> **Сторож:** `niikn-podkop-watchdog.sh` на pve-niikn (cron */15) следит, чтобы `russia_outside` не вернулся при обновлении podkop; алерт через Антошку (@maxim_dttb_bot) Олегу (chat 1292155421). Всё ниже — история диагностики и legacy-обходы (override/маршруты), они остаются как backup.
+
 Жалоба: «в НИИКН не заходит на www.diadoc.ru и на озон». Оказалось — **две независимые причины**, не связанные с (изначально подозреваемыми) потерянными overrides.
 
 ## Диагноз
@@ -47,6 +55,17 @@ DNS-override для diadoc НЕ нужен — он и так резолвитс
 - **`gosuslugi.ru` сейчас FakeIP'ится** (`198.18.2.204` → Финляндия) = сломан, override снова потерян. Прочие РФ-маркетплейсы (WB, СберМаркет, Я.Маркет, М.Видео, Авито) — direct, ок.
 - `russia_outside` в podkop ловит РФ-сайты узко (ozon, gosuslugi), не массово. Если будут жалобы на другие РФ-сайты — проверять FakeIP и при необходимости рассмотреть удаление `russia_outside` из `community_lists` (для офиса в РФ финский выход для РФ-сайтов вреден).
 
+## Дополнение (тот же день): ЕИС + восстановление overrides + проверка podkop
+
+Олег добавил: «ЕИС тоже не работает, проверь на Максиме Мауле; и podkop проверь, что заблокированные сайты работают».
+
+- **podkop/туннель — OK.** С maul-pc: youtube/instagram→200, whatsapp соединяется. tproxy-счётчик 8.3M пакетов (растёт), awg0 несёт трафик. Заблокированные работают.
+- **ЕИС (`zakupki.gov.ru`) был сломан** по той же причине, что gosuslugi: override слетел → FakeIP→Финляндия. В живом `uci show dhcp` оставались только `nspd`+`ozon`.
+- **Восстановил ВСЕ слетевшие overrides** (`sev`, `zakupki`, `gosuslugi`, `rosreestr`, `culture`, `economy`). После рестарта dnsmasq + flushdns на клиенте: `zakupki.gov.ru`→**200** (через уже существующий route `95.167.245.0/24`→LionART), `gosuslugi`/`sev`/`rosreestr`/`culture`/`economy`→**200** (через MTS напрямую — class A подтверждён). Проверено на maul-pc.
+- **`lk.zakupki.gov.ru` (ЛК ЕИС)** — НЕ сетевая проблема: ГОСТ-TLS (alert 40 с MTS и с LionART), `94.25.0.0/17`. Нужен Yandex Browser (нативный ГОСТ) + КриптоПро/ЭЦП. Маршрут не поможет.
+
+Вывод: **главная причина массовых жалоб НИИКН на gov-сайты = периодически слетающие dnsmasq-overrides** (известная болячка podkop-реконфигов). Сильный кандидат на watchdog (cron на pve-niikn: проверять `uci show dhcp` и доливать недостающие overrides + алерт через Антошку).
+
 ## Связанные
 - [[../projects/niikn/govru-quickfix-playbook]] — реестр overrides/routes обновлён
 - [[2026-05-04-niikn-nspd-via-netbird-lionart]] — та же схема LionART для nspd

decisions/2026-06-01-claude-remote-control-mobile.md

@@ -0,0 +1,41 @@
+# Claude Code Remote Control с iPhone/iPad (Max-аккаунт)
+
+**Дата:** 2026-06-01
+**Хост:** code-server LXC 132 (10.0.0.179)
+
+## Задача
+Управлять сессией Claude Code на LXC 132 из официального приложения Claude на iPhone/iPad.
+
+## Ключевая проблема
+Remote Control (`claude.ai/code`) **требует настоящий логин claude.ai (Pro/Max)** и **прямой Anthropic API**.
+Не работает с прокси: кастомный `ANTHROPIC_BASE_URL` (OmniRoute `omni.dttb.ru`) + `ANTHROPIC_AUTH_TOKEN`/`ANTHROPIC_API_KEY` ломают его.
+
+Но рабочий сетап code-server использует именно прокси для бесплатных моделей — его трогать нельзя.
+
+## Решение: изолированный конфиг + systemd
+Отдельный `CLAUDE_CONFIG_DIR=/root/.claude-rc` с Max-логином, без прокси-переменных. Не конфликтует с рабочим `~/.claude`.
+
+### Что в /root/.claude-rc
+- `.credentials.json` — Max OAuth (скоуп `user:sessions:claude_code` = full-scope token, обязателен для RC). Скопирован из `~/.claude/.credentials.json`.
+- `.claude.json` — содержит `oauthAccount` (org UUID `d76aa101...`, аккаунт batlaew@gmail.com). **Без него** RC падает с *"Unable to determine your organization"*. Сюда же добавлен trust для рабочей папки: `projects["/root/knowledge-base/projects/niikn"].hasTrustDialogAccepted=true`.
+- `start-rc.sh` — врапер: `unset` всех `ANTHROPIC_*` прокси-переменных, `cd niikn`, `claude remote-control --name niikn --spawn same-dir <<< "y"` (y подтверждает промпт «Enable Remote Control?»).
+
+### systemd
+`/etc/systemd/system/claude-rc.service` — `enabled`, автостарт, `Restart=on-failure`. `UnsetEnvironment=` всех `ANTHROPIC_*` на уровне unit.
+
+## Подключение с телефона
+1. Приложение Claude (iOS) → войти **тем же** Max-аккаунтом (batlaew@gmail.com).
+2. Вкладка **Code** → сессия `niikn` (зелёный индикатор = онлайн) → подключиться.
+3. Альтернатива из браузера: `https://claude.ai/code` или прямой URL окружения.
+4. Доступ снаружи НЕ зависит от ai.dttb.ru/NPM — RC ходит через инфраструктуру Anthropic.
+
+## Управление
+- Статус: `systemctl status claude-rc`
+- Логи/URL: `journalctl -u claude-rc -f`
+- Стоп: `systemctl stop claude-rc`
+- Обновить креды (если протухнут): перелогиниться в `~/.claude`, затем `cp ~/.claude/.credentials.json /root/.claude-rc/`
+
+## Грабли
+- Версия CLI ≥ 2.1.51 (стоит 2.1.92). ✓
+- API-ключ / Console-аккаунт / `CLAUDE_CODE_USE_BEDROCK|VERTEX|FOUNDRY` блокируют RC.
+- `oauthAccount` хранится в `.claude.json`, а НЕ в `.credentials.json` — копировать оба файла.

decisions/2026-06-04-deapple-migration-roadmap.md

@@ -0,0 +1,72 @@
+---
+дата: 2026-06-04
+тема: Деамериканизация личного цифрового стека (уход от Apple)
+статус: в работе (roadmap)
+теги: [privacy, deapple, degoogle, nextcloud, grapheneos, linux, миграция]
+---
+
+# Уход от Apple — план миграции
+
+## Мотивация
+Олег принял решение убрать зависимость личного цифрового стека от американских
+big-tech. Драйверы:
+- **Геополитический риск отключения** — санкции, нет официальной поддержки Apple в РФ,
+  реальный риск блокировки Apple ID / App Store / iCloud.
+- **Приватность** — недоверие к тому, что данные уходят в США через сервисы Apple
+  (телеметрия, iCloud, подчинение Apple законам США).
+- **Личное** — триггер: телефонные мошенники обманули и обокрали мать (накопления за
+  7,5 лет). Принципиальное нежелание зависеть от чего-либо американского.
+
+## Ключевой принцип (чтобы не сделать хуже)
+**Уход от Apple ≠ уход на Google.** Голый Android = Google = та же юрисдикция США и
+более жёсткий сбор данных. Цель — **degoogled + self-hosted**, а не смена одного
+US-вендора на другого.
+
+## Threat model — три разные угрозы (раньше слиплись в одну)
+1. **Телефонное мошенничество (мать)** — НЕ решается сменой телефона. Решение: банковский
+   антифрод + блокировка звонков + обучение. Отдельный человеческий трек.
+2. **Риск отключения сервисов санкциями** — решается уходом от единого гейткипера:
+   Android умеет sideload (APK напрямую, без регионального аккаунта — убирает старую
+   возню с TJ/US Apple ID), на десктопе Linux.
+3. **Утечка данных в США** — решается degoogled-ОС + своими сервисами вместо облака.
+   Здесь главный козырь уже есть: **Nextcloud AIO на dttb.ru.**
+
+## Треки
+
+### 1. iCloud → Nextcloud (СТАРТ — бесплатно, безрисково, не зависит от железа)
+Увести с iCloud на свой Nextcloud: контакты (CardDAV), календарь (CalDAV), фото
+(автозагрузка), файлы, заметки. Работает при любом телефоне.
+- [ ] Обследовать NC: версия, свободное место, приложения Contacts/Calendar/Photos
+- [ ] Контакты: экспорт vCard из iCloud → импорт в NC Contacts, настроить CardDAV на устройстве
+- [ ] Календарь: экспорт .ics → NC Calendar, CalDAV
+- [ ] Фото: оценить объём медиатеки, автозагрузка в NC
+- [ ] Файлы/заметки
+- Открытые вопросы: включён ли Advanced Data Protection в iCloud; объём медиатеки (ГБ);
+  что из iCloud реально критично.
+
+### 2. Антифрод для матери (человеческий приоритет, параллельно)
+Защита от повторения. НЕ про смену техники.
+- [ ] Банковские лимиты + подтверждение операций, антифрод банка
+- [ ] Блокировщик звонков / определитель, белый список контактов
+- [ ] Разговор о схемах социнженерии
+- Открытые вопросы (нужны от Олега): банк матери; тип телефона (кнопочный/смартфон,
+  Android/iPhone); кто физически рядом помогает настроить.
+
+### 3. Телефон → degoogled Android
+Кандидаты: Pixel + GrapheneOS (максимум приватности) либо /e/OS. Российские/Аврора для
+daily driver пока сыро.
+- [ ] **RESEARCH до покупки:** РФ-банковские приложения, Mir Pay, NFC-оплата на GrapheneOS
+  без GMS — работает или стоп-фактор? (Play Integrity / push без GMS)
+- [ ] Выбор модели и ОС
+- [ ] План переноса: мессенджеры, банки (APK с сайтов), 2FA, Госуслуги
+- Открытые вопросы: бюджет; нужен ли NFC-платёж; критичные приложения.
+
+### 4. Mac → Linux (последним, осторожно)
+Самый высокий риск сломать рабочий процесс. Mac держим как fallback на переходный период.
+- [ ] Выбор дистрибутива
+- [ ] Перенос: knowledge-base (rclone-bisync + Stop-hook), Claude Code CLI, NetBird, тулинг
+- Открытые вопросы: модель Mac (Apple Silicon → Asahi Linux? или отдельное x86-железо);
+  готовность держать переходный период.
+
+## Принцип миграции
+Ничего не выбрасываем, пока новое не проверено в бою. Параллельные периоды на каждом треке.

decisions/2026-06-04-lipki-deco-p9-powerline-degradation.md

@@ -0,0 +1,75 @@
+---
+date: 2026-06-04
+type: decision
+status: pending-visit
+tags: [lipki, deco-p9, powerline, homeplug, mesh, visit-required]
+project: lipki
+---
+
+# Липки — деградация Deco P9 mesh (гипотеза: главный в фильтре/UPS)
+
+## Симптом
+
+Клиент **Антон** (Липки, Звенигород) сообщил, что **«ничего не работает»**. Раньше работало стабильно.
+
+## Диагностика 2026-06-04
+
+**Роутер `OpenWrt_Lipki` (100.70.35.234) — чист:**
+- Uptime 7д, load 0.17
+- WAN eth0 5.101.135.71, default gw отвечает
+- Internet (1.1.1.1, 77.88.8.8) — 0% loss
+- DNS через подкоп `127.0.0.42` — резолвит ya.ru, google.com
+- NetBird Connected, peers 34/63
+- Память 219MB free, swap 0
+- dnsmasq, sing-box, netbird, hostapd — все процессы живы
+
+**LAN — прогрессирующая деградация Deco P9 mesh:**
+
+| IP | Имя | 11:21 | 12:42 (через 1ч) |
+|---|---|---|---|
+| 192.168.1.35 | deco-master | ❌ | ❌ |
+| 192.168.1.67 | deco-2 | ✅ | ✅ |
+| 192.168.1.173 | deco-3 | ✅ | ❌ |
+| 192.168.1.80 | deco-4 | ✅ | ✅ |
+| 192.168.1.179 | HiTEPRO (терминал) | ✅ | ❌ |
+| 192.168.1.192 | Ajax-сигнализация | ❌ | ❌ |
+| 192.168.1.201 | client | ✅ | ❌ |
+
+За час отвалились ещё 3 устройства (deco-3, HiTEPRO, .201). 2 из 4 Deco-узлов мёртвых.
+
+## Гипотеза (вероятная причина)
+
+**Главный Deco P9 (192.168.1.35) подключён к удлинителю / сетевому фильтру / UPS.**
+
+Deco P9 использует **HomePlug AV2 (Powerline)** как mesh-backbone между узлами — не WiFi-mesh. Любой сетевой фильтр / стабилизатор / источник бесперебойного питания **глушит сигнал HomePlug**, потому что:
+- В фильтрах стоят LC-цепи, отсекающие ВЧ-помехи (а HomePlug — это и есть ВЧ-сигнал поверх 50 Гц).
+- В UPS — импульсные преобразователи, ставят сильный шум в той же полосе.
+- Удлинители с защитой от перенапряжения — то же самое.
+
+Раньше работало → значит изначально было воткнуто напрямую в стенную розетку. **Что-то изменилось** (переставили, добавили фильтр, заменили удлинитель, добавили UPS на щиток).
+
+## Что нельзя сделать удалённо
+
+- У Deco P9 **нет SSH/Telnet/USB-консоли** — через ОС не оживить.
+- TP-Link app в режиме AP (Deco работают как точки доступа за OpenWrt) — функция Reboot узла часто не работает.
+- Даже если cloud-команда дойдёт до главного — она пойдёт дальше по powerline до мёртвых узлов. А backbone и сломан.
+
+ARP-spam, flush DHCP leases, restart dnsmasq на стороне OpenWrt — пробовал, на зависший WiFi-radio / powerline не действуют.
+
+## План на визит (запланирован: завтра-послезавтра)
+
+1. **Найти главный Deco (192.168.1.35) и проверить во что он воткнут.**
+   - Если в фильтр / удлинитель / UPS — **перевоткнуть напрямую в стенную розетку**.
+   - То же для всех остальных узлов Deco (.67, .80, .173).
+2. **Power-cycle всех узлов** — выдернуть-воткнуть на 30 секунд каждый.
+3. Проверить, что HiTEPRO (терминал, .179) и Ajax-хаб (.192) подключены **напрямую в LAN-порт OpenWrt или в живой Deco**, а не висят на powerline через мёртвый узел.
+4. Зафиксировать в README текущий расклад: какой узел где стоит, во что воткнут, в каком помещении.
+
+## Долгосрочно
+
+Заменить Deco P9 (Powerline-mesh) на нормальный WiFi-mesh — например **Deco X-серия** (X20/X50/X60) или **Asus ZenWiFi**. Powerline всегда лотерея — зависит от качества электропроводки и набора потребителей в розетках, к которым со временем добавляется хлам с импульсными БП.
+
+## Связанные
+
+- [[../projects/lipki/README]]
+- [[../claude-memory/feedback_lipki_deco_powerline]] (если будет создана)

decisions/2026-06-05-benelux-blackout-fw4-recovery.md

@@ -0,0 +1,82 @@
+---
+date: 2026-06-05
+type: decision
+tags: [benelux, openwrt, firewall, fw4, nftables, blackout, recovery, alex-bot]
+status: closed
+severity: critical
+---
+
+# Бенелюкс — после blackout вся LAN без интернета: `fw4` не строит `forward` chain
+
+## Симптомы (поверхностные)
+
+- Александр пожаловался: «после отключения электричества интернет не работает»
+- В `unifi.ui.com` UniFi-консоль (UCK G2 Plus `Benelyuks`, `192.168.1.199`) показана **Offline** с прошлого дня — у неё часы отстали почти на 19 часов (NTP не достучался)
+- Mac, телефоны, IoT — Wi-Fi видят, IP получают, но «без интернета»
+- При этом **сам Cudy роутер** (`100.70.207.97` через NetBird) полноценно работает, ping `8.8.8.8` от него = 0% loss
+
+## Корневая причина
+
+После blackout-перезагрузки Cudy пакет `firewall4` (v2024.12.18, OpenWrt 24.10.3) не смог собрать ruleset, потому что **новый `nftables v1.1.1` отказался парсить старый синтаксис в `/etc/nftables.d/*.nft`**:
+
+```nft
+chain dstnat {       # ← UNEXPECTED '{', expecting string or last
+  iifname "wt0" tcp dport ... dnat ip to ...
+}
+chain printer_dnat_pre {       # ← Chain of type "nat" is not supported
+  type nat hook prerouting priority dstnat; policy accept;
+  ...
+}
+```
+
+Файлы, написанные раньше, использовали **chain-with-type-hook** или **add-rules-to-existing-chain-via-block** — оба синтаксиса в v1.1.1 либо не поддерживаются вообще, либо требуют точное соответствие имени уже существующего chain в `table inet fw4`.
+
+Поскольку парсер падал на каждом из этих файлов, **fw4 откатывался** и **не создавал `forward` и `dstnat` chains вообще** → весь LAN-форвардинг через NAT отсутствовал → ни одно устройство в `192.168.1.0/24` не могло выйти наружу. UCK не достукался до облака Ubiquiti → UI cloud = Offline. Параллельно с этим её время отстало (NTP UDP/123 режется провайдером «Умные сети») — это две **независимые** проблемы.
+
+## Что сделал в восстановлении
+
+1. **Поставил время UCK вручную** через SSH (`date -u -s "..."; hwclock -w`)
+2. **Диагностика nft**: ядро (`nft_chain_nat`, `nf_nat`, `nft_ct`) и userspace (`v1.1.1`) на месте, ручные команды через arg работают, но `nft -f file` со стандартным fw4-output падает на пользовательских includes
+3. **Случайно усугубил**: `opkg install --force-reinstall firewall4` без `opkg update` — opkg сначала удалил пакет, потом не смог скачать (репозиторий блокировался). `fw4` исчез. Скачал `.ipk` с Mac → `scp -O` (legacy режим, потому что Cudy без sftp-server) → `opkg install /tmp/firewall4.ipk` ✓
+4. **Отключил все user-`.nft`-файлы** (`mv → .disabled-20260605-syntax`), оставил только `10-custom-filter-chains.nft` (дефолтный шаблон от пакета) → `fw4 reload` поднял базовый ruleset с `forward`/`dstnat`/`srcnat` chains → LAN-форвардинг заработал
+5. **Подкоп**: создал зону `awg` через UCI (`uci add firewall zone` + `device='awg0'` + `masq=1` + forwarding `lan → awg`) → подкоп заработал (`api.telegram.org` HTTP 302 за 0.27s)
+6. **Удалил принтер-файлы окончательно** (Олег сказал не нужны)
+
+## Что временно отключено (`.disabled-20260605-syntax`)
+
+| Файл | Назначение | Что внутри |
+|---|---|---|
+| `00-emergency-block.nft` | input drop SSH с WAN | Дубликат wan-zone drop, **не критично** |
+| `51-awg0-masq.nft` | masquerade `awg0` для LAN | **Заменено UCI-зоной `awg`** (см. выше) |
+| `99-incident-20260520.nft` | output drop SMTP/SSH + forward drop SSH | Бот Алекс `alex-secwatch.sh` через `nft insert rule` восстановит SSH-блок каждые 15 мин; SMTP-output на роутере и так не нужен |
+
+## Что узнал про бота Алекса
+
+Подозревал что бот деплоит битые `.nft` файлы → проверил. **Бот невиновен**, его архитектура **правильная**:
+
+- `/opt/assistant/alex-secwatch.sh` (крон `*/15`) использует **`nft insert rule inet fw4 input iifname "eth0" tcp dport 22 counter drop comment "..."`** — это **runtime-вставка через arg-синтаксис**, который **поддерживается в nft v1.1.1**
+- Никаких записей в `/etc/nftables.d/` бот не делает
+- Битые .nft файлы создал я (Claude) в предыдущих сессиях, не бот
+
+## Правило на будущее: как добавлять firewall-правила на Бенелюксе (и любом OpenWrt 24.10+)
+
+| Цель | Как делать | Что НЕ делать |
+|---|---|---|
+| Persistent через ребут | **UCI**: `uci add firewall rule/redirect/zone/forwarding`, потом `uci commit firewall; fw4 reload` | НЕ писать `/etc/nftables.d/*.nft` с `chain xxx { type ... hook ... }` или с `chain xxx { ... }` блоком |
+| Runtime, временно | `nft insert rule inet fw4 <chain> <expression>` через SSH (как делает бот Алекс) | — |
+| DNAT (port forward) | `uci add firewall redirect; uci set firewall.@redirect[-1].target='DNAT'; uci set ...src_dport ...dest_ip ...dest_port; uci commit; fw4 reload` | НЕ писать вручную `chain printer_dnat_pre { type nat hook prerouting ... }` |
+| Masquerade-зона для нового интерфейса (`awg0`, `wt0` и др.) | `uci add firewall zone; uci set ...device='awg0' masq='1'; uci add firewall forwarding; uci set ...src=lan dest=awg; uci commit; fw4 reload` | — |
+
+## Открытое для бота Алекса
+
+Если в будущем бот должен деплоить какие-то правила (например автоматический проброс принтера или DNAT для нового сервиса):
+- использовать `uci add firewall redirect ...` через SSH к Cudy (persistent),
+- или `nft insert rule` (временно, как уже делается для SSH-блока).
+
+**Никогда** не писать в `/etc/nftables.d/*.nft` с `chain xxx { ... }` синтаксисом — оно работало на старом nft (v1.0.x), но в v1.1.1 OpenWrt 24.10.3 ломает весь fw4.
+
+## TODO
+
+- [ ] При следующем доступе на Cudy — перепроверить что `alex-secwatch.sh` через `nft insert` восстановил SSH-WAN-блок (должно произойти через 15 мин от 09:30 UTC)
+- [ ] Долгосрочный фикс времени UCK: включить ntpd-сервер на Cudy (`uci set system.ntp.enable_server=1`) и в UI UCK Network → System → NTP прописать `192.168.1.1` (см. [[../projects/benilux/credentials#известная-проблема-ntp-не-работает]])
+- [ ] Удалить файлы `*.disabled-20260605-syntax` с роутера через 1-2 недели когда подтвердим что ничего не сломалось

decisions/2026-06-08-finland-vless-happ-dns-diag.md

@@ -0,0 +1,67 @@
+---
+date: 2026-06-08
+type: incident
+tags: [vpn, finland, vless, happ, xray, reality, dns, podkop]
+aliases: [finland5870 vless не работает, Happ DNS 8.8.8.8]
+status: in-progress
+---
+
+# Finland5870 VLESS «не работает» — диагностика (продолжить завтра)
+
+Жалоба Олега: vless на `202.71.12.186` не работает (общий сервер для всех клиентов, не только Сергей).
+Симптом проявился на Mac Олега через клиент **Happ** (профиль «🇫🇮Финляндия»).
+
+## Что установлено ТВЁРДО
+
+### Сервер исправен
+- `202.71.12.186` = **finland5870.com**, ISP **Hostkey AS57043 Helsinki**, биллинг/панель **AdminVPS** (`my.adminvps.ru`). НЕ Singapore (у Сергея в README гео ошибочно — поправить).
+- Доступ: только **root, key-only, через jump** = code-server. Рабочая схема:
+  `ssh root@100.70.92.138` (Mac-ключ id_ed25519) → оттуда `ssh root@202.71.12.186` (ключом code-server).
+  Прямой `ssh -J` с Mac НЕ работает (на target лежит ключ code-server, не Mac). Прямой вход с Mac запрещён by design.
+- `amnezia-xray` **running**, Restarts=0, слушает **:9443** (НЕ :443!). Сервер ребутался 2026-06-07 ~20:43 UTC, всё поднялось (restart=always).
+- На `:443` ничего нет и не было (нет haproxy/nginx/контейнера) — клиентские конфиги на :443 битые в принципе.
+
+### Актуальные Reality-параметры (server.json + *.key)
+| Поле | Значение |
+|---|---|
+| Порт | `9443` |
+| pbk (publicKey) | `WxwIoiVyCkAoQ05xHEcRnTCTvK0uXfEmaGB-C7wPPBw` |
+| sid (shortId) | `2721326dfa367e20` |
+| dest / SNI | `www.googletagmanager.com` |
+| flow | `xtls-rprx-vision` |
+| UUID (4 шт) | `20cb0525-057f-4976-b876-4c257f214d1d`, `c22b6e34-ceca-4977-97a0-2b1e6b4035a7`, `1e70e2a1-da17-4f7a-b835-56e9b37c600b`, `a2deaa61-9645-4d77-b5f7-8a1978da690d` |
+
+Старые (битые) параметры, гулявшие у клиентов: порт `443`, pbk `duDwOkEDWQUnY_oMjDGlUFvUFBdCSxo5fiudmGL4XgQ`, sid `cc75ad57d3b0bb9b` — сменились при пересборке xray в конце апреля (после malware-инцидента 24.04, см. [[2026-04-24-finland-vps-malware-cleanup]]).
+
+### Reality из РФ проходит — РКН НЕ душит
+- e2e через code-server (xray-клиент, актуальные параметры) → выход `202.71.12.186` FI/HOSTKEY. ✅
+- openssl с Mac (РФ, без VPN) → `202.71.12.186:9443`, SNI googletagmanager: TCP 20ms, отдаёт **Google-сертификат** `*.google-analytics.com`, Verify OK. ✅
+- → фрагментация для обхода DPI НЕ нужна.
+
+## КОРЕНЬ проблемы на Mac (Happ)
+
+1. **Фрагментация Happ ломала канал.** В конфиге было `outbound proxy → sockopt.dialerProxy="antifilter"` → socks `127.0.0.1:10810`. Фрагментатор на 10810 мёртв (история крашей `tag=antifilter ping ... io: read/write on closed pipe`). Весь vless заворачивался в мёртвый 10810.
+   → **СДЕЛАНО: Настройки Happ → Туннель → «Использовать фрагментирование» = ВЫКЛ.** (Reality и так проходит, фрагментация лишняя.)
+
+2. **DNS-замок (главный нерешённый).** Happ резолвит домены через DoH `https://8.8.8.8/dns-query` (Google). Логи Happ забиты:
+   `[Error] app/dns: failed to retrieve response for www.google.com > Post "https://8.8.8.8/dns-query": context deadline exceeded`
+   → все резолвы валятся → Happ считает `all outbound return -1` → рвёт туннель (после старта порты 108xx гаснут).
+   - Google DoH `8.8.8.8` **заблокирован из РФ напрямую** (проверено: пусто).
+   - DoH 8.8.8.8 в конфиге маршрутизируется через proxy (vless), но всё равно timeout даже после отключения фрагментации.
+   - При этом в `access.log` 21:50 были УСПЕШНЫЕ `socks-in >> proxy` (vless-data из РФ ходил) — значит канал способен работать, спотыкается именно DNS.
+
+## TODO завтра
+1. **Сменить DNS-резолвер в Happ** (routing-набор «RoscomVPN» задаёт DoH 8.8.8.8 + 77.88.8.8). Google 8.8.8.8 из РФ дохлый. Варианты:
+   - Yandex DoH правильным endpoint (`77.88.8.8/dns-query` отдаёт «Not Found» — путь неверный; проверить `https://common.dot.dns.yandex.net/dns-query`).
+   - Cloudflare `https://1.1.1.1/dns-query` через proxy.
+   - Или plain `1.1.1.1`/`8.8.8.8:53` через proxy вместо DoH.
+2. После DNS-фикса проверить: подключить Happ → `lsof 10808` живёт → `curl --socks5-hostname 127.0.0.1:10808 https://api.ipify.org` + youtube.
+3. Решить раздачу остальным клиентам (Сергей/Бенелюкс/Знаменское/Lipki): у кого конфиг на `:443`/старый pbk — перевыпустить на `9443`/`WxwIoi`/`2721326`.
+4. Поправить КБ: гео finland5870 (Сергей README: Singapore→Finland), старые vless-ссылки на :443 в notes/snippets, путаница Hostkey vs AdminVPS.
+
+## Рабочая vless-ссылка (актуальная, проверена e2e)
+```
+vless://20cb0525-057f-4976-b876-4c257f214d1d@202.71.12.186:9443?type=tcp&security=reality&fp=chrome&sni=www.googletagmanager.com&pbk=WxwIoiVyCkAoQ05xHEcRnTCTvK0uXfEmaGB-C7wPPBw&sid=2721326dfa367e20&flow=xtls-rprx-vision&encryption=none#Finland-9443
+```
+
+Связано: [[../projects/dttb/finland-hostkey-vps]], [[../projects/sergey/README]], [[2026-04-24-finland-vps-malware-cleanup]]

decisions/2026-06-08-swarmclaw-lxc135-deploy.md

@@ -0,0 +1,148 @@
+---
+date: 2026-06-08
+type: decision
+tags: [dttb, swarmclaw, openclaw, orchestrator, lxc, docker]
+---
+
+# SwarmClaw — оркестратор-надстройка над openclaw (LXC 135)
+
+## Контекст
+Олег искал «аналог openclaw — оркестратор + удобный + самообучение». По ходу выяснилось:
+1. У openclaw **самообучение уже работает** (Dreaming, embeddings ready, recall с concept-tagging + spaced repetition — см. правку [[openclaw]]). Менять движок не нужно.
+2. **SwarmClaw** ([github.com/swarmclawai/swarmclaw](https://github.com/swarmclawai/swarmclaw)) — это не замена, а **control-plane НАД openclaw**: рой агентов, делегирование, расписания, дашборд, и подключение существующих openclaw-gateway. Ровно «оркестратор» из запроса, без миграции стека.
+
+Решение: поставить SwarmClaw на Proxmox (не Mac-app — тот умирает с ноутом) как постоянный дирижёр над Антошкой.
+
+## Где живёт
+| Параметр | Значение |
+|----------|----------|
+| Proxmox LXC | **135** (hostname `swarmclaw`) |
+| IP | 10.0.0.135/24, gw 10.0.0.1 |
+| ОС | Debian 12, unprivileged + `nesting=1,keyctl=1` |
+| Ресурсы | 2 vCPU / 4 GB RAM / 16 GB (rootfs на `work`) |
+| Рантайм | Docker 29.5 + compose, образ `ghcr.io/swarmclawai/swarmclaw:latest` |
+| Каталог | `/opt/swarmclaw` (репо), данные volume `./data:/app/data` |
+| Доступ | `pct exec 135 -- bash`; dashboard `http://10.0.0.135:3456` |
+
+## Доступ к UI/API
+- **URL:** `http://10.0.0.135:3456` (LAN/NetBird), слушает `0.0.0.0:3456-3457`.
+- **ACCESS_KEY:** `OL260380eg` (сменён 2026-06-12 по просьбе Олега; первичный `4613e7d0…` больше не действует) — он же cookie `sc_auth` для API. Хранится в `/opt/swarmclaw/.env.local`; смена = правка файла + `docker compose up -d --force-recreate` + `repatch-ctxwin.sh`.
+- Auth: `POST /api/auth {"key":"..."}` → cookie, либо header `Cookie: sc_auth=<KEY>`. `getAccessKey()=process.env.ACCESS_KEY`, `validateAccessKey` сравнивает строкой.
+
+## Что настроено
+1. **Провайдер OmniRoute** (`custom`, OpenAI-compatible):
+   - `baseUrl=http://10.0.0.179:20128/v1`, `requiresApiKey:false` (внутренний, отдаёт каталог без ключа).
+   - Каталог 58 моделей; инференс `cc/claude-opus-4-8` подтверждён (stream chat.completions).
+2. **Агент «Dirizhyor»** (id `0d388a87`) — provider `omniroute`, model `cc/claude-opus-4-8`.
+3. **openclaw-gateway как control-plane:**
+   - credential `cred_62caf5d0f0de` (provider `openclaw`, зашифрованный gateway-token).
+   - gateway profile `gateway-0eaf65b0` «Antoshka (openclaw 137)», endpoint `http://10.0.0.239:18789`, `isDefault:true`.
+   - openclaw gateway token: `20bfbdfed25b87b211a6faa60db3ab8fac75fb5100958ac8` (`gateway.auth.mode=token` на LXC 137).
+   - device спарен и **approved** на openclaw (`openclaw devices` → 10.0.0.135, `operator.admin`).
+   - connect `ok:true`.
+
+## Грабли (важно для будущего)
+1. **ACCESS_KEY жил только в `/app/.env.local` внутри контейнера** (не в volume). Пересоздание/обновление образа → новый ключ → запертый вход. **Фикс:** скопировал `ACCESS_KEY` (+`CREDENTIAL_SECRET` если будет) в **хостовый** `/opt/swarmclaw/.env.local` (он `env_file` в compose) → ключ постоянен через пересоздания. `CREDENTIAL_SECRET` дополнительно лежит в volume `data/credential-secret`.
+2. **Auth rate-limit:** 5 неудачных попыток с IP → лок 15 мин (`authRateLimitMap`, in-memory). Перебор форматов auth (Bearer/x-api-key — оба неверные) триггерит. **Правильный auth — только cookie `sc_auth`.** Сброс лока — `docker compose up -d --force-recreate` (in-memory обнуляется, ключ из env_file сохраняется).
+3. **Подключение openclaw требует approve device-pairing.** SwarmClaw `manualConnect` хардкодит `useDeviceAuth=true` (протокол v4, `auth:{token}` + device-signature). openclaw в token-mode создаёт **pending pairing** → пока не сделать `openclaw devices approve <requestId>` на LXC 137, connect молча `{"ok":false}`. Token-only handshake (proto4, `auth.token`, scopes `operator.admin`) проверен рабочим. После approve — connect `ok:true`, device в Paired.
+4. **`/api/openclaw/doctor` → `spawn openclaw ENOENT`** — в контейнере нет bundled `openclaw` CLI; связь идёт по WS, не через CLI. Безвредно.
+5. **DNS-FakeIP не словили** (в отличие от LXC 137): github/docker.com резолвятся честно через `1.1.1.1/8.8.8.8` даже без NetBird на 135. NetBird не ставил.
+6. Локаль в LXC не настроена (`locale: Cannot set LC_*`) — косметика, при желании `locale-gen en_US.UTF-8`.
+7. **Агент отвечал `Error: Missing credentials … OPENAI_API_KEY`** хотя OmniRoute ключ не требует. Причина: OpenAI-совместимый клиент внутри SwarmClaw отказывается слать запрос без непустого `apiKey`. **Фикс:** создать dummy-credential (`POST /api/credentials {provider:omniroute, apiKey:"omniroute-noauth-dummy"}` → `cred_0d2feda42f7b`) и привязать к провайдеру (`requiresApiKey:true` + `credentialId`) И к агенту (`PUT /api/agents/<id>` — PATCH даёт 405). OmniRoute ключ игнорирует. После — агент Dirizhyor отвечает на Opus 4.8 (проверено: «работает», + сам диагностировал второй агент через tools).
+8. **UI «No agents yet» + циклический логин в Chrome** = браузер держал старый JS-бандл (в логах `Failed to find Server Action`), ломались Server Actions (вход и загрузка). Сервер исправен (REST API через NPM HTTPS отдаёт auth+agents). Лечится чистым браузером (Yandex/инкогнито сработали сразу) или Clear site data в Chrome. SW/PWA нет, контейнер стабилен (0 рестартов).
+9. **Дефолтный агент Assistant/«Ассистент»** упорно падал `Claude CLI not found`. Корень в коде: `agent-runtime-config.ts` → `provider = seed.provider || 'claude-cli'` (хардкод-фоллбек). У default слетал/пустел provider → фоллбек на claude-cli (в контейнере нет). `POST /api/agents` не даёт задать фиксированный `id`, `PUT /api/agents/default` для пустого не помог. **Фикс: прямой `INSERT OR REPLACE INTO agents` в `data/swarmclaw.db`** — id=`default`, data = копия Dirizhyor (omniroute/opus/cred). App подхватывает без рестарта (loadAgents читает свежо). Теперь оба агента на OmniRoute/Opus.
+10. **«Session not found» при тесте через curl** — нельзя слать в произвольный `agent-chat-*` ID; сессия создаётся UI/отдельно. Не баг агента — артефакт диагностики. Реальные сессии (созданные в UI) работают (`completed`).
+11. **Gateway health «не обновлялась 30 мин / статус неизвестно»** — у RPC `/api/openclaw/gateway` есть только connect/disconnect/reload-mode; health-поле профиля (`status`,`lastCheckedAt`) обновляет фоновый probe, не RPC. `gateway.connect{profileId}` → `ok:true` (связь рабочая), но индикатор остаётся `unknown`. Косметика мониторинга, на работу не влияет.
+
+## База знаний (vault) подключена к агентам — 2026-06-08
+Олег: «подключить базу данных так же, как у code-server и openclaw». SwarmClaw НЕ имеет folder-RAG как openclaw (`memorySearch.extraPaths`) — его memory это agent-memory (dream/graph). Поэтому путь = **как у code-server**: агент через файловые tools работает в каталоге vault.
+- **Vault склонирован в volume:** `git clone https://oleg:***@git.dttb.ru/oleg/knowledge-base` → `/opt/swarmclaw/data/knowledge-base` (1286 md, 19M). Именно в `data/` (volume), иначе контейнер `/app/data` его не видит.
+- **Агенты настроены на vault:** `PUT /api/agents/<id>` → `workspace=/app/data/knowledge-base` (Dirizhyor + Ассистент). `workspaceAccess` через PUT не сохранился, но не нужен — агент читает через `shell`/`files` tools.
+- **Проверено:** на вопрос про openclaw агент сам сделал `grep -ril openclaw /app/data/knowledge-base/projects/dttb` → прочитал `openclaw.md` → ответил точно (LXC 137, 10.0.0.239, 100.70.167.54). RAG-доступ работает.
+- **Автообновление:** `/root/kb-pull-swarm.sh` (cron `*/15` на LXC 135) — `git pull` vault из Gitea. Как kb-pull у openclaw 137.
+
+### Встроенный Knowledge-раздел (доп. путь, по запросу Олега)
+SwarmClaw имеет раздел **Knowledge** (`/api/knowledge`), и агент использует его **автоматически**: `prompt-builder` + `selectKnowledgeCitations` инжектят релевантные куски в контекст с цитатами (отдельного tool нет; `knowledge_search`/`knowledge_store` как tools удалены). Поиск — текстовое сходство (jaccard, не embeddings) — для фактов норм.
+- **Импортировано 189 entries** (`projects`, `decisions`, `snippets`, `claude-memory`, `templates` — без `daily`/`notes` шума): скрипт POST `/api/knowledge {title,content,sourcePath}` по каждому .md. 0 ошибок.
+- **Ре-синк:** `/root/kb-knowledge-sync.sh` (cron `30 3 * * *`) — git pull + удалить наши entries (по `sourcePath` префиксу) + импорт заново. Иначе POST плодит дубли (нет upsert).
+- **Итог — два механизма:** (1) Knowledge entries → авто-контекст с цитатами (UI-раздел); (2) файловый workspace → агент grep'ает всю базу (свежее, `*/15`). Дополняют друг друга.
+
+## OmniRoute «out of usage» = баг версии (2026-06-09)
+Агенты на `cc/claude-opus-4-8` начали падать `400 You're out of extra usage`. Оказалось — НЕ лимит Max, а баг устаревшего OmniRoute (стоял 3.8.7, актуально 3.8.16). Обновление вылечило. Грабля апдейта: entry-point переехал `app/server.js`→`dist/server.js` → поправлен `ExecStart` в `omniroute.service` (иначе crash-loop). Подробно — [[../claude-memory/omniroute]] + memory `feedback_omniroute_update`. Агенты SwarmClaw остаются на **Opus 4.8** (Sonnet Олега не устроил).
+
+## iPad/iPhone Safari — чаты не отвечали (2026-06-09)
+На Mac (Chromium/Yandex) чаты работали, на iPad Safari открывалось, но ответы агента не приходили. Причина — чат отдаёт ответ через **SSE** (`text/event-stream` из `POST /api/chats/[id]/chat`), а NPM (nginx) по умолчанию буферизирует proxy → Safari iOS/iPadOS строг к буферизированному стриму. **Фикс — `advanced_config` у NPM-хоста #32:**
+```
+proxy_buffering off;
+proxy_request_buffering off;
+proxy_set_header X-Accel-Buffering no;
+proxy_read_timeout 3600s;
+proxy_send_timeout 3600s;
+```
+После reload — чаты на iPad заработали. Покрывает и iPhone. (Применять к любому SSE/стрим-сервису за NPM.)
+
+## NetBird-доступ для агентов (2026-06-09)
+Чтобы агенты SwarmClaw дотягивались до хостов в NetBird-сети (`100.70.x`: openclaw, серверы клиентов и т.д.).
+- **NetBird-клиент на LXC 135** (host): `curl -fsSL https://pkgs.netbird.io/install.sh | sh` (v0.72.2). Работает в unprivileged-LXC через `nesting=1` + kernel WireGuard (wt0; `/dev/net/tun` НЕ нужен, как на 137). Autostart (`systemctl enable`).
+- **setup-key создан через API** (PAT из этого же файла, группа Claude-Diag `d7jra32fadhs73dmqv5g`): `netbird up --setup-key <KEY>`. IP **100.70.95.183**, `swarmclaw.netbird.cloud`.
+- **Docker-контейнер дотягивается до 100.70.x БЕЗ доп. настройки** — контейнер → default gw (host) → host route `100.70.0.0/16 dev wt0` + Docker bridge MASQUERADE. Проверено: контейнер → `100.70.167.54:18789` (openclaw) → http 200. Интернет (github/docker для kb-pull) работает одновременно, DNS не сломан (resolv.conf остался 1.1.1.1/8.8.8.8).
+- **ГРАБЛЯ: только по IP, не по именам.** Magic-DNS `*.netbird.cloud` в контейнере НЕ резолвится — `search dttb.ru` + wildcard `*.dttb.ru` превращают `openclaw.netbird.cloud` → `openclaw.netbird.cloud.dttb.ru` → `10.0.0.195` (NPM) → connect fail. Агент, ходивший по имени, «не мог работать с NetBird». **Фикс:** в systemPrompt обоих агентов добавлена инструкция ходить по IP `100.70.x` (адреса в базе), не по `*.netbird.cloud`. По IP — http 200 (проверено агентом через shell). Если нужен доступ по именам — настраивать NetBird magic-DNS в контейнере (пока не делали, по IP достаточно).
+
+## Управление Антошкой агентом — что реально может (2026-06-10)
+Device SwarmClaw (10.0.0.135) спарен на openclaw с `operator.admin` (approve сделан при настройке gateway, pending больше нет — агент Дирижёр советовал повторный approve зря).
+- **Агентские openclaw-tools:** `openclaw_nodes` (список openclaw-узлов + exec-команды; **НЕ** cron — `action cron` → «Unknown nodes action») и `openclaw_workspace` (backup/rollback/history конфига). Их **надо явно включить** в `agent.tools` — по умолчанию у агента их нет (поэтому Дирижёр сначала не мог рулить Антошкой). Включены для Dirizhyor + Ассистента.
+- **Грабля: `agent.gatewayProfileId`** переключает chat-модель агента на gateway-провайдера (openclaw model «default») → `MODEL_NOT_FOUND 404`, агент перестаёт отвечать. **НЕ ставить** `gatewayProfileId` на агенте; openclaw_nodes сам берёт дефолтный gateway-профиль. Оставлять `gatewayProfileId: null`, provider `omniroute`.
+- **Полное управление (cron, agent-files SOUL/IDENTITY/.., models, deploy)** — только через UI (Providers → профиль «Antoshka») или SwarmClaw API напрямую (`/api/openclaw/{cron,agent-files,models,...}?profileId=gateway-0eaf65b0` с cookie `sc_auth`). Через агентский чат cron/файлы НЕ редактируются.
+
+## Окно контекста агента = 8192 (баг!) → патч на 200K (2026-06-12)
+Дирижёр жаловался на «ограничение окна» и просил пересадить себя на `claude-cli` + Anthropic-ключ. **Корень — НЕ модель и НЕ Max-лимит:** `getContextWindowSize(provider, model)` (`src/lib/server/context-manager.ts`) для незнакомого custom-провайдера `omniroute` не находит его ни в `PROVIDER_CONTEXT_WINDOWS[model]` (там `claude-opus-4-6`, нет `cc/claude-opus-4-8`), ни в `PROVIDER_DEFAULT_WINDOWS[provider]` (есть `anthropic/openclaw/google`, нет `omniroute`) → **fallback `8_192`**. При 4.8k токенов агент уже «на 58%» и паникует. OmniRoute при этом реально отдаёт `context_length: 1000000` для `cc/claude-opus-4-8`.
+- **Чистого API-пути нет** — окна зашиты в бандл, `model_overrides` про подмену модели (heartbeat), provider-config `contextWindow` нигде не читается.
+- **Фикс — патч каталога окон в бандле:** добавлен `omniroute:2e5` в `PROVIDER_DEFAULT_WINDOWS` (чанк `/app/.next/server/chunks/src_lib_server_06.*.js`, паттерн `goose:2e5,openclaw:128e3` → `...,omniroute:2e5,openclaw:128e3`). Проверено: `context-status` → `contextWindow: 200000`. Бэкап чанка `.bak-ctxwin`.
+- **200K, не 1M:** консервативно (гарантированно для Opus). 1M ставить только после проверки, что Max-тракт `cc/*` реально принимает >200K (иначе переполнение → ошибка).
+- **Устойчивость:** патч в бандле образа — слетает при `--force-recreate`/обновлении. Скрипт `/opt/swarmclaw/repatch-ctxwin.sh` переприменяет (idempotent). Запускать после каждого `docker compose pull`/update SwarmClaw.
+- **Вывод про claude-cli:** не нужен. Ключ Anthropic не давать.
+
+### НАСТОЯЩИЙ корень «контекст кончается за 2-3 запроса» (2026-06-12)
+Размер окна оказался вторичен. Олег: «было 200, всё равно за 2-3 запроса кончается». Замер по OmniRoute `call_logs` (`/root/.omniroute/storage.sqlite`, поле `tokens_in`): простой запрос «привет» = **~33-36K tokens_in** (из них cache_read ~33K — кэшируется, но **занимает окно**). А SwarmClaw `context-status` показывал лишь **5.6K** — он НЕ учитывает в индикаторе системный промпт + **схемы инструментов** + knowledge-инжект. Отсюда иллюзия «3%» при реальных 16-18% на пустой запрос, и окно тает в ~6× быстрее.
+- **Главный пожиратель — схемы 24 инструментов** в каждом запросе (browser, replicate, image_gen, google_workspace, swarmdock, manage_* — жирные JSON-схемы). **Урезал tools 24→9** (ядро: shell, execute, files, edit_file, web, memory, delegate, openclaw_nodes, schedule_wake) → tokens_in упал **33K → 3K (×11)**. Проверено замером.
+- Knowledge (189 записей, ~270K ток суммарно) инжектится чанками **по релевантности** (CHUNK_TARGET_CHARS=2200), на «привет» не грузится — не постоянный оверхед, не трогал.
+- **Как мерить:** `sqlite3 /root/.omniroute/storage.sqlite "SELECT tokens_in,tokens_cache_read FROM call_logs WHERE model LIKE '%opus-4-8%' ORDER BY timestamp DESC LIMIT 5"` на LXC 132.
+- Урезаны Dirizhyor (0d388a87) + Ассистент (default, был сломан 0 tools — восстановлен через БД-INSERT). Прочие агенты Олега (Pochtalion/Бухгалтер/Бенелюкс/НИИКН-Ассистент/Nastavnik) — по 7 tools, не трогал.
+
+## Картинки/скриншоты в чат (2026-06-12)
+- **Канал vision работает** — проверено end-to-end: upload PNG (`POST /api/upload`, header `x-filename`, → `data/uploads/`, `resolveImagePath` читает файл → base64 → `image_url` формат → OmniRoute → `cc/claude-opus-4-8` (input_modalities text+image) → агент описал картинку.
+- **Из коробки работают:** вставка `Cmd+V` (`handlePaste` ловит `image/*` из clipboard) + кнопка «Add image». Vision-гейта по провайдеру НЕТ (не блокирует custom omniroute).
+- **Drag&drop НЕ был реализован** (в `chat-input.tsx` не было `onDrop`). **Допатчил:** добавил `handleDrop/handleDragOver/handleDragLeave` + state `isDragging` + `onDrop` на корневой div (переиспользует `uploadAndAdd`). Патч сохранён: **`/opt/swarmclaw/dragdrop.patch`** (`git apply`).
+- **Требует пересборки образа** (`docker compose build` — `npm ci` из кэша, переедет `next build` ~5-10 мин, затем `docker compose up -d`).
+- **ОТКАЧЕНО 2026-06-12:** сборка `next build` шла слишком долго/молча, Олег не дождался, drag&drop так и не доехал до контейнера → `git checkout -- src/components/input/chat-input.tsx`, сборку убил. В src и контейнере чисто (0 `handleDrop`). Патч-файл `/opt/swarmclaw/dragdrop.patch` оставлен — при желании доделать: `git apply dragdrop.patch && docker compose build && docker compose up -d`. **Вставка Cmd+V и кнопка «Add image» работают и без него.**
+
+## Грабля: урезка tools сломала создание агентов (2026-06-12)
+После урезки Дирижёра 24→9 tools (ради контекста) он **перестал создавать агентов** — был убран **`manage_platform`** (именно он управляет агентами: create/assign; «не та ветка» = путаница агента про параллельные `branches` суб-агентов в `subagent.ts`, не git). **Фикс:** вернул Дирижёру `manage_platform` + `spawn_subagent` (он оркестратор роя) → tools=11, создание агентов работает (проверено: создал TestBot99). **Урок:** при урезке tools у агента-оркестратора НЕ убирать `manage_platform`/`spawn_subagent`/`delegate_to_agent` — это его рабочие инструменты. Рядовым агентам (7 tools) они не нужны.
+
+## Обновление версии образа (2026-06-14: 1.9.38 → 1.9.39)
+Процедура на LXC 135 (через `pct exec 135`): бэкап БД `cp /opt/swarmclaw/data/swarmclaw.db{,.bak-preXXXX}` → `cd /opt/swarmclaw && docker compose pull && docker compose up -d` → **`bash repatch-ctxwin.sh` ОБЯЗАТЕЛЬНО** (патч `omniroute:2e5`=200K живёт в `/app/.next/server/chunks` контейнера, слетает при recreate; без него `getContextWindowSize` fallback = 8192 → агенты на Opus режутся до 8K). Проверка: `docker exec swarmclaw-swarmclaw-1 grep version /app/package.json`, `auth HTTP=200` ключом из `.env.local` (`OL260380eg`, **не** первичный `4613e7d0…`), `/api/agents` отдаёт список.
+- 1.9.39 — packaging-релиз (npm publish pending, Docker готов, macOS desktop zip/нотаризация); функциональных изменений для сервера нет. На ghcr `:latest` == `:v1.9.39`.
+- Откат: старый образ 1.9.38 (`sha256:d1d102a4…`) остаётся локально; восстановить из `.bak-pre1939` + запустить прежний образ.
+
+## Схема API (для будущих правок headless)
+- `POST /api/providers` → `{id,name,baseUrl,models[],requiresApiKey,isEnabled}` (type всегда `custom`), хранит JSON в таблице `provider_configs`.
+- `POST /api/agents` → zod `AgentCreateSchema`; обяз. `name`,`provider`; `ollamaMode` только `local|cloud|null` (не `off`).
+- `POST /api/credentials` → `{provider,name,apiKey}`.
+- `POST /api/gateways` → `{name,endpoint,credentialId,isDefault}`.
+- `POST /api/openclaw/gateway` → RPC `{method:"gateway.connect",params:{url,token}|{profileId}}`.
+- БД: `/opt/swarmclaw/data/swarmclaw.db` (sqlite, таблицы `*_configs/profiles/agents/credentials` как `id+data JSON`), `memory.db`, `logs.db`.
+
+## Домен swarm.dttb.ru (2026-06-08)
+- **NPM proxy host #32** (LXC 103, 10.0.0.195): `swarm.dttb.ru` → `10.0.0.135:3456`, WSS on, block_exploits.
+- **DNS:** wildcard `*.dttb.ru` есть только во **внутреннем** DNS (роутер) — http в LAN/NetBird заработал сразу. Публично wildcard НЕТ (каждый поддомен = отдельная A-запись в SpaceWeb). Добавил `swarm A 176.62.183.186` через [[../snippets/spaceweb-dns-api]] (`add-a`, **один вызов** — зона сверена до/после, 23→24 записи, ничего не задето; бэкап `/tmp/dttb_zone_before.txt`).
+- **HTTPS/LE — ГОТОВО:** DNS пропагировался за ~90 сек, LE cert выпущен (NPM cert **id 118**, до 2026-09-06), `ssl_forced` on, проверено `https://swarm.dttb.ru/api/healthz → 200`. Грабля NPM API: LE cert принимает только `meta:{}` (с полями → "additional properties"); email/agree NPM подставляет сам. Challenge падал, пока DNS не пропагировался — не из-за meta.
+- **Итог доступа:** `https://swarm.dttb.ru` (публично, за NPM+auth) и `http://swarm.dttb.ru` (LAN/NetBird). Вход — cookie `sc_auth` / ACCESS_KEY.
+
+## TODO / опционально
+- Снести Mac-app `SwarmClaw.app` (или оставить как клиент).
+- Маппинг openclaw starter-агентов на gateway (роли/теги) — через UI.
+- Самообучение SwarmClaw (`conversation-to-skill`) — **полуручное** (draft→approve), не автономное; для настоящего автообучения остаётся openclaw Dreaming.
+
+## Связано
+- [[openclaw]] — основной бот (LXC 137), теперь под управлением SwarmClaw
+- [[2026-05-06-openclaw-opus-4-7-via-max-cliproxy]]

decisions/2026-06-11-niikn-opyt-arhiv-100mb.md

@@ -0,0 +1,52 @@
+# НИИКН: нарезка папки «Опыт» (Закупка Соловки) в архивы ≤100 МБ
+
+> **Финал (v3 RAR):** после жалоб («zip не открывается», «кракозябры в именах», «.z01 без формата»)
+> всё перепаковано в **RAR5** скриптом `/tmp/repack4.py` + rar 7.12 (rarlab, /tmp/rar):
+> бины → независимые `N-NNN.rar` (≤94 МБ raw, store), файлы >99 МБ → тома `N-ТОМА-имя.partN.rar` (-v95m).
+> 1735 RAR, 115 ГБ, покрытие 5287/5287, rc=0 все, `rar t` ОК, скачивание через шару проверено.
+> RAR5 хранит имена в юникоде — проблема кодировок снята архитектурно. Ссылка та же:
+> **https://niikn.com/s/kqH46Jrjnb4ri3q**
+>
+> **Уроки:** (1) Info-ZIP `zip` на Ubuntu НЕ ставит UTF-8 флаг имён даже с LC_ALL=C.UTF-8 и не пишет
+> Unicode extra (0x7075) → Проводник читает имена как CP866 → кракозябры. Питоновский `zipfile`
+> флаг ставит, а в split-наборах флаг можно выставить патчем бита 11 в local header (.z01, offset 10
+> после маркера PK0708) и central dir (последний .zip, rfind PK0102 +8). (2) Split-zip (.z01) не открывают
+> ни Проводник, ни Archive Utility, а .z01 у людей «файл без формата». (3) Для русских офисов сразу
+> делать RAR-тома `.partN.rar` — двойной клик любой части открывает весь набор.
+
+## История ниже (v1 zip-тома → v2 независимые zip) — этапы, оставлено для контекста
+
+**Дата:** 2026-06-11
+**Задача:** папку по шаре https://niikn.com/s/c3kwLWRa8dKX848 сжать в файлы до 100 МБ (лимит закупочной площадки).
+
+## Исходник
+- Владелец: `maksimmaul@gmail.com`, путь `Закупка Соловки/Опыт`
+- 46 папок (1–46), 5287 файлов, 115 ГиБ — договоры, акты ГИКЭ, УПД (PDF/ZIP/SIG)
+- Внутри есть одиночные PDF до 336 МБ → одиночными зипами не обойтись, только multi-volume
+
+## Решение
+- Работа целиком на VM 108 (192.168.1.200, datadir `/mnt/ncdata`), без перегона данных по сети
+- Бенчмарк: deflate -1 даёт всего 2.7% на PDF-сканах при 42 МБ/с → выбран **store (-0)**, IO-bound
+- `zip -rq -0 -s 95m` на каждую папку: тома по 95 МиБ = 99 614 720 байт — меньше «100 МБ» и в MiB, и в десятичных МБ
+- Выход: `Закупка Соловки/Опыт-архивы-100мб/<N>/<N>.zip + <N>.z01…` — по подпапке на объект
+- Регистрация: `occ files:scan --path=...`, владелец 33:33
+- Ссылка создана через OCS API c app-password бота Максимки (LXC 114, `/root/.clawdbot/nextcloud-creds.env`)
+
+## Результат (v2 после жалобы «zip не открывается»)
+Первая версия (46 multi-volume архивов по папкам) не открывалась у людей двойным кликом —
+Проводник/маковский Архиватор не умеют split-zip. Перепаковано скриптом `/tmp/repack.py`:
+- файлы ≤94 МБ → **независимые обычные zip ≤95 МБ** (`N-partNNN.zip`, bin-packing в порядке обхода)
+- файлы 94–99 МБ → одиночный zip (`N-файл-….zip`)
+- 278 файлов >99 МБ (docx/pdf-сканы до 700 МБ!) → тома `-s 95m` только на сам файл (`N-ТОМА-….zip+.z01…`)
+- Итого 1728 файлов, 115 ГБ; покрытие сверено: 4986+23+278 = 5287 файлов источника
+- `ПРОЧТИ-МЕНЯ.txt` с инструкцией лежит в корне шары
+- **Публичная ссылка: https://niikn.com/s/kqH46Jrjnb4ri3q** (read-only); скачивание part-zip проверено end-to-end
+- Диск VM 108: /mnt/ncdata 93% — после загрузки на площадку папку-дубль можно удалить
+
+## Грабли/заметки
+- Публичная шара c3kw… read-only (permissions 17) — заливать через неё нельзя, поэтому писали в datadir + scan
+- **Split-zip (.z01) не открывает ни Проводник, ни Archive Utility** — только WinRAR/7-Zip и только при всех томах рядом; для людей по умолчанию делать независимые zip, тома — лишь где файл сам больше лимита
+- zip rc=16 «cannot update a split archive» = коллизия имени архива: в 14/Акты ГИКЭ два разных файла с одинаковым именем «1.31. Акт ГИКЭ…» (в подпапках 1.31 и 1.16, версии отличаются на 9.7 КБ) — второй набор назван «дубль из 1.16», Максиму стоит разобраться, какая версия верная
+- Скрипты и логи на VM 108: `/tmp/zip-opyt.sh|.log` (v1), `/tmp/repack.py`, `/tmp/repack.log` (v2)
+
+#niikn #nextcloud #закупки

decisions/2026-06-15-unifi-controller-homelab.md

@@ -0,0 +1,84 @@
+---
+date: 2026-06-15
+type: decision
+tags: [decision, dttb, unifi, proxmox, lxc, network]
+---
+
+# UniFi Network Application на home lab — LXC 140 (2026-06-15)
+
+## Задача
+Развернуть контроллер UniFi (Network Application) на Proxmox home lab (10.0.0.250) + домен `unifi.dttb.ru`.
+
+## Итог
+- **LXC 140 `unifi`** — Debian 12, unprivileged + nesting/keyctl, Docker compose
+- IP **10.0.0.196** (статика), nameserver **1.1.1.1**
+- Ресурсы: 2 vCPU / 3 GB RAM / 16 GB диск (**rootfs на `work`** — `local-lvm` забит на 90%)
+- Стек: `docker.io/mongo:4.4` + `docker.io/linuxserver/unifi-network-application:latest`, persistent bind-mount `/opt/unifi/{config,db}`
+- Web UI: **https://10.0.0.196:8443** (302 на логин — поднялся), inform на :8080
+- Домен: **unifi.dttb.ru** (NPM proxy host #36 → HTTPS 10.0.0.196:8443, WSS) + Let's Encrypt
+
+## КОРЕНЬ (важная грабля): MongoDB 4.4, не выше
+Хост HP Z800 = 2× **Xeon X5672 (Westmere)** — **без AVX** (`grep avx /proc/cpuinfo` пусто).
+MongoDB **5.0+** (и 7.0, который ставит стандартный community-script `ct/unifi.sh`) требует AVX и падает с **`Illegal instruction`**.
+LXC видит CPU хоста напрямую — маскировки нет. → берём **mongo:4.4** (последняя версия без AVX; UniFi 8.x поддерживает Mongo 3.6–7.0).
+Проверка живости: `docker logs unifi-db` → `restarts=0`, «Waiting for connections», app подключился. Падений нет.
+
+Native-установка на Debian 12 отпала: MongoDB 4.4 под bookworm в репах нет (4.4 собран под bullseye/libssl1.1). Docker-стек `mongo:4.4` самодостаточен и обходит это. Заодно это тот же стек, что отлажен на Передельках ([[2026-04-16-unifi-migration-peredelki]], там bind-mount решал сброс БД).
+
+## Грабля 2: ghcr.io виснет из РФ
+`lscr.io/linuxserver/...` редиректит на **ghcr.io** → закачка встала на 0 KB/s (compose висел). `mongo:4.4` с docker.io скачался нормально.
+→ Образ переключён на **`docker.io/linuxserver/unifi-network-application:latest`** (linuxserver публикует и туда, и в ghcr). Скорость 1.2 MB/s. Если опять затык — NetBird Trance→finland exit или docker registry mirror.
+
+## Домен и SSL (процедура как для omni — [[2026-05-26-omni-domain-and-update]])
+DNS dttb.ru — на **Spaceweb** (нет публичного wildcard, каждый поддомен записью вручную).
+1. `unifi.dttb.ru` → публично NXDOMAIN (DoH 1.1.1.1; с Mac `dig` хайджачится NetBird — [[feedback_dttb_dns_split_view]]).
+2. Добавлена A-запись через Spaceweb API **одним** вызовом (НЕ в цикле — `editMain` циклом ломает зону):
+   `POST https://api.sweb.ru/domains/dns` → `editMain action=add name=unifi type=A value=176.62.183.186` → `result:true`.
+3. Negative-cache LE Boulder + 1.1.1.1 (TTL ~600) → ждать ~10 мин после первой неудачной попытки, потом выпуск.
+4. NPM proxy host #36 создан (backend HTTPS 10.0.0.196:8443, WSS вкл). Cert Let's Encrypt **id 126** (exp 2026-09-13) выпущен и привязан (`ssl_forced`, http2).
+
+Проверка: `https://unifi.dttb.ru` → **302 `/setup/`** (свежий контроллер), сертификат CN=unifi.dttb.ru issued by Let's Encrypt YE1.
+
+## Доступы
+- Proxmox: `ssh root@10.0.0.250` (1qaz!QAZ), `pct ... 140`
+- Контейнер: `pct exec 140 -- ...`; compose в `/opt/unifi/`
+- MongoDB (внутр.): user `unifi` / `Un1fiM0ngo2026`, db `unifi`/`unifi_stat`
+- UniFi UI: https://10.0.0.196:8443 или https://unifi.dttb.ru — **первый вход = создание admin-аккаунта** (контроллер пустой)
+- Spaceweb DNS: `it5870yand` / `1qaz!QAZ` (api.sweb.ru)
+- NPM: 10.0.0.195:81, `it5870@yandex.ru` / `1qaz!QAZ`
+
+## Управление
+```bash
+ssh root@10.0.0.250
+pct exec 140 -- bash -c 'cd /opt/unifi && docker compose ps'
+pct exec 140 -- bash -c 'cd /opt/unifi && docker compose restart'
+pct exec 140 -- bash -c 'cd /opt/unifi && docker compose pull && docker compose up -d'  # апдейт
+```
+
+## Adoption устройств (2026-06-15, позже в тот же день)
+
+Принимали **USW-Lite-16-PoE** (10.0.0.111) и **U7-LR**. Грабли:
+
+### U7-LR не появлялся — физика порта свитча
+Точка была в **порту 5** свитча: PoE подавался (Class 4, 4.41 Вт), но **линк down**, 0 пакетов, DHCP не получала; после передёргивания PoE детект вообще пропал (Class Unknown). → **битый порт/патч-корд**. Переткнули в **порт 8** — ожила: IP 10.0.0.243, линк 1000F, firmware 8.0.12. Вывод: «питание есть, а линка нет» = сначала кабель/порт, не контроллер.
+
+### Stuck «Принятие» + ничего не автообнаруживается — Docker inform-host
+Контроллер в Docker **bridge** отдавал устройствам inform-host = свой внутренний IP контейнера (`172.18.0.x`), до которого устройства не достучаться → adoption висит. Плюс заводская точка ищет `http://unifi:8080/inform`, а DNS-записи `unifi` не было.
+
+**Фикс (рабочий, оставлен):**
+1. **DNS на OpenWrt 10.0.0.1**: `uci add dhcp domain` → `name=unifi ip=10.0.0.196` → commit + `dnsmasq restart`. Теперь заводские устройства сами находят контроллер (как на Передельках).
+2. **`system_ip=10.0.0.196`** в `/opt/unifi/config/data/system.properties` (был закомментирован `# system_ip=a.b.c.d`) + `docker restart unifi-network-application`. В логе стало `Current System IP: 10.0.0.196` (было `172.18.0.3`). Контроллер теперь отдаёт верный inform-host.
+3. `set-inform http://10.0.0.196:8080/inform` на устройствах (ssh ubnt/ubnt) для немедленного появления.
+
+Результат: оба `adopted:true` (проверено `docker exec unifi-db mongo unifi --eval 'db.device.find(...)'`).
+
+### ⚠️ host networking НЕ применять (пробовал — откатил)
+Переводил оба контейнера в `network_mode: host` — **сломалось**:
+- linuxserver-образ кэширует mongo-URI в `system.properties` при первом старте и НЕ перечитывает env → в host остался `unifi-db:27017` (не резолвится) → `MongoTimeoutException`, краш-луп.
+- контроллер в host автодетектил `Current System IP: 172.18.0.1` (docker-бридж), не 10.0.0.196.
+Правильное решение — **оставить bridge + `system_ip` override**, а не host. Бэкап bridge-compose: `/opt/unifi/docker-compose.yml.bak-bridge-*`.
+
+## Что осталось / на заметку
+- **USG не adopt'ится — его физически нет в сети** (нет DHCP-аренды, нет на живых портах свитча, в БД контроллера 0 следов). Сначала запитать/воткнуть в живой порт; как появится — с DNS `unifi` + `system_ip` примется сам.
+- `.196` — статика; убедиться, что вне DHCP-пула OpenWrt.
+- При смене IP контроллера — обновить и DNS `unifi`, и `system_ip`.

decisions/2026-06-17-niikn-deco-p9-backhaul-degradation.md

@@ -0,0 +1,54 @@
+---
+date: 2026-06-17
+type: project
+tags: [niikn, network, deco, wifi]
+---
+
+# НИИКН: лаги WiFi — деградация powerline-бэкбона Deco P9
+
+## Симптом
+Пользователи жалуются на лаги сети «на TP-Link точках». Олег попросил перезагрузить
+MikroTik — перезагрузил (был исправен: аптайм 1н5д, CPU 8%, 0 дропов/флапов). Ребут
+проблему не решает, т.к. причина не в роутере.
+
+## Инвентарь Deco (за MikroTik 192.168.1.1, режим AP, IP по DHCP)
+| IP | MAC | роль |
+|----|-----|------|
+| **.124** | 14:EB:B6:DC:D9:24 | **главная (root) — кабель в ether2** |
+| .12 | 14:EB:B6:DC:DC:3C | сателлит |
+| .23 | 14:EB:B6:DC:9E:B0 | сателлит |
+| .18 | 00:5F:67:7A:28:BA | сателлит |
+| .52 | 1C:61:B4:10:D1:2A | сателлит |
+
+Все 5 MAC учатся на bridge → **ether2** (единственный аплинк). Сателлиты идут до
+сети через главную по магистрали.
+
+## Диагноз (пинг С САМОГО MikroTik, без NetBird)
+| Deco | loss | avg-rtt |
+|------|------|---------|
+| .124 (root, кабель) | **0%** | **0.5 мс** |
+| .12 | 5% | 36 мс |
+| .23 | 10% | 45 мс |
+| .18 | 15% | 44 мс |
+| .52 | 15% | 32 мс |
+
+Проводная root — идеальна. Все сателлиты — 5-15% потерь и 30-45 мс на LAN (норма <1 мс/0%).
+**Вывод: деградировал бэкбон между сателлитами и главной.** Deco P9 = **powerline-mesh**
+(магистраль по электропроводке, HomePlug AV2), а не WiFi-mesh — тот же класс проблемы,
+что в [[2026-06-04-lipki-deco-p9-powerline-degradation]].
+
+Доп. признак: 15.06 сателлит .12 не получал DHCP («offering lease … without success»).
+
+## Что проверить/сделать (по убыванию эффекта)
+1. **Каждую Deco — напрямую в стенную розетку.** НЕ в удлинитель/сетевой фильтр/«пилот»/UPS —
+   они режут/глушат HomePlug-сигнал. Это причина №1 (так было в Липках).
+2. Сателлиты и главная — **на одной фазе/линии** щитка (powerline плохо ходит между фазами).
+3. Убрать с той же линии мощные потребители-помехи (БП, зарядки, лазерники, ИБП).
+4. **Лучшее постоянное решение:** соединить сателлиты с главной **кабелем Ethernet**
+   (у P9 2×GbE, поддерживает ethernet-backhaul) → бэкбон перестаёт зависеть от проводки.
+   Если протянуть нельзя — заменить на WiFi-mesh (Deco X-серия).
+5. Детали по каждой точке (тип линка powerline/wifi/ethernet, «signal: poor/good») видны
+   только в **приложении Deco** (облако TP-Link) — у роутера этой телеметрии нет.
+
+## Чего НЕ делать
+- Не списывать на MikroTik (исправен) и не «лечить» ребутом роутера — не помогает.

decisions/2026-06-18-german-hermes-agent-deploy.md

@@ -0,0 +1,81 @@
+---
+date: 2026-06-18
+tags: [decision, ai, hermes, telegram, lxc, assistant]
+---
+
+# German — Hermes Agent как личный супер-ассистент Олега (LXC 141)
+
+## Контекст
+Олег попросил поставить **Hermes Agent** (NousResearch, open-source, MIT, Python, model-agnostic — из ресёрча [[../notes/claude/2026-06-08-145004-найди-аналог-openclaw-для-меня-нужен-аркестратор-и]]) на homelab. Сначала — «для тестирования самого Hermes через Telegram», затем расширил: **настроить как супер-помощника с полным доступом к базе знаний**. Имя — **Герман** (German).
+
+## Что развёрнуто
+- **LXC 141 `german`** (10.0.0.141, Debian 12, 2 vCPU / 3 GB / 12 GB на local-lvm, nesting, unprivileged, onboot=1). Создан из `debian-12-standard 12.12`.
+- **Hermes Agent v0.16.0** — установлен официальным `install.sh --non-interactive --skip-setup`. Код `/usr/local/lib/hermes-agent`, данные `/root/.hermes` (uv + managed Node).
+- **Telegram-бот** «Герман Непомнящий» **@german_dttb_bot** (id 8885932329). Gateway = systemd `hermes-german.service` (`hermes gateway run --replace`, Restart=always, drain 210s, crash-guard, NoNewPrivileges/PrivateTmp).
+
+## Модель
+- Провайдер **OmniRoute** (OpenAI-совместимый шлюз на LXC 132): `base_url http://10.0.0.179:20128/v1`.
+- **Активная модель: `cc/claude-opus-4-8`** (Opus 4.8 via Max). **Fallback-цепочка (2026-06-21): `cx/gpt-5.5` → `cc/claude-sonnet-4-6`; `api_max_retries: 1`.** (Было `api_max_retries: 6` + fallback `cc/sonnet-4-6` первым → German отвечал по **533с/9мин**: 6 ретраев с бэкоффом на каждой капнутой Max-модели. Фикс: 1 попытка + независимый `cx/gpt-5.5` первым → failover за секунды. Ответ 13с после фикса.) Fallback в Hermes **срабатывает на 400 «out of extra usage»** (проверено по логам cc→fallback) — поэтому рабочий fallback критичен. ⚠️ Прежний fallback `kr/claude-sonnet-4.5` сдох: **OmniRoute потерял креды провайдера Kiro** («No credentials for provider: kiro», 2026-06-19) → German падал ПОЛНОСТЬЮ (и primary капнут, и fallback мёртв). `cx/gpt-5.5` выбран финальным fallback потому, что Codex — **отдельный провайдер, не Max** → переживает полный кап Max-квоты. Проверено: cx/gpt-5.5 работает через агентский цикл с тулами+KB.
+- **КОРЕНЬ 400 «out of extra usage» (исправленное понимание):** это НЕ персистентное исчерпание квоты. Олег верно заметил: «если бы лимиты — ты (Claude на Opus 4.8) тоже бы не работал». Проверка по факту 2026-06-18 ~22:30: `curl cc/claude-opus-4-8` к OmniRoute с system-prompt 14B / 2КБ / 8КБ → **все 200**. То есть 400 в 19:11/19:18 был **транзиентным** — краткий кап 5-часового окна Max в момент пиковой нагрузки (Max делят this-session/German/openclaw/swarmclaw/code-server). Окно отпускает само. Если 400 участятся — включить overflow (pay-as-you-go) на claude.ai/settings/usage.
+- ⚠️ **`cc/claude-opus-4-8` (Max) ФЛАПАЕТ** `400: You're out of extra usage`: прямой curl к OmniRoute то проходит (19:16), то нет — реальные запросы Олега падали (19:11 «Привет», 19:18 «Бенелюкс», разные request_id). Причина: включённая Max-квота Opus в текущем окне исчерпана (overflow/pay-as-you-go выключен), а окно делят **openclaw (cc/opus-4-7) + swarmclaw (cc/opus-4-8) + code-server** через тот же OmniRoute `cc/*`.
+- **400 — non-retryable BadRequestError → fallback НЕ срабатывает** (Hermes уводит в fallback только на rate-limit/5xx/connection). Поэтому fallback на Sonnet от Opus-400 не спасает.
+- **Решение: primary = `kr/claude-sonnet-4.5`** (free, Kiro/AWS, не флапает, не ест Max-квоту, не конкурирует с другими ботами Олега). Проверено: запрос «Бенелюкс» через тулы вернул корректную сводку по KB.
+- Вернуть Opus, когда окно Max освободится / включён overflow: `sed -i 's|kr/claude-sonnet-4.5|cc/claude-opus-4-8|' /root/.hermes/config.yaml && systemctl restart hermes-german`.
+- Доп. правки сессии: отключён `display.platforms.telegram.streaming` (было задвоение сообщений в Telegram); fallback-цепочка протестирована (формат `fallback_providers: [{provider,model,base_url}]`, ключ берётся из env — работает), но снята, т.к. от 400 не помогает.
+- Ключ — `OPENAI_API_KEY` + `OPENAI_BASE_URL` в `/root/.hermes/.env` (chmod 600).
+- `auxiliary` (vision/web_extract/compression/session_search) → `provider: main` — иначе лезли бы в OpenRouter (ключа нет) и падали.
+- ⚠️ **Грабля для будущего:** оба воркфлоу-ревьюера по коду утверждали, что на приватный IP-эндпоинт `OPENAI_API_KEY` из env «гейтится по хосту» и нужен `model.api_key: ${OPENAI_API_KEY}` в config.yaml, иначе 401. **Эмпирически опровергнуто** — CLI- и gateway-вызовы к 10.0.0.179 проходят с env-ключом без `model.api_key`. Если когда-нибудь начнёт давать 401 на первом вызове модели — добавить `api_key: ${OPENAI_API_KEY}` в секцию `model:` и `systemctl restart hermes-german`.
+
+## База знаний (KB)
+- Зеркало vault клонировано в **`/root/german/knowledge-base`** (workspace = `/root/german`, systemd `WorkingDirectory`).
+- Обновление: `/root/kb-pull.sh` (cron `*/15`) делает `git fetch + git reset --hard origin/main` — это **read-only зеркало** (правки агента там затираются; для своих заметок у него `/root/german/notes` + native memory).
+- **Безопасность кред:** из `.git/config` workspace убран токен Gitea (был `https://oleg:TOKEN@...`); remote сделан tokenless, креды вынесены в `/root/.git-credentials` (chmod 600, вне workspace).
+- Доступ Германа к KB: тулсеты **file** (read_file/grep) + **terminal**. Семантического индекса нет — навигация через `knowledge-base/CLAUDE.md` → grep. Это прописано в `SOUL.md`.
+
+## Конфиг (ключевое, `/root/.hermes/config.yaml`, 600)
+- `platform_toolsets.telegram` — **явный список** `[web, terminal, file, memory, todo, skills, session_search, tts]` (+ kanban по дефолту).
+- **Почему не пресет `hermes-telegram`:** security-ревью (читало `toolsets.py:440`) показало, что пресет тянет полный core-набор (**browser, execute_code, computer_use**), а `disabled_toolsets` их НЕ убирает (категории — web/browser/terminal/code_execution/image_gen). Для бота с доступом к секретам это лишние каналы исхода. Проверено `hermes tools --summary`: на Telegram **9/26 тулов, browser/code-exec/computer-use отсутствуют**.
+- **web-поиск без ключей:** `web.backend: ddgs` (DuckDuckGo, бесплатно). Browser недоступен (требует BROWSERBASE_API_KEY) — веб через ddgs + `curl` в terminal.
+- `SOUL.md` (личность «Герман», навигация по KB, правила безопасности) — 600.
+- Прочее: `display.language: ru`, `session_reset: idle 2880m`, `memory_enabled`, `security.redact_secrets: true` + `tirith_enabled: true`, `stt` (faster-whisper base — голосовые транскрибируются).
+
+## Безопасность — модель угроз
+- **Доступ только у Олега**: `TELEGRAM_ALLOWED_USERS=1292155421`, `guest_mode: false`, `unauthorized_dm_behavior: ignore`. Проверено по коду (`telegram.py`/`authz_mixin.py`): пустой allowlist = deny-all, fail-closed. Чужие сообщения молча игнорируются.
+- terminal=local + root = Герман может выполнять любой bash на 141 и читать секреты из KB. **Это намеренно** (DevOps-ассистент), защита держится на allowlist. Жёсткий systemd-сэндбокс (ProtectSystem/ProtectHome) не ставил — сломал бы функции. Будущее ужесточение: отдельный непривилегированный юзер.
+- `redact_secrets: true` — секреты вычищаются из tool output/логов/ответов перед доставкой.
+
+## Эксплуатация
+- Статус/логи: `systemctl status hermes-german`; логи **в файлах** `/root/.hermes/logs/{gateway,agent}.log` (не в journal).
+- Рестарт после правок config/SOUL: `systemctl restart hermes-german` (дренаж до ~180с).
+- Бэкапы конфигов: `/root/.hermes/config.yaml.bak.*`, `.env.bak.orig`.
+- Эндпоинт-санити: `curl -s http://10.0.0.179:20128/v1/models` (должен отдавать cc/claude-opus-4-8).
+
+## Проверено
+- ✅ Установка, конфиг грузится, `hermes status` → Model cc/claude-opus-4-8 / Custom endpoint.
+- ✅ End-to-end CLI: вопрос по KB → grep → верный ответ (IP openclaw 10.0.0.239).
+- ✅ Прямой вызов OmniRoute cc/claude-opus-4-8 (стрим).
+- ✅ Gateway: `✓ telegram connected` (polling), getMe ok, allowlist на Олега.
+- ✅ Тулсет Telegram безопасен (без browser/code-exec/computer-use).
+- ✅ **Live gateway-раунд-трип**: сообщение Олега «Привет» прошло Telegram→allowlist→OmniRoute→Anthropic (ключ резолвится в gateway без `model.api_key` — опасения ревью не подтвердились). На cc/opus упёрлись в квоту Max (400); на `kr/claude-sonnet-4.5` — KB-вопрос через тулы вернул верный IP.
+
+## NetBird (добавлено 2026-06-18)
+Чтобы German дотягивался до клиентских площадок в mesh (как openclaw/swarmclaw).
+- **IP `100.70.99.82`**, `german.netbird.cloud`, группа **Claude-Diag**. Setup-key в [[../projects/dttb/credentials.md]] (`64DF527E-…`, создан через PAT/API).
+- **Установка только через apt-репозиторий** `pkgs.netbird.io` — официальный `curl install.sh | sh` редиректит на `github.com/netbirdio/.../releases/download/v0.73.0/install.sh`, а **GitHub releases таймаутят из RU-сети** (connection timed out). Шаги: добавить ключ `pkgs.netbird.io/debian/public.key` в keyring + `deb [...] https://pkgs.netbird.io/debian stable main` → `apt install netbird` (v0.73.0). Работает в unprivileged-LXC через `nesting=1` + kernel WireGuard (wt0, tun не нужен).
+- **Enroll с `--disable-dns`**: `netbird up --setup-key <KEY> --disable-dns --hostname german`. Это сознательно — на LXC 132/137 NetBird-DNS (resolv.conf через wt0) уже ломал связность; German держит свой `1.1.1.1`/`8.8.8.8` и ходит по IP. Magic-DNS `*.netbird.cloud` в контейнере НЕ резолвится (`search dttb.ru` хайджачит) — **только по IP 100.70.x**.
+- Проверено: openclaw `100.70.167.54:18789` → 200; github/telegram/OmniRoute/DNS целы; `netbird` autostart enabled; hermes-german не пострадал.
+
+## Веб-дашборд `german.dttb.ru` (добавлено 2026-06-26)
+Родная веб-панель Hermes (`hermes dashboard`: чат + config + sessions + встроенный PTY-терминал), не путать с Open WebUI.
+- **systemd `hermes-dashboard.service`** (рядом с gateway, не вместо): `hermes dashboard --host 0.0.0.0 --port 9119 --skip-build --no-open`, Restart=always, бинд `0.0.0.0:9119`.
+- **Фронт пришлось собрать**: `web/dist` отсутствовал. `cd /usr/local/lib/hermes-agent/web && npm install && npm run build` → vite кладёт в `../hermes_cli/web_dist` (outDir в vite.config, НЕ `web/dist`), оттуда `--skip-build` и отдаёт. node v22 (warning EBADENGINE про node≥24 — не критично).
+- **NPM** #40 (10.0.0.195) `german.dttb.ru` → `10.0.0.141:9119`, force-SSL+WSS+HTTP2, block-exploits. LE-серт **id130** (HTTP-01, до 24.09.2026). NPM v2.14: cert-create только `meta:{}` (email/agree/dns_challenge = «additional properties»).
+- **DNS**: публичный A `german.dttb.ru`→`176.62.183.186` добавлен через Spaceweb API (`editMain` `action:add`, один вызов — циклом ломает зону). Локально wildcard `*.dttb.ru`→`10.0.0.195` уже резолвил. Проверять пропагацию только DoH (8.8.8.8/resolve), `dig` хайджачится локальным DNS.
+- **Аутентификация — `dashboard.basic_auth`** в `/root/.hermes/config.yaml`: `username: oleg`, `password_hash` (scrypt, через `plugins.dashboard_auth.basic.hash_password`), `secret` (32 байта hex), `session_ttl_seconds: 43200`, `public_url: https://german.dttb.ru`. Плейнтекст-пароль не хранится. Креды в [[../projects/dttb/credentials.md]]. Бэкап `config.yaml.bak-dashboard-20260626`.
+- ⚠️ **ГЛАВНАЯ ГРАБЛЯ — `--insecure` отключает gate.** `should_require_auth(host, allow_public)`: non-loopback + `--insecure` → `auth_required=False` → активен легаси `_SESSION_TOKEN`-middleware (ephemeral токен, инжектится в loopback-HTML), basic-cookie-gate `gated_auth_middleware` становится no-op. Симптом: `/auth/password-login`→`{"ok":true}` (кука минтится), но `/api/auth/me` + все данные→401. Провайдер/секрет/токен/куки исправны (доказано: офлайн `_unsign(live_token, _resolve_secret(cfg))`→payload ок; round-trip провайдера→ok). **Фикс = убрать `--insecure`** (бинд `0.0.0.0` без него: `auth_required=True`, провайдер `basic`, и `0.0.0.0` принимает любой Host — иначе явный бинд на IP даёт 400 «Invalid Host header» на NPM-домен). Hermes сам это документирует: `dashboard_register.py:218` «To require login (LAN/public): hermes dashboard --host 0.0.0.0». Лог-маркер: `Dashboard binding to 0.0.0.0 with OAuth auth gate enabled. Providers: basic`.
+- Проверено end-to-end через NPM: `https://german.dttb.ru` login `oleg` → `/api/auth/me`→200, `/api/sessions`→200; http→301; серт CN german.dttb.ru. Telegram-gateway не задет (оба сервиса active+enabled).
+
+## TODO / на будущее
+- Fallback-цепочка (cc/sonnet-4-6, kr/sonnet-4.5, cx/gpt-5.4) — формат `fallback_providers` с `api_key_env` (НЕ `${VAR}` — путь резолва фолбэков не делает env-подстановку). Пока не ставил (primary надёжен).
+- Настоящий web-search через self-hosted SearXNG (`SEARXNG_URL`) или ключ Tavily/Firecrawl — если ddgs будет мало.
+- Рассмотреть запуск под non-root юзером для уменьшения blast radius.

decisions/2026-06-20-german-hermes-out-of-usage.md

@@ -0,0 +1,164 @@
+---
+date: 2026-06-20
+type: decision
+tags: [dttb, german, hermes, omniroute, cliproxy, max, out-of-usage, troubleshooting]
+---
+
+# German (Hermes LXC 141) — `400 out of extra usage` на cc/* через OmniRoute
+
+> **Handoff-документ.** Проблема НЕ закрыта полностью на 2026-06-20. Сделаны два смягчающих фикса (привязка аккаунта + retry-патч), но остаточные пики `out of usage` остаются. Окончательное решение — за Олегом (Extra usage / разгрузка нагрузки). Ниже — всё, чтобы продолжить без повторного прохода по тупикам.
+
+## Симптом
+German-бот (@german_dttb_bot, Hermes Agent v0.16.0, LXC 141) периодически отвечает ошибкой вместо ответа:
+```
+400 - You're out of extra usage. Add more at claude.ai/settings/usage and keep going.
+```
+Интермиттентно: ~7-12% запросов cc/* падают, остальные 200. Бот «то работает, то нет».
+
+## Что НЕ является причиной (проверено — НЕ тратить время заново)
+1. **НЕ баг версии OmniRoute.** Обновил 3.8.29 → 3.8.30 (`npm install omniroute@latest` в `/root/.npm/_npx/cb5891f90ae65d14`, ExecStart уже `dist/server.js`). Ошибка осталась. (В 2026-06-09 похожая ошибка реально была багом 3.8.7 — но не в этот раз.)
+2. **НЕ реальный лимит подписки Олега.** Скриншоты Claude Code Plan usage: 5h-limit 43→53%, Weekly 5-6%, Sonnet 0% — **свободно**. Олег прав: «лимитов нет».
+3. **НЕ размер запроса.** Тест: контекст 357K симв (~90K токенов) → 200 на opus-4-7/opus-4-8/sonnet. Размер ни при чём.
+
+## Архитектура (как cc/* доходит до Anthropic)
+```
+German (LXC 141) → OmniRoute (LXC 132, 10.0.0.179:20128) → cliproxy (/root/.cli-proxy-api:8319) → Anthropic Max OAuth
+```
+- В OmniRoute `provider_connections` (БД `/root/.omniroute/storage.sqlite`) — **два Claude-аккаунта**:
+  - `e8a70f39-564d-4529-a911-4b5d0a47e512` — priority 1, **перегружен**: SwarmClaw (8 агентов) + code-server жгут через него ~**13К `opus-4-8`/час** → сыпет 400/429/502/529.
+  - `883152e1-7160-4d5c-90eb-88822d50db31` = **`batlaew@gmail.com`** — рабочий аккаунт Олега (тот, что в скриншоте 53%), свободнее, почти всё 200.
+- Ключи German/openclaw в OmniRoute `api_keys`: **`claw`** и **`test-key`** (оба `sk-225e902dc95ff…` — это и есть `OPENAI_API_KEY` в `/root/.hermes/.env` German). SwarmClaw-нагрузка (13К) идёт БЕЗ `api_key_name` (мастер-путь), отдельно от этих ключей.
+
+## Главная диагностическая команда (с неё начинать в будущем)
+```bash
+# на LXC 132 (через pct exec 132 с Proxmox 10.0.0.250 root/1qaz!QAZ):
+sqlite3 -column /root/.omniroute/storage.sqlite \
+ "SELECT model, account, status, COUNT(*) n FROM call_logs WHERE model LIKE '%opus%' GROUP BY model,account,status ORDER BY n DESC LIMIT 20"
+```
+Поля `account` + `status` сразу показывают, какой аккаунт сыпет 400 и какой 200. **Не гадать про версию/лимит — смотреть сюда.**
+
+## Что СДЕЛАНО (два смягчающих фикса)
+### 1. Привязка ключей German/openclaw к рабочему аккаунту
+Ключи `claw`/`test-key` имели пустой `allowed_connections` → ротация кидала German на перегруженный `e8a70f39`. Привязал к `batlaew`:
+```bash
+# на LXC 132. Формат allowed_connections = JSON-массив id (JSON.parse, length>0 ограничивает)
+sqlite3 /root/.omniroute/storage.sqlite \
+ "UPDATE api_keys SET allowed_connections='[\"883152e1-7160-4d5c-90eb-88822d50db31\"]' WHERE name IN ('claw','test-key')"
+systemctl restart omniroute   # сбросить кэш ключей
+```
+- Бэкап БД: `/root/.omniroute/storage.sqlite.bak-keybind`.
+- Проверено: 10/10 запросов German-ключом → account=batlaew. SwarmClaw не затронут (другой путь).
+- Откат: `UPDATE api_keys SET allowed_connections=NULL WHERE name IN ('claw','test-key')`.
+
+### 2. Retry-патч Hermes (out-of-usage → retryable)
+До патча Hermes считал `400 out of extra usage` фатальной (`Aborting`). Сделал retryable:
+- Файл: `/usr/local/lib/hermes-agent/agent/error_classifier.py` — добавлен паттерн `status_code==400 and "out of extra usage" in error_msg → FailoverReason.rate_limit, retryable=True` (перед «── 2. HTTP status code classification»).
+- `config.yaml`: `agent.api_max_retries` 3 → 5.
+- Проверено вызовом `classify_api_error`: на этот текст RETRYABLE=True, обычные 400 остаются non-retryable.
+- Бэкап: `error_classifier.py.bak-outofusage`. **Переналожатель: `/root/hermes-patch-outofusage.py`** — запустить ПОСЛЕ обновления Hermes (патч в коде слетает).
+
+## Текущий статус (на 2026-06-20 ~16:00)
+- German **отвечает, когда нет пика** (проверено в логах: 14:16 inbound `?` → ответ; и прямыми тестами все модели 200).
+- В **длинные пики** (>~50с, ретраи 5×40с не хватает) German всё ещё возвращает ошибку «model provider failed after retries».
+- **Пульсация `out of usage` остаётся на ОБОИХ аккаунтах** (e8a70f39 и batlaew) периодически — ДАЖЕ при свободном 5h (53%). Это похоже на burst/моментную механику Anthropic Max, из логов OmniRoute до конца НЕ объяснено.
+
+## Что осталось — варианты окончательного решения (ВЫБОР ОЛЕГА)
+1. **Extra usage on** — `claude.ai/settings/usage`, секция Extra usage (не Plan usage). Поднять spend limit → overflow в пик оплачивается, `out of usage` исчезает для ВСЕХ ботов. Самое прямое, платно, в биллинге Олега.
+2. **Разгрузить главного пожирателя** — SwarmClaw (8 агентов) + code-server с `cc/claude-opus-4-8` (~13К/час) на Sonnet/меньше агентов → давление на Max-пул/burst падает.
+3. **Восстановить не-Max тракт** для German (вывести из Max-пула). На 2026-06-20 ВСЕ мертвы: Kiro (`402`/нет кредов), Codex (`not supported`/таймаут), gemini-cli (`403` нет лицензии), GLM (`429` баланс 0).
+4. Поднять retry-окно German ещё (api_max_retries + backoff) — пережидать и длинные пики, ценой задержки ответа на 1-2 мин (плохой UX).
+
+## Связанные факты
+- German модель: `config.yaml` `model.default: cc/claude-opus-4-7`, fallback `cc/claude-haiku → claude/claude-haiku` (всё Max-tract; при пике все падают — fallback бесполезен, ретрай важнее). **Рекомендация:** рассмотреть `cc/claude-opus-4-8` как primary (Олег его юзает в Claude Code; в тестах не хуже).
+- Доступ: Proxmox `10.0.0.250` root/`1qaz!QAZ` → `pct exec 141` (German) / `pct exec 132` (OmniRoute+cliproxy).
+- Память: [[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_omniroute_update]], [[../../.claude/projects/-Users-ai-knowledge-base/memory/project_german_hermes]].
+- Деплой German: [[2026-06-18-german-hermes-agent-deploy]].
+
+## Продолжение 2026-06-20 (вечер) — e8a70f39 МЁРТВ, изоляция невозможна
+Олег выбрал «реанимировать e8a70f39» → **не сработало по жёсткой причине**:
+- Флипнул `is_active=1` (priority 1). При первом master-вызове OmniRoute попытался обновить протухший токен (expired 06-16) и получил `Refresh token consumed (unrecoverable_refresh)` → **авто-выключил аккаунт обратно** (`is_active=0`), вызов свалился на batlaew (200). Это и есть причина, почему e8a70f39 был выключен 06-16: его OAuth refresh-токен сожжён безвозвратно. **Поднять без свежего OAuth-логина нельзя.** БД вернулась в исходное сама (бэкап `storage.sqlite.bak-reactivate-e8a70f39`).
+- **Вывод: рабочий Claude-аккаунт в OmniRoute РОВНО ОДИН — batlaew.** Двух-пуловая изоляция (фикс #1) больше неактуальна — изолировать не на что. Привязка ключей к batlaew стала бессмысленной (он и так единственный), но не вредит.
+
+### Профиль «почему то работает, то нет» (опровергает «весь день без ошибок»)
+German-ключи (claw/test-key) сегодня по часам: 09 `18×200/3×400/14×429`, 13 `2×200/**18×400**`, 14 `8×200/6×400`, **15 `24×200` (чисто)**, 16 `1×200/6×400`. То есть весь день **интермиттирующие burst-провалы**, худший в 13:00; в 15:00 — идеально. Олег тестировал в 16:xx → попал в burst. Спайки 1-в-1 со спайками `out of extra usage` у batlaew (09:5, 12:9, 13:21, 14:7, 16:7).
+**«Лимитов нет» объясняется так:** дашборд **Plan usage** (5h 53%) — сглаженное среднее и burst не показывает. Блок `out of extra usage` — это потолок **Extra usage** (pay-as-you-go overflow), который стоит на **$0**. В момент пика суммарный спрос на batlaew (German + SwarmClaw + code-server, все сошлись на нём после смерти e8a70f39 06-16) превышает включённый в план объём, а раз overflow $0 — Anthropic жёстко режет вместо очереди.
+
+### Сделано в этом проходе
+- German default-модель `cc/claude-opus-4-7` → **`cc/claude-opus-4-8`** (запрос Олега). Бэкап `config.yaml.bak-opus48`. Проверено: German-ключ → opus-4-8 → 200. *Внимание: opus-4-8 НЕ снижает out-of-usage — тот же аккаунт/пул.*
+
+### Реальные варианты (e8a70f39 вычеркнут) — ВЫБОР ОЛЕГА
+1. **Extra usage ON на batlaew** (`claude.ai/settings/usage` → Extra usage, не Plan) — единственное, что убирает out-of-usage насовсем при одном аккаунте. Платно, биллинг Олега. **Рекомендация #1.**
+2. **Разгрузить burst-пожирателей** — SwarmClaw (8 агентов) + code-server с `cc/opus-4-8` на Sonnet/меньше агентов → суммарный пик влезает в план batlaew.
+3. **Свежий OAuth второго Max-аккаунта** в OmniRoute (заново залогинить — хоть тот же, что был e8a70f39, хоть новый) → восстановить двух-пуловую изоляцию. Требует интерактивного OAuth (Олег).
+4. Реальный backoff ретраев German (сейчас 5 ретраев летят за <1с — бесполезно против burst в секунды-минуту). Пережидать пик ценой задержки ответа.
+
+## Продолжение 2026-06-20 (вечер-2) — СМЕНА СТРАТЕГИИ: почему Антошка работает, а German нет
+Олег ткнул верно: **openclaw (Антошка) на том же OmniRoute/Opus 4.8 работает стабильно** → теория «account-level cap» неполна. Сравнил два бота эмпирически (call_logs) — **3 реальные разницы:**
+1. **Объём.** Антошка (ключ `claw`) сегодня = 2 вызова; German (`test-key`) = 114 (+ master/SwarmClaw+codeserver 130). German — половина нагрузки batlaew и worst fail-rate (39/114=34%). Антошка «работает» во многом потому что лёгкий → редко попадает в burst.
+2. **Фоллбэк-цепочка.** У German была `cc/claude-haiku → claude/claude-haiku` (ОБА Max → бьются в тот же `out of extra usage`, что и opus — проверено: sonnet-4-6 тоже ловит этот 400). У Антошки последний фоллбэк = **`kr/claude-sonnet-4.5`** (Kiro, FREE, не-Max) → когда Max в пике, Антошка уезжает на не-Max и продолжает отвечать.
+3. **Пин ключа (КОРЕНЬ).** Фикс #1 (`allowed_connections=['883152e1'/batlaew]`) делался против перегруженного e8a70f39 — но тот **мёртв**. Пин же **запер German на единственном перегруженном batlaew**: эскейп-маршруты `kr/`/`cx/` ключом German отдавали **400** (connection-not-allowed). Пин из «защиты» превратился в «ловушку». [[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring]]: лечил симптом, корень — в своём же конфиге.
+
+### Сделано (привёл German к схеме Антошки, всё в рамках моих прав, без биллинга)
+1. **Снят пин** с `test-key` и `claw`: `UPDATE api_keys SET allowed_connections=NULL WHERE name IN ('test-key','claw')`. Теперь opus-4-8 всё равно → batlaew (других Max-аккаунтов нет), а kr//cx/ доходят до своих провайдеров. Проверено: до — kr/cx=400, после — opus-4-8=200, kr/cx доходят (402/timeout = флап free-пулов, но маршрут открыт).
+2. **Фоллбэк-цепочка** German переписана как у Антошки: `cc/claude-sonnet-4-6 → kr/claude-sonnet-4.5 → cx/gpt-5.5` (выкинул мёртвый haiku→haiku). Бэкап `config.yaml.bak-fallback-*`.
+3. Primary = `cc/claude-opus-4-8`. German стабилен (`NRestarts=0`), opus-4-8 → 200.
+
+### Честный остаток (Олегу знать)
+Это **не делает German неуязвимым** — free-эскейпы (Kiro/Codex/GLM) сейчас сами полудохлые (Kiro: «reached the limit» 402 / «fetch failed» 502 / 429; Codex throttled; GLM баланс 0). В ГЛУБОКИЙ burst, когда и batlaew capped, и free-пулы лежат — German всё ещё может блипнуть (как блипнул бы и Антошка под такой нагрузкой). German теперь **архитектурно равен** рабочему боту, а не сломан. Для полной неуязвимости при тяжёлой нагрузке всё равно нужно одно из: **Extra usage ON** на batlaew / **разгрузка master-пути** (SwarmClaw 8 агентов + code-server = вторая половина нагрузки batlaew) / **свежий 2-й Max-аккаунт** (OAuth). Возможный твик при рецидиве: снизить `api_max_retries` 5→3 (сейчас burst → шторм 5×4 тира вызовов, сам прогревает cap).
+
+## Продолжение 2026-06-20 (вечер-3) — ДОКАЗАНО: это всё-таки account-level cap, протокол ни при чём
+Олег давил: «дело не в лимитах, почему Антошка работает». Проверил гипотезу «формат запроса»:
+- **Эндпоинт-разница реальна:** Антошка (`claw`) шлёт нативный Anthropic `/v1/messages` (`source_format=claude`), German (`test-key`) — OpenAI-формат `/v1/chat/completions`+`/v1/responses`. История: claw 448×200 / **0×400**; `/v1/messages` суммарно 355×200 / **0 out-of-usage**, а ВСЕ **396** `out of extra usage` — на `/v1/chat/completions`. Выглядело как корень.
+- **Перевёл German primary на `provider: anthropic` + `/v1/messages`** (+ `ANTHROPIC_API_KEY` в .env). Подтвердил: трафик пошёл `path=/v1/messages source_format=claude`. **И всё равно поймал `out of extra usage` 400** (17:11/17:12 на opus-4-8 через /v1/messages; в 17:04 был 200 — т.е. интермиттентно).
+- **РЕШАЮЩИЙ ТЕСТ:** бил `/v1/messages` opus-4-8 **обоими ключами** (claw Антошки + test-key German) залпами. В пик — оба 400, вне пика — оба 200×5. **Ключ Антошки ловит ту же ошибку.** Значит «0×400 у claw» в истории = следствие МАЛОГО ОБЪЁМА (claw сегодня 2 вызова против 114 у German), а не иммунитета протокола.
+- **Вывод:** `out of extra usage` — **account-level cap на batlaew, интермиттентный (burst)**, бьёт по ЛЮБОМУ пути (/v1/messages и /chat/completions) и ЛЮБОЙ модели (opus/sonnet/haiku — всё проверено). Антошка «работает» только потому что лёгкий. Дашборд Олега = **Plan usage** (5h-среднее, 53%), а режет потолок **Extra usage** (overflow) = $0. Это и есть лимит, просто не тот, что на дашборде.
+- **Откат:** протокол-правку вернул к проверенному `provider: custom`+`/v1` (anthropic-режим не помог и не проверен на tool-нагрузке German — спекулятивная правка). `ANTHROPIC_API_KEY` убран. Бэкап отката `config.yaml.bak-anthropic-170948`.
+
+### Итоговое состояние German (что осталось включённым)
+- primary `cc/claude-opus-4-8` (custom/openai-compat, проверенный путь), фоллбэк `cc/sonnet-4-6 → kr/sonnet-4.5 → cx/gpt-5.5`, ключ **распинён** (NULL). active, opus-4-8→200.
+
+### Финал (без иллюзий): убрать `out of extra usage` можно только так
+1. **Extra usage ON на batlaew** — `claude.ai/settings/usage` → секция **Extra usage** (не Plan). Это буквально то, что просит текст ошибки. Снимает cap для всех.
+2. **Срезать конкурентную burst-нагрузку на batlaew:** SwarmClaw (8 агентов) + code-server (cc/opus-4-8) = вторая половина трафика, льют параллельно → создают пики. Throttle/Sonnet/меньше агентов.
+3. German усиливает пики своим retry-штормом (5 ретраев × 4 тира мгновенно). Снизить `api_max_retries` 5→3 — меньше шторм, меньше вклад в cap.
+4. Свежий 2-й Max-аккаунт (OAuth) — изоляция German на отдельный пул.
+
+## Продолжение 2026-06-20 (вечер-4) — SwarmClaw НЕ ест лимит + фикс «работает» через overloaded-backoff
+Олег: «SwarmClaw 3 дня не юзаю, как он ест лимит?» — прав, проверил:
+- **Master-путь на batlaew (opus) по дням: 06-17=268, 06-18=591, 06-19=82, 06-20=74.** Тяжёлый поток был 3 дня назад, сошёл на нет. SwarmClaw сейчас лимит НЕ ест — прежняя атрибуция неверна для текущего момента.
+- **Крупнейший потребитель СЕЙЧАС — сам German:** opus-токены batlaew сегодня — test-key(German) **916K** fresh in / 877K cache; (master) 394K; claw(Антошка) 83K. German грузит большой KB-контекст в каждый ход × tool-loop → ест в 2.3× больше master и 11× больше Антошки. Антошка лёгкий → не упирается.
+
+### Почему backoff раньше «не работал» (казалось мгновенным)
+В логе 16:17 5 ретраев были на timestamp 16:17:10 — иллюзия от буферизации (`_buffer_vprint` флашится разом). Реально backoff ЕСТЬ: `conversation_loop.py:3439` `jittered_backoff(base_delay=2.0, max_delay=60.0)` + respects Retry-After. НО для `rate_limit` есть **eager-failover** (2764): при наличии фоллбэк-цепочки Hermes сразу прыгает на следующую модель, минуя ожидание opus — и каскадит через дохлые free-пулы (kr 400/cx 429) → быстро сдаётся.
+
+### Фикс «чтобы работал» (выбор Олега делегирован мне)
+1. **out-of-usage классифицирован как `FailoverReason.overloaded`** (было `rate_limit`) в `error_classifier.py:674`. overloaded НЕ триггерит eager-failover (2764 ловит только rate_limit/billing) → German **пережидает burst на самом opus-4-8 с backoff** (2с→60с jittered), а не каскадит на мёртвые фоллбэки. Проверено `classify_api_error`: out-of-usage→overloaded/retryable=True; обычная 400→model_not_found/non-retryable (узкий паттерн). Бэкап `error_classifier.py.bak-overloaded-*`, переналожатель `/root/hermes-patch-outofusage.py` обновлён (rate_limit→overloaded).
+2. **`api_max_retries` 5→6** — окно пережидания ~1-2 мин (jittered 2с..60с × 6).
+3. Сохранены: opus-4-8 primary, распин ключа, цепочка фоллбэков (теперь — последний резерв ПОСЛЕ ожидания opus).
+
+**Механика:** batlaew кратко капается → German ждёт (2с,4с,8с…до 60с) и повторяет opus, ловя восстановление за ~1-2 мин, вместо мгновенной ошибки. Цена — в пик ответ на десятки секунд позже (но ОТВЕЧАЕТ). Это не победит длинный (>2 мин) аккаунт-аутаж, но такие редки; обычный burst — секунды. Полностью убирает out-of-usage всё равно только Extra usage ON / урезание контекста German (RAG вместо полного KB).
+
+## Продолжение 2026-06-20 (вечер-5) — НАСТОЯЩЕЕ различие German vs Антошка: агентный burst
+Олег: «какие ещё идеи, почему German не работает, а Антошка да». Проверил оставшиеся гипотезы на уровне запроса:
+- **Per-key лимиты** (test-key vs claw): у обоих пусто — исключено.
+- **Холодный кэш** (идея: German простаивает → cache_ttl 5m протухает → дорогой re-create): ОПРОВЕРГНУТО. German кэшируется нормально (3 дня: cache_read **1.5M** vs cache_creation 450K). Антошка кэш вообще не читает (read=0), но ему и не надо.
+- **Тела запросов** (max_tokens/thinking): артефакты OmniRoute хранятся усечённо (~572 симв) → ненадёжно.
+- **★ НАЙДЕНО — агентный burst вызовов:**
+  | | Антошка (claw) | German (test-key) |
+  |---|---|---|
+  | макс. opus-вызовов/мин | **1** | **8** (стабильно 6-7) |
+  | вызовов за 3 дня | 13 | 158 |
+  
+  German — агентный (tool-loop): 1 сообщение Олега → каскад **6-8 Opus-вызовов/мин**, каждый тащит ~45K-контекст → ~360K Opus-токенов залпом в минуту. Антошка — разговорный, **1 вызов** на обращение. 5h-лимит Max **взвешенный** (Opus ~5× Sonnet), и минутный burst German пробивает мгновенную взвешенную планку Opus → `out of extra usage`. Дашборд (53%) = 5h-среднее, не минутный пик. **Это и есть «почему German, а не Антошка» — частота Opus-вызовов на сообщение (агентность vs разговорность), не формат/ключ/кэш/KB.**
+
+### Сделано
+- **`agent.max_turns` 80 → 25** (`goals.max_turns` 20 не трогал) — ограничивает размер burst: одна сложная задача больше не выстрелит до 80 Opus-вызовов подряд. Бэкап `config.yaml.bak-maxturns-*`. German active, opus-4-8→200.
+
+### Полный набор активных мер для German (итог всей цепочки)
+1. primary `cc/claude-opus-4-8`; ключ распинён (NULL); фоллбэк `cc/sonnet-4-6 → kr/sonnet-4.5 → cx/gpt-5.5` (резерв).
+2. out-of-usage → `overloaded` (backoff-пережидание burst на opus, не каскад на дохлые фоллбэки) + `api_max_retries` 6.
+3. `max_turns` 25 (меньше burst).
+Остаточный полный фикс (если рецидив): **Sonnet 4.6 как primary** (в ~5× легче по весу Max, «Sonnet 0%» — почти без лимита) ИЛИ **Extra usage ON**.
+
+## Урок (мне на будущее)
+Я трижды выдал неверный диагноз (баг версии → реальный лимит → перегрузка пула), прежде чем дошёл до `call_logs` по `account`. **При `out of usage` на cc/* — СНАЧАЛА `call_logs` GROUP BY account,status, потом гипотезы.** См. [[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring]].

decisions/2026-06-21-buzharovo-mcp-1c-deploy.md

@@ -0,0 +1,48 @@
+---
+date: 2026-06-21
+type: decision
+tags: [buzharovo, 1c, mcp, mcp-1c, iis, claude-code]
+---
+
+# MCP-сервер mcp-1c к базе 1С Бужарово (RitmUl / Розница)
+
+Развёрнут [feenlace/mcp-1c](https://github.com/feenlace/mcp-1c) — Claude Code читает метаданные и
+выполняет SELECT-запросы к боевой базе **RitmUl** (1С:Розница 2.3.23.27) на [[projects/buzharovo/server1c]].
+
+## Итоговая схема (работает end-to-end)
+
+```
+Mac (mcp-1c stdio, ~/.local/bin/mcp-1c v1.8.0)
+  → NetBird → http://100.70.75.103:8080/mcp/hs/mcp-1c   (Basic-Auth, юзер 1С)
+  → IIS (app /mcp, пул 1CMCP «No Managed Code») → wsisapi.dll
+  → кластер 1С Server1C:1541 → база RitmUl → расширение MCP_HTTPService
+```
+
+- **Клиент (Mac):** `~/.local/bin/mcp-1c` (darwin-amd64 v1.8.0). Зарегистрирован: `claude mcp add 1c --scope user -e MCP_1C_BASE_URL=http://100.70.75.103:8080/mcp/hs/mcp-1c -e MCP_1C_USER=… -e MCP_1C_PASSWORD=… -- ~/.local/bin/mcp-1c`. `claude mcp list → ✓ Connected`. Конфиг `~/.claude.json` chmod 600.
+- **Расширение:** `MCP_HTTPService` (HTTP-сервис `MCPService`, RootURL `mcp-1c`) поставлено `mcp-1c.exe --install "Server1C\RitmUl" --server --db-user <админ ИБ> --db-password …`. Несёт свою роль `MCP_ОсновнаяРоль` (только `Use` на сервис, без привилег. режима).
+- **Публикация:** IIS, приложение `/mcp` → `C:\inetpub\mcp` (`default.vrd` + `web.config`). Бинарь сервера: `C:\mcp-1c\mcp-1c.exe` (Windows).
+- **Безопасность:** 8080 — firewall-правило `mcp-1c HTTP (NetBird only)` только из `100.64.0.0/10`; публичное IIS-правило для :80 отключено; Basic-Auth = пользователь 1С.
+
+## Грабли (в порядке появления — все реальные)
+
+1. **NetBird на server1c лежал** не из-за NetBird: DNS сервера указывал только на роутер `192.168.1.1`, у которого сдох резолвинг (даже `google.com`=0). `api.netbird.io` не резолвился → меш не вставал. Фикс: `netsh interface ipv4 set dnsservers Ethernet static 1.1.1.1 primary` + `8.8.8.8` (статикой, иначе DHCP перетирает). От админ-PowerShell (интерактивная не-админ сессия падала на CIM permission).
+2. **WinRM с Мака** к server1c (5985, NetBird): pywinrm `transport='basic'` (NTLM отклоняется). Креды `dttb/1qaz!QAZ`, по сети — админ-токен.
+3. **`/HTTPPort` не работает** в сборке 8.3.27.1606: ни headless (толстый клиент = GUI, дохнет в session 0), ни интерактивно (база открывается, порт не поднимается). Вариант self-host отвергнут.
+4. **Веб-сервера и веб-модулей 1С не было** (платформа ставилась «только сервер»). Дистрибутив нашёлся локально по реестру `InstallSource` = `E:\Distr\Update\windows64full_8_3_27_1606\`. Доустановка модуля: `msiexec /i "…\1CEnterprise 8 (x86-64).msi" ADDLOCAL=WebServices,WebServices_RU /qn /norestart` → появились `wsisapi.dll`/`wsap24.dll`/`webinst.exe`. Затем `Install-WindowsFeature Web-Server,Web-CGI,Web-ISAPI-Ext,Web-ISAPI-Filter -IncludeManagementTools`.
+5. **★ w3wp падал `0xc0000005`** (Application Error, faulting module «unknown»; VS JIT-отладчик ловил краш и вешал воркер — отключил `AeDebug Auto=0`). Причина — нативный ISAPI-модуль 1С в `DefaultAppPool`, куда грузится .NET CLR. **Фикс: отдельный пул «No Managed Code»** (`appcmd add apppool /name:1CMCP`; `set apppool /managedRuntimeVersion:"" /enable32BitAppOnWin64:false /processModel.loadUserProfile:true`; приложение `/mcp` → этот пул). VC++ redist не при чём (уже стоял). **Конфигуратор при републикации сбрасывает пул на DefaultAppPool — каждый раз возвращать 1CMCP.**
+6. **rmngr-loop** на server1c был активен (2 ядра в idle) → новые веб-сессии висли (w3wp idle, ждёт кластер). Лечится известным рецептом: `Restart-Service '1C:Enterprise 8.3 Server Agent (x86-64)' -Force` (при 0 сессий). См. [[decisions/2026-05-07-buzharovo-1c-rmngr-loop-after-crash]].
+7. **★ vrd: HTTP-сервис расширения** не публикуется `publishByDefault`. Нужно `publishExtensionsByDefault="true"` — в Конфигураторе это галочка **«Публиковать HTTP сервисы расширений по умолчанию»** (вкладка «HTTP сервисы»). `webinst` так не умеет; правильный vrd сгенерил только Конфигуратор. Элемент сервиса — `<service name=… rootUrl=… enable="true">`.
+
+## Не доделано
+- **mcp_ro** (RO-юзер вместо интерим-`ПальмановаНВ`). Розница 2.x — сотни гранулярных ролей, единой «read-all» нет; обработчик без привилег. режима → нужны и роль сервиса `MCP_ОсновнаяРоль`, и право чтения данных. Прагматика: dedicated `mcp_ro` = `MCP_ОсновнаяРоль` + `ПолныеПрава` (через mcp-1c всё равно только SELECT). После создания: `claude mcp remove 1c` + re-add с `MCP_1C_USER=mcp_ro`.
+
+## Запись/управление 1С (отложено — вернуться при необходимости)
+
+Открытая (наша) версия — только чтение. **Единственный пишущий инструмент = `code_execute` (action="code")** в **Расширенной** версии mcp-1c (1 990 ₽/мес, 14 дней триал, регистрация feenlace.ru) — исполняет произвольный BSL в базе (создание/проведение документов, изменение справочников/регистров, обработки) со встроенной песочницей + подтверждением + аудитом. Pro-инструменты (4 990) — это анализ кода (семантический поиск, граф зависимостей, аудит безопасности), не запись.
+
+Чтобы включить запись нужно: (1) Расширенная версия mcp-1c; (2) пользователь 1С с **правами на запись** (не RO); (3) переустановить расширение версией Расширенной.
+
+**Риск:** боевая money-база + произвольный BSL от LLM = максимум риска. План безопасного PoC: тест-копия (restore `RitmUl_pre-mcp_*.bak` → SQL `RitmUl_test` → тест-ИБ `Server1C\RitmUl_test`), отладка записи там, на боевую RitmUl — только после. **2026-06-21 Олег решил отложить.**
+
+## Безопасность лицензии
+Лицензия 1С на server1c **неофициальная** — ничего, что её активирует/переактивирует, не трогать. Рестарт кластера и веб-сессии её не задевают (это просто сессии на чтение).

decisions/2026-06-22-buzharovo-podkop.md

@@ -0,0 +1,83 @@
+---
+date: 2026-06-22
+type: decision
+tags: [buzharovo, podkop, openwrt, cudy, amneziawg, fakeip, telegram, netbird, network]
+---
+
+# Podkop для Бужарово — TR3000 во главе (обход блокировок, цель Telegram)
+
+## Контекст
+
+Нужен обход блокировок РКН на объекте Бужарово (стройрынок [[projects/buzharovo/README|Северный лес]]),
+основная цель — рабочий **Telegram** на устройствах персонала. Объект — боевая розница:
+[[projects/buzharovo/server1c|Server1C]] (`192.168.1.249`) + кассы `192.168.1.18`/`192.168.1.99` (ОФД-трафик).
+Канонический стек обхода у Олега — [[snippets/podkop-reference|podkop + sing-box + AmneziaWG]] на роутерах Cudy.
+
+Олег рассматривал два пути: (1) Cudy с podkop перед текущим роутером; (2) OpenWrt на гипервизоре/Windows-сервере, как в [[projects/niikn/openwrt-bypass|НИИКН]].
+
+## Разведка сети (что выяснили)
+
+Заходил на роутер `192.168.1.1` через Server1C (WinRM jump, `dttb/1qaz!QAZ`, plink по SSH). Ключевые находки:
+
+- **Грабля диагностики:** из Server1C НЕЛЬЗЯ зондировать Бужарово по `192.168.1.x` — подсеть **совпадает с НИИКН** (тоже `192.168.1.0/24`), и NetBird-маршрут (`wt0`) уводит туда. `Find-NetRoute` для `.1/.18/.50/.99` → ifIndex `wt0`. Поэтому «`.1` = RouterOS `ROSSSH`, admin/пустой пароль, порт 2000» и «`.50` = OpenWrt dropbear» — это **MikroTik и VM101 НИИКН через NetBird-утечку**, НЕ Бужарово. Реальные хосты Бужарово видны только по настоящим MAC в `arp -a`.
+- **Доступ к настоящему роутеру** получен через L2: на Server1C добавил непостоянный host-route `New-NetRoute 192.168.1.1/32 -InterfaceIndex 12 -NextHop 0.0.0.0 -PolicyStore ActiveStore` → пакеты на `.1` пошли по локальному LAN (MAC `80:af:ca` = Cudy), интернет сервера не пострадал. Маршрут потом убран.
+- **Роутер Бужарово = Cudy WR6500H** (Wi-Fi 7 / BE6500), сток на базе **OpenWrt 21.02** (vendor-LuCI Cudy `git-25.217`, fw 2.3.15 от 07.08.2025). Публичный WAN `185.13.47.2`: открыты **443 (LuCI), 3389 (RDP→Server1C), 53 (DNS)**; **SSH/22 закрыт и на WAN, и на LAN**. LuCI-логин Cudy хэширует пароль `sha256(pw+salt)` в браузере + самоподписанный серт → headless-вход не проходит (403 = схема, не «неверный пароль»).
+
+## Варианты
+
+1. **podkop на самом WR6500H** — ❌. Wi-Fi 7 mainline OpenWrt не поддерживает (vanilla-образа нет, рефлаш невозможен), на стоке 21.02 sing-box/AmneziaWG не встанут, SSH выключен.
+2. **OpenWrt на гипервизоре / Hyper-V на Server1C** (как НИИКН) — ❌. У Бужарово нет ни выделенного Proxmox, ни управляемого роутера, на которых держится схема НИИКН. Server1C — боевой Win2012R2 без ИБП (24+ краша/день), вешать на него сеть нельзя. Плюс объект мигрируют на HomeLab.
+3. **Отдельная Cudy TR3000 с podkop, параллельно (Вариант A)** — WR6500H остаётся шлюзом, на нём `route 198.18.0.0/15 → TR3000` + DHCP DNS = TR3000. Рабочий, без double-NAT, но требует доступа к залоченному WR6500H LuCI.
+4. **Отдельная Cudy TR3000 во главе (Вариант B)** — ✅ TR3000 = шлюз (NAT+DHCP+DNS+podkop), WR6500H → точка доступа (bridge, Wi-Fi 7 остаётся).
+
+## Решение
+
+**Вариант B — Cudy TR3000 во главе.** Выбор Олега: подкоп на самом шлюзе — простейшая и крепкая FakeIP-схема (как Sergey/Benelux/Olivier), не нужен хэндоф маршрут+DNS и доступ к залоченному WR6500H, меньше точек коллизий.
+
+**Двойного NAT не будет при условии:** WR6500H перевести в **режим AP/bridge** (не router). Тогда единственный NAT — на TR3000, WR6500H лишь раздаёт Wi-Fi 7.
+
+```mermaid
+flowchart LR
+  NET([🌐 Internet]) --> TR[Cudy TR3000 · ШЛЮЗ<br/>podkop · DHCP · DNS<br/>LAN 192.168.1.1 · awg0→FI/SG]
+  subgraph LAN["LAN 192.168.1.0/24 — адресацию сохраняем"]
+    AP[WR6500H · режим AP/bridge<br/>Wi-Fi 7, без NAT]
+    S[Server1C .249]
+    K[Кассы .18 / .99 · ОФД]
+  end
+  TR --> LAN
+  S -. ОФД/1С/банки → напрямую .-> TR
+  classDef r fill:#3d2817,stroke:#d97757,color:#fff
+  class TR r
+```
+
+**Конфиг podkop (по канону [[snippets/podkop-reference]]):**
+- Списки **точечно** `telegram` (+`meta`/`youtube` по нужде). ⛔ НЕ `russia_inside`/`russia_outside`.
+- `connection_type=vpn`, `interface=awg0`, `disable_quic=1`, awg0 в firewall WAN-зоне.
+- EXIT зарубежный (FI `78.17.4.225` или SG `202.71.12.186`), **новый AWG-peer** (свои ключи/IP, не переиспользовать НИИКН).
+- **Безопасность для розницы:** точечные списки заворачивают в туннель ТОЛЬКО telegram-домены → кассы/ОФД/1С/банки идут напрямую (не через зарубежный выход).
+
+## План миграции (минимум простоя)
+
+1. TR3000 настроить на столе: LAN `192.168.1.1/24`, DHCP (статика касс/сервера сохранена), podkop как выше.
+2. WR6500H → AP/bridge (DHCP off, патч-корд LAN-порт → TR3000), Wi-Fi 7 сохранить.
+3. Перецепить WAN (2.5G-аплинк) из WR6500H в 2.5G-порт TR3000. **Если ISP биндит IP к MAC** — склонировать MAC WR6500H на WAN TR3000.
+4. Проброс 3389 (RDP) НЕ восстанавливать — доступ к серверу только через NetBird.
+5. Проверка: `nslookup telegram.org 127.0.0.42` → `198.18.x`; домен кассы/ОФД → реальный IP; `wg` handshake awg0 свежий.
+
+## Последствия / открытые вопросы
+
+- Нужна свободная **Cudy TR3000** (прошить vanilla OpenWrt — деплой Олега). Олег ставит готовый сервер, Claude даёт конфиг.
+- Подтвердить EXIT (FI/SG) — под него поднять AWG-peer.
+- Уточнить: публичный `185.13.47.2` статический и привязан ли к MAC роутера у провайдера.
+- WR6500H оставить как AP (ради Wi-Fi 7) или снять.
+- RDP 3389 — увести в NetBird (рекомендовано) или оставить публичный проброс.
+
+**Побочные проблемы (отдельно от podkop, но важные):**
+- ⚠️ **Коллизия подсетей** Бужарово↔НИИКН (обе `192.168.1.0/24`) через NetBird на Server1C — мина для диагностики и будущей связки podkop/NetBird. Переадресовать один объект или сузить NetBird-маршруты.
+- ⚠️ **WAN светит 443 (LuCI) и 3389 (RDP)** в интернет — закрыть, увести в NetBird.
+
+## Ссылки
+- [[snippets/podkop-reference]] — канон podkop (списки, грабли, конфиг)
+- [[projects/buzharovo/server1c]] · [[projects/buzharovo/README]]
+- [[projects/niikn/openwrt-bypass]] — образец параллельной схемы (НИИКН)
+- [[decisions/2026-05-29-niikn-diadoc-ozon-fix]] — урок про `russia_outside`

decisions/2026-06-22-open-webui-deploy.md

@@ -0,0 +1,58 @@
+---
+date: 2026-06-22
+type: decision
+status: done
+tags: [homelab, proxmox, open-webui, omniroute, npm, ai]
+---
+
+# Open WebUI на home lab — веб-клиент «как ChatGPT» поверх OmniRoute
+
+## Зачем
+Олегу нужен удобный веб-интерфейс для работы с ИИ на домашнем сервере (не Telegram-бот, не голый CLI). Решение: **Open WebUI** — поверх уже имеющегося OmniRoute (OpenAI-совместимый шлюз, 145 моделей вкл. `cc/claude-opus-4-8` через Max).
+
+> NB: на **клиентской** коробке Александра Open WebUI наоборот выкинут — там мозг openclaw со своим веб-UI, а железо слабое (Sandy Bridge i3). Open WebUI оправдан только на мощном home lab. См. [[../projects/dttb/proxmox-inventory]].
+
+## Что развёрнуто (LXC 142)
+- **LXC 142 `open-webui`** на Proxmox 10.0.0.250: Debian 12, unprivileged + `nesting=1,keyctl=1` (для Docker), 2 vCPU / 2 ГБ / 12 ГБ.
+- rootfs на хранилище **`work`** (11.5 ТБ), НЕ `local-lvm` (тот забит на 93%).
+- Статика **10.0.0.142**, DNS контейнера = **1.1.1.1** (обойти FakeIP-перехват от роутера 10.0.0.1 при pull образов и загрузке embedding-модели).
+- Docker 20.10 (из Debian-репо), контейнер `ghcr.io/open-webui/open-webui:main` v0.9.6, `-p 3000:8080`, volume `open-webui`, restart=always, onboot=1.
+- Подключение к OmniRoute: `OPENAI_API_BASE_URL=http://10.0.0.179:20128/v1`, `OPENAI_API_KEY=sk-omniroute` (LAN-доступ к OmniRoute **без авторизации** → ключ любой), `ENABLE_OLLAMA_API=false`.
+
+## Публикация
+- Spaceweb A-запись `chat → 176.62.183.186` (скрипт `snippets/spaceweb-dns-api.py add-a dttb.ru chat …`).
+- NPM (10.0.0.195:81) proxy host **id39** `chat.dttb.ru` → `10.0.0.142:3000`, WebSockets on, Force SSL, LE cert **id129** (до 2026-09-20).
+- Локально `*.dttb.ru` уже резолвится в 10.0.0.195 (hairpin-перехват DNS на роутере) → по LAN/NetBird работает сразу, без правки DNS.
+
+## Грабли
+1. **NPM v2.14 cert-create**: при `provider:letsencrypt` тело принимает только `meta:{}` (пустой). С `letsencrypt_email`/`agree`/`dns_challenge` → `400 data/meta must NOT have additional properties`. Email берётся из аккаунта NPM. (Совпало с заметкой по коробке Александра.)
+2. **DNS-распространение**: после add-a Google DoH видит запись ~через 5 мин, Cloudflare держит негативный кэш до 10 мин (SOA min TTL 600). LE запрашивает авторитативные NS напрямую → серт выпускается, как только Google увидел. Проверка только через DoH (локальный `dig`/getent перехватываются роутером).
+3. **Первый старт Open WebUI**: тянет embedding-модель с HuggingFace (~1 ГБ, 30 файлов) — из РФ медленно, стартап висит на «Fetching 30 files» пару минут. Это нормально; DNS 1.1.1.1 помогает. RAG-эмбеддинги можно позже переключить на OmniRoute.
+4. **Open WebUI signup**: первый зарегистрированный = admin. Открытую регистрацию выключать в Admin Panel → Settings (env `ENABLE_SIGNUP` не действует — persistent config хранится в БД и перебивает env).
+5. **Max-кап**: `cc/claude-opus-4-8` делит 5-часовой кап Max с german/openclaw/swarmclaw/code-server → при нагрузке 400 «out of extra usage» (транзиентно). Для тяжёлых сессий fallback `kr/claude-sonnet-4.5` (free).
+6. **Ключ OmniRoute = пустой, НЕ dummy** (важно!). Open WebUI сначала показывал **0 моделей**. Причина: домашний OmniRoute с **непустым неизвестным** ключом (`sk-omniroute`) отдаёт `{"data":[]}` (скоупит по ключу→0 провайдеров), а с **отсутствующим/пустым** auth — полный каталог (LAN-доверие). Open WebUI всегда шлёт `Authorization: Bearer <key>`. Фикс: ключ коннекта = **пустая строка** (`OPENAI_API_KEYS:[""]`). German/openclaw ходят так же (без auth); найденный в их конфигах `ork_VQo75…` — это inbound-ключ openclaw, к OmniRoute-авторизации отношения не имеет (тоже даёт 0).
+
+## Настройка Open WebUI (через API, токен = signin админом)
+- **Коннект**: `POST /openai/config/update` `{ENABLE_OPENAI_API:true, OPENAI_API_BASE_URLS:["http://10.0.0.179:20128/v1"], OPENAI_API_KEYS:[""], OPENAI_API_CONFIGS:{}}`. NB: `POST /openai/config` (без `/update`) уходит в passthrough-роут → ошибка «Direct API passthrough is disabled».
+- **Дефолтная модель**: `POST /api/v1/configs/models` `{"DEFAULT_MODELS":"cc/claude-opus-4-8", ...}`. Персистится в БД, переживает рестарт. Публичный `/api/config` поле `default_models` НЕ отдаёт в v0.9.6 — это норма, не индикатор.
+- **Регистрация**: `ENABLE_SIGNUP=false` по умолчанию (проверять `GET /api/v1/auths/admin/config`).
+- Проверка end-to-end: `POST /api/chat/completions {model:"cc/claude-opus-4-8", messages:[...], stream:false}` → ответ от Opus 4.8.
+- `openapi.json` отключён (0 байт) — интроспекции нет, эндпоинты выше зафиксированы вручную.
+
+## Способности (что «умеет»)
+Open WebUI = пассивный «кабинет подумать/найти/написать», НЕ исполнитель на инфре (это German/Антошка).
+- **Веб-поиск:** DuckDuckGo (без ключа). `POST /api/v1/retrieval/config/update {web:{ENABLE_WEB_SEARCH:true, WEB_SEARCH_ENGINE:"duckduckgo", ...}}`.
+- **Code interpreter:** включён из коробки (Pyodide, в браузере). `GET/POST /api/v1/configs/code_execution`.
+- **База знаний (RAG):** коллекция `7f60313d-add9-4f99-ad53-89e792295129` «DTTB Knowledge Base», embedding локальный (MiniLM). **193 файла**.
+  - Синк: `/opt/owui-kb-sync/sync.py` (инкрементальный по md5) + `run.sh` (flock + `git pull` + sync), **cron `*/20`** на LXC 142. Vault клонирован из Gitea (`http://oleg:***@10.0.0.189:3000/oleg/knowledge-base.git`).
+  - Синкаются только `projects/decisions/claude-memory/snippets` (~200), **минус** credential-файлы (vault на 1435 .md, 1152 = `notes/` шум). Пустые и дубль-контент (Open WebUI дедупит по хешу → `DUPLICATE_CONTENT`/`EMPTY_CONTENT` 400) скрипт ловит и помечает skip в манифесте, чтоб не ретраить.
+- **Модель `oleg-assistant` «Ассистент Олега»** = base `cc/claude-opus-4-8` + привязанная коллекция (`meta.knowledge`). Выбираешь её → RAG включается сам, ответы с цитатами. Проверено end-to-end. (Дефолт остался plain `cc/claude-opus-4-8` для общих вопросов; KB-модель — по выбору.)
+
+## Команды
+```bash
+# контейнер
+sshpass -p '1qaz!QAZ' ssh root@10.0.0.250 "pct exec 142 -- docker ps"
+sshpass -p '1qaz!QAZ' ssh root@10.0.0.250 "pct exec 142 -- docker logs --tail 30 open-webui"
+# обновление образа
+pct exec 142 -- bash -lc 'docker pull ghcr.io/open-webui/open-webui:main && docker rm -f open-webui && <docker run ...>'
+```

decisions/2026-06-23-amnezia-web-panel-lxc143.md

@@ -0,0 +1,53 @@
+---
+date: 2026-06-23
+type: decision
+tags: [dttb, vpn, amnezia, awg, netbird, control-plane]
+---
+
+# Amnezia Web Panel — control-plane VPN-нод на home lab (LXC 143)
+
+## Контекст
+Олег арендует HOSTKEY Finland (`151.241.234.241`, Ubuntu 22.04, 2 vCPU/3.9 GB) как **основной VPN-хаб для всех проектов**, старый финский VPS — горячий резерв. Управлять нодами решено через [Amnezia-Web-Panel](https://github.com/PRVTPRO/Amnezia-Web-Panel) (FastAPI/Python, paramiko-SSH; рулит AmneziaWG/WG/Xray-Reality/MTProxy на удалённых Ubuntu).
+
+## Решение: панель — ДОМА, не на VPS
+Панель = control-plane с SSH-ключами **ко всем** нодам сразу. Держим её на home lab (LXC 143), VPS оставляем чистым data-plane.
+
+**Почему не на VPS:**
+1. **Безопасность.** Финский VPS уже ломали через **RCE в amnezia-panel** (XorDDoS, чистили 2026-04-24). Панель на публичной коробке = ключи ко всему контуру под ударом.
+2. Никакого публичного `:5000` + дефолт `admin/admin` + открытый Swagger `/docs`.
+3. Переживает пересборку VPS — `data.json` (вся клиентская база) живёт дома.
+4. Один пульт на все ноды (Finland + Paris/Singapore + будущие).
+
+## Что развёрнуто (LXC 143, 10.0.0.143)
+- Debian 12, unprivileged + nesting/keyctl, rootfs на `work` (local-lvm забит на 94%), ns 1.1.1.1.
+- Docker 29.6 + compose, контейнер `prvtpro/amnezia-panel:1.4.4`, `-p 5000:5000`, restart=unless-stopped, onboot=1.
+- NetBird `100.70.9.163` / `amnezia-panel.netbird.cloud` (группа Claude-Diag, ключ `1558712D-…`, `--disable-dns`).
+- Доступ: LAN `10.0.0.143:5000` + NetBird `100.70.9.163:5000`. **Без NPM, без проброса портов — не публично.**
+- Логин `admin` / `AmnPanel!2026-fi` (дефолт сменён; проверено: old→401, new→200).
+
+## Грабли
+- **Персистентность (важно).** Upstream `docker-compose.yml` монтирует `amnezia_data:/app/data`, но приложение пишет в **`/app/data.json`** и **`/app/tunnels_state.json`** (в WORKDIR `/app`). Т.е. дефолтный volume — пустышка, при пересоздании контейнера терялась бы вся база. Починено **bind-mount'ом конкретных файлов** в `/opt/amnezia-panel/`.
+- Базовый Debian-шаблон без `curl` — ставить перед get.docker.com.
+- Хеш пароля: `pbkdf2_hmac('sha256', pwd, salt_hex16, 100000)` → формат `salt$hex`. Смена пароля скриптом — воспроизвести этот алгоритм (`/opt/amnezia-panel/setpw.py`).
+
+## Финский VPS заведён в панель (2026-06-23)
+Олег сам поднял сервер через **официальное приложение AmneziaVPN** (он = владелец/первый админ), затем сервер добавлен в панель — она **адаптировала существующую установку**:
+- Протокол **AmneziaWG 2.0** → контейнер `amnezia-awg2`, UDP **41624**, subnet `10.8.1.0/24`.
+- `/api/servers/0/check` → `awg2 running`, `clients_count: 1`.
+- Клиент Олега `Admin [macOS Tahoe (26.5.1)]` виден в панели (читается из `/opt/amnezia/awg/clientsTable`).
+- **Вывод подтверждён в коде + вживую:** `get_clients()` читает `clientsTable` с сервера и доп. парсит `[Peer]` («pick up peers created via native Amnezia app»). Панель = центральное управление поверх app-установки, не конфликтует.
+- ⚠️ root-пароль VPS хранится в `data.json` панели в открытом виде (так устроен SSH-доступ панели). При смене пароля VPS — обновить в карточке сервера (Servers → edit).
+
+## Хардинг VPS сделан (2026-06-23)
+- **SSH key-only:** ed25519 `~/.ssh/awg_fi_key` (Mac, алиас `ssh awg-fi`), pubkey в `/root/.ssh/authorized_keys`. Пароль по SSH отключён (`PasswordAuthentication no` в `00-hardening.conf` — перебивает cloud-init `50-cloud-init.conf`, читается первым). `PermitRootLogin prohibit-password`. Бэкап `/root/sshd_config.bak.*`.
+- **Панель переведена на тот же ключ** (`/api/servers/0/edit` с `private_key`, пароль очищен; edit проверяет SSH до сохранения — не залочит). Проверено: `check 200` по ключу.
+- **ufw:** наружу только `22/tcp` + `41624/udp`. (Docker публикует 41624 в обход ufw — это ок, порт нужен открытым; ufw защищает хостовые службы.)
+- **fail2ban:** jail `sshd`, `backend=systemd` (на минимальной Ubuntu нет `/var/log/auth.log` → дефолтный backend падал).
+- Грабля cloud-init: `/etc/ssh/sshd_config.d/50-cloud-init.conf` держал `PasswordAuthentication yes` — перебито `00-hardening.conf` + закомментировано sed'ом.
+- Пароль `v_6hH9JuH_` остаётся валиден только для **веб-консоли HOSTKEY** (recovery).
+
+## Дальше (TODO)
+- [ ] Резервный финский VPS: **переустановить ОС начисто** перед использованием, подцепить к панели.
+- [ ] Решить failover (AWG сам не переключается): второй endpoint в конфигах клиентов либо переключение через панель/DNS.
+- [ ] Проверить лимит трафика HOSTKEY (3 TB/мес) — под «все проекты» может быть тесно.
+- [ ] Бэкап `/opt/amnezia-panel/data.json` (вся клиентская база).

decisions/2026-06-26-authentik-sso-deploy.md

@@ -0,0 +1,84 @@
+---
+date: 2026-06-26
+type: decision
+tags: [dttb, sso, authentik, oidc, mfa, security]
+---
+
+# authentik — SSO/IdP для home lab (LXC 144)
+
+> **Статус:** платформа развёрнута и здорова, пилот OIDC на Open WebUI + Gitea работает (серверная часть). Остался один ручной шаг Олега — первый вход + enrollment 2FA (см. ниже).
+> **Домен:** https://auth.dttb.ru · **Контейнер:** LXC 144 (10.0.0.144)
+
+## Зачем
+Единый вход (SSO) + обязательная 2FA на сервисы home lab. Self-hosted IdP, без облака — в линию с уходом от big-tech [[project_deapple_migration]].
+
+## Ключевое архитектурное решение: «2FA на всё, но через нужную дверь»
+Олег хотел завести **все** сервисы за SSO с 2FA. Лобовой «всё за forward-auth» отвергнут — сломал бы не-браузерные клиенты (которых у нас много). Принято разделение:
+
+| Схема | Для чего | Почему |
+|---|---|---|
+| **OIDC/SAML** (вход в веб-морду через authentik+2FA, машинные пути живут штатно) | сервисы с родной поддержкой SSO: Gitea, Nextcloud, Proxmox, Portainer, Open WebUI, Grafana, Home Assistant | не ломает API, git push, WebDAV, мобилки |
+| **Forward-auth** (outpost + advanced-config сниппет в NPM) | голые дашборды без логина / на Basic Auth (german, KasmVNC) | NPM не имеет родного auth-поля |
+| **Родной 2FA** | Proxmox (встроенный TOTP/WebAuthn), NPM | не закрывать себе путь восстановления через IdP |
+| **Не за SSO вообще** | API (OmniRoute omni:20128/v1), webhooks (bot.dttb.ru), не-HTTP (RustDesk, IMAP/SMTP, Matrix federation), Vaultwarden (свой мастер-пароль+2FA) | forward-auth их убьёт / антипаттерн |
+
+**Почему forward-auth-везде плох именно у нас:** Nextcloud (мобилка/WebDAV/**rclone-bisync KB-синк**), Gitea (git push), OmniRoute API (openclaw/german/swarmclaw/open-webui/code-server), bot webhooks, Mailcow IMAP/SMTP, RustDesk 21115-21119, Home Assistant/Matrix/Plex клиенты — всё это не проходит SSO-редирект.
+
+## Развёртывание (что сделано)
+
+### Контейнер LXC 144
+- Debian 12, unprivileged + nesting/keyctl, onboot=1
+- 2 vCPU / 4 GB / swap 2 GB / rootfs 20 GB на storage `work` (local-lvm забит 94%)
+- IP статика **10.0.0.144/24**, gw 10.0.0.1, **nameserver 1.1.1.1** (против FakeIP при pull с ghcr — урок [[2026-06-22-open-webui-deploy]])
+- root-пароль LXC: см. credentials
+- Docker 29.6 + compose (official get.docker.com)
+
+### Стек (официальный compose, `/opt/authentik/`)
+- `ghcr.io/goauthentik/server:2026.5.3` — **server + worker + postgresql:16-alpine**
+- ⚠️ **2026.5.3 ушёл от Redis** — теперь postgres-backed cache (django_postgres_cache). Compose БЕЗ redis. Проще.
+- AVX-граблю (как Mongo для UniFi [[2026-06-15-unifi-controller-homelab]]) authentik **не задевает** — Python/PG/нет Mongo.
+- `.env`: `PG_PASS`, `AUTHENTIK_SECRET_KEY` (сгенерированы), `AUTHENTIK_BOOTSTRAP_PASSWORD`/`_EMAIL`, порты 9000/9443. Бэкап секретов — в самом `.env` контейнера.
+- Миграции БД при первом старте ~3 мин (health 503 в это время — норма, не паниковать).
+
+### Домен auth.dttb.ru
+- **Публичная A-запись** добавлена на Spaceweb: `auth → 176.62.183.186` (нет wildcard — у каждого поддомена своя запись).
+- NPM proxy host **id 41** → `10.0.0.144:9000`, **LE cert id 133**, Force SSL + HTTP/2 + WSS.
+- Локально/в NetBird `*.dttb.ru` = 10.0.0.195 (wildcard на роутере) — SSO работает и внутри.
+
+### 2FA — обязательна на уровне IdP
+Стейдж `default-authentication-mfa-validation` переведён `not_configured_action: skip → configure`, `configuration_stages = [TOTP-setup, WebAuthn-setup]`. Любой вход без устройства **принуждает** к установке TOTP или passkey. Действует на ВСЕ OIDC-логины (они идут через default-authentication-flow).
+
+### Пилот OIDC (работает серверно)
+| Сервис | authentik app/slug | client_id | redirect_uri | как подключён |
+|---|---|---|---|---|
+| **Open WebUI** (chat.dttb.ru, LXC 142) | `open-webui` | `1G7PLkPU…` | `https://chat.dttb.ru/oauth/oidc/callback` | контейнер пересоздан с OAuth env, скрипт `/root/recreate-owui.sh`. Локальный логин СОХРАНЁН (`ENABLE_LOGIN_FORM` не трогали), `OAUTH_MERGE_ACCOUNTS_BY_EMAIL=true` |
+| **Gitea** (git.dttb.ru, LXC 136) | `gitea` | `AYl8jNZv…` | `https://git.dttb.ru/user/oauth2/authentik/callback` | auth source «authentik» (id 1) через `gitea admin auth add-oauth`. **ROOT_URL изменён** `http://10.0.0.189:3000/ → https://git.dttb.ru/` (иначе callback не совпадал). Бэкап `app.ini.bak-preauthentik-20260626`. git push/SSH не затронуты |
+
+Секреты client_secret — в credentials.
+
+## ⚠️ Остался ручной шаг Олега (1 раз)
+SSO-вход нельзя докрутить headless — нужен браузер Олега:
+1. Зайти на **https://auth.dttb.ru**, логин `akadmin` / пароль (см. credentials).
+2. Система **сама предложит установить 2FA** (TOTP — отсканировать QR в Google Authenticator/2FAS, или passkey). Установить.
+3. Проверить вход через SSO: на chat.dttb.ru кнопка «Continue with authentik», на git.dttb.ru «Sign in with authentik».
+4. (Опц.) создать личного пользователя `oleg` вместо akadmin, akadmin оставить как break-glass.
+
+## Плюсы / минусы
+**Плюсы:** единый вход + 2FA на все совместимые сервисы; централизованное управление (можно выдавать семье/клиентам скоуп-доступ); forward-auth прикроет голые панели; self-hosted; журнал входов.
+**Минусы/риски (и митигация):**
+- **SPOF/lockout:** упал authentik → нет SSO-входа. → критичную инфру (Proxmox/NPM/Vaultwarden) НЕ гейтим, у сервисов сохраняем родной admin-логин как fallback.
+- **Публичный IdP = поверхность атаки.** → обязательная 2FA (включена), сильные пароли. Опц. позже: geo/fail2ban, ограничить admin LAN-only.
+- **Лок единственного админа** при кривом MFA-flow. → recovery через API-токен (минует flow) и `ak shell` (см. ниже).
+
+## Recovery / управление
+- API-токен (минует login-flow): `claude-bootstrap` — в credentials. `curl https://auth.dttb.ru/api/v3/core/users/me/ -H "Authorization: Bearer <tok>"`.
+- Сбросить пароль akadmin: `pct exec 144 -- bash -c "cd /opt/authentik && echo 'akadmin <newpass>' | docker compose exec -T server ak change_password akadmin"` (или через `ak shell`).
+- Снять обязательную 2FA (если залочило): PATCH стейджа `f3808685-…` `not_configured_action=skip` через API-токен.
+- Логи: `cd /opt/authentik && docker compose logs server|worker`.
+- Обновление: бампить `AUTHENTIK_TAG` в `/opt/authentik/.env` → `docker compose pull && up -d`.
+
+## Spaceweb DNS — найден read-метод API
+К [[../projects/dttb/spaceweb-dns]]: метод чтения зоны = **`info`** (`params {domain}`), возвращает все записи с `index`/`category`. Существующие методы: `editMain`, `editMx`, `editTxt`, `info`. Добавление одной A-записи `editMain {action:"add",name,type:"A",value,prefix:""}` — безопасно (ломает зону только цикл).
+
+## Дальше (отдельными задачами, по согласованию)
+Полный OIDC-роллаут: Proxmox (realm OpenID Connect), Nextcloud (app `user_oidc`/`sociallogin`), Portainer, Home Assistant, Grafana. Forward-auth demo на german.dttb.ru (Basic Auth → outpost). См. раздел «нужная дверь» выше.

decisions/2026-06-26-benelux-podkop-recovery-watchdog.md

@@ -0,0 +1,58 @@
+---
+date: 2026-06-26
+type: decision
+tags: [benelux, podkop, watchdog, monitoring, self-heal, openwrt, amneziawg, failover]
+status: stage1-done
+---
+
+# Бенелюкс — инструмент восстановления обхода (мониторинг + автолечение)
+
+## Задача
+Олег: «инструмент восстановления обхода блокировок, мониторинг + автоисправление, должно работать на 100%, наверное на внешних ресурсах от Бенелюкса».
+
+## Калибровка «100%»
+Буквальные 100% одним туннелём недостижимы (ISP/нода/NetBird могут лечь — удалённо не починить). Реальная цель: **обход никогда не остаётся сломанным незаметно, чинится сам за 1–3 мин, иначе алерт раньше клиента.** Достигается тремя слоями.
+
+## Решения Олега (AskUserQuestion)
+- Наблюдатель — **дома, LXC** (клон antoshka-watch-self, алерт через бота).
+- Автофикс — **до ребута включительно**, с гистерезисом.
+- Резерв выхода — **второй AWG-сервер** (не VLESS) → Finland-хаб.
+
+## Архитектура (3 слоя)
+1. **Резерв выхода:** awg0 Singapore (primary) + awg1 Finland (secondary). Этап 2.
+2. **Лёгкое самолечение на роутере:** podkop `enable_badwan_interface_monitoring=1` (следит за wan, перезагружает sing-box) — уже было.
+3. **Внешний сторож (главный):** `benelux-podkop-watchdog.sh` на LXC 137, cron `*/5`, проверки УДАЛЁННО по SSH через NetBird.
+
+## Ключевой принцип — анти-flapping
+Грабли OpenWrt_4/Оливье: собственный watchdog.sh агрессивно рестартовал sing-box и сам создавал обрывы. Поэтому: лечим только после **2 подряд провалов**, cooldown 5 мин между шагами, лимит **2 ребута/сутки**.
+
+## Что проверяет сторож (изнутри роутера)
+- sing-box жив + Clash API (`192.168.1.1:9090`) отвечает
+- handshake текущего выхода < 200с + `ping -I awgN 1.1.1.1` (транзит, ловит rp_filter-ловушку)
+- FakeIP: youtube → `198.18.x` (заворачивается)
+- **анти-утечка:** ozon.ru НЕ `198.18.x` (страж рецидива `russia_outside`) — только алерт, не автофикс
+- достижимость: SSH нет → различает «роутер пингуется, SSH моргнул» vs «Бенелюкс лёг»
+
+## Лестница лечения (с гистерезисом)
+0. `podkop restart`
+1. флип `podkop.main.interface` awg0→awg1 (если awg1 поднят и здоров), иначе `ifdown/ifup` + restart
+2. `reboot` (лимит 2/сутки)
+3. сдаёмся → алерт «нужно руками»
+Каждое срабатывание + восстановление (✅) → Telegram Олегу (1292155421) через токен бота из `/root/.openclaw/openclaw.json` (тот же тракт, что antoshka-watch-self).
+
+## Деплой Этапа 1 (2026-06-26) — СДЕЛАНО
+- Ключ LXC137 `root@openclaw` добавлен в `/etc/dropbear/authorized_keys` Бенелюкса.
+- `/root/benelux-podkop-watchdog.sh` на LXC 137, cron `*/5`. Исходник в vault `snippets/benelux/benelux-podkop-watchdog.sh`.
+- **Боевой тест пройден:** `podkop stop` → прогон1 DEGRADED 1/2 (без действий) → прогон2 2/2 → Шаг1 restart → sing-box поднят, FakeIP вернулся → прогон3 OK + ✅-отбой + сброс счётчика. ⚠️/✅ алерты дошли.
+- Грабли при написании: busybox `pgrep -x` не работает (→ `pgrep`); `read < нет_файла` течёт ошибкой (→ guard `[ -f ]`).
+
+## Этап 2 (TODO) — резервный выход Finland + failover
+- Через Amnezia Web Panel (LXC 143 `10.0.0.143:5000`, admin/AmnPanel!2026-fi) нарезать пир Бенелюкса на Finland-хаб `151.241.234.241:41624` (AmneziaWG 2.0, subnet `10.8.1.0/24`).
+- Поднять `awg1` на роутере (UCI-референс — HomeLab awg2, [[../projects/dttb/openwrt-router]]); awg1 в firewall WAN-зону; per-iface `rp_filter=2`.
+- Failover уже заложен в watchdog (Шаг1 флипает на awg1) — активируется автоматически, как только `network.awg1` появится.
+- Закрывает TODO из [[2026-06-23-amnezia-web-panel-lxc143]] «failover (AWG сам не переключается)».
+
+## Опционально (Этап 3)
+- Второй независимый сторож на Finland VPS (на случай падения дома) — взаимный догляд ближе к «100%».
+
+См. [[../snippets/podkop-reference]], [[../claude-memory/benelux]].

decisions/2026-06-27-benelux-foreign-banks-eu-exit.md

@@ -0,0 +1,52 @@
+---
+date: 2026-06-27
+type: decision
+tags: [benelux, podkop, fakeip, user_domains, geoblock, sanctions, bnp, edf, vodafone, emiratesnbd]
+status: done
+---
+
+# Бенелюкс — иностранные банки/сервисы клиента не грузились (фикс через EU-выход)
+
+## Жалоба
+Александр (КП Бенелюкс, Истра — **объект в РФ**): «всё стабильно, но многие иностранные сайты не грузятся». Примеры: `m.vodafone.es`, `connexion-mabanque.bnpparibas`, `auth.entreprises-collectivites.edf.fr`, `online.emiratesnbd.com`.
+
+## Диагноз
+Эти домены **не входили ни в один список podkop** (`russia_inside`,`telegram`,`meta`) → резолвились реально → шли **напрямую через российский WAN-IP** `45.143.21.60` («Умные сети»). Иностранные банки режут российские IP (гео/санкции). Прямой curl с роутера подтвердил: BNP → 403, EDF → 503, Emirates NBD → 403 (Vodafone отдавал 200, но login-флоу гео-чувствителен).
+
+Это **зеркало** типовой грабли inside/outside: обычно лечим «РФ-сайт ушёл в туннель», здесь наоборот — иностранный сервис **остался вне туннеля** и выходит российским IP.
+
+## Находка
+EXIT туннеля `202.71.12.186` (awg0/VLESS) по ip-api = **Finland / Helsinki / Hostkey B.V.**, а НЕ Сингапур, как писалось в доках. EU-выход — идеален для ES/FR/AE-сайтов. Доки поправлены ([[../claude-memory/benelux]], [[../snippets/podkop-reference]]).
+
+## Фикс (устойчивый — `user_domains`, не dnsmasq-override)
+```sh
+cp /etc/config/podkop /etc/config/podkop.bak-20260627-170552
+for d in vodafone.es edf.fr emiratesnbd.com mabanque.bnpparibas connexion-mabanque.bnpparibas; do
+  uci add_list podkop.main.user_domains="$d"
+done
+uci commit podkop && /etc/init.d/podkop restart
+killall -HUP dnsmasq
+```
+`user_domain_list_type=dynamic` уже стоял. Способ устойчив к реконфигу (в отличие от dnsmasq-override, который podkop перетирает).
+
+## Проверка (через финский выход, EU-резолв + браузерные заголовки)
+| Сайт | российский IP | EU-выход |
+|---|---|---|
+| vodafone.es | 200 | **200** ✅ |
+| emiratesnbd.com | 403 | **200** ✅ |
+| edf.fr | 503 | **404** (приложение отвечает; голый `/` без query → 404, реальный auth-URL откроется) ✅ |
+| bnpparibas | 403 | 403 — Akamai Bot Manager на «голый» curl (одинаково RU/FI = **не гео**); в браузере с JS/cookies проходит |
+
+Контроль: домены → FakeIP `198.18.x`; `youtube` остался в туннеле; `ozon` напрямую (РФ не сломан).
+
+## Грабли по ходу (на будущее)
+- **curl с самого роутера НЕ показатель выхода**: локально-сгенерированный трафик роутера не заворачивается в tproxy (podkop ловит только форвард LAN). `curl https://api.ipify.org` с роутера вернул российский IP даже после добавления в список. Честный egress-тест: `curl --interface awg0 https://api.ipify.org` (домен вне списка → реальный резолв → src=awg0 через SO_BINDTODEVICE → выход = `202.71.12.186` Финляндия).
+- Домен **в списке** + `curl --interface awg0` без `--resolve` → системный DNS даёт FakeIP `198.18.x` → curl шлёт фейк в туннель → ложный 000. Для теста подставлять реальный IP через `--resolve`.
+
+## Клиенту (Александр)
+Сайты теперь идут через EU-выход. На устройстве: сбросить DNS-кэш / переподключить Wi-Fi. Если iPhone — Wi-Fi → (i) → «Ограничение отслеживания IP-адреса» ВЫКЛ. BNP Paribas откроется именно в браузере (анти-бот пускает реальный браузер, curl — нет).
+
+## TODO (если BNP всё же капризничает)
+Akamai Bot Manager BNP может требовать «чистый» браузерный fingerprint. Если у клиента не откроется — проверить, не словил ли его собственный VPN/Private Relay на устройстве; при необходимости добавить сопутствующие домены логин-флоу BNP в `user_domains`.
+
+См. [[../snippets/podkop-reference]] §6 (user_domains), [[../claude-memory/benelux]], [[2026-06-26-benelux-podkop-recovery-watchdog]].

decisions/2026-06-27-homepage-dashboard-lxc145.md

@@ -0,0 +1,82 @@
+---
+date: 2026-06-27
+type: decision
+tags: [dttb, dashboard, homepage, proxmox, authentik, npm]
+---
+
+# Homepage — единый дашборд home lab (LXC 145)
+
+## Контекст
+Зоопарк сервисов dttb разросся (42 VM/LXC). Нужна одна точка входа — карта инфраструктуры с живыми метриками. Выбран [Homepage](https://gethomepage.dev) (`gethomepage/homepage`) — нативные виджеты под бо́льшую часть стека.
+
+## Что развёрнуто
+- **LXC 145 `homepage`** — Debian 12, unprivileged + nesting/keyctl, 2 vCPU / 1 GB / 8 GB на `work`, статика **10.0.0.148**, nameserver 1.1.1.1.
+- Docker `ghcr.io/gethomepage/homepage:latest`, `-p 3000:3000`, `--env-file /opt/homepage/.env`, volume `/opt/homepage/config`.
+- Веб: **https://dash.dttb.ru** (NPM proxy host **id 42**, LE cert **id 134** до 2026-09-24) за **NPM Basic Auth** (access-list id 5, `oleg`/`OL260380eg`). LAN/NetBird — `http://10.0.0.148:3000` без авторизации.
+- ⚠️ **authentik forward-auth НЕ боевой** (отложен) — см. грабли #4. Enforcement работал (unauth→302 в authentik), но embedded-outpost строит authorize-URL как `http://localhost` (игнорит `authentik_host_browser`, а `authentik_host=https://auth.dttb.ru` упирается в зависший hairpin LXC144→NPM). Плюс Олег ещё не прошёл 2FA-enrollment в authentik. Объекты (provider/app/outpost) оставлены готовыми, гейт пока Basic Auth.
+- 5 групп / 22 сервиса: Инфраструктура, Облако и данные, AI-боты и инструменты, Доступ и безопасность, Дом-сеть-медиа.
+
+## Live-виджеты (read-only доступы — не мастер-креды)
+| Сервис | Виджет | Доступ |
+|--------|--------|--------|
+| Proxmox VE | proxmox | API-токен `homepage@pve!homepage` (роль **PVEAuditor**, privsep 0) |
+| Nginx Proxy Manager | nginxproxymanager | логин it5870@yandex.ru (виджет сам берёт JWT) |
+| Gitea | gitea | read-only PAT `homepage-dashboard` (scopes read:repository/issue/user/org/notification/misc) |
+| Nextcloud | nextcloud | admin + **app-password** (serverinfo API) |
+
+Остальное — ping-плитки (siteMonitor на внутренний IP): UniFi, Vaultwarden, LinkWarden, ZimaOS, Антошка, SwarmClaw, German, Open WebUI, OmniRoute, code-server, authentik, RustDesk, Mailcow, Amnezia, Home Assistant, WatchYourLAN, PBS, pve-147.
+
+## Секреты
+`/opt/homepage/.env` (chmod 600, **НЕ в vault, не в git**): `HOMEPAGE_VAR_*` (proxmox token, npm/nc creds, gitea token) + `HOMEPAGE_ALLOWED_HOSTS=dash.dttb.ru,10.0.0.148:3000,localhost:3000`. В `services.yaml` — только плейсхолдеры `{{HOMEPAGE_VAR_*}}`.
+
+## Грабли (за них наступали)
+1. **`download.docker.com` SNI-блок РКН** (`tlsv1 unrecognized name`) — DNS отдаёт реальный CloudFront, но РКН режет по SNI. Фикс: `docker.io` из репо Debian, а сам apt переключён на **`mirror.yandex.ru`** (deb.debian.org=Fastly тоже троттлится из РФ).
+2. **Nextcloud-виджет и split-DNS** — `dttb.ru` из контейнера (DNS 1.1.1.1) резолвится в публичный 176.62.183.186 → хайрпин через WAN. Фикс: `/etc/hosts` → `10.0.0.195 dttb.ru` (идёт прямо на NPM).
+3. **NPM + authentik forward-auth, duplicate `location /`** — NPM кладёт `advanced_config` ПОСЛЕ своего `location /` (стр. 72 vs 96 в `42.conf`). Свой `location /` в сниппет = nginx duplicate location → конфиг не сохранится. Решение: `auth_request` на уровне **server** (наследуется в NPM-овский `location /`), а в `location /outpost.goauthentik.io` и `@goauthentik_proxy_signin` — **`auth_request off;`** (иначе рекурсия auth-сабреквеста сам в себя).
+4. **`http://localhost` в authorize-redirect** — embedded outpost не знал внешний URL. Фикс: outpost config **`authentik_host_browser=https://auth.dttb.ru`** + рестарт `server`/`worker` (config подхватывается рестартом, не сразу).
+5. authentik objects: proxy provider pk **3** (`forward_single`, external_host https://dash.dttb.ru), application slug **`dash`**, привязан к embedded outpost `88286dc5-…`.
+
+## NPM advanced_config (server-level auth_request)
+```nginx
+location /outpost.goauthentik.io {
+    auth_request off;
+    proxy_pass http://10.0.0.144:9000/outpost.goauthentik.io;
+    proxy_set_header Host $host;
+    proxy_set_header X-Forwarded-Proto $scheme;
+    proxy_set_header X-Forwarded-Host $host;
+    proxy_set_header X-Original-URL $scheme://$http_host$request_uri;
+    auth_request_set $auth_cookie $upstream_http_set_cookie;
+    add_header Set-Cookie $auth_cookie;
+    proxy_pass_request_body off;
+    proxy_set_header Content-Length "";
+}
+location @goauthentik_proxy_signin {
+    internal; auth_request off;
+    add_header Set-Cookie $auth_cookie;
+    return 302 /outpost.goauthentik.io/start?rd=$request_uri;
+}
+auth_request /outpost.goauthentik.io/auth/nginx;
+error_page 401 = @goauthentik_proxy_signin;
+auth_request_set $auth_cookie $upstream_http_set_cookie;
+add_header Set-Cookie $auth_cookie;
+```
+
+## Дополнения 2026-06-27 (2-я итерация)
+- **Здоровье хоста (glances)** — на Proxmox-хосте `apt install glances lm-sensors`, systemd `glances.service` = `/usr/bin/glances -w --disable-webui -p 61208` (⚠️ НЕ `-B/-q/-t` — с ними uvicorn не биндился). Группа «Хост Proxmox»: 6 виджетов `type: glances, version: 4` (cpu, memory, sensor:Core 0, fs:/, fs:/mnt/pve/work, network:vmbr0). API `http://10.0.0.250:61208/api/4/...`.
+- **Доска клиентов** — LXC 145 подключён в **NetBird** (`100.70.113.28`, группа Claude-Diag, ключ SwarmClaw `1558712D…`, netbird 0.73.2 из apt-репо pkgs.netbird.io). Группа «Клиенты (NetBird)»: ping-плитки always-on площадок (НИИКН 100.70.145.223, ММФБ 100.70.128.49, Бужарово 100.70.75.103, Знаменское 100.70.93.36, Главторг 100.70.195.47, Sergey 100.70.110.164, Lipki 100.70.35.234). ⚠️ **NetBird-грабля:** при поднятии туннеля LAN на миг отвалился (glances→000), но прямые маршруты 10.0.0.0/24 защищены правилом `105: lookup main suppress_prefixlength 0` (туннельная таблица netbird не перехватывает directly-connected). resolv.conf НЕ тронут (1.1.1.1). watchdog `*/5` `/usr/local/bin/netbird-watchdog.sh`.
+- **Закладки** (`bookmarks.yaml`): Proxmox, NetBird console, Spaceweb DNS, HOSTKEY, claude.ai usage, OmniRoute, SwarmClaw, боты.
+- **Группа «OpenWrt роутеры»** — все 10 OpenWrt-роутеров (собраны workflow-сканом vault), ping по NetBird: дом (по LAN 10.0.0.1), Sergey 100.70.110.164, Olivier 100.70.194.241, Lipki 100.70.35.234, Benelux 100.70.207.97, НИИКН-VM101 100.70.120.229, Переделки 100.70.197.125, Бужарово-Сев.лес 100.70.113.251, Красногорск 100.70.152.137, Знаменское-3 100.70.54.204. На момент сборки UP: дом/Sergey/Lipki/Benelux/НИИКН/Бужарово/Знаменское-3 (7); down: Olivier, Переделки (vault: возможно offline с 05-08), Красногорск. **Sergey/Lipki намеренно дублируются** в «Клиенты» (это клиенты с подкопом) и в «OpenWrt роутеры» (по-железу) — по правке Олега.
+- **Хардеринг:** onboot=1 (есть). ⚠️ **НАХОДКА: на Proxmox нет ни одного запланированного бэкапа** (`jobs.cfg` пуст) — вынесено в отдельную задачу.
+
+## Self-serve: апгрейд плиток до live-виджетов (нужны токены, генерит Олег за 2 мин)
+Достижимы из контейнера, не хватает только токена (вписать в `/opt/homepage/.env` как `HOMEPAGE_VAR_*` + добавить `widget:` в `services.yaml`):
+- **Home Assistant** (home.dttb.ru): Профиль → Long-Lived Access Token. `type: homeassistant`.
+- **Mailcow** (mail.dttb.ru): Admin → API → read-only ключ. `type: mailcow`.
+- **Vaultwarden** (bit.dttb.ru): задать `ADMIN_TOKEN` в compose. `type: vaultwarden`.
+- **PBS** (VM 106 сейчас недоступен по SSH — сперва проверить, жив ли): `proxmox-backup-manager user generate-token`. `type: proxmoxbackupserver`.
+
+## TODO / можно докрутить
+- **authentik forward-auth → боевой**: починить `localhost` в authorize (embedded outpost). Варианты: standalone-outpost контейнер на dash-LXC; либо разобраться, почему `authentik_host_browser` не применяется в 2026.5.3; нужен живой браузерный тест + 2FA-enrollment Олега. Тогда снять Basic Auth (access-list 5).
+- UniFi/Vaultwarden можно перевести из плиток в live-виджеты (нужны read-only креды/токены).
+
+См. [[../projects/dttb/proxmox-inventory#LXC 145 — homepage Dashboard]], [[2026-06-26-authentik-sso-deploy]].

notes/claude/2026-05-28-215644-102531240-администратор-ol260380eg-нужно-подключит.md

@@ -0,0 +1,25 @@
+---
+date: 2026-05-28
+type: claude-session
+session_id: 6b61344a-378a-49d6-8ea5-9b8bc6e6b8fc
+started: 2026-05-28T17:45:51.070Z
+ended: 2026-05-28T18:56:44.855Z
+messages: 8
+tools: [AskUserQuestion, Bash, Edit, Read, Write]
+tags: [claude, session]
+---
+
+# 10.253.1.240 Администратор OL260380eg нужно подключиться.
+
+## Запрос
+
+10.253.1.240 Администратор OL260380eg нужно подключиться.
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Закоммитил: **`3ef94cb`** — 269 файлов, +9466/-74. Working tree чистый, ahead origin/main на 1.
+
+Push не делал — попроси отдельно, если нужно.
+
+---
+*Автосохранено из session [`6b61344a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/6b61344a-378a-49d6-8ea5-9b8bc6e6b8fc.jsonl) — 8 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, Write*

notes/claude/2026-05-29-111649-usersaidownloadssoglashenie-o-correctirovke-inform.md

@@ -0,0 +1,29 @@
+---
+date: 2026-05-29
+type: claude-session
+session_id: dc7c33f7-87ff-468b-b64a-9a0cca41645b
+started: 2026-05-28T07:25:57.346Z
+ended: 2026-05-29T08:16:49.932Z
+messages: 12
+tools: [Bash, Read, Skill, ToolSearch, mcp__ccd_session_mgmt__search_session_transcripts]
+tags: [claude, session]
+---
+
+# @"/Users/ai/Downloads/soglashenie_o_correctirovke_informacii_pers_ru (1).docx"
+
+## Запрос
+
+@"/Users/ai/Downloads/soglashenie_o_correctirovke_informacii_pers_ru (1).docx"
+нужно заполнять латинскими или кирилицей?
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Понятно — ты решил всё-таки в RU-CENTER, не в SpaceWeb. ОК. Тогда блок симметричный: данные расходятся **у обоих** регистраторов с реальностью (reg.ru говорит «данные 2015 года», RU-CENTER — «не совпадают паспортные»). Скорее всего у тебя с тех пор сменился паспорт (45 лет?), и обе БД хранят старые данные.
+
+Что делаешь параллельно одним пакетом:
+
+**1. Reg.ru** (текущий регистратор)
+- Заполнить и подписать ту самую форму корректировки → скан + цветное фото главного разворота + страница с прописко
+
+---
+*Автосохранено из session [`dc7c33f7`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/dc7c33f7-87ff-468b-b64a-9a0cca41645b.jsonl) — 12 сообщ., тулы: Bash, Read, Skill, ToolSearch, mcp__ccd_session_mgmt__search_session_transcripts*

notes/claude/2026-05-29-111907-usersaidownloadssoglashenie-o-correctirovke-inform.md

@@ -0,0 +1,27 @@
+---
+date: 2026-05-29
+type: claude-session
+session_id: dc7c33f7-87ff-468b-b64a-9a0cca41645b
+started: 2026-05-28T07:25:57.346Z
+ended: 2026-05-29T08:19:07.162Z
+messages: 13
+tools: [Bash, Read, Skill, ToolSearch, mcp__ccd_session_mgmt__search_session_transcripts]
+tags: [claude, session]
+---
+
+# @"/Users/ai/Downloads/soglashenie_o_correctirovke_informacii_pers_ru (1).docx"
+
+## Запрос
+
+@"/Users/ai/Downloads/soglashenie_o_correctirovke_informacii_pers_ru (1).docx"
+нужно заполнять латинскими или кирилицей?
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+А, тогда понятно. SpaceWeb не самостоятельно тащит трансфер .ru — заявка у них **идёт через RU-CENTER** как технический регистратор (стандартная схема для .ru у мелких регистраторов). Поэтому отказ пришёл от RU-CENTER, хотя ты заказывал через SpaceWeb. Договор `O-05/01/24-6` с 171 ₽ — это твой старый договор в RU-CENTER (`5259045/NIC-D`, ты у них когда-то регистрировался).
+
+**Что произошло:**
+- SpaceWeb отправил заявку → RU-CENTER попытался принять → сверил данные администратора у reg.ru со свое
+
+---
+*Автосохранено из session [`dc7c33f7`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/dc7c33f7-87ff-468b-b64a-9a0cca41645b.jsonl) — 13 сообщ., тулы: Bash, Read, Skill, ToolSearch, mcp__ccd_session_mgmt__search_session_transcripts*

notes/claude/2026-05-29-112528-usersaidownloadssoglashenie-o-correctirovke-inform.md

@@ -0,0 +1,35 @@
+---
+date: 2026-05-29
+type: claude-session
+session_id: dc7c33f7-87ff-468b-b64a-9a0cca41645b
+started: 2026-05-28T07:25:57.346Z
+ended: 2026-05-29T08:25:28.978Z
+messages: 14
+tools: [Bash, Read, Skill, ToolSearch, mcp__ccd_session_mgmt__search_session_transcripts]
+tags: [claude, session]
+---
+
+# @"/Users/ai/Downloads/soglashenie_o_correctirovke_informacii_pers_ru (1).docx"
+
+## Запрос
+
+@"/Users/ai/Downloads/soglashenie_o_correctirovke_informacii_pers_ru (1).docx"
+нужно заполнять латинскими или кирилицей?
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Теперь всё ясно. Мария зацепила ключевое правило КЦ:
+
+> **«Одновременная смена регистратора и администратора невозможна»**
+
+То есть схема «подаём трансфер → reg.ru заодно поправит данные» не работает. Сначала отдельно актуализируем данные **на двух сторонах**, потом отдельно делаем трансфер.
+
+## Порядок (важна последовательность)
+
+**1. Reg.ru — актуализировать админа домена**
+- Форма корректировки + сканы паспорта → в тикет.
+- Они обновят данные в whois domain dttb.ru.
+- Получишь AuthInfo (после
+
+---
+*Автосохранено из session [`dc7c33f7`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/dc7c33f7-87ff-468b-b64a-9a0cca41645b.jsonl) — 14 сообщ., тулы: Bash, Read, Skill, ToolSearch, mcp__ccd_session_mgmt__search_session_transcripts*

notes/claude/2026-05-29-123359-в-ниикн-сети-не-работают-не-заходит-на-этот-сайт-h.md

@@ -0,0 +1,28 @@
+---
+date: 2026-05-29
+type: claude-session
+session_id: 412c67eb-3de4-4e34-a6f7-8262b2b3349a
+started: 2026-05-29T09:00:15.254Z
+ended: 2026-05-29T09:33:59.354Z
+messages: 2
+tools: [Bash, Edit, Read, Write, mcp__ccd_session__mark_chapter]
+tags: [claude, session]
+---
+
+# В НИИКН сети не работают не заходит на этот сайт https://www.diadoc.ru/ и на озо
+
+## Запрос
+
+В НИИКН сети не работают не заходит на этот сайт https://www.diadoc.ru/ и на озон. Исправь пожалуйста.
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Готово. Это были **две независимые проблемы** с разными причинами — не то, что я сначала подозревал (потерянные overrides).
+
+## ✅ diadoc.ru — исправлено и проверено
+**Причина:** MTS-канал НИИКН (`85.235.181.190`) — **чёрная дыра** к серверам Контура (`46.17.203.0/24`), TCP-таймаут 12с. Сам сайт жив (с чистого РФ-IP LionART отдаёт 200).
+**Фикс:** маршрут `46.17.203.0/24` → NetBird → pve-LionART (та же схема, что у nspd/zakupki) + статик-роут на MikroTik.
+**Проверка:** с реального офисного ПК (Мак
+
+---
+*Автосохранено из session [`412c67eb`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/412c67eb-3de4-4e34-a6f7-8262b2b3349a.jsonl) — 2 сообщ., тулы: Bash, Edit, Read, Write, mcp__ccd_session__mark_chapter*

notes/claude/2026-05-29-125322-в-ниикн-сети-не-работают-не-заходит-на-этот-сайт-h.md

@@ -0,0 +1,29 @@
+---
+date: 2026-05-29
+type: claude-session
+session_id: 412c67eb-3de4-4e34-a6f7-8262b2b3349a
+started: 2026-05-29T09:00:15.254Z
+ended: 2026-05-29T09:53:22.353Z
+messages: 3
+tools: [Bash, Edit, Read, Write, mcp__ccd_session__mark_chapter]
+tags: [claude, session]
+---
+
+# В НИИКН сети не работают не заходит на этот сайт https://www.diadoc.ru/ и на озо
+
+## Запрос
+
+В НИИКН сети не работают не заходит на этот сайт https://www.diadoc.ru/ и на озон. Исправь пожалуйста.
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Готово. Итог по всем трём пунктам:
+
+## ✅ podkop / заблокированные сайты — работают
+Проверил с ПК Максима: **YouTube → 200, Instagram → 200, WhatsApp — соединяется**. Туннель в Финляндию жив (tproxy-счётчик 8.3M пакетов и растёт, awg0 несёт трафик). С podkop всё в порядке.
+
+## ✅ ЕИС (zakupki.gov.ru) — починил
+Причина та же, что у ozon вчера: **DNS-override слетел** → `zakupki.gov.ru` уходил в FakeIP → Финляндию → не открывался. Маршрут на LionART (`95.167.245.0/24`) был на месте — не хватало толь
+
+---
+*Автосохранено из session [`412c67eb`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/412c67eb-3de4-4e34-a6f7-8262b2b3349a.jsonl) — 3 сообщ., тулы: Bash, Edit, Read, Write, mcp__ccd_session__mark_chapter*

notes/claude/2026-05-29-132439-в-ниикн-сети-не-работают-не-заходит-на-этот-сайт-h.md

@@ -0,0 +1,29 @@
+---
+date: 2026-05-29
+type: claude-session
+session_id: a168395e-115b-4344-aadc-4968cca83d59
+started: 2026-05-29T09:00:15.254Z
+ended: 2026-05-29T10:24:39.490Z
+messages: 8
+tools: [AskUserQuestion, Bash, Edit, Read, ToolSearch, WebFetch, WebSearch, Write, mcp__ccd_session__mark_chapter]
+tags: [claude, session]
+---
+
+# В НИИКН сети не работают не заходит на этот сайт https://www.diadoc.ru/ и на озо
+
+## Запрос
+
+В НИИКН сети не работают не заходит на этот сайт https://www.diadoc.ru/ и на озон. Исправь пожалуйста.
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Всё готово и зафиксировано. Итог:
+
+## 🎯 Проблема решена в корне
+**Убрал `russia_outside` из podkop** — это и была первопричина всех повторяющихся жалоб. Твой инсайт оказался точным: этот список itdoginfo = «РФ-сайты для тех, кто **за границей**». Для офиса в России он работал наоборот — фейкапил gosuslugi/ozon/ЕИС/nspd и гнал их в финский выход, где они отдавали «Доступ ограничен».
+
+Теперь (проверено опросом sing-box до/после + на ПК Максима):
+- РФ-сайты резолвятся **реально** → идут напрямую (а
+
+---
+*Автосохранено из session [`a168395e`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/a168395e-115b-4344-aadc-4968cca83d59.jsonl) — 8 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, ToolSearch, WebFetch, WebSearch, Write, mcp__ccd_session__mark_chapter*

notes/claude/2026-05-29-132614-в-ниикн-сети-не-работают-не-заходит-на-этот-сайт-h.md

@@ -0,0 +1,25 @@
+---
+date: 2026-05-29
+type: claude-session
+session_id: a168395e-115b-4344-aadc-4968cca83d59
+started: 2026-05-29T09:00:15.254Z
+ended: 2026-05-29T10:26:14.009Z
+messages: 9
+tools: [AskUserQuestion, Bash, Edit, Read, ToolSearch, WebFetch, WebSearch, Write, mcp__ccd_session__mark_chapter]
+tags: [claude, session]
+---
+
+# В НИИКН сети не работают не заходит на этот сайт https://www.diadoc.ru/ и на озо
+
+## Запрос
+
+В НИИКН сети не работают не заходит на этот сайт https://www.diadoc.ru/ и на озон. Исправь пожалуйста.
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Да, честно — мой косяк, целиком. podkop на этом OpenWrt настраивал я, и `russia_outside` в `community_lists` добавил я же — видимо, затащил из гайда, не разобравшись, что inside/outside это про направление. А дальше хуже: сайты ломались не раз, и я каждый раз лечил **симптом** (восстанавливал слетевшие overrides), даже watchdog собрался вешать на доливку overrides — вместо того чтобы в первый же раз спросить «а почему они вообще фейкапятся». Список надо было пересмотреть давно.
+
+Ткнул верно — тв
+
+---
+*Автосохранено из session [`a168395e`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/a168395e-115b-4344-aadc-4968cca83d59.jsonl) — 9 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, ToolSearch, WebFetch, WebSearch, Write, mcp__ccd_session__mark_chapter*

notes/claude/2026-05-29-133223-в-ниикн-сети-не-работают-не-заходит-на-этот-сайт-h.md

@@ -0,0 +1,29 @@
+---
+date: 2026-05-29
+type: claude-session
+session_id: a168395e-115b-4344-aadc-4968cca83d59
+started: 2026-05-29T09:00:15.254Z
+ended: 2026-05-29T10:32:23.206Z
+messages: 9
+tools: [AskUserQuestion, Bash, Edit, Read, ToolSearch, WebFetch, WebSearch, Write, mcp__ccd_session__mark_chapter]
+tags: [claude, session]
+---
+
+# В НИИКН сети не работают не заходит на этот сайт https://www.diadoc.ru/ и на озо
+
+## Запрос
+
+В НИИКН сети не работают не заходит на этот сайт https://www.diadoc.ru/ и на озон. Исправь пожалуйста.
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Готово. Свёл всё в канонический справочник.
+
+## 📖 `snippets/podkop-reference.md` — single source of truth
+Покрывает то, чего не хватало (из-за чего и были грабли):
+1. **Модель** — как работает цепочка (FakeIP → sing-box → tproxy → туннель → exit), что туннель несёт только то, что в списках.
+2. **⚠️ inside/outside** — таблица + мнемоника + **decision guide** «какой сценарий → какие списки». Главное правило: объект в РФ → `russia_inside`/точечные, **никогда `russia_outside`**.
+3. **Каталог листов*
+
+---
+*Автосохранено из session [`a168395e`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/a168395e-115b-4344-aadc-4968cca83d59.jsonl) — 9 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, ToolSearch, WebFetch, WebSearch, Write, mcp__ccd_session__mark_chapter*

notes/claude/2026-05-29-134858-в-ниикн-сети-не-работают-не-заходит-на-этот-сайт-h.md

@@ -0,0 +1,27 @@
+---
+date: 2026-05-29
+type: claude-session
+session_id: a168395e-115b-4344-aadc-4968cca83d59
+started: 2026-05-29T09:00:15.254Z
+ended: 2026-05-29T10:48:58.400Z
+messages: 10
+tools: [AskUserQuestion, Bash, Edit, Read, ToolSearch, WebFetch, WebSearch, Write, mcp__ccd_session__mark_chapter]
+tags: [claude, session]
+---
+
+# В НИИКН сети не работают не заходит на этот сайт https://www.diadoc.ru/ и на озо
+
+## Запрос
+
+В НИИКН сети не работают не заходит на этот сайт https://www.diadoc.ru/ и на озон. Исправь пожалуйста.
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Это **не сеть** — наоборот, подтверждает, что наш фикс сработал: сайт **достижим**, браузер дошёл до TLS-рукопожатия. Ошибка `ERR_SSL_VERSION_OR_CIPHER_MISMATCH` на `eruz.zakupki.gov.ru` = сайт требует **ГОСТ-TLS**, а **Chrome не умеет ГОСТ-шифры**. Это ровно тот класс (ГОСТ-TLS), что я отмечал для `lk.zakupki` — маршрутом/podkop не лечится, это клиентская криптография.
+
+## Что делать
+
+**1. Сразу (открыть сайт):** открывай `eruz.zakupki.gov.ru` в **Яндекс.Браузере**, а не в Chrome. У Яндекса ГОС
+
+---
+*Автосохранено из session [`a168395e`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/a168395e-115b-4344-aadc-4968cca83d59.jsonl) — 10 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, ToolSearch, WebFetch, WebSearch, Write, mcp__ccd_session__mark_chapter*

notes/claude/2026-05-29-135625-в-ниикн-сети-не-работают-не-заходит-на-этот-сайт-h.md

@@ -0,0 +1,29 @@
+---
+date: 2026-05-29
+type: claude-session
+session_id: a168395e-115b-4344-aadc-4968cca83d59
+started: 2026-05-29T09:00:15.254Z
+ended: 2026-05-29T10:56:25.847Z
+messages: 10
+tools: [AskUserQuestion, Bash, Edit, Read, ToolSearch, WebFetch, WebSearch, Write, mcp__ccd_session__mark_chapter]
+tags: [claude, session]
+---
+
+# В НИИКН сети не работают не заходит на этот сайт https://www.diadoc.ru/ и на озо
+
+## Запрос
+
+В НИИКН сети не работают не заходит на этот сайт https://www.diadoc.ru/ и на озон. Исправь пожалуйста.
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Теперь однозначно:
+
+- Максим залогинен под **своим** аккаунтом `DESKTOP-IC5A0K2\Максим Маул` (профиль `C:\Users\Максим Маул`).
+- **Яндекс.Браузер стоит в профиле ДРУГОГО аккаунта — `Dell`** (Loaded=False, им не пользуются). **В сессии Максима Яндекса нет.**
+- КриптоПро CSP 5.0 + ЭЦП-плагин стоят **системно** — криптобаза готова, не хватает только ГОСТ-браузера у Максима.
+
+**Итог:** Chrome не умеет ГОСТ-TLS (ходит мимо КриптоПро), а единственный ГОСТ-браузер (Яндекс) — под чужим аккаунтом. Поэтом
+
+---
+*Автосохранено из session [`a168395e`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/a168395e-115b-4344-aadc-4968cca83d59.jsonl) — 10 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, ToolSearch, WebFetch, WebSearch, Write, mcp__ccd_session__mark_chapter*

notes/claude/2026-05-29-234117-давай-проверим-openvrt-benelux.md

@@ -0,0 +1,31 @@
+---
+date: 2026-05-29
+type: claude-session
+session_id: ce9de199-0b3f-48d8-af02-b48c6cdb585e
+started: 2026-05-20T15:37:35.872Z
+ended: 2026-05-29T20:41:17.406Z
+messages: 88
+tools: [AskUserQuestion, Bash, Edit, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write]
+tags: [claude, session]
+---
+
+# Давай проверим OpenVRT Benelux.
+
+## Запрос
+
+Давай проверим OpenVRT Benelux.
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Зафиксировал. Новая запись [projects/dttb/proxmox-pve-147.md](projects/dttb/proxmox-pve-147.md) + ссылка в [proxmox-inventory.md](projects/dttb/proxmox-inventory.md).
+
+## Краткое резюме по 10.0.0.147
+
+**Хост:** второй standalone Proxmox VE 6.17.2 в LAN dttb, i3-2100 / 15 GB / SSD 112 GB + HDD 1.8 TB.
+
+**Назначение по факту:**
+- VM 100 **«Zima»** (ZimaOS NAS) — сейчас **остановлена**, 8 GB RAM, 128 GB диск
+- LXC 101 **«npm»** (Nginx Proxy Manager на Docker `jc21/nginx-proxy-manager:latest`) — **р
+
+---
+*Автосохранено из session [`ce9de199`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/ce9de199-0b3f-48d8-af02-b48c6cdb585e.jsonl) — 88 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write*

notes/claude/2026-05-29-234822-давай-проверим-openvrt-benelux.md

@@ -0,0 +1,23 @@
+---
+date: 2026-05-29
+type: claude-session
+session_id: ce9de199-0b3f-48d8-af02-b48c6cdb585e
+started: 2026-05-20T15:37:35.872Z
+ended: 2026-05-29T20:48:22.914Z
+messages: 90
+tools: [AskUserQuestion, Bash, Edit, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write]
+tags: [claude, session]
+---
+
+# Давай проверим OpenVRT Benelux.
+
+## Запрос
+
+Давай проверим OpenVRT Benelux.
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Ушло в фон — VM в TCG-режиме грузится долго (2+ минуты). Жду нотификации.
+
+---
+*Автосохранено из session [`ce9de199`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/ce9de199-0b3f-48d8-af02-b48c6cdb585e.jsonl) — 90 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write*

notes/claude/2026-05-29-234933-давай-проверим-openvrt-benelux.md

@@ -0,0 +1,38 @@
+---
+date: 2026-05-29
+type: claude-session
+session_id: ce9de199-0b3f-48d8-af02-b48c6cdb585e
+started: 2026-05-20T15:37:35.872Z
+ended: 2026-05-29T20:49:33.275Z
+messages: 90
+tools: [AskUserQuestion, Bash, Edit, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write]
+tags: [claude, session]
+---
+
+# Давай проверим OpenVRT Benelux.
+
+## Запрос
+
+Давай проверим OpenVRT Benelux.
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+**Подключён, всё на месте:**
+
+```
+/dev/sdb  WDC WD20EZRX-19D8PB0  (WD Blue 2 TB, 5400 rpm)
+          Capacity: 2,000,398,934,016 bytes (2.00 TB)
+          Mounted: /mnt/pve/Work
+          Available: 1.79 TiB из 1.82 TiB (использовано 1.87% — почти пустой)
+```
+
+Виден как «1.8 TB» в `lsblk` — это просто TB vs TiB (2 TB форматированно ≈ 1.82 TiB). Это тот же диск что и под Proxmox-storage `Work`.
+
+**Но ZimaOS пока не запустится:**
+
+```
+CPU model 'host' requires KVM or HVF
+start failed: QEMU exited 
+
+---
+*Автосохранено из session [`ce9de199`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/ce9de199-0b3f-48d8-af02-b48c6cdb585e.jsonl) — 90 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write*

notes/claude/2026-05-30-002040-давай-проверим-openvrt-benelux.md

@@ -0,0 +1,23 @@
+---
+date: 2026-05-30
+type: claude-session
+session_id: ce9de199-0b3f-48d8-af02-b48c6cdb585e
+started: 2026-05-20T15:37:35.872Z
+ended: 2026-05-29T21:20:40.971Z
+messages: 93
+tools: [AskUserQuestion, Bash, Edit, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write]
+tags: [claude, session]
+---
+
+# Давай проверим OpenVRT Benelux.
+
+## Запрос
+
+Давай проверим OpenVRT Benelux.
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Записал в [proxmox-pve-147.md](projects/dttb/proxmox-pve-147.md) — раздел «TODO для физического визита» с конкретными BIOS-пунктами, плюс зафиксировано железо (ZOTAC H61, WD Blue 2 TB) и причина почему BIOS не обновляем.
+
+---
+*Автосохранено из session [`ce9de199`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/ce9de199-0b3f-48d8-af02-b48c6cdb585e.jsonl) — 93 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write*

notes/claude/2026-05-30-002747-давай-проверим-openvrt-benelux.md

@@ -0,0 +1,25 @@
+---
+date: 2026-05-30
+type: claude-session
+session_id: ce9de199-0b3f-48d8-af02-b48c6cdb585e
+started: 2026-05-20T15:37:35.872Z
+ended: 2026-05-29T21:27:47.221Z
+messages: 94
+tools: [AskUserQuestion, Bash, Edit, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write]
+tags: [claude, session]
+---
+
+# Давай проверим OpenVRT Benelux.
+
+## Запрос
+
+Давай проверим OpenVRT Benelux.
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Окей, оставляю как есть. Autostart на VM 100 + LXC 101 уже выставлен — завтра после твоего захода в BIOS (VT-x + AC Power On) и перезагрузки всё само поднимется. Записал в [proxmox-pve-147.md](projects/dttb/proxmox-pve-147.md), чтобы не забыть.
+
+Если завтра возникнут вопросы или что-то не пойдёт после BIOS — пиши, помогу.
+
+---
+*Автосохранено из session [`ce9de199`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/ce9de199-0b3f-48d8-af02-b48c6cdb585e.jsonl) — 94 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write*

notes/claude/2026-05-30-003032-давай-проверим-openvrt-benelux.md

@@ -0,0 +1,29 @@
+---
+date: 2026-05-30
+type: claude-session
+session_id: 3e7a5da9-eb5f-46f2-a99c-53eb086ce42d
+started: 2026-05-20T15:37:35.872Z
+ended: 2026-05-29T21:30:32.664Z
+messages: 94
+tools: [AskUserQuestion, Bash, Edit, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write]
+tags: [claude, session]
+---
+
+# Давай проверим OpenVRT Benelux.
+
+## Запрос
+
+Давай проверим OpenVRT Benelux.
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Выключен. LXC 101 остановлен gracefully, потом `shutdown -h now`, через 30 секунд хост **не пингается** — лёг.
+
+Завтра когда подойдёшь физически — заодно сделаешь в BIOS:
+1. **Intel Virtualization Technology → Enabled**
+2. **Restore AC Power Loss → Power On**
+
+Оба пункта зафиксированы в [proxmox-pve-147.md](projects/dttb/proxmox-pve-147.md) в разделе «TODO для физического визита». Когда вернёшься — пиши, доделаем ZimaOS.
+
+---
+*Автосохранено из session [`3e7a5da9`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/3e7a5da9-eb5f-46f2-a99c-53eb086ce42d.jsonl) — 94 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write*

notes/claude/2026-05-30-105828-давай-проверим-openvrt-benelux.md

@@ -0,0 +1,33 @@
+---
+date: 2026-05-30
+type: claude-session
+session_id: e8339c89-7032-4463-8504-a668d00ecaac
+started: 2026-05-20T15:37:35.872Z
+ended: 2026-05-30T07:58:28.999Z
+messages: 89
+tools: [AskUserQuestion, Bash, Edit, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write]
+tags: [claude, session]
+---
+
+# Давай проверим OpenVRT Benelux.
+
+## Запрос
+
+Давай проверим OpenVRT Benelux.
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Информация уже подробно в [projects/dttb/proxmox-pve-147.md](projects/dttb/proxmox-pve-147.md) — создал её сегодня утром. Краткая выжимка:
+
+## `10.0.0.147` = вторая Proxmox-нода `pve` (standalone)
+
+| | |
+|---|---|
+| Железо | **ZOTAC H61** mini-ITX, Intel Core i3-2100 (2/4), 15 GB RAM |
+| Диски | 111 GB SSD (системный) + **1.8 TB WD Blue** на sdb (`/mnt/pve/Work`) |
+| OS | **Proxmox VE 6.17.2** |
+| BIOS | AMI 4.6.4 (2011) — не обновлять |
+| NetBird | **inactive** (агента нет, идти через jump open
+
+---
+*Автосохранено из session [`e8339c89`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e8339c89-7032-4463-8504-a668d00ecaac.jsonl) — 89 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write*

notes/claude/2026-05-30-110546-давай-проверим-openvrt-benelux.md

@@ -0,0 +1,23 @@
+---
+date: 2026-05-30
+type: claude-session
+session_id: e8339c89-7032-4463-8504-a668d00ecaac
+started: 2026-05-20T15:37:35.872Z
+ended: 2026-05-30T08:05:46.043Z
+messages: 89
+tools: [AskUserQuestion, Bash, Edit, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write]
+tags: [claude, session]
+---
+
+# Давай проверим OpenVRT Benelux.
+
+## Запрос
+
+Давай проверим OpenVRT Benelux.
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Карточка обновлена. Жду пока поллинг найдёт IP ZimaOS в ARP и проверит её web UI — отчитаюсь когда придёт результат.
+
+---
+*Автосохранено из session [`e8339c89`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e8339c89-7032-4463-8504-a668d00ecaac.jsonl) — 89 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write*

notes/claude/2026-05-30-114525-давай-проверим-openvrt-benelux.md

@@ -0,0 +1,29 @@
+---
+date: 2026-05-30
+type: claude-session
+session_id: e8339c89-7032-4463-8504-a668d00ecaac
+started: 2026-05-20T15:37:35.872Z
+ended: 2026-05-30T08:45:25.945Z
+messages: 92
+tools: [AskUserQuestion, Bash, Edit, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write]
+tags: [claude, session]
+---
+
+# Давай проверим OpenVRT Benelux.
+
+## Запрос
+
+Давай проверим OpenVRT Benelux.
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Готово. Промт сохранён в [projects/dttb/ai-assistant-pilot/PROMPT.md](projects/dttb/ai-assistant-pilot/PROMPT.md) — он длинный (полное ТЗ + этапы + открытые вопросы).
+
+## Как использовать
+
+1. **Перед открытием новой сессии** — ты решаешь несколько мелких вещей (TG-handle, домен, цена) — список под промтом, секция «Что Олег решает в чате»
+2. **Открываешь новый Claude-чат** (отдельная сессия — она не имеет нашего контекста)
+3. **Вставляешь содержимое блока ```...```** из этого файла (с «Я разрабат
+
+---
+*Автосохранено из session [`e8339c89`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e8339c89-7032-4463-8504-a668d00ecaac.jsonl) — 92 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write*

notes/claude/2026-05-30-140307-session.md

@@ -0,0 +1,321 @@
+---
+date: 2026-05-30
+type: claude-session
+session_id: 83491ec7-16d3-47aa-9bcc-655c342ad2a2
+started: 2026-05-30T08:49:37.558Z
+ended: 2026-05-30T11:03:07.160Z
+messages: 2
+tools: [AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write]
+tags: [claude, session]
+---
+
+# ---
+
+## Запрос
+
+---
+date: 2026-05-30
+type: project-spec
+tags: [product, ai-assistant, pilot, openclaw, alexandr, business]
+status: draft
+---
+
+# AI-ассистент в коробке — пилот для Александра
+
+> **Это первая страница нового продукта Олега.** Цель — собрать автономного AI-консьержа на маленьком ПК, продать Александру (КП Бенелюкс) как пилот. Если зайдёт — переезжает к клиенту физически, дальше масштабирование на других клиентов.
+
+Этот файл — **промт для следующей Claude-сессии**, которая будет строить систему. Открываешь новый чат и вставляешь всё ниже целиком.
+
+---
+
+## 📋 Промт для копирования в новую сессию
+
+```
+Я разрабатываю коммерческий AI-консьерж-продукт. Маленький ПК с предустановленным
+ассистентом, который покупает домохозяйство и ставит в свою сеть. Сегодня пилот
+для одного конкретного клиента — Александра Григорьева (КП Бенелюкс, Истра).
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТ — кто я и что у меня уже есть
+
+Я Олег Батлаев, DevOps. У меня уже работает похожая система для себя — Антошка
+(openclaw в LXC 137 на моём Proxmox). Она использует OmniRoute (бесплатный
+ProxyDispatcher к Sonnet 4.5/Opus/GPT-5.4), есть Telegram-бот, есть Nextcloud
+Talk-бот, есть RAG над моим Obsidian-vault. Это базовая референс-архитектура.
+
+Я обслуживаю Александра как сетевого админа уже несколько недель. Знаю всю его
+инфру наизусть — описано в моём vault (см. ссылки ниже). Хочу выделить из этой
+работы продукт.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЦЕЛЬ ПРОЕКТА
+
+Собрать на маленьком ПК (Proxmox VE 9.1, ZOTAC H61 / i3-2100 / 15 GB RAM / 
+SSD 112 GB + HDD 1.8 TB, IP 10.0.0.147 пока у меня) автономный AI-ассистент,
+который умеет:
+
+1. Помогать Александру с типичными бытовыми IT-проблемами его сети
+   («не работает Telegram», «принтер не печатает», «почта не отправляется»)
+2. Сам диагностировать (read-only тулы) и предлагать решения
+3. Выполнять починку (write-action тулы) только после подтверждения клиента
+4. Работать с его документами и почтой через RAG
+5. Общаться через 3 интерфейса с единой памятью: Web / Telegram / Nextcloud Talk
+6. Постепенно обучаться (расширяемая RAG-база, не fine-tuning)
+
+Бизнес: пилот → если Александр покупает, ПК физически переезжает к нему домой,
+переходит в его LAN. Дальше масштабирую на других клиентов.
+
+═══════════════════════════════════════════════════════════════════════════════
+АРХИТЕКТУРА (принципы)
+
+✅ ПОЛНАЯ АВТОНОМНОСТЬ от моей dttb-инфры. Бот не должен зависеть от:
+   - моего openclaw / claude-memory
+   - моего vault / Gitea
+   - моего code-server / openclaw-NetBird
+   - моего OmniRoute (его instance может крутиться где угодно — отдельно)
+   После переезда ПК к клиенту — никаких связей со мной не остаётся, кроме
+   возможности удалённой поддержки.
+
+✅ ОТДЕЛЬНЫЙ vault — новый git-репозиторий `alexandr-knowledge-base`. Туда
+   копируется ТОЛЬКО инфра Александра (из моего vault projects/benilux/,
+   snippets/clients/alexandr-*, claude-memory/benelux*.md, плюс универсальные
+   snippets). Данные других моих клиентов (НИИКН, ММФБ, Знаменское, Главторг)
+   НЕ копируются ни в каком виде — это утечка их данных третьему лицу.
+
+✅ ВНЕШНИЙ ДОСТУП через мой VPS на Spaceweb с белым IP. Я куплю домен (имя
+   уточню позже). От бота до VPS — обратный туннель (рекомендую Cloudflare
+   Tunnel — бесплатно, SSL автоматом, не требует port-forward на роутере
+   клиента; альтернатива — FRP или WireGuard). На VPS — Nginx Proxy Manager
+   или Caddy с Let's Encrypt → проксирует на бота через туннель.
+
+✅ ОДИН ПОЛЬЗОВАТЕЛЬ (Александр). Многопользовательский режим для семьи —
+   возможный апгрейд в будущем, но не сейчас.
+
+✅ ГИБРИДНЫЕ TOOLS:
+   - read-only (ping, lpstat, awg show, curl, RAG search) — всегда без
+     подтверждения
+   - write-action (restart_podkop, flush_dns_on_mac, change_uci_setting) —
+     ВСЕГДА требуют клик кнопки «Да, разрешаю» в TG/Web inline keyboard
+   - все действия логируются → отдельный audit-log канал в TG для меня
+
+═══════════════════════════════════════════════════════════════════════════════
+СТЕК ТЕХНОЛОГИЙ (предложение)
+
+Слой              | Технология                          | Где живёт
+──────────────────┼─────────────────────────────────────┼──────────────────────
+Гипервизор        | Proxmox VE 9.1.0                    | host (уже стоит)
+NAS-OS            | ZimaOS в VM 100 (8 GB / 128 GB)     | KVM (запущена сегодня)
+Reverse proxy     | NPM в LXC 101 (10.0.0.207)          | LXC (уже работает)
+Контейнер бота    | LXC (Debian, ~4 GB RAM)             | новый LXC 102
+LLM роутер        | OmniRoute (форк или свой instance)  | LXC 102
+Conversation DB   | PostgreSQL                          | LXC 102 в Docker
+RAG / vector DB   | Qdrant или pgvector                 | LXC 102 в Docker
+Embeddings        | через API (OpenAI text-embedding или        |
+                  | Voyage AI или Sonnet с описанием)   | внешние
+Email клиент      | MCP-imap server                     | LXC 102 в Docker
+Web UI            | Open WebUI или собственный простой  | LXC 102
+Telegram bot      | python-telegram-bot или Telethon    | LXC 102
+Nextcloud Talk    | Nextcloud в Docker внутри ZimaOS    | VM 100 (Zima)
+                  | + Talk-плагин + nextcloud-talk-bot  |
+                  | (или повторить мой Антошка-Talk     |
+                  | через long-poll скрипт)             |
+Туннель           | Cloudflare Tunnel (рекомендую)      | LXC 102 → CF edge
+DNS               | Cloudflare (бесплатно)              | для домена клиента
+Secrets           | sops + age, либо HashiCorp Vault    | LXC 102
+
+═══════════════════════════════════════════════════════════════════════════════
+ИНТЕРФЕЙСЫ И ЕДИНОЕ СОСТОЯНИЕ
+
+3 канала входа — Web / Telegram / Nextcloud Talk — должны делить:
+- Conversation history (Postgres)
+- RAG-память (Qdrant/pgvector)
+- Audit log (отдельная таблица в Postgres)
+
+То есть Александр пишет в TG: «Принтер не печатает». Потом утром идёт в Web →
+видит ту же беседу с продолжением. В Nextcloud Talk пишет вечером — тот же
+контекст.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЗНАНИЯ И ОБУЧЕНИЕ
+
+Старт-импорт в RAG из моего vault (передам файлы через scp или git-clone):
+- projects/benilux/README.md
+- projects/benilux/credentials.md (только данные Александра, не моих)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md
+- snippets/clients/alexandr-benelux-power-recovery.md
+- claude-memory/benelux.md
+- claude-memory/benelux-topology.md
+- decisions/2026-05-20-benelux-compromise.md (история инцидента — учит «бот
+  всегда сначала диагностирует, потом действует»)
+- decisions/2026-05-20-amneziavpn-macos-v1-v2-incompat.md
+
+Также добавить универсальные знания (без привязки к Александру):
+- как закрыть приложение из памяти на iOS/Android/macOS
+- как сделать DNS-flush на Mac
+- как проверить включён ли Private Relay
+- как разбудить HP-принтер из deep sleep
+- типичные коды ошибок AmneziaVPN
+
+Self-update memory: после каждой решённой проблемы бот спрашивает Александра
+«Это помогло?». Если да — записывает в RAG как новое решение. Через месяц у
+бота своя локальная база типичных кейсов Александра.
+
+═══════════════════════════════════════════════════════════════════════════════
+PERSONA (стиль общения)
+
+- Имя бота — Олег решит (поле для заполнения, например «Помощник Бенелюкса»)
+- Тон: спокойный, дружелюбный, на «ты», без жаргона
+- НЕ использовать: «критическая ошибка», «сбой», «недоступен», «провал»
+- Использовать: «немного не работает», «давай посмотрим», «починим за минуту»
+- Если Александр злится — извиниться, обещать разобраться, не оправдываться
+- Перед действием объяснять простыми словами что будет делать
+- После действия описывать результат человеческим языком
+
+═══════════════════════════════════════════════════════════════════════════════
+ДОСТУП БОТА К СЕТИ АЛЕКСАНДРА (для диагностики)
+
+Сейчас на пилоте — бот живёт в моей LAN dttb (10.0.0.147), к сети Александра
+(192.168.1.0/24 за роутером Cudy в Бенелюксе) подключается через NetBird.
+Cudy уже в моём NetBird (openwrt-benilux 100.70.207.97). Выдам боту отдельный
+NetBird-setup-key с доступом только в группу Бенелюкса.
+
+После переезда ПК к клиенту — бот в его LAN напрямую, прямой доступ к
+Cudy/Cloud Key/принтеру/устройствам семьи без NetBird-overhead.
+
+SSH-ключи к устройствам Александра:
+- Cudy роутер: ssh-ключ Олежиного Mac уже добавлен; добавим ключ бота
+- Cloud Key Gen2+ (192.168.1.199): только по ключу, ключ Александра не у меня
+  — попросим Александра добавить наш ключ через UniFi OS Console
+- Mac Александра (aleksandrgrigorev): добавим публичный ключ бота
+- Принтер HP M775 (192.168.1.148): через CUPS, не SSH
+
+═══════════════════════════════════════════════════════════════════════════════
+ЭТАПЫ РЕАЛИЗАЦИИ (предложение)
+
+Этап 1: Базовая инфра (без интернета извне)
+  ─ LXC 102 «assistant» на pve-147 (Debian, 4 GB RAM)
+  ─ Docker внутри LXC
+  ─ Postgres + Qdrant в Docker
+  ─ Каркас бота (openclaw-форк, OmniRoute с моими токенами)
+  ─ Telegram-bot создан через @BotFather (handle и токен — Олег предоставит)
+  ─ Простейший Web UI (Open WebUI)
+  ─ Тест: «привет, как дела?» в TG → ответ из Sonnet через OmniRoute
+
+Этап 2: Tools (read-only)
+  ─ ping_host, check_router_health, check_printer, check_dns
+  ─ NetBird-setup на боте (доступ в Бенелюкс)
+  ─ SSH-ключ бота добавлен на Cudy, Mac Александра
+  ─ Тест: «проверь работает ли подкоп» → бот делает awg show на Cudy
+  
+Этап 3: RAG и знания
+  ─ Импорт vault Александра в Qdrant
+  ─ MCP-инструменты для бота: search_knowledge, recall_history
+  ─ Тест: «как починить TG если не открывается» → бот выдаёт инструкцию из RAG
+
+Этап 4: Tools (write-action с подтверждением)
+  ─ Inline keyboard в TG: «Да, разрешаю» / «Нет»
+  ─ restart_podkop, flush_dns_on_mac, restart_printer_queue
+  ─ Audit log в отдельный TG-канал для Олега
+  ─ Тест: «принтер не печатает» → бот предлагает действие → клик → перезапуск
+
+Этап 5: Внешний доступ
+  ─ Куплен домен (Олег)
+  ─ Cloudflare Tunnel настроен (LXC 102 → CF edge → домен)
+  ─ Web UI доступен снаружи по HTTPS через домен
+  ─ Telegram-bot работает (он и так через TG-API, без туннеля)
+
+Этап 6: Nextcloud Talk и почта
+  ─ Nextcloud в Docker на ZimaOS-NAS
+  ─ Talk бот через long-poll (по образцу моего nextcloud-talk-bot для Антошки)
+  ─ MCP-imap: подключение к почте Александра (IMAP-сервер уточню)
+  ─ RAG-индексация писем и документов из NAS-share
+
+Этап 7: Документы
+  ─ ZimaOS-NAS share по SMB
+  ─ Бот видит файлы через MCP-filesystem
+  ─ Индексация в RAG
+
+Этап 8: Обучение и калибровка
+  ─ Олег проводит 5-10 тестовых диалогов
+  ─ Калибровка persona (тон, длина ответов, эмодзи)
+  ─ Тест на семейных сценариях: «помоги маме закрыть рекламу в Сафари»
+
+Этап 9: Юридическое и передача
+  ─ Простое соглашение на 1 страницу (Олег подготовит)
+  ─ Демо Александру по видеосвязи
+  ─ Если покупает — выезд к нему, физический переезд ПК
+
+═══════════════════════════════════════════════════════════════════════════════
+ОТКРЫТЫЕ ВОПРОСЫ (для уточнения у Олега в новой сессии)
+
+1. Имя бота? (Алекс, Помощник, Лёша, Билли, что-то фирменное?)
+2. Telegram-handle? Олег создаст через @BotFather и даст токен
+3. Домен — какой Олег купит? (alexbot.ru, ai-helper.ru, your-helper.online?)
+4. VPS Spaceweb — выделить отдельный или использовать существующий?
+   IP, доступ?
+5. Email сервис Александра — Yandex/Gmail/Mail.ru/iCloud? IMAP-host? App-pass
+   или OAuth?
+6. Где Александр хранит документы — Mac локально / iCloud / OneDrive? Как
+   ассистент к ним получит доступ?
+7. Cloudflare Tunnel: использовать существующий аккаунт Олега (если есть) или
+   создать новый под клиента?
+8. Цена пилота для Александра?
+9. Топ-5 типичных сценариев которые точно должны работать к демо
+   (TG не открывается, принтер не печатает, что ещё?)
+10. Готов ли Олег дать боту admin-уровень доступа к Cudy / Cloud Key, или
+    только конкретные команды через sudo-whitelist?
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТНЫЕ ССЫЛКИ (мой vault, прочитать перед стартом)
+
+- projects/benilux/README.md — что такое объект Бенелюкс
+- projects/benilux/credentials.md — пароли (для копирования в Alex-vault)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md — история инцидента
+- snippets/clients/alexandr-benelux-power-recovery.md — типичные кейсы семьи
+- claude-memory/benelux.md — текущее состояние Cudy
+- claude-memory/benelux-topology.md — карта сети + список устройств
+- decisions/2026-05-20-benelux-compromise.md — урок про безопасность
+- projects/dttb/proxmox-pve-147.md — карточка целевого хоста
+- claude-memory/MEMORY.md — общая память (для понимания моего стиля и инфры)
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНЕЦ ПРОМТА. Действуй: задай мне 10 открытых вопросов одним сообщением,
+получи ответы, начни с Этапа 1. По итогам каждого этапа — короткий статус
+в чате (что сделал, что проверил, что осталось).
+```
+
+---
+
+## Что Олег решает в чате (НЕ внутри промта)
+
+Перед открытием новой сессии:
+
+- [ ] Создать TG-бота через @BotFather → получить токен и handle
+- [ ] Купить домен (или выбрать из существующих свободных)
+- [ ] Проверить статус VPS Spaceweb (есть ли свободный с белым IP)
+- [ ] Решить имя бота (или дать новой сессии выбрать варианты)
+- [ ] Прикинуть цену пилота — €15/мес? €25? разово €300?
+
+## Что в новой сессии делать НЕ нужно
+
+- ❌ Использовать мой openclaw (LXC 137) — пилот строит свой независимый бот
+- ❌ Использовать мою claude-memory или мой Anthropic-API-token
+- ❌ Подключать к моему vault через rclone/git
+- ❌ Использовать мой Postgres/Qdrant из dttb-инфры
+- ❌ Копировать в Alex-vault инфо о других клиентах (ММФБ, НИИКН и т.п.)
+
+## Связанные файлы в vault
+
+- [[proxmox-pve-147]] — целевой хост
+- [[../benilux/README]] — объект клиента
+- [[../../snippets/clients/alexandr-benelux-amnezia-reinstall]] — история работы
+- [[../../snippets/clients/alexandr-benelux-power-recovery]] — типовой плейбук
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Записал: домен `umnybot.ru` в трекере (Этап 5) и в памяти проекта `project_alexandr_assistant` — между сессиями не потеряется.
+
+Стоп-кадр: коробка собрана и крутится, дальше всё упирается в **TG-токен** (@BotFather) и **Kiro-аккаунт(ы)**. Кидай любой из двух — добиваю Этап 1.
+
+---
+*Автосохранено из session [`83491ec7`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/83491ec7-16d3-47aa-9bcc-655c342ad2a2.jsonl) — 2 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write*

notes/claude/2026-05-30-143711-session.md

@@ -0,0 +1,327 @@
+---
+date: 2026-05-30
+type: claude-session
+session_id: 83491ec7-16d3-47aa-9bcc-655c342ad2a2
+started: 2026-05-30T08:49:37.558Z
+ended: 2026-05-30T11:37:11.018Z
+messages: 3
+tools: [AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write]
+tags: [claude, session]
+---
+
+# ---
+
+## Запрос
+
+---
+date: 2026-05-30
+type: project-spec
+tags: [product, ai-assistant, pilot, openclaw, alexandr, business]
+status: draft
+---
+
+# AI-ассистент в коробке — пилот для Александра
+
+> **Это первая страница нового продукта Олега.** Цель — собрать автономного AI-консьержа на маленьком ПК, продать Александру (КП Бенелюкс) как пилот. Если зайдёт — переезжает к клиенту физически, дальше масштабирование на других клиентов.
+
+Этот файл — **промт для следующей Claude-сессии**, которая будет строить систему. Открываешь новый чат и вставляешь всё ниже целиком.
+
+---
+
+## 📋 Промт для копирования в новую сессию
+
+```
+Я разрабатываю коммерческий AI-консьерж-продукт. Маленький ПК с предустановленным
+ассистентом, который покупает домохозяйство и ставит в свою сеть. Сегодня пилот
+для одного конкретного клиента — Александра Григорьева (КП Бенелюкс, Истра).
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТ — кто я и что у меня уже есть
+
+Я Олег Батлаев, DevOps. У меня уже работает похожая система для себя — Антошка
+(openclaw в LXC 137 на моём Proxmox). Она использует OmniRoute (бесплатный
+ProxyDispatcher к Sonnet 4.5/Opus/GPT-5.4), есть Telegram-бот, есть Nextcloud
+Talk-бот, есть RAG над моим Obsidian-vault. Это базовая референс-архитектура.
+
+Я обслуживаю Александра как сетевого админа уже несколько недель. Знаю всю его
+инфру наизусть — описано в моём vault (см. ссылки ниже). Хочу выделить из этой
+работы продукт.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЦЕЛЬ ПРОЕКТА
+
+Собрать на маленьком ПК (Proxmox VE 9.1, ZOTAC H61 / i3-2100 / 15 GB RAM / 
+SSD 112 GB + HDD 1.8 TB, IP 10.0.0.147 пока у меня) автономный AI-ассистент,
+который умеет:
+
+1. Помогать Александру с типичными бытовыми IT-проблемами его сети
+   («не работает Telegram», «принтер не печатает», «почта не отправляется»)
+2. Сам диагностировать (read-only тулы) и предлагать решения
+3. Выполнять починку (write-action тулы) только после подтверждения клиента
+4. Работать с его документами и почтой через RAG
+5. Общаться через 3 интерфейса с единой памятью: Web / Telegram / Nextcloud Talk
+6. Постепенно обучаться (расширяемая RAG-база, не fine-tuning)
+
+Бизнес: пилот → если Александр покупает, ПК физически переезжает к нему домой,
+переходит в его LAN. Дальше масштабирую на других клиентов.
+
+═══════════════════════════════════════════════════════════════════════════════
+АРХИТЕКТУРА (принципы)
+
+✅ ПОЛНАЯ АВТОНОМНОСТЬ от моей dttb-инфры. Бот не должен зависеть от:
+   - моего openclaw / claude-memory
+   - моего vault / Gitea
+   - моего code-server / openclaw-NetBird
+   - моего OmniRoute (его instance может крутиться где угодно — отдельно)
+   После переезда ПК к клиенту — никаких связей со мной не остаётся, кроме
+   возможности удалённой поддержки.
+
+✅ ОТДЕЛЬНЫЙ vault — новый git-репозиторий `alexandr-knowledge-base`. Туда
+   копируется ТОЛЬКО инфра Александра (из моего vault projects/benilux/,
+   snippets/clients/alexandr-*, claude-memory/benelux*.md, плюс универсальные
+   snippets). Данные других моих клиентов (НИИКН, ММФБ, Знаменское, Главторг)
+   НЕ копируются ни в каком виде — это утечка их данных третьему лицу.
+
+✅ ВНЕШНИЙ ДОСТУП через мой VPS на Spaceweb с белым IP. Я куплю домен (имя
+   уточню позже). От бота до VPS — обратный туннель (рекомендую Cloudflare
+   Tunnel — бесплатно, SSL автоматом, не требует port-forward на роутере
+   клиента; альтернатива — FRP или WireGuard). На VPS — Nginx Proxy Manager
+   или Caddy с Let's Encrypt → проксирует на бота через туннель.
+
+✅ ОДИН ПОЛЬЗОВАТЕЛЬ (Александр). Многопользовательский режим для семьи —
+   возможный апгрейд в будущем, но не сейчас.
+
+✅ ГИБРИДНЫЕ TOOLS:
+   - read-only (ping, lpstat, awg show, curl, RAG search) — всегда без
+     подтверждения
+   - write-action (restart_podkop, flush_dns_on_mac, change_uci_setting) —
+     ВСЕГДА требуют клик кнопки «Да, разрешаю» в TG/Web inline keyboard
+   - все действия логируются → отдельный audit-log канал в TG для меня
+
+═══════════════════════════════════════════════════════════════════════════════
+СТЕК ТЕХНОЛОГИЙ (предложение)
+
+Слой              | Технология                          | Где живёт
+──────────────────┼─────────────────────────────────────┼──────────────────────
+Гипервизор        | Proxmox VE 9.1.0                    | host (уже стоит)
+NAS-OS            | ZimaOS в VM 100 (8 GB / 128 GB)     | KVM (запущена сегодня)
+Reverse proxy     | NPM в LXC 101 (10.0.0.207)          | LXC (уже работает)
+Контейнер бота    | LXC (Debian, ~4 GB RAM)             | новый LXC 102
+LLM роутер        | OmniRoute (форк или свой instance)  | LXC 102
+Conversation DB   | PostgreSQL                          | LXC 102 в Docker
+RAG / vector DB   | Qdrant или pgvector                 | LXC 102 в Docker
+Embeddings        | через API (OpenAI text-embedding или        |
+                  | Voyage AI или Sonnet с описанием)   | внешние
+Email клиент      | MCP-imap server                     | LXC 102 в Docker
+Web UI            | Open WebUI или собственный простой  | LXC 102
+Telegram bot      | python-telegram-bot или Telethon    | LXC 102
+Nextcloud Talk    | Nextcloud в Docker внутри ZimaOS    | VM 100 (Zima)
+                  | + Talk-плагин + nextcloud-talk-bot  |
+                  | (или повторить мой Антошка-Talk     |
+                  | через long-poll скрипт)             |
+Туннель           | Cloudflare Tunnel (рекомендую)      | LXC 102 → CF edge
+DNS               | Cloudflare (бесплатно)              | для домена клиента
+Secrets           | sops + age, либо HashiCorp Vault    | LXC 102
+
+═══════════════════════════════════════════════════════════════════════════════
+ИНТЕРФЕЙСЫ И ЕДИНОЕ СОСТОЯНИЕ
+
+3 канала входа — Web / Telegram / Nextcloud Talk — должны делить:
+- Conversation history (Postgres)
+- RAG-память (Qdrant/pgvector)
+- Audit log (отдельная таблица в Postgres)
+
+То есть Александр пишет в TG: «Принтер не печатает». Потом утром идёт в Web →
+видит ту же беседу с продолжением. В Nextcloud Talk пишет вечером — тот же
+контекст.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЗНАНИЯ И ОБУЧЕНИЕ
+
+Старт-импорт в RAG из моего vault (передам файлы через scp или git-clone):
+- projects/benilux/README.md
+- projects/benilux/credentials.md (только данные Александра, не моих)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md
+- snippets/clients/alexandr-benelux-power-recovery.md
+- claude-memory/benelux.md
+- claude-memory/benelux-topology.md
+- decisions/2026-05-20-benelux-compromise.md (история инцидента — учит «бот
+  всегда сначала диагностирует, потом действует»)
+- decisions/2026-05-20-amneziavpn-macos-v1-v2-incompat.md
+
+Также добавить универсальные знания (без привязки к Александру):
+- как закрыть приложение из памяти на iOS/Android/macOS
+- как сделать DNS-flush на Mac
+- как проверить включён ли Private Relay
+- как разбудить HP-принтер из deep sleep
+- типичные коды ошибок AmneziaVPN
+
+Self-update memory: после каждой решённой проблемы бот спрашивает Александра
+«Это помогло?». Если да — записывает в RAG как новое решение. Через месяц у
+бота своя локальная база типичных кейсов Александра.
+
+═══════════════════════════════════════════════════════════════════════════════
+PERSONA (стиль общения)
+
+- Имя бота — Олег решит (поле для заполнения, например «Помощник Бенелюкса»)
+- Тон: спокойный, дружелюбный, на «ты», без жаргона
+- НЕ использовать: «критическая ошибка», «сбой», «недоступен», «провал»
+- Использовать: «немного не работает», «давай посмотрим», «починим за минуту»
+- Если Александр злится — извиниться, обещать разобраться, не оправдываться
+- Перед действием объяснять простыми словами что будет делать
+- После действия описывать результат человеческим языком
+
+═══════════════════════════════════════════════════════════════════════════════
+ДОСТУП БОТА К СЕТИ АЛЕКСАНДРА (для диагностики)
+
+Сейчас на пилоте — бот живёт в моей LAN dttb (10.0.0.147), к сети Александра
+(192.168.1.0/24 за роутером Cudy в Бенелюксе) подключается через NetBird.
+Cudy уже в моём NetBird (openwrt-benilux 100.70.207.97). Выдам боту отдельный
+NetBird-setup-key с доступом только в группу Бенелюкса.
+
+После переезда ПК к клиенту — бот в его LAN напрямую, прямой доступ к
+Cudy/Cloud Key/принтеру/устройствам семьи без NetBird-overhead.
+
+SSH-ключи к устройствам Александра:
+- Cudy роутер: ssh-ключ Олежиного Mac уже добавлен; добавим ключ бота
+- Cloud Key Gen2+ (192.168.1.199): только по ключу, ключ Александра не у меня
+  — попросим Александра добавить наш ключ через UniFi OS Console
+- Mac Александра (aleksandrgrigorev): добавим публичный ключ бота
+- Принтер HP M775 (192.168.1.148): через CUPS, не SSH
+
+═══════════════════════════════════════════════════════════════════════════════
+ЭТАПЫ РЕАЛИЗАЦИИ (предложение)
+
+Этап 1: Базовая инфра (без интернета извне)
+  ─ LXC 102 «assistant» на pve-147 (Debian, 4 GB RAM)
+  ─ Docker внутри LXC
+  ─ Postgres + Qdrant в Docker
+  ─ Каркас бота (openclaw-форк, OmniRoute с моими токенами)
+  ─ Telegram-bot создан через @BotFather (handle и токен — Олег предоставит)
+  ─ Простейший Web UI (Open WebUI)
+  ─ Тест: «привет, как дела?» в TG → ответ из Sonnet через OmniRoute
+
+Этап 2: Tools (read-only)
+  ─ ping_host, check_router_health, check_printer, check_dns
+  ─ NetBird-setup на боте (доступ в Бенелюкс)
+  ─ SSH-ключ бота добавлен на Cudy, Mac Александра
+  ─ Тест: «проверь работает ли подкоп» → бот делает awg show на Cudy
+  
+Этап 3: RAG и знания
+  ─ Импорт vault Александра в Qdrant
+  ─ MCP-инструменты для бота: search_knowledge, recall_history
+  ─ Тест: «как починить TG если не открывается» → бот выдаёт инструкцию из RAG
+
+Этап 4: Tools (write-action с подтверждением)
+  ─ Inline keyboard в TG: «Да, разрешаю» / «Нет»
+  ─ restart_podkop, flush_dns_on_mac, restart_printer_queue
+  ─ Audit log в отдельный TG-канал для Олега
+  ─ Тест: «принтер не печатает» → бот предлагает действие → клик → перезапуск
+
+Этап 5: Внешний доступ
+  ─ Куплен домен (Олег)
+  ─ Cloudflare Tunnel настроен (LXC 102 → CF edge → домен)
+  ─ Web UI доступен снаружи по HTTPS через домен
+  ─ Telegram-bot работает (он и так через TG-API, без туннеля)
+
+Этап 6: Nextcloud Talk и почта
+  ─ Nextcloud в Docker на ZimaOS-NAS
+  ─ Talk бот через long-poll (по образцу моего nextcloud-talk-bot для Антошки)
+  ─ MCP-imap: подключение к почте Александра (IMAP-сервер уточню)
+  ─ RAG-индексация писем и документов из NAS-share
+
+Этап 7: Документы
+  ─ ZimaOS-NAS share по SMB
+  ─ Бот видит файлы через MCP-filesystem
+  ─ Индексация в RAG
+
+Этап 8: Обучение и калибровка
+  ─ Олег проводит 5-10 тестовых диалогов
+  ─ Калибровка persona (тон, длина ответов, эмодзи)
+  ─ Тест на семейных сценариях: «помоги маме закрыть рекламу в Сафари»
+
+Этап 9: Юридическое и передача
+  ─ Простое соглашение на 1 страницу (Олег подготовит)
+  ─ Демо Александру по видеосвязи
+  ─ Если покупает — выезд к нему, физический переезд ПК
+
+═══════════════════════════════════════════════════════════════════════════════
+ОТКРЫТЫЕ ВОПРОСЫ (для уточнения у Олега в новой сессии)
+
+1. Имя бота? (Алекс, Помощник, Лёша, Билли, что-то фирменное?)
+2. Telegram-handle? Олег создаст через @BotFather и даст токен
+3. Домен — какой Олег купит? (alexbot.ru, ai-helper.ru, your-helper.online?)
+4. VPS Spaceweb — выделить отдельный или использовать существующий?
+   IP, доступ?
+5. Email сервис Александра — Yandex/Gmail/Mail.ru/iCloud? IMAP-host? App-pass
+   или OAuth?
+6. Где Александр хранит документы — Mac локально / iCloud / OneDrive? Как
+   ассистент к ним получит доступ?
+7. Cloudflare Tunnel: использовать существующий аккаунт Олега (если есть) или
+   создать новый под клиента?
+8. Цена пилота для Александра?
+9. Топ-5 типичных сценариев которые точно должны работать к демо
+   (TG не открывается, принтер не печатает, что ещё?)
+10. Готов ли Олег дать боту admin-уровень доступа к Cudy / Cloud Key, или
+    только конкретные команды через sudo-whitelist?
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТНЫЕ ССЫЛКИ (мой vault, прочитать перед стартом)
+
+- projects/benilux/README.md — что такое объект Бенелюкс
+- projects/benilux/credentials.md — пароли (для копирования в Alex-vault)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md — история инцидента
+- snippets/clients/alexandr-benelux-power-recovery.md — типичные кейсы семьи
+- claude-memory/benelux.md — текущее состояние Cudy
+- claude-memory/benelux-topology.md — карта сети + список устройств
+- decisions/2026-05-20-benelux-compromise.md — урок про безопасность
+- projects/dttb/proxmox-pve-147.md — карточка целевого хоста
+- claude-memory/MEMORY.md — общая память (для понимания моего стиля и инфры)
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНЕЦ ПРОМТА. Действуй: задай мне 10 открытых вопросов одним сообщением,
+получи ответы, начни с Этапа 1. По итогам каждого этапа — короткий статус
+в чате (что сделал, что проверил, что осталось).
+```
+
+---
+
+## Что Олег решает в чате (НЕ внутри промта)
+
+Перед открытием новой сессии:
+
+- [ ] Создать TG-бота через @BotFather → получить токен и handle
+- [ ] Купить домен (или выбрать из существующих свободных)
+- [ ] Проверить статус VPS Spaceweb (есть ли свободный с белым IP)
+- [ ] Решить имя бота (или дать новой сессии выбрать варианты)
+- [ ] Прикинуть цену пилота — €15/мес? €25? разово €300?
+
+## Что в новой сессии делать НЕ нужно
+
+- ❌ Использовать мой openclaw (LXC 137) — пилот строит свой независимый бот
+- ❌ Использовать мою claude-memory или мой Anthropic-API-token
+- ❌ Подключать к моему vault через rclone/git
+- ❌ Использовать мой Postgres/Qdrant из dttb-инфры
+- ❌ Копировать в Alex-vault инфо о других клиентах (ММФБ, НИИКН и т.п.)
+
+## Связанные файлы в vault
+
+- [[proxmox-pve-147]] — целевой хост
+- [[../benilux/README]] — объект клиента
+- [[../../snippets/clients/alexandr-benelux-amnezia-reinstall]] — история работы
+- [[../../snippets/clients/alexandr-benelux-power-recovery]] — типовой плейбук
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+## Этап 1 почти закрыт — бот живёт
+
+| | |
+|---|---|
+| ✅ **Telegram** | `@alex_umny_bot` **connected**, polling. Напиши ему «привет» — дойдёт (увижу в логах), но ответить пока нечем |
+| ✅ **Gateway** | `openclaw-gateway.service` active (системный unit — встроенный `install` хочет systemd --user, в LXC нет). Дашборд `127.0.0.1:18789`, наружу выведем туннелем на Этапе 5 |
+| ✅ **OmniRoute** | прибит к `127.0.0.1:20128`, без 0.0.0.0 |
+| ✅ **Postgres/pgvector** | ок |
+| ⬜ **Модель** | дефолт openclaw 
+
+---
+*Автосохранено из session [`83491ec7`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/83491ec7-16d3-47aa-9bcc-655c342ad2a2.jsonl) — 3 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write*

notes/claude/2026-05-30-144834-session.md

@@ -0,0 +1,329 @@
+---
+date: 2026-05-30
+type: claude-session
+session_id: 83491ec7-16d3-47aa-9bcc-655c342ad2a2
+started: 2026-05-30T08:49:37.558Z
+ended: 2026-05-30T11:48:34.963Z
+messages: 5
+tools: [AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write]
+tags: [claude, session]
+---
+
+# ---
+
+## Запрос
+
+---
+date: 2026-05-30
+type: project-spec
+tags: [product, ai-assistant, pilot, openclaw, alexandr, business]
+status: draft
+---
+
+# AI-ассистент в коробке — пилот для Александра
+
+> **Это первая страница нового продукта Олега.** Цель — собрать автономного AI-консьержа на маленьком ПК, продать Александру (КП Бенелюкс) как пилот. Если зайдёт — переезжает к клиенту физически, дальше масштабирование на других клиентов.
+
+Этот файл — **промт для следующей Claude-сессии**, которая будет строить систему. Открываешь новый чат и вставляешь всё ниже целиком.
+
+---
+
+## 📋 Промт для копирования в новую сессию
+
+```
+Я разрабатываю коммерческий AI-консьерж-продукт. Маленький ПК с предустановленным
+ассистентом, который покупает домохозяйство и ставит в свою сеть. Сегодня пилот
+для одного конкретного клиента — Александра Григорьева (КП Бенелюкс, Истра).
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТ — кто я и что у меня уже есть
+
+Я Олег Батлаев, DevOps. У меня уже работает похожая система для себя — Антошка
+(openclaw в LXC 137 на моём Proxmox). Она использует OmniRoute (бесплатный
+ProxyDispatcher к Sonnet 4.5/Opus/GPT-5.4), есть Telegram-бот, есть Nextcloud
+Talk-бот, есть RAG над моим Obsidian-vault. Это базовая референс-архитектура.
+
+Я обслуживаю Александра как сетевого админа уже несколько недель. Знаю всю его
+инфру наизусть — описано в моём vault (см. ссылки ниже). Хочу выделить из этой
+работы продукт.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЦЕЛЬ ПРОЕКТА
+
+Собрать на маленьком ПК (Proxmox VE 9.1, ZOTAC H61 / i3-2100 / 15 GB RAM / 
+SSD 112 GB + HDD 1.8 TB, IP 10.0.0.147 пока у меня) автономный AI-ассистент,
+который умеет:
+
+1. Помогать Александру с типичными бытовыми IT-проблемами его сети
+   («не работает Telegram», «принтер не печатает», «почта не отправляется»)
+2. Сам диагностировать (read-only тулы) и предлагать решения
+3. Выполнять починку (write-action тулы) только после подтверждения клиента
+4. Работать с его документами и почтой через RAG
+5. Общаться через 3 интерфейса с единой памятью: Web / Telegram / Nextcloud Talk
+6. Постепенно обучаться (расширяемая RAG-база, не fine-tuning)
+
+Бизнес: пилот → если Александр покупает, ПК физически переезжает к нему домой,
+переходит в его LAN. Дальше масштабирую на других клиентов.
+
+═══════════════════════════════════════════════════════════════════════════════
+АРХИТЕКТУРА (принципы)
+
+✅ ПОЛНАЯ АВТОНОМНОСТЬ от моей dttb-инфры. Бот не должен зависеть от:
+   - моего openclaw / claude-memory
+   - моего vault / Gitea
+   - моего code-server / openclaw-NetBird
+   - моего OmniRoute (его instance может крутиться где угодно — отдельно)
+   После переезда ПК к клиенту — никаких связей со мной не остаётся, кроме
+   возможности удалённой поддержки.
+
+✅ ОТДЕЛЬНЫЙ vault — новый git-репозиторий `alexandr-knowledge-base`. Туда
+   копируется ТОЛЬКО инфра Александра (из моего vault projects/benilux/,
+   snippets/clients/alexandr-*, claude-memory/benelux*.md, плюс универсальные
+   snippets). Данные других моих клиентов (НИИКН, ММФБ, Знаменское, Главторг)
+   НЕ копируются ни в каком виде — это утечка их данных третьему лицу.
+
+✅ ВНЕШНИЙ ДОСТУП через мой VPS на Spaceweb с белым IP. Я куплю домен (имя
+   уточню позже). От бота до VPS — обратный туннель (рекомендую Cloudflare
+   Tunnel — бесплатно, SSL автоматом, не требует port-forward на роутере
+   клиента; альтернатива — FRP или WireGuard). На VPS — Nginx Proxy Manager
+   или Caddy с Let's Encrypt → проксирует на бота через туннель.
+
+✅ ОДИН ПОЛЬЗОВАТЕЛЬ (Александр). Многопользовательский режим для семьи —
+   возможный апгрейд в будущем, но не сейчас.
+
+✅ ГИБРИДНЫЕ TOOLS:
+   - read-only (ping, lpstat, awg show, curl, RAG search) — всегда без
+     подтверждения
+   - write-action (restart_podkop, flush_dns_on_mac, change_uci_setting) —
+     ВСЕГДА требуют клик кнопки «Да, разрешаю» в TG/Web inline keyboard
+   - все действия логируются → отдельный audit-log канал в TG для меня
+
+═══════════════════════════════════════════════════════════════════════════════
+СТЕК ТЕХНОЛОГИЙ (предложение)
+
+Слой              | Технология                          | Где живёт
+──────────────────┼─────────────────────────────────────┼──────────────────────
+Гипервизор        | Proxmox VE 9.1.0                    | host (уже стоит)
+NAS-OS            | ZimaOS в VM 100 (8 GB / 128 GB)     | KVM (запущена сегодня)
+Reverse proxy     | NPM в LXC 101 (10.0.0.207)          | LXC (уже работает)
+Контейнер бота    | LXC (Debian, ~4 GB RAM)             | новый LXC 102
+LLM роутер        | OmniRoute (форк или свой instance)  | LXC 102
+Conversation DB   | PostgreSQL                          | LXC 102 в Docker
+RAG / vector DB   | Qdrant или pgvector                 | LXC 102 в Docker
+Embeddings        | через API (OpenAI text-embedding или        |
+                  | Voyage AI или Sonnet с описанием)   | внешние
+Email клиент      | MCP-imap server                     | LXC 102 в Docker
+Web UI            | Open WebUI или собственный простой  | LXC 102
+Telegram bot      | python-telegram-bot или Telethon    | LXC 102
+Nextcloud Talk    | Nextcloud в Docker внутри ZimaOS    | VM 100 (Zima)
+                  | + Talk-плагин + nextcloud-talk-bot  |
+                  | (или повторить мой Антошка-Talk     |
+                  | через long-poll скрипт)             |
+Туннель           | Cloudflare Tunnel (рекомендую)      | LXC 102 → CF edge
+DNS               | Cloudflare (бесплатно)              | для домена клиента
+Secrets           | sops + age, либо HashiCorp Vault    | LXC 102
+
+═══════════════════════════════════════════════════════════════════════════════
+ИНТЕРФЕЙСЫ И ЕДИНОЕ СОСТОЯНИЕ
+
+3 канала входа — Web / Telegram / Nextcloud Talk — должны делить:
+- Conversation history (Postgres)
+- RAG-память (Qdrant/pgvector)
+- Audit log (отдельная таблица в Postgres)
+
+То есть Александр пишет в TG: «Принтер не печатает». Потом утром идёт в Web →
+видит ту же беседу с продолжением. В Nextcloud Talk пишет вечером — тот же
+контекст.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЗНАНИЯ И ОБУЧЕНИЕ
+
+Старт-импорт в RAG из моего vault (передам файлы через scp или git-clone):
+- projects/benilux/README.md
+- projects/benilux/credentials.md (только данные Александра, не моих)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md
+- snippets/clients/alexandr-benelux-power-recovery.md
+- claude-memory/benelux.md
+- claude-memory/benelux-topology.md
+- decisions/2026-05-20-benelux-compromise.md (история инцидента — учит «бот
+  всегда сначала диагностирует, потом действует»)
+- decisions/2026-05-20-amneziavpn-macos-v1-v2-incompat.md
+
+Также добавить универсальные знания (без привязки к Александру):
+- как закрыть приложение из памяти на iOS/Android/macOS
+- как сделать DNS-flush на Mac
+- как проверить включён ли Private Relay
+- как разбудить HP-принтер из deep sleep
+- типичные коды ошибок AmneziaVPN
+
+Self-update memory: после каждой решённой проблемы бот спрашивает Александра
+«Это помогло?». Если да — записывает в RAG как новое решение. Через месяц у
+бота своя локальная база типичных кейсов Александра.
+
+═══════════════════════════════════════════════════════════════════════════════
+PERSONA (стиль общения)
+
+- Имя бота — Олег решит (поле для заполнения, например «Помощник Бенелюкса»)
+- Тон: спокойный, дружелюбный, на «ты», без жаргона
+- НЕ использовать: «критическая ошибка», «сбой», «недоступен», «провал»
+- Использовать: «немного не работает», «давай посмотрим», «починим за минуту»
+- Если Александр злится — извиниться, обещать разобраться, не оправдываться
+- Перед действием объяснять простыми словами что будет делать
+- После действия описывать результат человеческим языком
+
+═══════════════════════════════════════════════════════════════════════════════
+ДОСТУП БОТА К СЕТИ АЛЕКСАНДРА (для диагностики)
+
+Сейчас на пилоте — бот живёт в моей LAN dttb (10.0.0.147), к сети Александра
+(192.168.1.0/24 за роутером Cudy в Бенелюксе) подключается через NetBird.
+Cudy уже в моём NetBird (openwrt-benilux 100.70.207.97). Выдам боту отдельный
+NetBird-setup-key с доступом только в группу Бенелюкса.
+
+После переезда ПК к клиенту — бот в его LAN напрямую, прямой доступ к
+Cudy/Cloud Key/принтеру/устройствам семьи без NetBird-overhead.
+
+SSH-ключи к устройствам Александра:
+- Cudy роутер: ssh-ключ Олежиного Mac уже добавлен; добавим ключ бота
+- Cloud Key Gen2+ (192.168.1.199): только по ключу, ключ Александра не у меня
+  — попросим Александра добавить наш ключ через UniFi OS Console
+- Mac Александра (aleksandrgrigorev): добавим публичный ключ бота
+- Принтер HP M775 (192.168.1.148): через CUPS, не SSH
+
+═══════════════════════════════════════════════════════════════════════════════
+ЭТАПЫ РЕАЛИЗАЦИИ (предложение)
+
+Этап 1: Базовая инфра (без интернета извне)
+  ─ LXC 102 «assistant» на pve-147 (Debian, 4 GB RAM)
+  ─ Docker внутри LXC
+  ─ Postgres + Qdrant в Docker
+  ─ Каркас бота (openclaw-форк, OmniRoute с моими токенами)
+  ─ Telegram-bot создан через @BotFather (handle и токен — Олег предоставит)
+  ─ Простейший Web UI (Open WebUI)
+  ─ Тест: «привет, как дела?» в TG → ответ из Sonnet через OmniRoute
+
+Этап 2: Tools (read-only)
+  ─ ping_host, check_router_health, check_printer, check_dns
+  ─ NetBird-setup на боте (доступ в Бенелюкс)
+  ─ SSH-ключ бота добавлен на Cudy, Mac Александра
+  ─ Тест: «проверь работает ли подкоп» → бот делает awg show на Cudy
+  
+Этап 3: RAG и знания
+  ─ Импорт vault Александра в Qdrant
+  ─ MCP-инструменты для бота: search_knowledge, recall_history
+  ─ Тест: «как починить TG если не открывается» → бот выдаёт инструкцию из RAG
+
+Этап 4: Tools (write-action с подтверждением)
+  ─ Inline keyboard в TG: «Да, разрешаю» / «Нет»
+  ─ restart_podkop, flush_dns_on_mac, restart_printer_queue
+  ─ Audit log в отдельный TG-канал для Олега
+  ─ Тест: «принтер не печатает» → бот предлагает действие → клик → перезапуск
+
+Этап 5: Внешний доступ
+  ─ Куплен домен (Олег)
+  ─ Cloudflare Tunnel настроен (LXC 102 → CF edge → домен)
+  ─ Web UI доступен снаружи по HTTPS через домен
+  ─ Telegram-bot работает (он и так через TG-API, без туннеля)
+
+Этап 6: Nextcloud Talk и почта
+  ─ Nextcloud в Docker на ZimaOS-NAS
+  ─ Talk бот через long-poll (по образцу моего nextcloud-talk-bot для Антошки)
+  ─ MCP-imap: подключение к почте Александра (IMAP-сервер уточню)
+  ─ RAG-индексация писем и документов из NAS-share
+
+Этап 7: Документы
+  ─ ZimaOS-NAS share по SMB
+  ─ Бот видит файлы через MCP-filesystem
+  ─ Индексация в RAG
+
+Этап 8: Обучение и калибровка
+  ─ Олег проводит 5-10 тестовых диалогов
+  ─ Калибровка persona (тон, длина ответов, эмодзи)
+  ─ Тест на семейных сценариях: «помоги маме закрыть рекламу в Сафари»
+
+Этап 9: Юридическое и передача
+  ─ Простое соглашение на 1 страницу (Олег подготовит)
+  ─ Демо Александру по видеосвязи
+  ─ Если покупает — выезд к нему, физический переезд ПК
+
+═══════════════════════════════════════════════════════════════════════════════
+ОТКРЫТЫЕ ВОПРОСЫ (для уточнения у Олега в новой сессии)
+
+1. Имя бота? (Алекс, Помощник, Лёша, Билли, что-то фирменное?)
+2. Telegram-handle? Олег создаст через @BotFather и даст токен
+3. Домен — какой Олег купит? (alexbot.ru, ai-helper.ru, your-helper.online?)
+4. VPS Spaceweb — выделить отдельный или использовать существующий?
+   IP, доступ?
+5. Email сервис Александра — Yandex/Gmail/Mail.ru/iCloud? IMAP-host? App-pass
+   или OAuth?
+6. Где Александр хранит документы — Mac локально / iCloud / OneDrive? Как
+   ассистент к ним получит доступ?
+7. Cloudflare Tunnel: использовать существующий аккаунт Олега (если есть) или
+   создать новый под клиента?
+8. Цена пилота для Александра?
+9. Топ-5 типичных сценариев которые точно должны работать к демо
+   (TG не открывается, принтер не печатает, что ещё?)
+10. Готов ли Олег дать боту admin-уровень доступа к Cudy / Cloud Key, или
+    только конкретные команды через sudo-whitelist?
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТНЫЕ ССЫЛКИ (мой vault, прочитать перед стартом)
+
+- projects/benilux/README.md — что такое объект Бенелюкс
+- projects/benilux/credentials.md — пароли (для копирования в Alex-vault)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md — история инцидента
+- snippets/clients/alexandr-benelux-power-recovery.md — типичные кейсы семьи
+- claude-memory/benelux.md — текущее состояние Cudy
+- claude-memory/benelux-topology.md — карта сети + список устройств
+- decisions/2026-05-20-benelux-compromise.md — урок про безопасность
+- projects/dttb/proxmox-pve-147.md — карточка целевого хоста
+- claude-memory/MEMORY.md — общая память (для понимания моего стиля и инфры)
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНЕЦ ПРОМТА. Действуй: задай мне 10 открытых вопросов одним сообщением,
+получи ответы, начни с Этапа 1. По итогам каждого этапа — короткий статус
+в чате (что сделал, что проверил, что осталось).
+```
+
+---
+
+## Что Олег решает в чате (НЕ внутри промта)
+
+Перед открытием новой сессии:
+
+- [ ] Создать TG-бота через @BotFather → получить токен и handle
+- [ ] Купить домен (или выбрать из существующих свободных)
+- [ ] Проверить статус VPS Spaceweb (есть ли свободный с белым IP)
+- [ ] Решить имя бота (или дать новой сессии выбрать варианты)
+- [ ] Прикинуть цену пилота — €15/мес? €25? разово €300?
+
+## Что в новой сессии делать НЕ нужно
+
+- ❌ Использовать мой openclaw (LXC 137) — пилот строит свой независимый бот
+- ❌ Использовать мою claude-memory или мой Anthropic-API-token
+- ❌ Подключать к моему vault через rclone/git
+- ❌ Использовать мой Postgres/Qdrant из dttb-инфры
+- ❌ Копировать в Alex-vault инфо о других клиентах (ММФБ, НИИКН и т.п.)
+
+## Связанные файлы в vault
+
+- [[proxmox-pve-147]] — целевой хост
+- [[../benilux/README]] — объект клиента
+- [[../../snippets/clients/alexandr-benelux-amnezia-reinstall]] — история работы
+- [[../../snippets/clients/alexandr-benelux-power-recovery]] — типовой плейбук
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Всё проверено (sshd поднят, ключ на месте, root по ключу) — отвечаю полностью.
+
+## Домен сейчас НЕ нужен
+
+Ни чтобы зайти в OmniRoute, ни для Kiro. Домен `omni.umnybot.ru` (через Cloudflare Tunnel) понадобится только для **постоянного внешнего** доступа позже — Этап 5.
+
+## Для Kiro дашборд вообще не нужен
+
+Kiro в OmniRoute — это **соц-логин (Google или GitHub) через CLI**, не через веб-форму:
+1. Я запускаю на коробке: `omniroute oauth start --provider kiro --social google --no-browser`
+2. Она печ
+
+---
+*Автосохранено из session [`83491ec7`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/83491ec7-16d3-47aa-9bcc-655c342ad2a2.jsonl) — 5 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write*

notes/claude/2026-05-30-223109-session.md

@@ -0,0 +1,325 @@
+---
+date: 2026-05-30
+type: claude-session
+session_id: 83491ec7-16d3-47aa-9bcc-655c342ad2a2
+started: 2026-05-30T08:49:37.558Z
+ended: 2026-05-30T19:31:09.482Z
+messages: 5
+tools: [AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write]
+tags: [claude, session]
+---
+
+# ---
+
+## Запрос
+
+---
+date: 2026-05-30
+type: project-spec
+tags: [product, ai-assistant, pilot, openclaw, alexandr, business]
+status: draft
+---
+
+# AI-ассистент в коробке — пилот для Александра
+
+> **Это первая страница нового продукта Олега.** Цель — собрать автономного AI-консьержа на маленьком ПК, продать Александру (КП Бенелюкс) как пилот. Если зайдёт — переезжает к клиенту физически, дальше масштабирование на других клиентов.
+
+Этот файл — **промт для следующей Claude-сессии**, которая будет строить систему. Открываешь новый чат и вставляешь всё ниже целиком.
+
+---
+
+## 📋 Промт для копирования в новую сессию
+
+```
+Я разрабатываю коммерческий AI-консьерж-продукт. Маленький ПК с предустановленным
+ассистентом, который покупает домохозяйство и ставит в свою сеть. Сегодня пилот
+для одного конкретного клиента — Александра Григорьева (КП Бенелюкс, Истра).
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТ — кто я и что у меня уже есть
+
+Я Олег Батлаев, DevOps. У меня уже работает похожая система для себя — Антошка
+(openclaw в LXC 137 на моём Proxmox). Она использует OmniRoute (бесплатный
+ProxyDispatcher к Sonnet 4.5/Opus/GPT-5.4), есть Telegram-бот, есть Nextcloud
+Talk-бот, есть RAG над моим Obsidian-vault. Это базовая референс-архитектура.
+
+Я обслуживаю Александра как сетевого админа уже несколько недель. Знаю всю его
+инфру наизусть — описано в моём vault (см. ссылки ниже). Хочу выделить из этой
+работы продукт.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЦЕЛЬ ПРОЕКТА
+
+Собрать на маленьком ПК (Proxmox VE 9.1, ZOTAC H61 / i3-2100 / 15 GB RAM / 
+SSD 112 GB + HDD 1.8 TB, IP 10.0.0.147 пока у меня) автономный AI-ассистент,
+который умеет:
+
+1. Помогать Александру с типичными бытовыми IT-проблемами его сети
+   («не работает Telegram», «принтер не печатает», «почта не отправляется»)
+2. Сам диагностировать (read-only тулы) и предлагать решения
+3. Выполнять починку (write-action тулы) только после подтверждения клиента
+4. Работать с его документами и почтой через RAG
+5. Общаться через 3 интерфейса с единой памятью: Web / Telegram / Nextcloud Talk
+6. Постепенно обучаться (расширяемая RAG-база, не fine-tuning)
+
+Бизнес: пилот → если Александр покупает, ПК физически переезжает к нему домой,
+переходит в его LAN. Дальше масштабирую на других клиентов.
+
+═══════════════════════════════════════════════════════════════════════════════
+АРХИТЕКТУРА (принципы)
+
+✅ ПОЛНАЯ АВТОНОМНОСТЬ от моей dttb-инфры. Бот не должен зависеть от:
+   - моего openclaw / claude-memory
+   - моего vault / Gitea
+   - моего code-server / openclaw-NetBird
+   - моего OmniRoute (его instance может крутиться где угодно — отдельно)
+   После переезда ПК к клиенту — никаких связей со мной не остаётся, кроме
+   возможности удалённой поддержки.
+
+✅ ОТДЕЛЬНЫЙ vault — новый git-репозиторий `alexandr-knowledge-base`. Туда
+   копируется ТОЛЬКО инфра Александра (из моего vault projects/benilux/,
+   snippets/clients/alexandr-*, claude-memory/benelux*.md, плюс универсальные
+   snippets). Данные других моих клиентов (НИИКН, ММФБ, Знаменское, Главторг)
+   НЕ копируются ни в каком виде — это утечка их данных третьему лицу.
+
+✅ ВНЕШНИЙ ДОСТУП через мой VPS на Spaceweb с белым IP. Я куплю домен (имя
+   уточню позже). От бота до VPS — обратный туннель (рекомендую Cloudflare
+   Tunnel — бесплатно, SSL автоматом, не требует port-forward на роутере
+   клиента; альтернатива — FRP или WireGuard). На VPS — Nginx Proxy Manager
+   или Caddy с Let's Encrypt → проксирует на бота через туннель.
+
+✅ ОДИН ПОЛЬЗОВАТЕЛЬ (Александр). Многопользовательский режим для семьи —
+   возможный апгрейд в будущем, но не сейчас.
+
+✅ ГИБРИДНЫЕ TOOLS:
+   - read-only (ping, lpstat, awg show, curl, RAG search) — всегда без
+     подтверждения
+   - write-action (restart_podkop, flush_dns_on_mac, change_uci_setting) —
+     ВСЕГДА требуют клик кнопки «Да, разрешаю» в TG/Web inline keyboard
+   - все действия логируются → отдельный audit-log канал в TG для меня
+
+═══════════════════════════════════════════════════════════════════════════════
+СТЕК ТЕХНОЛОГИЙ (предложение)
+
+Слой              | Технология                          | Где живёт
+──────────────────┼─────────────────────────────────────┼──────────────────────
+Гипервизор        | Proxmox VE 9.1.0                    | host (уже стоит)
+NAS-OS            | ZimaOS в VM 100 (8 GB / 128 GB)     | KVM (запущена сегодня)
+Reverse proxy     | NPM в LXC 101 (10.0.0.207)          | LXC (уже работает)
+Контейнер бота    | LXC (Debian, ~4 GB RAM)             | новый LXC 102
+LLM роутер        | OmniRoute (форк или свой instance)  | LXC 102
+Conversation DB   | PostgreSQL                          | LXC 102 в Docker
+RAG / vector DB   | Qdrant или pgvector                 | LXC 102 в Docker
+Embeddings        | через API (OpenAI text-embedding или        |
+                  | Voyage AI или Sonnet с описанием)   | внешние
+Email клиент      | MCP-imap server                     | LXC 102 в Docker
+Web UI            | Open WebUI или собственный простой  | LXC 102
+Telegram bot      | python-telegram-bot или Telethon    | LXC 102
+Nextcloud Talk    | Nextcloud в Docker внутри ZimaOS    | VM 100 (Zima)
+                  | + Talk-плагин + nextcloud-talk-bot  |
+                  | (или повторить мой Антошка-Talk     |
+                  | через long-poll скрипт)             |
+Туннель           | Cloudflare Tunnel (рекомендую)      | LXC 102 → CF edge
+DNS               | Cloudflare (бесплатно)              | для домена клиента
+Secrets           | sops + age, либо HashiCorp Vault    | LXC 102
+
+═══════════════════════════════════════════════════════════════════════════════
+ИНТЕРФЕЙСЫ И ЕДИНОЕ СОСТОЯНИЕ
+
+3 канала входа — Web / Telegram / Nextcloud Talk — должны делить:
+- Conversation history (Postgres)
+- RAG-память (Qdrant/pgvector)
+- Audit log (отдельная таблица в Postgres)
+
+То есть Александр пишет в TG: «Принтер не печатает». Потом утром идёт в Web →
+видит ту же беседу с продолжением. В Nextcloud Talk пишет вечером — тот же
+контекст.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЗНАНИЯ И ОБУЧЕНИЕ
+
+Старт-импорт в RAG из моего vault (передам файлы через scp или git-clone):
+- projects/benilux/README.md
+- projects/benilux/credentials.md (только данные Александра, не моих)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md
+- snippets/clients/alexandr-benelux-power-recovery.md
+- claude-memory/benelux.md
+- claude-memory/benelux-topology.md
+- decisions/2026-05-20-benelux-compromise.md (история инцидента — учит «бот
+  всегда сначала диагностирует, потом действует»)
+- decisions/2026-05-20-amneziavpn-macos-v1-v2-incompat.md
+
+Также добавить универсальные знания (без привязки к Александру):
+- как закрыть приложение из памяти на iOS/Android/macOS
+- как сделать DNS-flush на Mac
+- как проверить включён ли Private Relay
+- как разбудить HP-принтер из deep sleep
+- типичные коды ошибок AmneziaVPN
+
+Self-update memory: после каждой решённой проблемы бот спрашивает Александра
+«Это помогло?». Если да — записывает в RAG как новое решение. Через месяц у
+бота своя локальная база типичных кейсов Александра.
+
+═══════════════════════════════════════════════════════════════════════════════
+PERSONA (стиль общения)
+
+- Имя бота — Олег решит (поле для заполнения, например «Помощник Бенелюкса»)
+- Тон: спокойный, дружелюбный, на «ты», без жаргона
+- НЕ использовать: «критическая ошибка», «сбой», «недоступен», «провал»
+- Использовать: «немного не работает», «давай посмотрим», «починим за минуту»
+- Если Александр злится — извиниться, обещать разобраться, не оправдываться
+- Перед действием объяснять простыми словами что будет делать
+- После действия описывать результат человеческим языком
+
+═══════════════════════════════════════════════════════════════════════════════
+ДОСТУП БОТА К СЕТИ АЛЕКСАНДРА (для диагностики)
+
+Сейчас на пилоте — бот живёт в моей LAN dttb (10.0.0.147), к сети Александра
+(192.168.1.0/24 за роутером Cudy в Бенелюксе) подключается через NetBird.
+Cudy уже в моём NetBird (openwrt-benilux 100.70.207.97). Выдам боту отдельный
+NetBird-setup-key с доступом только в группу Бенелюкса.
+
+После переезда ПК к клиенту — бот в его LAN напрямую, прямой доступ к
+Cudy/Cloud Key/принтеру/устройствам семьи без NetBird-overhead.
+
+SSH-ключи к устройствам Александра:
+- Cudy роутер: ssh-ключ Олежиного Mac уже добавлен; добавим ключ бота
+- Cloud Key Gen2+ (192.168.1.199): только по ключу, ключ Александра не у меня
+  — попросим Александра добавить наш ключ через UniFi OS Console
+- Mac Александра (aleksandrgrigorev): добавим публичный ключ бота
+- Принтер HP M775 (192.168.1.148): через CUPS, не SSH
+
+═══════════════════════════════════════════════════════════════════════════════
+ЭТАПЫ РЕАЛИЗАЦИИ (предложение)
+
+Этап 1: Базовая инфра (без интернета извне)
+  ─ LXC 102 «assistant» на pve-147 (Debian, 4 GB RAM)
+  ─ Docker внутри LXC
+  ─ Postgres + Qdrant в Docker
+  ─ Каркас бота (openclaw-форк, OmniRoute с моими токенами)
+  ─ Telegram-bot создан через @BotFather (handle и токен — Олег предоставит)
+  ─ Простейший Web UI (Open WebUI)
+  ─ Тест: «привет, как дела?» в TG → ответ из Sonnet через OmniRoute
+
+Этап 2: Tools (read-only)
+  ─ ping_host, check_router_health, check_printer, check_dns
+  ─ NetBird-setup на боте (доступ в Бенелюкс)
+  ─ SSH-ключ бота добавлен на Cudy, Mac Александра
+  ─ Тест: «проверь работает ли подкоп» → бот делает awg show на Cudy
+  
+Этап 3: RAG и знания
+  ─ Импорт vault Александра в Qdrant
+  ─ MCP-инструменты для бота: search_knowledge, recall_history
+  ─ Тест: «как починить TG если не открывается» → бот выдаёт инструкцию из RAG
+
+Этап 4: Tools (write-action с подтверждением)
+  ─ Inline keyboard в TG: «Да, разрешаю» / «Нет»
+  ─ restart_podkop, flush_dns_on_mac, restart_printer_queue
+  ─ Audit log в отдельный TG-канал для Олега
+  ─ Тест: «принтер не печатает» → бот предлагает действие → клик → перезапуск
+
+Этап 5: Внешний доступ
+  ─ Куплен домен (Олег)
+  ─ Cloudflare Tunnel настроен (LXC 102 → CF edge → домен)
+  ─ Web UI доступен снаружи по HTTPS через домен
+  ─ Telegram-bot работает (он и так через TG-API, без туннеля)
+
+Этап 6: Nextcloud Talk и почта
+  ─ Nextcloud в Docker на ZimaOS-NAS
+  ─ Talk бот через long-poll (по образцу моего nextcloud-talk-bot для Антошки)
+  ─ MCP-imap: подключение к почте Александра (IMAP-сервер уточню)
+  ─ RAG-индексация писем и документов из NAS-share
+
+Этап 7: Документы
+  ─ ZimaOS-NAS share по SMB
+  ─ Бот видит файлы через MCP-filesystem
+  ─ Индексация в RAG
+
+Этап 8: Обучение и калибровка
+  ─ Олег проводит 5-10 тестовых диалогов
+  ─ Калибровка persona (тон, длина ответов, эмодзи)
+  ─ Тест на семейных сценариях: «помоги маме закрыть рекламу в Сафари»
+
+Этап 9: Юридическое и передача
+  ─ Простое соглашение на 1 страницу (Олег подготовит)
+  ─ Демо Александру по видеосвязи
+  ─ Если покупает — выезд к нему, физический переезд ПК
+
+═══════════════════════════════════════════════════════════════════════════════
+ОТКРЫТЫЕ ВОПРОСЫ (для уточнения у Олега в новой сессии)
+
+1. Имя бота? (Алекс, Помощник, Лёша, Билли, что-то фирменное?)
+2. Telegram-handle? Олег создаст через @BotFather и даст токен
+3. Домен — какой Олег купит? (alexbot.ru, ai-helper.ru, your-helper.online?)
+4. VPS Spaceweb — выделить отдельный или использовать существующий?
+   IP, доступ?
+5. Email сервис Александра — Yandex/Gmail/Mail.ru/iCloud? IMAP-host? App-pass
+   или OAuth?
+6. Где Александр хранит документы — Mac локально / iCloud / OneDrive? Как
+   ассистент к ним получит доступ?
+7. Cloudflare Tunnel: использовать существующий аккаунт Олега (если есть) или
+   создать новый под клиента?
+8. Цена пилота для Александра?
+9. Топ-5 типичных сценариев которые точно должны работать к демо
+   (TG не открывается, принтер не печатает, что ещё?)
+10. Готов ли Олег дать боту admin-уровень доступа к Cudy / Cloud Key, или
+    только конкретные команды через sudo-whitelist?
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТНЫЕ ССЫЛКИ (мой vault, прочитать перед стартом)
+
+- projects/benilux/README.md — что такое объект Бенелюкс
+- projects/benilux/credentials.md — пароли (для копирования в Alex-vault)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md — история инцидента
+- snippets/clients/alexandr-benelux-power-recovery.md — типичные кейсы семьи
+- claude-memory/benelux.md — текущее состояние Cudy
+- claude-memory/benelux-topology.md — карта сети + список устройств
+- decisions/2026-05-20-benelux-compromise.md — урок про безопасность
+- projects/dttb/proxmox-pve-147.md — карточка целевого хоста
+- claude-memory/MEMORY.md — общая память (для понимания моего стиля и инфры)
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНЕЦ ПРОМТА. Действуй: задай мне 10 открытых вопросов одним сообщением,
+получи ответы, начни с Этапа 1. По итогам каждого этапа — короткий статус
+в чате (что сделал, что проверил, что осталось).
+```
+
+---
+
+## Что Олег решает в чате (НЕ внутри промта)
+
+Перед открытием новой сессии:
+
+- [ ] Создать TG-бота через @BotFather → получить токен и handle
+- [ ] Купить домен (или выбрать из существующих свободных)
+- [ ] Проверить статус VPS Spaceweb (есть ли свободный с белым IP)
+- [ ] Решить имя бота (или дать новой сессии выбрать варианты)
+- [ ] Прикинуть цену пилота — €15/мес? €25? разово €300?
+
+## Что в новой сессии делать НЕ нужно
+
+- ❌ Использовать мой openclaw (LXC 137) — пилот строит свой независимый бот
+- ❌ Использовать мою claude-memory или мой Anthropic-API-token
+- ❌ Подключать к моему vault через rclone/git
+- ❌ Использовать мой Postgres/Qdrant из dttb-инфры
+- ❌ Копировать в Alex-vault инфо о других клиентах (ММФБ, НИИКН и т.п.)
+
+## Связанные файлы в vault
+
+- [[proxmox-pve-147]] — целевой хост
+- [[../benilux/README]] — объект клиента
+- [[../../snippets/clients/alexandr-benelux-amnezia-reinstall]] — история работы
+- [[../../snippets/clients/alexandr-benelux-power-recovery]] — типовой плейбук
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+`umnybot.ru` — **живой**: зарегистрирован, делегирован на DNS Spaceweb (ns1-4), резолвится в `89.111.140.86` (это парковка/хостинг Spaceweb, не наша коробка).
+
+Два момента:
+
+**1. Статус `UNVERIFIED`** — `.ru` требует подтвердить регистранта. Глянь почту/ЛК Spaceweb: если не подтвердить (паспорт/код), через ~месяц могут разделегировать. Сейчас не горит, но закрой при случае.
+
+**2. Сейчас домен указывает на Spaceweb, не на бота.** Коробка в твоём LAN без белого IP, поэтому «привязать сервисы к дом
+
+---
+*Автосохранено из session [`83491ec7`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/83491ec7-16d3-47aa-9bcc-655c342ad2a2.jsonl) — 5 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write*

notes/claude/2026-05-30-224726-session.md

@@ -0,0 +1,327 @@
+---
+date: 2026-05-30
+type: claude-session
+session_id: 83491ec7-16d3-47aa-9bcc-655c342ad2a2
+started: 2026-05-30T08:49:37.558Z
+ended: 2026-05-30T19:47:26.922Z
+messages: 6
+tools: [AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write]
+tags: [claude, session]
+---
+
+# ---
+
+## Запрос
+
+---
+date: 2026-05-30
+type: project-spec
+tags: [product, ai-assistant, pilot, openclaw, alexandr, business]
+status: draft
+---
+
+# AI-ассистент в коробке — пилот для Александра
+
+> **Это первая страница нового продукта Олега.** Цель — собрать автономного AI-консьержа на маленьком ПК, продать Александру (КП Бенелюкс) как пилот. Если зайдёт — переезжает к клиенту физически, дальше масштабирование на других клиентов.
+
+Этот файл — **промт для следующей Claude-сессии**, которая будет строить систему. Открываешь новый чат и вставляешь всё ниже целиком.
+
+---
+
+## 📋 Промт для копирования в новую сессию
+
+```
+Я разрабатываю коммерческий AI-консьерж-продукт. Маленький ПК с предустановленным
+ассистентом, который покупает домохозяйство и ставит в свою сеть. Сегодня пилот
+для одного конкретного клиента — Александра Григорьева (КП Бенелюкс, Истра).
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТ — кто я и что у меня уже есть
+
+Я Олег Батлаев, DevOps. У меня уже работает похожая система для себя — Антошка
+(openclaw в LXC 137 на моём Proxmox). Она использует OmniRoute (бесплатный
+ProxyDispatcher к Sonnet 4.5/Opus/GPT-5.4), есть Telegram-бот, есть Nextcloud
+Talk-бот, есть RAG над моим Obsidian-vault. Это базовая референс-архитектура.
+
+Я обслуживаю Александра как сетевого админа уже несколько недель. Знаю всю его
+инфру наизусть — описано в моём vault (см. ссылки ниже). Хочу выделить из этой
+работы продукт.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЦЕЛЬ ПРОЕКТА
+
+Собрать на маленьком ПК (Proxmox VE 9.1, ZOTAC H61 / i3-2100 / 15 GB RAM / 
+SSD 112 GB + HDD 1.8 TB, IP 10.0.0.147 пока у меня) автономный AI-ассистент,
+который умеет:
+
+1. Помогать Александру с типичными бытовыми IT-проблемами его сети
+   («не работает Telegram», «принтер не печатает», «почта не отправляется»)
+2. Сам диагностировать (read-only тулы) и предлагать решения
+3. Выполнять починку (write-action тулы) только после подтверждения клиента
+4. Работать с его документами и почтой через RAG
+5. Общаться через 3 интерфейса с единой памятью: Web / Telegram / Nextcloud Talk
+6. Постепенно обучаться (расширяемая RAG-база, не fine-tuning)
+
+Бизнес: пилот → если Александр покупает, ПК физически переезжает к нему домой,
+переходит в его LAN. Дальше масштабирую на других клиентов.
+
+═══════════════════════════════════════════════════════════════════════════════
+АРХИТЕКТУРА (принципы)
+
+✅ ПОЛНАЯ АВТОНОМНОСТЬ от моей dttb-инфры. Бот не должен зависеть от:
+   - моего openclaw / claude-memory
+   - моего vault / Gitea
+   - моего code-server / openclaw-NetBird
+   - моего OmniRoute (его instance может крутиться где угодно — отдельно)
+   После переезда ПК к клиенту — никаких связей со мной не остаётся, кроме
+   возможности удалённой поддержки.
+
+✅ ОТДЕЛЬНЫЙ vault — новый git-репозиторий `alexandr-knowledge-base`. Туда
+   копируется ТОЛЬКО инфра Александра (из моего vault projects/benilux/,
+   snippets/clients/alexandr-*, claude-memory/benelux*.md, плюс универсальные
+   snippets). Данные других моих клиентов (НИИКН, ММФБ, Знаменское, Главторг)
+   НЕ копируются ни в каком виде — это утечка их данных третьему лицу.
+
+✅ ВНЕШНИЙ ДОСТУП через мой VPS на Spaceweb с белым IP. Я куплю домен (имя
+   уточню позже). От бота до VPS — обратный туннель (рекомендую Cloudflare
+   Tunnel — бесплатно, SSL автоматом, не требует port-forward на роутере
+   клиента; альтернатива — FRP или WireGuard). На VPS — Nginx Proxy Manager
+   или Caddy с Let's Encrypt → проксирует на бота через туннель.
+
+✅ ОДИН ПОЛЬЗОВАТЕЛЬ (Александр). Многопользовательский режим для семьи —
+   возможный апгрейд в будущем, но не сейчас.
+
+✅ ГИБРИДНЫЕ TOOLS:
+   - read-only (ping, lpstat, awg show, curl, RAG search) — всегда без
+     подтверждения
+   - write-action (restart_podkop, flush_dns_on_mac, change_uci_setting) —
+     ВСЕГДА требуют клик кнопки «Да, разрешаю» в TG/Web inline keyboard
+   - все действия логируются → отдельный audit-log канал в TG для меня
+
+═══════════════════════════════════════════════════════════════════════════════
+СТЕК ТЕХНОЛОГИЙ (предложение)
+
+Слой              | Технология                          | Где живёт
+──────────────────┼─────────────────────────────────────┼──────────────────────
+Гипервизор        | Proxmox VE 9.1.0                    | host (уже стоит)
+NAS-OS            | ZimaOS в VM 100 (8 GB / 128 GB)     | KVM (запущена сегодня)
+Reverse proxy     | NPM в LXC 101 (10.0.0.207)          | LXC (уже работает)
+Контейнер бота    | LXC (Debian, ~4 GB RAM)             | новый LXC 102
+LLM роутер        | OmniRoute (форк или свой instance)  | LXC 102
+Conversation DB   | PostgreSQL                          | LXC 102 в Docker
+RAG / vector DB   | Qdrant или pgvector                 | LXC 102 в Docker
+Embeddings        | через API (OpenAI text-embedding или        |
+                  | Voyage AI или Sonnet с описанием)   | внешние
+Email клиент      | MCP-imap server                     | LXC 102 в Docker
+Web UI            | Open WebUI или собственный простой  | LXC 102
+Telegram bot      | python-telegram-bot или Telethon    | LXC 102
+Nextcloud Talk    | Nextcloud в Docker внутри ZimaOS    | VM 100 (Zima)
+                  | + Talk-плагин + nextcloud-talk-bot  |
+                  | (или повторить мой Антошка-Talk     |
+                  | через long-poll скрипт)             |
+Туннель           | Cloudflare Tunnel (рекомендую)      | LXC 102 → CF edge
+DNS               | Cloudflare (бесплатно)              | для домена клиента
+Secrets           | sops + age, либо HashiCorp Vault    | LXC 102
+
+═══════════════════════════════════════════════════════════════════════════════
+ИНТЕРФЕЙСЫ И ЕДИНОЕ СОСТОЯНИЕ
+
+3 канала входа — Web / Telegram / Nextcloud Talk — должны делить:
+- Conversation history (Postgres)
+- RAG-память (Qdrant/pgvector)
+- Audit log (отдельная таблица в Postgres)
+
+То есть Александр пишет в TG: «Принтер не печатает». Потом утром идёт в Web →
+видит ту же беседу с продолжением. В Nextcloud Talk пишет вечером — тот же
+контекст.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЗНАНИЯ И ОБУЧЕНИЕ
+
+Старт-импорт в RAG из моего vault (передам файлы через scp или git-clone):
+- projects/benilux/README.md
+- projects/benilux/credentials.md (только данные Александра, не моих)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md
+- snippets/clients/alexandr-benelux-power-recovery.md
+- claude-memory/benelux.md
+- claude-memory/benelux-topology.md
+- decisions/2026-05-20-benelux-compromise.md (история инцидента — учит «бот
+  всегда сначала диагностирует, потом действует»)
+- decisions/2026-05-20-amneziavpn-macos-v1-v2-incompat.md
+
+Также добавить универсальные знания (без привязки к Александру):
+- как закрыть приложение из памяти на iOS/Android/macOS
+- как сделать DNS-flush на Mac
+- как проверить включён ли Private Relay
+- как разбудить HP-принтер из deep sleep
+- типичные коды ошибок AmneziaVPN
+
+Self-update memory: после каждой решённой проблемы бот спрашивает Александра
+«Это помогло?». Если да — записывает в RAG как новое решение. Через месяц у
+бота своя локальная база типичных кейсов Александра.
+
+═══════════════════════════════════════════════════════════════════════════════
+PERSONA (стиль общения)
+
+- Имя бота — Олег решит (поле для заполнения, например «Помощник Бенелюкса»)
+- Тон: спокойный, дружелюбный, на «ты», без жаргона
+- НЕ использовать: «критическая ошибка», «сбой», «недоступен», «провал»
+- Использовать: «немного не работает», «давай посмотрим», «починим за минуту»
+- Если Александр злится — извиниться, обещать разобраться, не оправдываться
+- Перед действием объяснять простыми словами что будет делать
+- После действия описывать результат человеческим языком
+
+═══════════════════════════════════════════════════════════════════════════════
+ДОСТУП БОТА К СЕТИ АЛЕКСАНДРА (для диагностики)
+
+Сейчас на пилоте — бот живёт в моей LAN dttb (10.0.0.147), к сети Александра
+(192.168.1.0/24 за роутером Cudy в Бенелюксе) подключается через NetBird.
+Cudy уже в моём NetBird (openwrt-benilux 100.70.207.97). Выдам боту отдельный
+NetBird-setup-key с доступом только в группу Бенелюкса.
+
+После переезда ПК к клиенту — бот в его LAN напрямую, прямой доступ к
+Cudy/Cloud Key/принтеру/устройствам семьи без NetBird-overhead.
+
+SSH-ключи к устройствам Александра:
+- Cudy роутер: ssh-ключ Олежиного Mac уже добавлен; добавим ключ бота
+- Cloud Key Gen2+ (192.168.1.199): только по ключу, ключ Александра не у меня
+  — попросим Александра добавить наш ключ через UniFi OS Console
+- Mac Александра (aleksandrgrigorev): добавим публичный ключ бота
+- Принтер HP M775 (192.168.1.148): через CUPS, не SSH
+
+═══════════════════════════════════════════════════════════════════════════════
+ЭТАПЫ РЕАЛИЗАЦИИ (предложение)
+
+Этап 1: Базовая инфра (без интернета извне)
+  ─ LXC 102 «assistant» на pve-147 (Debian, 4 GB RAM)
+  ─ Docker внутри LXC
+  ─ Postgres + Qdrant в Docker
+  ─ Каркас бота (openclaw-форк, OmniRoute с моими токенами)
+  ─ Telegram-bot создан через @BotFather (handle и токен — Олег предоставит)
+  ─ Простейший Web UI (Open WebUI)
+  ─ Тест: «привет, как дела?» в TG → ответ из Sonnet через OmniRoute
+
+Этап 2: Tools (read-only)
+  ─ ping_host, check_router_health, check_printer, check_dns
+  ─ NetBird-setup на боте (доступ в Бенелюкс)
+  ─ SSH-ключ бота добавлен на Cudy, Mac Александра
+  ─ Тест: «проверь работает ли подкоп» → бот делает awg show на Cudy
+  
+Этап 3: RAG и знания
+  ─ Импорт vault Александра в Qdrant
+  ─ MCP-инструменты для бота: search_knowledge, recall_history
+  ─ Тест: «как починить TG если не открывается» → бот выдаёт инструкцию из RAG
+
+Этап 4: Tools (write-action с подтверждением)
+  ─ Inline keyboard в TG: «Да, разрешаю» / «Нет»
+  ─ restart_podkop, flush_dns_on_mac, restart_printer_queue
+  ─ Audit log в отдельный TG-канал для Олега
+  ─ Тест: «принтер не печатает» → бот предлагает действие → клик → перезапуск
+
+Этап 5: Внешний доступ
+  ─ Куплен домен (Олег)
+  ─ Cloudflare Tunnel настроен (LXC 102 → CF edge → домен)
+  ─ Web UI доступен снаружи по HTTPS через домен
+  ─ Telegram-bot работает (он и так через TG-API, без туннеля)
+
+Этап 6: Nextcloud Talk и почта
+  ─ Nextcloud в Docker на ZimaOS-NAS
+  ─ Talk бот через long-poll (по образцу моего nextcloud-talk-bot для Антошки)
+  ─ MCP-imap: подключение к почте Александра (IMAP-сервер уточню)
+  ─ RAG-индексация писем и документов из NAS-share
+
+Этап 7: Документы
+  ─ ZimaOS-NAS share по SMB
+  ─ Бот видит файлы через MCP-filesystem
+  ─ Индексация в RAG
+
+Этап 8: Обучение и калибровка
+  ─ Олег проводит 5-10 тестовых диалогов
+  ─ Калибровка persona (тон, длина ответов, эмодзи)
+  ─ Тест на семейных сценариях: «помоги маме закрыть рекламу в Сафари»
+
+Этап 9: Юридическое и передача
+  ─ Простое соглашение на 1 страницу (Олег подготовит)
+  ─ Демо Александру по видеосвязи
+  ─ Если покупает — выезд к нему, физический переезд ПК
+
+═══════════════════════════════════════════════════════════════════════════════
+ОТКРЫТЫЕ ВОПРОСЫ (для уточнения у Олега в новой сессии)
+
+1. Имя бота? (Алекс, Помощник, Лёша, Билли, что-то фирменное?)
+2. Telegram-handle? Олег создаст через @BotFather и даст токен
+3. Домен — какой Олег купит? (alexbot.ru, ai-helper.ru, your-helper.online?)
+4. VPS Spaceweb — выделить отдельный или использовать существующий?
+   IP, доступ?
+5. Email сервис Александра — Yandex/Gmail/Mail.ru/iCloud? IMAP-host? App-pass
+   или OAuth?
+6. Где Александр хранит документы — Mac локально / iCloud / OneDrive? Как
+   ассистент к ним получит доступ?
+7. Cloudflare Tunnel: использовать существующий аккаунт Олега (если есть) или
+   создать новый под клиента?
+8. Цена пилота для Александра?
+9. Топ-5 типичных сценариев которые точно должны работать к демо
+   (TG не открывается, принтер не печатает, что ещё?)
+10. Готов ли Олег дать боту admin-уровень доступа к Cudy / Cloud Key, или
+    только конкретные команды через sudo-whitelist?
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТНЫЕ ССЫЛКИ (мой vault, прочитать перед стартом)
+
+- projects/benilux/README.md — что такое объект Бенелюкс
+- projects/benilux/credentials.md — пароли (для копирования в Alex-vault)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md — история инцидента
+- snippets/clients/alexandr-benelux-power-recovery.md — типичные кейсы семьи
+- claude-memory/benelux.md — текущее состояние Cudy
+- claude-memory/benelux-topology.md — карта сети + список устройств
+- decisions/2026-05-20-benelux-compromise.md — урок про безопасность
+- projects/dttb/proxmox-pve-147.md — карточка целевого хоста
+- claude-memory/MEMORY.md — общая память (для понимания моего стиля и инфры)
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНЕЦ ПРОМТА. Действуй: задай мне 10 открытых вопросов одним сообщением,
+получи ответы, начни с Этапа 1. По итогам каждого этапа — короткий статус
+в чате (что сделал, что проверил, что осталось).
+```
+
+---
+
+## Что Олег решает в чате (НЕ внутри промта)
+
+Перед открытием новой сессии:
+
+- [ ] Создать TG-бота через @BotFather → получить токен и handle
+- [ ] Купить домен (или выбрать из существующих свободных)
+- [ ] Проверить статус VPS Spaceweb (есть ли свободный с белым IP)
+- [ ] Решить имя бота (или дать новой сессии выбрать варианты)
+- [ ] Прикинуть цену пилота — €15/мес? €25? разово €300?
+
+## Что в новой сессии делать НЕ нужно
+
+- ❌ Использовать мой openclaw (LXC 137) — пилот строит свой независимый бот
+- ❌ Использовать мою claude-memory или мой Anthropic-API-token
+- ❌ Подключать к моему vault через rclone/git
+- ❌ Использовать мой Postgres/Qdrant из dttb-инфры
+- ❌ Копировать в Alex-vault инфо о других клиентах (ММФБ, НИИКН и т.п.)
+
+## Связанные файлы в vault
+
+- [[proxmox-pve-147]] — целевой хост
+- [[../benilux/README]] — объект клиента
+- [[../../snippets/clients/alexandr-benelux-amnezia-reinstall]] — история работы
+- [[../../snippets/clients/alexandr-benelux-power-recovery]] — типовой плейбук
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+## План: домен + почта в одном
+
+**1. DNS → Cloudflare** (нужен для туннеля; почту держим там же)
+- Заводишь `umnybot.ru` в Cloudflare (бесплатно) → меняешь NS у Spaceweb на CF-шные. Пропагация ~пара часов.
+- Это единственный путь для CF Tunnel (зона должна быть на CF). Почтовые записи живут там же спокойно.
+
+**2. Почта `umnybot.ru` на твоём Mailcow** (просто, раз он уже публичный)
+- В Mailcow: добавляю домен `umnybot.ru` + ящики (`assistant@`, `kiro1@`…) + генерю DKIM.
+- В Cloudflare: `MX → mail
+
+---
+*Автосохранено из session [`83491ec7`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/83491ec7-16d3-47aa-9bcc-655c342ad2a2.jsonl) — 6 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write*

notes/claude/2026-05-31-105148-session.md

@@ -0,0 +1,332 @@
+---
+date: 2026-05-31
+type: claude-session
+session_id: 83491ec7-16d3-47aa-9bcc-655c342ad2a2
+started: 2026-05-30T08:49:37.558Z
+ended: 2026-05-31T07:51:48.835Z
+messages: 7
+tools: [AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write]
+tags: [claude, session]
+---
+
+# ---
+
+## Запрос
+
+---
+date: 2026-05-30
+type: project-spec
+tags: [product, ai-assistant, pilot, openclaw, alexandr, business]
+status: draft
+---
+
+# AI-ассистент в коробке — пилот для Александра
+
+> **Это первая страница нового продукта Олега.** Цель — собрать автономного AI-консьержа на маленьком ПК, продать Александру (КП Бенелюкс) как пилот. Если зайдёт — переезжает к клиенту физически, дальше масштабирование на других клиентов.
+
+Этот файл — **промт для следующей Claude-сессии**, которая будет строить систему. Открываешь новый чат и вставляешь всё ниже целиком.
+
+---
+
+## 📋 Промт для копирования в новую сессию
+
+```
+Я разрабатываю коммерческий AI-консьерж-продукт. Маленький ПК с предустановленным
+ассистентом, который покупает домохозяйство и ставит в свою сеть. Сегодня пилот
+для одного конкретного клиента — Александра Григорьева (КП Бенелюкс, Истра).
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТ — кто я и что у меня уже есть
+
+Я Олег Батлаев, DevOps. У меня уже работает похожая система для себя — Антошка
+(openclaw в LXC 137 на моём Proxmox). Она использует OmniRoute (бесплатный
+ProxyDispatcher к Sonnet 4.5/Opus/GPT-5.4), есть Telegram-бот, есть Nextcloud
+Talk-бот, есть RAG над моим Obsidian-vault. Это базовая референс-архитектура.
+
+Я обслуживаю Александра как сетевого админа уже несколько недель. Знаю всю его
+инфру наизусть — описано в моём vault (см. ссылки ниже). Хочу выделить из этой
+работы продукт.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЦЕЛЬ ПРОЕКТА
+
+Собрать на маленьком ПК (Proxmox VE 9.1, ZOTAC H61 / i3-2100 / 15 GB RAM / 
+SSD 112 GB + HDD 1.8 TB, IP 10.0.0.147 пока у меня) автономный AI-ассистент,
+который умеет:
+
+1. Помогать Александру с типичными бытовыми IT-проблемами его сети
+   («не работает Telegram», «принтер не печатает», «почта не отправляется»)
+2. Сам диагностировать (read-only тулы) и предлагать решения
+3. Выполнять починку (write-action тулы) только после подтверждения клиента
+4. Работать с его документами и почтой через RAG
+5. Общаться через 3 интерфейса с единой памятью: Web / Telegram / Nextcloud Talk
+6. Постепенно обучаться (расширяемая RAG-база, не fine-tuning)
+
+Бизнес: пилот → если Александр покупает, ПК физически переезжает к нему домой,
+переходит в его LAN. Дальше масштабирую на других клиентов.
+
+═══════════════════════════════════════════════════════════════════════════════
+АРХИТЕКТУРА (принципы)
+
+✅ ПОЛНАЯ АВТОНОМНОСТЬ от моей dttb-инфры. Бот не должен зависеть от:
+   - моего openclaw / claude-memory
+   - моего vault / Gitea
+   - моего code-server / openclaw-NetBird
+   - моего OmniRoute (его instance может крутиться где угодно — отдельно)
+   После переезда ПК к клиенту — никаких связей со мной не остаётся, кроме
+   возможности удалённой поддержки.
+
+✅ ОТДЕЛЬНЫЙ vault — новый git-репозиторий `alexandr-knowledge-base`. Туда
+   копируется ТОЛЬКО инфра Александра (из моего vault projects/benilux/,
+   snippets/clients/alexandr-*, claude-memory/benelux*.md, плюс универсальные
+   snippets). Данные других моих клиентов (НИИКН, ММФБ, Знаменское, Главторг)
+   НЕ копируются ни в каком виде — это утечка их данных третьему лицу.
+
+✅ ВНЕШНИЙ ДОСТУП через мой VPS на Spaceweb с белым IP. Я куплю домен (имя
+   уточню позже). От бота до VPS — обратный туннель (рекомендую Cloudflare
+   Tunnel — бесплатно, SSL автоматом, не требует port-forward на роутере
+   клиента; альтернатива — FRP или WireGuard). На VPS — Nginx Proxy Manager
+   или Caddy с Let's Encrypt → проксирует на бота через туннель.
+
+✅ ОДИН ПОЛЬЗОВАТЕЛЬ (Александр). Многопользовательский режим для семьи —
+   возможный апгрейд в будущем, но не сейчас.
+
+✅ ГИБРИДНЫЕ TOOLS:
+   - read-only (ping, lpstat, awg show, curl, RAG search) — всегда без
+     подтверждения
+   - write-action (restart_podkop, flush_dns_on_mac, change_uci_setting) —
+     ВСЕГДА требуют клик кнопки «Да, разрешаю» в TG/Web inline keyboard
+   - все действия логируются → отдельный audit-log канал в TG для меня
+
+═══════════════════════════════════════════════════════════════════════════════
+СТЕК ТЕХНОЛОГИЙ (предложение)
+
+Слой              | Технология                          | Где живёт
+──────────────────┼─────────────────────────────────────┼──────────────────────
+Гипервизор        | Proxmox VE 9.1.0                    | host (уже стоит)
+NAS-OS            | ZimaOS в VM 100 (8 GB / 128 GB)     | KVM (запущена сегодня)
+Reverse proxy     | NPM в LXC 101 (10.0.0.207)          | LXC (уже работает)
+Контейнер бота    | LXC (Debian, ~4 GB RAM)             | новый LXC 102
+LLM роутер        | OmniRoute (форк или свой instance)  | LXC 102
+Conversation DB   | PostgreSQL                          | LXC 102 в Docker
+RAG / vector DB   | Qdrant или pgvector                 | LXC 102 в Docker
+Embeddings        | через API (OpenAI text-embedding или        |
+                  | Voyage AI или Sonnet с описанием)   | внешние
+Email клиент      | MCP-imap server                     | LXC 102 в Docker
+Web UI            | Open WebUI или собственный простой  | LXC 102
+Telegram bot      | python-telegram-bot или Telethon    | LXC 102
+Nextcloud Talk    | Nextcloud в Docker внутри ZimaOS    | VM 100 (Zima)
+                  | + Talk-плагин + nextcloud-talk-bot  |
+                  | (или повторить мой Антошка-Talk     |
+                  | через long-poll скрипт)             |
+Туннель           | Cloudflare Tunnel (рекомендую)      | LXC 102 → CF edge
+DNS               | Cloudflare (бесплатно)              | для домена клиента
+Secrets           | sops + age, либо HashiCorp Vault    | LXC 102
+
+═══════════════════════════════════════════════════════════════════════════════
+ИНТЕРФЕЙСЫ И ЕДИНОЕ СОСТОЯНИЕ
+
+3 канала входа — Web / Telegram / Nextcloud Talk — должны делить:
+- Conversation history (Postgres)
+- RAG-память (Qdrant/pgvector)
+- Audit log (отдельная таблица в Postgres)
+
+То есть Александр пишет в TG: «Принтер не печатает». Потом утром идёт в Web →
+видит ту же беседу с продолжением. В Nextcloud Talk пишет вечером — тот же
+контекст.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЗНАНИЯ И ОБУЧЕНИЕ
+
+Старт-импорт в RAG из моего vault (передам файлы через scp или git-clone):
+- projects/benilux/README.md
+- projects/benilux/credentials.md (только данные Александра, не моих)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md
+- snippets/clients/alexandr-benelux-power-recovery.md
+- claude-memory/benelux.md
+- claude-memory/benelux-topology.md
+- decisions/2026-05-20-benelux-compromise.md (история инцидента — учит «бот
+  всегда сначала диагностирует, потом действует»)
+- decisions/2026-05-20-amneziavpn-macos-v1-v2-incompat.md
+
+Также добавить универсальные знания (без привязки к Александру):
+- как закрыть приложение из памяти на iOS/Android/macOS
+- как сделать DNS-flush на Mac
+- как проверить включён ли Private Relay
+- как разбудить HP-принтер из deep sleep
+- типичные коды ошибок AmneziaVPN
+
+Self-update memory: после каждой решённой проблемы бот спрашивает Александра
+«Это помогло?». Если да — записывает в RAG как новое решение. Через месяц у
+бота своя локальная база типичных кейсов Александра.
+
+═══════════════════════════════════════════════════════════════════════════════
+PERSONA (стиль общения)
+
+- Имя бота — Олег решит (поле для заполнения, например «Помощник Бенелюкса»)
+- Тон: спокойный, дружелюбный, на «ты», без жаргона
+- НЕ использовать: «критическая ошибка», «сбой», «недоступен», «провал»
+- Использовать: «немного не работает», «давай посмотрим», «починим за минуту»
+- Если Александр злится — извиниться, обещать разобраться, не оправдываться
+- Перед действием объяснять простыми словами что будет делать
+- После действия описывать результат человеческим языком
+
+═══════════════════════════════════════════════════════════════════════════════
+ДОСТУП БОТА К СЕТИ АЛЕКСАНДРА (для диагностики)
+
+Сейчас на пилоте — бот живёт в моей LAN dttb (10.0.0.147), к сети Александра
+(192.168.1.0/24 за роутером Cudy в Бенелюксе) подключается через NetBird.
+Cudy уже в моём NetBird (openwrt-benilux 100.70.207.97). Выдам боту отдельный
+NetBird-setup-key с доступом только в группу Бенелюкса.
+
+После переезда ПК к клиенту — бот в его LAN напрямую, прямой доступ к
+Cudy/Cloud Key/принтеру/устройствам семьи без NetBird-overhead.
+
+SSH-ключи к устройствам Александра:
+- Cudy роутер: ssh-ключ Олежиного Mac уже добавлен; добавим ключ бота
+- Cloud Key Gen2+ (192.168.1.199): только по ключу, ключ Александра не у меня
+  — попросим Александра добавить наш ключ через UniFi OS Console
+- Mac Александра (aleksandrgrigorev): добавим публичный ключ бота
+- Принтер HP M775 (192.168.1.148): через CUPS, не SSH
+
+═══════════════════════════════════════════════════════════════════════════════
+ЭТАПЫ РЕАЛИЗАЦИИ (предложение)
+
+Этап 1: Базовая инфра (без интернета извне)
+  ─ LXC 102 «assistant» на pve-147 (Debian, 4 GB RAM)
+  ─ Docker внутри LXC
+  ─ Postgres + Qdrant в Docker
+  ─ Каркас бота (openclaw-форк, OmniRoute с моими токенами)
+  ─ Telegram-bot создан через @BotFather (handle и токен — Олег предоставит)
+  ─ Простейший Web UI (Open WebUI)
+  ─ Тест: «привет, как дела?» в TG → ответ из Sonnet через OmniRoute
+
+Этап 2: Tools (read-only)
+  ─ ping_host, check_router_health, check_printer, check_dns
+  ─ NetBird-setup на боте (доступ в Бенелюкс)
+  ─ SSH-ключ бота добавлен на Cudy, Mac Александра
+  ─ Тест: «проверь работает ли подкоп» → бот делает awg show на Cudy
+  
+Этап 3: RAG и знания
+  ─ Импорт vault Александра в Qdrant
+  ─ MCP-инструменты для бота: search_knowledge, recall_history
+  ─ Тест: «как починить TG если не открывается» → бот выдаёт инструкцию из RAG
+
+Этап 4: Tools (write-action с подтверждением)
+  ─ Inline keyboard в TG: «Да, разрешаю» / «Нет»
+  ─ restart_podkop, flush_dns_on_mac, restart_printer_queue
+  ─ Audit log в отдельный TG-канал для Олега
+  ─ Тест: «принтер не печатает» → бот предлагает действие → клик → перезапуск
+
+Этап 5: Внешний доступ
+  ─ Куплен домен (Олег)
+  ─ Cloudflare Tunnel настроен (LXC 102 → CF edge → домен)
+  ─ Web UI доступен снаружи по HTTPS через домен
+  ─ Telegram-bot работает (он и так через TG-API, без туннеля)
+
+Этап 6: Nextcloud Talk и почта
+  ─ Nextcloud в Docker на ZimaOS-NAS
+  ─ Talk бот через long-poll (по образцу моего nextcloud-talk-bot для Антошки)
+  ─ MCP-imap: подключение к почте Александра (IMAP-сервер уточню)
+  ─ RAG-индексация писем и документов из NAS-share
+
+Этап 7: Документы
+  ─ ZimaOS-NAS share по SMB
+  ─ Бот видит файлы через MCP-filesystem
+  ─ Индексация в RAG
+
+Этап 8: Обучение и калибровка
+  ─ Олег проводит 5-10 тестовых диалогов
+  ─ Калибровка persona (тон, длина ответов, эмодзи)
+  ─ Тест на семейных сценариях: «помоги маме закрыть рекламу в Сафари»
+
+Этап 9: Юридическое и передача
+  ─ Простое соглашение на 1 страницу (Олег подготовит)
+  ─ Демо Александру по видеосвязи
+  ─ Если покупает — выезд к нему, физический переезд ПК
+
+═══════════════════════════════════════════════════════════════════════════════
+ОТКРЫТЫЕ ВОПРОСЫ (для уточнения у Олега в новой сессии)
+
+1. Имя бота? (Алекс, Помощник, Лёша, Билли, что-то фирменное?)
+2. Telegram-handle? Олег создаст через @BotFather и даст токен
+3. Домен — какой Олег купит? (alexbot.ru, ai-helper.ru, your-helper.online?)
+4. VPS Spaceweb — выделить отдельный или использовать существующий?
+   IP, доступ?
+5. Email сервис Александра — Yandex/Gmail/Mail.ru/iCloud? IMAP-host? App-pass
+   или OAuth?
+6. Где Александр хранит документы — Mac локально / iCloud / OneDrive? Как
+   ассистент к ним получит доступ?
+7. Cloudflare Tunnel: использовать существующий аккаунт Олега (если есть) или
+   создать новый под клиента?
+8. Цена пилота для Александра?
+9. Топ-5 типичных сценариев которые точно должны работать к демо
+   (TG не открывается, принтер не печатает, что ещё?)
+10. Готов ли Олег дать боту admin-уровень доступа к Cudy / Cloud Key, или
+    только конкретные команды через sudo-whitelist?
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТНЫЕ ССЫЛКИ (мой vault, прочитать перед стартом)
+
+- projects/benilux/README.md — что такое объект Бенелюкс
+- projects/benilux/credentials.md — пароли (для копирования в Alex-vault)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md — история инцидента
+- snippets/clients/alexandr-benelux-power-recovery.md — типичные кейсы семьи
+- claude-memory/benelux.md — текущее состояние Cudy
+- claude-memory/benelux-topology.md — карта сети + список устройств
+- decisions/2026-05-20-benelux-compromise.md — урок про безопасность
+- projects/dttb/proxmox-pve-147.md — карточка целевого хоста
+- claude-memory/MEMORY.md — общая память (для понимания моего стиля и инфры)
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНЕЦ ПРОМТА. Действуй: задай мне 10 открытых вопросов одним сообщением,
+получи ответы, начни с Этапа 1. По итогам каждого этапа — короткий статус
+в чате (что сделал, что проверил, что осталось).
+```
+
+---
+
+## Что Олег решает в чате (НЕ внутри промта)
+
+Перед открытием новой сессии:
+
+- [ ] Создать TG-бота через @BotFather → получить токен и handle
+- [ ] Купить домен (или выбрать из существующих свободных)
+- [ ] Проверить статус VPS Spaceweb (есть ли свободный с белым IP)
+- [ ] Решить имя бота (или дать новой сессии выбрать варианты)
+- [ ] Прикинуть цену пилота — €15/мес? €25? разово €300?
+
+## Что в новой сессии делать НЕ нужно
+
+- ❌ Использовать мой openclaw (LXC 137) — пилот строит свой независимый бот
+- ❌ Использовать мою claude-memory или мой Anthropic-API-token
+- ❌ Подключать к моему vault через rclone/git
+- ❌ Использовать мой Postgres/Qdrant из dttb-инфры
+- ❌ Копировать в Alex-vault инфо о других клиентах (ММФБ, НИИКН и т.п.)
+
+## Связанные файлы в vault
+
+- [[proxmox-pve-147]] — целевой хост
+- [[../benilux/README]] — объект клиента
+- [[../../snippets/clients/alexandr-benelux-amnezia-reinstall]] — история работы
+- [[../../snippets/clients/alexandr-benelux-power-recovery]] — типовой плейбук
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+## Mailcow готов ✅ — осталось 4 DNS-записи (руками в Spaceweb)
+
+На Mailcow всё сделал через API: домен `umnybot.ru`, ящик `assistant@umnybot.ru`, catch-all `@umnybot.ru` (любой адрес → в этот ящик), DKIM.
+
+**Добавь записи для `umnybot.ru` в панели `vps.sweb.ru`** (DNS-редактор). Главная — **MX**, остальные для отправки.
+
+**① MX — добавь первым (это включает приём почты):**
+```
+Тип: MX   Имя: @   Приоритет: 10   Значение: mail.dttb.ru
+```
+
+**② TXT (SPF):**
+```
+Имя: @   Значение: v=spf1 ip4:176.62
+
+---
+*Автосохранено из session [`83491ec7`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/83491ec7-16d3-47aa-9bcc-655c342ad2a2.jsonl) — 7 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write*

notes/claude/2026-05-31-110116-session.md

@@ -0,0 +1,325 @@
+---
+date: 2026-05-31
+type: claude-session
+session_id: 83491ec7-16d3-47aa-9bcc-655c342ad2a2
+started: 2026-05-30T08:49:37.558Z
+ended: 2026-05-31T08:01:16.259Z
+messages: 8
+tools: [AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write]
+tags: [claude, session]
+---
+
+# ---
+
+## Запрос
+
+---
+date: 2026-05-30
+type: project-spec
+tags: [product, ai-assistant, pilot, openclaw, alexandr, business]
+status: draft
+---
+
+# AI-ассистент в коробке — пилот для Александра
+
+> **Это первая страница нового продукта Олега.** Цель — собрать автономного AI-консьержа на маленьком ПК, продать Александру (КП Бенелюкс) как пилот. Если зайдёт — переезжает к клиенту физически, дальше масштабирование на других клиентов.
+
+Этот файл — **промт для следующей Claude-сессии**, которая будет строить систему. Открываешь новый чат и вставляешь всё ниже целиком.
+
+---
+
+## 📋 Промт для копирования в новую сессию
+
+```
+Я разрабатываю коммерческий AI-консьерж-продукт. Маленький ПК с предустановленным
+ассистентом, который покупает домохозяйство и ставит в свою сеть. Сегодня пилот
+для одного конкретного клиента — Александра Григорьева (КП Бенелюкс, Истра).
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТ — кто я и что у меня уже есть
+
+Я Олег Батлаев, DevOps. У меня уже работает похожая система для себя — Антошка
+(openclaw в LXC 137 на моём Proxmox). Она использует OmniRoute (бесплатный
+ProxyDispatcher к Sonnet 4.5/Opus/GPT-5.4), есть Telegram-бот, есть Nextcloud
+Talk-бот, есть RAG над моим Obsidian-vault. Это базовая референс-архитектура.
+
+Я обслуживаю Александра как сетевого админа уже несколько недель. Знаю всю его
+инфру наизусть — описано в моём vault (см. ссылки ниже). Хочу выделить из этой
+работы продукт.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЦЕЛЬ ПРОЕКТА
+
+Собрать на маленьком ПК (Proxmox VE 9.1, ZOTAC H61 / i3-2100 / 15 GB RAM / 
+SSD 112 GB + HDD 1.8 TB, IP 10.0.0.147 пока у меня) автономный AI-ассистент,
+который умеет:
+
+1. Помогать Александру с типичными бытовыми IT-проблемами его сети
+   («не работает Telegram», «принтер не печатает», «почта не отправляется»)
+2. Сам диагностировать (read-only тулы) и предлагать решения
+3. Выполнять починку (write-action тулы) только после подтверждения клиента
+4. Работать с его документами и почтой через RAG
+5. Общаться через 3 интерфейса с единой памятью: Web / Telegram / Nextcloud Talk
+6. Постепенно обучаться (расширяемая RAG-база, не fine-tuning)
+
+Бизнес: пилот → если Александр покупает, ПК физически переезжает к нему домой,
+переходит в его LAN. Дальше масштабирую на других клиентов.
+
+═══════════════════════════════════════════════════════════════════════════════
+АРХИТЕКТУРА (принципы)
+
+✅ ПОЛНАЯ АВТОНОМНОСТЬ от моей dttb-инфры. Бот не должен зависеть от:
+   - моего openclaw / claude-memory
+   - моего vault / Gitea
+   - моего code-server / openclaw-NetBird
+   - моего OmniRoute (его instance может крутиться где угодно — отдельно)
+   После переезда ПК к клиенту — никаких связей со мной не остаётся, кроме
+   возможности удалённой поддержки.
+
+✅ ОТДЕЛЬНЫЙ vault — новый git-репозиторий `alexandr-knowledge-base`. Туда
+   копируется ТОЛЬКО инфра Александра (из моего vault projects/benilux/,
+   snippets/clients/alexandr-*, claude-memory/benelux*.md, плюс универсальные
+   snippets). Данные других моих клиентов (НИИКН, ММФБ, Знаменское, Главторг)
+   НЕ копируются ни в каком виде — это утечка их данных третьему лицу.
+
+✅ ВНЕШНИЙ ДОСТУП через мой VPS на Spaceweb с белым IP. Я куплю домен (имя
+   уточню позже). От бота до VPS — обратный туннель (рекомендую Cloudflare
+   Tunnel — бесплатно, SSL автоматом, не требует port-forward на роутере
+   клиента; альтернатива — FRP или WireGuard). На VPS — Nginx Proxy Manager
+   или Caddy с Let's Encrypt → проксирует на бота через туннель.
+
+✅ ОДИН ПОЛЬЗОВАТЕЛЬ (Александр). Многопользовательский режим для семьи —
+   возможный апгрейд в будущем, но не сейчас.
+
+✅ ГИБРИДНЫЕ TOOLS:
+   - read-only (ping, lpstat, awg show, curl, RAG search) — всегда без
+     подтверждения
+   - write-action (restart_podkop, flush_dns_on_mac, change_uci_setting) —
+     ВСЕГДА требуют клик кнопки «Да, разрешаю» в TG/Web inline keyboard
+   - все действия логируются → отдельный audit-log канал в TG для меня
+
+═══════════════════════════════════════════════════════════════════════════════
+СТЕК ТЕХНОЛОГИЙ (предложение)
+
+Слой              | Технология                          | Где живёт
+──────────────────┼─────────────────────────────────────┼──────────────────────
+Гипервизор        | Proxmox VE 9.1.0                    | host (уже стоит)
+NAS-OS            | ZimaOS в VM 100 (8 GB / 128 GB)     | KVM (запущена сегодня)
+Reverse proxy     | NPM в LXC 101 (10.0.0.207)          | LXC (уже работает)
+Контейнер бота    | LXC (Debian, ~4 GB RAM)             | новый LXC 102
+LLM роутер        | OmniRoute (форк или свой instance)  | LXC 102
+Conversation DB   | PostgreSQL                          | LXC 102 в Docker
+RAG / vector DB   | Qdrant или pgvector                 | LXC 102 в Docker
+Embeddings        | через API (OpenAI text-embedding или        |
+                  | Voyage AI или Sonnet с описанием)   | внешние
+Email клиент      | MCP-imap server                     | LXC 102 в Docker
+Web UI            | Open WebUI или собственный простой  | LXC 102
+Telegram bot      | python-telegram-bot или Telethon    | LXC 102
+Nextcloud Talk    | Nextcloud в Docker внутри ZimaOS    | VM 100 (Zima)
+                  | + Talk-плагин + nextcloud-talk-bot  |
+                  | (или повторить мой Антошка-Talk     |
+                  | через long-poll скрипт)             |
+Туннель           | Cloudflare Tunnel (рекомендую)      | LXC 102 → CF edge
+DNS               | Cloudflare (бесплатно)              | для домена клиента
+Secrets           | sops + age, либо HashiCorp Vault    | LXC 102
+
+═══════════════════════════════════════════════════════════════════════════════
+ИНТЕРФЕЙСЫ И ЕДИНОЕ СОСТОЯНИЕ
+
+3 канала входа — Web / Telegram / Nextcloud Talk — должны делить:
+- Conversation history (Postgres)
+- RAG-память (Qdrant/pgvector)
+- Audit log (отдельная таблица в Postgres)
+
+То есть Александр пишет в TG: «Принтер не печатает». Потом утром идёт в Web →
+видит ту же беседу с продолжением. В Nextcloud Talk пишет вечером — тот же
+контекст.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЗНАНИЯ И ОБУЧЕНИЕ
+
+Старт-импорт в RAG из моего vault (передам файлы через scp или git-clone):
+- projects/benilux/README.md
+- projects/benilux/credentials.md (только данные Александра, не моих)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md
+- snippets/clients/alexandr-benelux-power-recovery.md
+- claude-memory/benelux.md
+- claude-memory/benelux-topology.md
+- decisions/2026-05-20-benelux-compromise.md (история инцидента — учит «бот
+  всегда сначала диагностирует, потом действует»)
+- decisions/2026-05-20-amneziavpn-macos-v1-v2-incompat.md
+
+Также добавить универсальные знания (без привязки к Александру):
+- как закрыть приложение из памяти на iOS/Android/macOS
+- как сделать DNS-flush на Mac
+- как проверить включён ли Private Relay
+- как разбудить HP-принтер из deep sleep
+- типичные коды ошибок AmneziaVPN
+
+Self-update memory: после каждой решённой проблемы бот спрашивает Александра
+«Это помогло?». Если да — записывает в RAG как новое решение. Через месяц у
+бота своя локальная база типичных кейсов Александра.
+
+═══════════════════════════════════════════════════════════════════════════════
+PERSONA (стиль общения)
+
+- Имя бота — Олег решит (поле для заполнения, например «Помощник Бенелюкса»)
+- Тон: спокойный, дружелюбный, на «ты», без жаргона
+- НЕ использовать: «критическая ошибка», «сбой», «недоступен», «провал»
+- Использовать: «немного не работает», «давай посмотрим», «починим за минуту»
+- Если Александр злится — извиниться, обещать разобраться, не оправдываться
+- Перед действием объяснять простыми словами что будет делать
+- После действия описывать результат человеческим языком
+
+═══════════════════════════════════════════════════════════════════════════════
+ДОСТУП БОТА К СЕТИ АЛЕКСАНДРА (для диагностики)
+
+Сейчас на пилоте — бот живёт в моей LAN dttb (10.0.0.147), к сети Александра
+(192.168.1.0/24 за роутером Cudy в Бенелюксе) подключается через NetBird.
+Cudy уже в моём NetBird (openwrt-benilux 100.70.207.97). Выдам боту отдельный
+NetBird-setup-key с доступом только в группу Бенелюкса.
+
+После переезда ПК к клиенту — бот в его LAN напрямую, прямой доступ к
+Cudy/Cloud Key/принтеру/устройствам семьи без NetBird-overhead.
+
+SSH-ключи к устройствам Александра:
+- Cudy роутер: ssh-ключ Олежиного Mac уже добавлен; добавим ключ бота
+- Cloud Key Gen2+ (192.168.1.199): только по ключу, ключ Александра не у меня
+  — попросим Александра добавить наш ключ через UniFi OS Console
+- Mac Александра (aleksandrgrigorev): добавим публичный ключ бота
+- Принтер HP M775 (192.168.1.148): через CUPS, не SSH
+
+═══════════════════════════════════════════════════════════════════════════════
+ЭТАПЫ РЕАЛИЗАЦИИ (предложение)
+
+Этап 1: Базовая инфра (без интернета извне)
+  ─ LXC 102 «assistant» на pve-147 (Debian, 4 GB RAM)
+  ─ Docker внутри LXC
+  ─ Postgres + Qdrant в Docker
+  ─ Каркас бота (openclaw-форк, OmniRoute с моими токенами)
+  ─ Telegram-bot создан через @BotFather (handle и токен — Олег предоставит)
+  ─ Простейший Web UI (Open WebUI)
+  ─ Тест: «привет, как дела?» в TG → ответ из Sonnet через OmniRoute
+
+Этап 2: Tools (read-only)
+  ─ ping_host, check_router_health, check_printer, check_dns
+  ─ NetBird-setup на боте (доступ в Бенелюкс)
+  ─ SSH-ключ бота добавлен на Cudy, Mac Александра
+  ─ Тест: «проверь работает ли подкоп» → бот делает awg show на Cudy
+  
+Этап 3: RAG и знания
+  ─ Импорт vault Александра в Qdrant
+  ─ MCP-инструменты для бота: search_knowledge, recall_history
+  ─ Тест: «как починить TG если не открывается» → бот выдаёт инструкцию из RAG
+
+Этап 4: Tools (write-action с подтверждением)
+  ─ Inline keyboard в TG: «Да, разрешаю» / «Нет»
+  ─ restart_podkop, flush_dns_on_mac, restart_printer_queue
+  ─ Audit log в отдельный TG-канал для Олега
+  ─ Тест: «принтер не печатает» → бот предлагает действие → клик → перезапуск
+
+Этап 5: Внешний доступ
+  ─ Куплен домен (Олег)
+  ─ Cloudflare Tunnel настроен (LXC 102 → CF edge → домен)
+  ─ Web UI доступен снаружи по HTTPS через домен
+  ─ Telegram-bot работает (он и так через TG-API, без туннеля)
+
+Этап 6: Nextcloud Talk и почта
+  ─ Nextcloud в Docker на ZimaOS-NAS
+  ─ Talk бот через long-poll (по образцу моего nextcloud-talk-bot для Антошки)
+  ─ MCP-imap: подключение к почте Александра (IMAP-сервер уточню)
+  ─ RAG-индексация писем и документов из NAS-share
+
+Этап 7: Документы
+  ─ ZimaOS-NAS share по SMB
+  ─ Бот видит файлы через MCP-filesystem
+  ─ Индексация в RAG
+
+Этап 8: Обучение и калибровка
+  ─ Олег проводит 5-10 тестовых диалогов
+  ─ Калибровка persona (тон, длина ответов, эмодзи)
+  ─ Тест на семейных сценариях: «помоги маме закрыть рекламу в Сафари»
+
+Этап 9: Юридическое и передача
+  ─ Простое соглашение на 1 страницу (Олег подготовит)
+  ─ Демо Александру по видеосвязи
+  ─ Если покупает — выезд к нему, физический переезд ПК
+
+═══════════════════════════════════════════════════════════════════════════════
+ОТКРЫТЫЕ ВОПРОСЫ (для уточнения у Олега в новой сессии)
+
+1. Имя бота? (Алекс, Помощник, Лёша, Билли, что-то фирменное?)
+2. Telegram-handle? Олег создаст через @BotFather и даст токен
+3. Домен — какой Олег купит? (alexbot.ru, ai-helper.ru, your-helper.online?)
+4. VPS Spaceweb — выделить отдельный или использовать существующий?
+   IP, доступ?
+5. Email сервис Александра — Yandex/Gmail/Mail.ru/iCloud? IMAP-host? App-pass
+   или OAuth?
+6. Где Александр хранит документы — Mac локально / iCloud / OneDrive? Как
+   ассистент к ним получит доступ?
+7. Cloudflare Tunnel: использовать существующий аккаунт Олега (если есть) или
+   создать новый под клиента?
+8. Цена пилота для Александра?
+9. Топ-5 типичных сценариев которые точно должны работать к демо
+   (TG не открывается, принтер не печатает, что ещё?)
+10. Готов ли Олег дать боту admin-уровень доступа к Cudy / Cloud Key, или
+    только конкретные команды через sudo-whitelist?
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТНЫЕ ССЫЛКИ (мой vault, прочитать перед стартом)
+
+- projects/benilux/README.md — что такое объект Бенелюкс
+- projects/benilux/credentials.md — пароли (для копирования в Alex-vault)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md — история инцидента
+- snippets/clients/alexandr-benelux-power-recovery.md — типичные кейсы семьи
+- claude-memory/benelux.md — текущее состояние Cudy
+- claude-memory/benelux-topology.md — карта сети + список устройств
+- decisions/2026-05-20-benelux-compromise.md — урок про безопасность
+- projects/dttb/proxmox-pve-147.md — карточка целевого хоста
+- claude-memory/MEMORY.md — общая память (для понимания моего стиля и инфры)
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНЕЦ ПРОМТА. Действуй: задай мне 10 открытых вопросов одним сообщением,
+получи ответы, начни с Этапа 1. По итогам каждого этапа — короткий статус
+в чате (что сделал, что проверил, что осталось).
+```
+
+---
+
+## Что Олег решает в чате (НЕ внутри промта)
+
+Перед открытием новой сессии:
+
+- [ ] Создать TG-бота через @BotFather → получить токен и handle
+- [ ] Купить домен (или выбрать из существующих свободных)
+- [ ] Проверить статус VPS Spaceweb (есть ли свободный с белым IP)
+- [ ] Решить имя бота (или дать новой сессии выбрать варианты)
+- [ ] Прикинуть цену пилота — €15/мес? €25? разово €300?
+
+## Что в новой сессии делать НЕ нужно
+
+- ❌ Использовать мой openclaw (LXC 137) — пилот строит свой независимый бот
+- ❌ Использовать мою claude-memory или мой Anthropic-API-token
+- ❌ Подключать к моему vault через rclone/git
+- ❌ Использовать мой Postgres/Qdrant из dttb-инфры
+- ❌ Копировать в Alex-vault инфо о других клиентах (ММФБ, НИИКН и т.п.)
+
+## Связанные файлы в vault
+
+- [[proxmox-pve-147]] — целевой хост
+- [[../benilux/README]] — объект клиента
+- [[../../snippets/clients/alexandr-benelux-amnezia-reinstall]] — история работы
+- [[../../snippets/clients/alexandr-benelux-power-recovery]] — типовой плейбук
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Готово — диагностика закрыта. Аутентифицированное письмо на `umnytest-...@umnybot.ru` долетело: **`INBOX hit: * SEARCH 1`** — лежит в ящике `assistant@`. Сервер полностью рабочий.
+
+## Ответ: сейчас НЕ приходит — нет MX-записи
+
+Проверил прямо на авторитетном Spaceweb-NS (`ns1.spaceweb.ru`): в зоне `umnybot.ru` сейчас **только парковочный `A 89.111.140.86`, MX пусто**. Внешние отправители (GitHub) физически не знают, куда слать → почта не доходит. **Ты ещё не добавил MX** (или не сохранилось).
+
+**
+
+---
+*Автосохранено из session [`83491ec7`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/83491ec7-16d3-47aa-9bcc-655c342ad2a2.jsonl) — 8 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write*

notes/claude/2026-05-31-111053-session.md

@@ -0,0 +1,329 @@
+---
+date: 2026-05-31
+type: claude-session
+session_id: 83491ec7-16d3-47aa-9bcc-655c342ad2a2
+started: 2026-05-30T08:49:37.558Z
+ended: 2026-05-31T08:10:53.642Z
+messages: 9
+tools: [AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write]
+tags: [claude, session]
+---
+
+# ---
+
+## Запрос
+
+---
+date: 2026-05-30
+type: project-spec
+tags: [product, ai-assistant, pilot, openclaw, alexandr, business]
+status: draft
+---
+
+# AI-ассистент в коробке — пилот для Александра
+
+> **Это первая страница нового продукта Олега.** Цель — собрать автономного AI-консьержа на маленьком ПК, продать Александру (КП Бенелюкс) как пилот. Если зайдёт — переезжает к клиенту физически, дальше масштабирование на других клиентов.
+
+Этот файл — **промт для следующей Claude-сессии**, которая будет строить систему. Открываешь новый чат и вставляешь всё ниже целиком.
+
+---
+
+## 📋 Промт для копирования в новую сессию
+
+```
+Я разрабатываю коммерческий AI-консьерж-продукт. Маленький ПК с предустановленным
+ассистентом, который покупает домохозяйство и ставит в свою сеть. Сегодня пилот
+для одного конкретного клиента — Александра Григорьева (КП Бенелюкс, Истра).
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТ — кто я и что у меня уже есть
+
+Я Олег Батлаев, DevOps. У меня уже работает похожая система для себя — Антошка
+(openclaw в LXC 137 на моём Proxmox). Она использует OmniRoute (бесплатный
+ProxyDispatcher к Sonnet 4.5/Opus/GPT-5.4), есть Telegram-бот, есть Nextcloud
+Talk-бот, есть RAG над моим Obsidian-vault. Это базовая референс-архитектура.
+
+Я обслуживаю Александра как сетевого админа уже несколько недель. Знаю всю его
+инфру наизусть — описано в моём vault (см. ссылки ниже). Хочу выделить из этой
+работы продукт.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЦЕЛЬ ПРОЕКТА
+
+Собрать на маленьком ПК (Proxmox VE 9.1, ZOTAC H61 / i3-2100 / 15 GB RAM / 
+SSD 112 GB + HDD 1.8 TB, IP 10.0.0.147 пока у меня) автономный AI-ассистент,
+который умеет:
+
+1. Помогать Александру с типичными бытовыми IT-проблемами его сети
+   («не работает Telegram», «принтер не печатает», «почта не отправляется»)
+2. Сам диагностировать (read-only тулы) и предлагать решения
+3. Выполнять починку (write-action тулы) только после подтверждения клиента
+4. Работать с его документами и почтой через RAG
+5. Общаться через 3 интерфейса с единой памятью: Web / Telegram / Nextcloud Talk
+6. Постепенно обучаться (расширяемая RAG-база, не fine-tuning)
+
+Бизнес: пилот → если Александр покупает, ПК физически переезжает к нему домой,
+переходит в его LAN. Дальше масштабирую на других клиентов.
+
+═══════════════════════════════════════════════════════════════════════════════
+АРХИТЕКТУРА (принципы)
+
+✅ ПОЛНАЯ АВТОНОМНОСТЬ от моей dttb-инфры. Бот не должен зависеть от:
+   - моего openclaw / claude-memory
+   - моего vault / Gitea
+   - моего code-server / openclaw-NetBird
+   - моего OmniRoute (его instance может крутиться где угодно — отдельно)
+   После переезда ПК к клиенту — никаких связей со мной не остаётся, кроме
+   возможности удалённой поддержки.
+
+✅ ОТДЕЛЬНЫЙ vault — новый git-репозиторий `alexandr-knowledge-base`. Туда
+   копируется ТОЛЬКО инфра Александра (из моего vault projects/benilux/,
+   snippets/clients/alexandr-*, claude-memory/benelux*.md, плюс универсальные
+   snippets). Данные других моих клиентов (НИИКН, ММФБ, Знаменское, Главторг)
+   НЕ копируются ни в каком виде — это утечка их данных третьему лицу.
+
+✅ ВНЕШНИЙ ДОСТУП через мой VPS на Spaceweb с белым IP. Я куплю домен (имя
+   уточню позже). От бота до VPS — обратный туннель (рекомендую Cloudflare
+   Tunnel — бесплатно, SSL автоматом, не требует port-forward на роутере
+   клиента; альтернатива — FRP или WireGuard). На VPS — Nginx Proxy Manager
+   или Caddy с Let's Encrypt → проксирует на бота через туннель.
+
+✅ ОДИН ПОЛЬЗОВАТЕЛЬ (Александр). Многопользовательский режим для семьи —
+   возможный апгрейд в будущем, но не сейчас.
+
+✅ ГИБРИДНЫЕ TOOLS:
+   - read-only (ping, lpstat, awg show, curl, RAG search) — всегда без
+     подтверждения
+   - write-action (restart_podkop, flush_dns_on_mac, change_uci_setting) —
+     ВСЕГДА требуют клик кнопки «Да, разрешаю» в TG/Web inline keyboard
+   - все действия логируются → отдельный audit-log канал в TG для меня
+
+═══════════════════════════════════════════════════════════════════════════════
+СТЕК ТЕХНОЛОГИЙ (предложение)
+
+Слой              | Технология                          | Где живёт
+──────────────────┼─────────────────────────────────────┼──────────────────────
+Гипервизор        | Proxmox VE 9.1.0                    | host (уже стоит)
+NAS-OS            | ZimaOS в VM 100 (8 GB / 128 GB)     | KVM (запущена сегодня)
+Reverse proxy     | NPM в LXC 101 (10.0.0.207)          | LXC (уже работает)
+Контейнер бота    | LXC (Debian, ~4 GB RAM)             | новый LXC 102
+LLM роутер        | OmniRoute (форк или свой instance)  | LXC 102
+Conversation DB   | PostgreSQL                          | LXC 102 в Docker
+RAG / vector DB   | Qdrant или pgvector                 | LXC 102 в Docker
+Embeddings        | через API (OpenAI text-embedding или        |
+                  | Voyage AI или Sonnet с описанием)   | внешние
+Email клиент      | MCP-imap server                     | LXC 102 в Docker
+Web UI            | Open WebUI или собственный простой  | LXC 102
+Telegram bot      | python-telegram-bot или Telethon    | LXC 102
+Nextcloud Talk    | Nextcloud в Docker внутри ZimaOS    | VM 100 (Zima)
+                  | + Talk-плагин + nextcloud-talk-bot  |
+                  | (или повторить мой Антошка-Talk     |
+                  | через long-poll скрипт)             |
+Туннель           | Cloudflare Tunnel (рекомендую)      | LXC 102 → CF edge
+DNS               | Cloudflare (бесплатно)              | для домена клиента
+Secrets           | sops + age, либо HashiCorp Vault    | LXC 102
+
+═══════════════════════════════════════════════════════════════════════════════
+ИНТЕРФЕЙСЫ И ЕДИНОЕ СОСТОЯНИЕ
+
+3 канала входа — Web / Telegram / Nextcloud Talk — должны делить:
+- Conversation history (Postgres)
+- RAG-память (Qdrant/pgvector)
+- Audit log (отдельная таблица в Postgres)
+
+То есть Александр пишет в TG: «Принтер не печатает». Потом утром идёт в Web →
+видит ту же беседу с продолжением. В Nextcloud Talk пишет вечером — тот же
+контекст.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЗНАНИЯ И ОБУЧЕНИЕ
+
+Старт-импорт в RAG из моего vault (передам файлы через scp или git-clone):
+- projects/benilux/README.md
+- projects/benilux/credentials.md (только данные Александра, не моих)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md
+- snippets/clients/alexandr-benelux-power-recovery.md
+- claude-memory/benelux.md
+- claude-memory/benelux-topology.md
+- decisions/2026-05-20-benelux-compromise.md (история инцидента — учит «бот
+  всегда сначала диагностирует, потом действует»)
+- decisions/2026-05-20-amneziavpn-macos-v1-v2-incompat.md
+
+Также добавить универсальные знания (без привязки к Александру):
+- как закрыть приложение из памяти на iOS/Android/macOS
+- как сделать DNS-flush на Mac
+- как проверить включён ли Private Relay
+- как разбудить HP-принтер из deep sleep
+- типичные коды ошибок AmneziaVPN
+
+Self-update memory: после каждой решённой проблемы бот спрашивает Александра
+«Это помогло?». Если да — записывает в RAG как новое решение. Через месяц у
+бота своя локальная база типичных кейсов Александра.
+
+═══════════════════════════════════════════════════════════════════════════════
+PERSONA (стиль общения)
+
+- Имя бота — Олег решит (поле для заполнения, например «Помощник Бенелюкса»)
+- Тон: спокойный, дружелюбный, на «ты», без жаргона
+- НЕ использовать: «критическая ошибка», «сбой», «недоступен», «провал»
+- Использовать: «немного не работает», «давай посмотрим», «починим за минуту»
+- Если Александр злится — извиниться, обещать разобраться, не оправдываться
+- Перед действием объяснять простыми словами что будет делать
+- После действия описывать результат человеческим языком
+
+═══════════════════════════════════════════════════════════════════════════════
+ДОСТУП БОТА К СЕТИ АЛЕКСАНДРА (для диагностики)
+
+Сейчас на пилоте — бот живёт в моей LAN dttb (10.0.0.147), к сети Александра
+(192.168.1.0/24 за роутером Cudy в Бенелюксе) подключается через NetBird.
+Cudy уже в моём NetBird (openwrt-benilux 100.70.207.97). Выдам боту отдельный
+NetBird-setup-key с доступом только в группу Бенелюкса.
+
+После переезда ПК к клиенту — бот в его LAN напрямую, прямой доступ к
+Cudy/Cloud Key/принтеру/устройствам семьи без NetBird-overhead.
+
+SSH-ключи к устройствам Александра:
+- Cudy роутер: ssh-ключ Олежиного Mac уже добавлен; добавим ключ бота
+- Cloud Key Gen2+ (192.168.1.199): только по ключу, ключ Александра не у меня
+  — попросим Александра добавить наш ключ через UniFi OS Console
+- Mac Александра (aleksandrgrigorev): добавим публичный ключ бота
+- Принтер HP M775 (192.168.1.148): через CUPS, не SSH
+
+═══════════════════════════════════════════════════════════════════════════════
+ЭТАПЫ РЕАЛИЗАЦИИ (предложение)
+
+Этап 1: Базовая инфра (без интернета извне)
+  ─ LXC 102 «assistant» на pve-147 (Debian, 4 GB RAM)
+  ─ Docker внутри LXC
+  ─ Postgres + Qdrant в Docker
+  ─ Каркас бота (openclaw-форк, OmniRoute с моими токенами)
+  ─ Telegram-bot создан через @BotFather (handle и токен — Олег предоставит)
+  ─ Простейший Web UI (Open WebUI)
+  ─ Тест: «привет, как дела?» в TG → ответ из Sonnet через OmniRoute
+
+Этап 2: Tools (read-only)
+  ─ ping_host, check_router_health, check_printer, check_dns
+  ─ NetBird-setup на боте (доступ в Бенелюкс)
+  ─ SSH-ключ бота добавлен на Cudy, Mac Александра
+  ─ Тест: «проверь работает ли подкоп» → бот делает awg show на Cudy
+  
+Этап 3: RAG и знания
+  ─ Импорт vault Александра в Qdrant
+  ─ MCP-инструменты для бота: search_knowledge, recall_history
+  ─ Тест: «как починить TG если не открывается» → бот выдаёт инструкцию из RAG
+
+Этап 4: Tools (write-action с подтверждением)
+  ─ Inline keyboard в TG: «Да, разрешаю» / «Нет»
+  ─ restart_podkop, flush_dns_on_mac, restart_printer_queue
+  ─ Audit log в отдельный TG-канал для Олега
+  ─ Тест: «принтер не печатает» → бот предлагает действие → клик → перезапуск
+
+Этап 5: Внешний доступ
+  ─ Куплен домен (Олег)
+  ─ Cloudflare Tunnel настроен (LXC 102 → CF edge → домен)
+  ─ Web UI доступен снаружи по HTTPS через домен
+  ─ Telegram-bot работает (он и так через TG-API, без туннеля)
+
+Этап 6: Nextcloud Talk и почта
+  ─ Nextcloud в Docker на ZimaOS-NAS
+  ─ Talk бот через long-poll (по образцу моего nextcloud-talk-bot для Антошки)
+  ─ MCP-imap: подключение к почте Александра (IMAP-сервер уточню)
+  ─ RAG-индексация писем и документов из NAS-share
+
+Этап 7: Документы
+  ─ ZimaOS-NAS share по SMB
+  ─ Бот видит файлы через MCP-filesystem
+  ─ Индексация в RAG
+
+Этап 8: Обучение и калибровка
+  ─ Олег проводит 5-10 тестовых диалогов
+  ─ Калибровка persona (тон, длина ответов, эмодзи)
+  ─ Тест на семейных сценариях: «помоги маме закрыть рекламу в Сафари»
+
+Этап 9: Юридическое и передача
+  ─ Простое соглашение на 1 страницу (Олег подготовит)
+  ─ Демо Александру по видеосвязи
+  ─ Если покупает — выезд к нему, физический переезд ПК
+
+═══════════════════════════════════════════════════════════════════════════════
+ОТКРЫТЫЕ ВОПРОСЫ (для уточнения у Олега в новой сессии)
+
+1. Имя бота? (Алекс, Помощник, Лёша, Билли, что-то фирменное?)
+2. Telegram-handle? Олег создаст через @BotFather и даст токен
+3. Домен — какой Олег купит? (alexbot.ru, ai-helper.ru, your-helper.online?)
+4. VPS Spaceweb — выделить отдельный или использовать существующий?
+   IP, доступ?
+5. Email сервис Александра — Yandex/Gmail/Mail.ru/iCloud? IMAP-host? App-pass
+   или OAuth?
+6. Где Александр хранит документы — Mac локально / iCloud / OneDrive? Как
+   ассистент к ним получит доступ?
+7. Cloudflare Tunnel: использовать существующий аккаунт Олега (если есть) или
+   создать новый под клиента?
+8. Цена пилота для Александра?
+9. Топ-5 типичных сценариев которые точно должны работать к демо
+   (TG не открывается, принтер не печатает, что ещё?)
+10. Готов ли Олег дать боту admin-уровень доступа к Cudy / Cloud Key, или
+    только конкретные команды через sudo-whitelist?
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТНЫЕ ССЫЛКИ (мой vault, прочитать перед стартом)
+
+- projects/benilux/README.md — что такое объект Бенелюкс
+- projects/benilux/credentials.md — пароли (для копирования в Alex-vault)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md — история инцидента
+- snippets/clients/alexandr-benelux-power-recovery.md — типичные кейсы семьи
+- claude-memory/benelux.md — текущее состояние Cudy
+- claude-memory/benelux-topology.md — карта сети + список устройств
+- decisions/2026-05-20-benelux-compromise.md — урок про безопасность
+- projects/dttb/proxmox-pve-147.md — карточка целевого хоста
+- claude-memory/MEMORY.md — общая память (для понимания моего стиля и инфры)
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНЕЦ ПРОМТА. Действуй: задай мне 10 открытых вопросов одним сообщением,
+получи ответы, начни с Этапа 1. По итогам каждого этапа — короткий статус
+в чате (что сделал, что проверил, что осталось).
+```
+
+---
+
+## Что Олег решает в чате (НЕ внутри промта)
+
+Перед открытием новой сессии:
+
+- [ ] Создать TG-бота через @BotFather → получить токен и handle
+- [ ] Купить домен (или выбрать из существующих свободных)
+- [ ] Проверить статус VPS Spaceweb (есть ли свободный с белым IP)
+- [ ] Решить имя бота (или дать новой сессии выбрать варианты)
+- [ ] Прикинуть цену пилота — €15/мес? €25? разово €300?
+
+## Что в новой сессии делать НЕ нужно
+
+- ❌ Использовать мой openclaw (LXC 137) — пилот строит свой независимый бот
+- ❌ Использовать мою claude-memory или мой Anthropic-API-token
+- ❌ Подключать к моему vault через rclone/git
+- ❌ Использовать мой Postgres/Qdrant из dttb-инфры
+- ❌ Копировать в Alex-vault инфо о других клиентах (ММФБ, НИИКН и т.п.)
+
+## Связанные файлы в vault
+
+- [[proxmox-pve-147]] — целевой хост
+- [[../benilux/README]] — объект клиента
+- [[../../snippets/clients/alexandr-benelux-amnezia-reinstall]] — история работы
+- [[../../snippets/clients/alexandr-benelux-power-recovery]] — типовой плейбук
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+## ✅ Да, почта принимается — MX на месте
+
+Проверено на трёх резолверах: `umnybot.ru MX → 10 mail.dttb.ru`. Приём для `*@umnybot.ru` включён.
+
+**Можешь регистрировать GitHub прямо сейчас:**
+1. Создаёшь аккаунт на `kiro1@umnybot.ru` (или любой `*@umnybot.ru` — всё падает в один ящик).
+2. Код подтверждения читаешь в вебмейле **https://mail.dttb.ru** → `assistant@umnybot.ru` / `KQcZnxkB5sMNiVYo`.
+
+## Честно про остальное
+
+- **SPF/DMARC/DKIM не записались.** Spaceweb-API (`editTxt`) ответил «успех», 
+
+---
+*Автосохранено из session [`83491ec7`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/83491ec7-16d3-47aa-9bcc-655c342ad2a2.jsonl) — 9 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write*

notes/claude/2026-05-31-112151-session.md

@@ -0,0 +1,323 @@
+---
+date: 2026-05-31
+type: claude-session
+session_id: 83491ec7-16d3-47aa-9bcc-655c342ad2a2
+started: 2026-05-30T08:49:37.558Z
+ended: 2026-05-31T08:21:51.749Z
+messages: 9
+tools: [AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write]
+tags: [claude, session]
+---
+
+# ---
+
+## Запрос
+
+---
+date: 2026-05-30
+type: project-spec
+tags: [product, ai-assistant, pilot, openclaw, alexandr, business]
+status: draft
+---
+
+# AI-ассистент в коробке — пилот для Александра
+
+> **Это первая страница нового продукта Олега.** Цель — собрать автономного AI-консьержа на маленьком ПК, продать Александру (КП Бенелюкс) как пилот. Если зайдёт — переезжает к клиенту физически, дальше масштабирование на других клиентов.
+
+Этот файл — **промт для следующей Claude-сессии**, которая будет строить систему. Открываешь новый чат и вставляешь всё ниже целиком.
+
+---
+
+## 📋 Промт для копирования в новую сессию
+
+```
+Я разрабатываю коммерческий AI-консьерж-продукт. Маленький ПК с предустановленным
+ассистентом, который покупает домохозяйство и ставит в свою сеть. Сегодня пилот
+для одного конкретного клиента — Александра Григорьева (КП Бенелюкс, Истра).
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТ — кто я и что у меня уже есть
+
+Я Олег Батлаев, DevOps. У меня уже работает похожая система для себя — Антошка
+(openclaw в LXC 137 на моём Proxmox). Она использует OmniRoute (бесплатный
+ProxyDispatcher к Sonnet 4.5/Opus/GPT-5.4), есть Telegram-бот, есть Nextcloud
+Talk-бот, есть RAG над моим Obsidian-vault. Это базовая референс-архитектура.
+
+Я обслуживаю Александра как сетевого админа уже несколько недель. Знаю всю его
+инфру наизусть — описано в моём vault (см. ссылки ниже). Хочу выделить из этой
+работы продукт.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЦЕЛЬ ПРОЕКТА
+
+Собрать на маленьком ПК (Proxmox VE 9.1, ZOTAC H61 / i3-2100 / 15 GB RAM / 
+SSD 112 GB + HDD 1.8 TB, IP 10.0.0.147 пока у меня) автономный AI-ассистент,
+который умеет:
+
+1. Помогать Александру с типичными бытовыми IT-проблемами его сети
+   («не работает Telegram», «принтер не печатает», «почта не отправляется»)
+2. Сам диагностировать (read-only тулы) и предлагать решения
+3. Выполнять починку (write-action тулы) только после подтверждения клиента
+4. Работать с его документами и почтой через RAG
+5. Общаться через 3 интерфейса с единой памятью: Web / Telegram / Nextcloud Talk
+6. Постепенно обучаться (расширяемая RAG-база, не fine-tuning)
+
+Бизнес: пилот → если Александр покупает, ПК физически переезжает к нему домой,
+переходит в его LAN. Дальше масштабирую на других клиентов.
+
+═══════════════════════════════════════════════════════════════════════════════
+АРХИТЕКТУРА (принципы)
+
+✅ ПОЛНАЯ АВТОНОМНОСТЬ от моей dttb-инфры. Бот не должен зависеть от:
+   - моего openclaw / claude-memory
+   - моего vault / Gitea
+   - моего code-server / openclaw-NetBird
+   - моего OmniRoute (его instance может крутиться где угодно — отдельно)
+   После переезда ПК к клиенту — никаких связей со мной не остаётся, кроме
+   возможности удалённой поддержки.
+
+✅ ОТДЕЛЬНЫЙ vault — новый git-репозиторий `alexandr-knowledge-base`. Туда
+   копируется ТОЛЬКО инфра Александра (из моего vault projects/benilux/,
+   snippets/clients/alexandr-*, claude-memory/benelux*.md, плюс универсальные
+   snippets). Данные других моих клиентов (НИИКН, ММФБ, Знаменское, Главторг)
+   НЕ копируются ни в каком виде — это утечка их данных третьему лицу.
+
+✅ ВНЕШНИЙ ДОСТУП через мой VPS на Spaceweb с белым IP. Я куплю домен (имя
+   уточню позже). От бота до VPS — обратный туннель (рекомендую Cloudflare
+   Tunnel — бесплатно, SSL автоматом, не требует port-forward на роутере
+   клиента; альтернатива — FRP или WireGuard). На VPS — Nginx Proxy Manager
+   или Caddy с Let's Encrypt → проксирует на бота через туннель.
+
+✅ ОДИН ПОЛЬЗОВАТЕЛЬ (Александр). Многопользовательский режим для семьи —
+   возможный апгрейд в будущем, но не сейчас.
+
+✅ ГИБРИДНЫЕ TOOLS:
+   - read-only (ping, lpstat, awg show, curl, RAG search) — всегда без
+     подтверждения
+   - write-action (restart_podkop, flush_dns_on_mac, change_uci_setting) —
+     ВСЕГДА требуют клик кнопки «Да, разрешаю» в TG/Web inline keyboard
+   - все действия логируются → отдельный audit-log канал в TG для меня
+
+═══════════════════════════════════════════════════════════════════════════════
+СТЕК ТЕХНОЛОГИЙ (предложение)
+
+Слой              | Технология                          | Где живёт
+──────────────────┼─────────────────────────────────────┼──────────────────────
+Гипервизор        | Proxmox VE 9.1.0                    | host (уже стоит)
+NAS-OS            | ZimaOS в VM 100 (8 GB / 128 GB)     | KVM (запущена сегодня)
+Reverse proxy     | NPM в LXC 101 (10.0.0.207)          | LXC (уже работает)
+Контейнер бота    | LXC (Debian, ~4 GB RAM)             | новый LXC 102
+LLM роутер        | OmniRoute (форк или свой instance)  | LXC 102
+Conversation DB   | PostgreSQL                          | LXC 102 в Docker
+RAG / vector DB   | Qdrant или pgvector                 | LXC 102 в Docker
+Embeddings        | через API (OpenAI text-embedding или        |
+                  | Voyage AI или Sonnet с описанием)   | внешние
+Email клиент      | MCP-imap server                     | LXC 102 в Docker
+Web UI            | Open WebUI или собственный простой  | LXC 102
+Telegram bot      | python-telegram-bot или Telethon    | LXC 102
+Nextcloud Talk    | Nextcloud в Docker внутри ZimaOS    | VM 100 (Zima)
+                  | + Talk-плагин + nextcloud-talk-bot  |
+                  | (или повторить мой Антошка-Talk     |
+                  | через long-poll скрипт)             |
+Туннель           | Cloudflare Tunnel (рекомендую)      | LXC 102 → CF edge
+DNS               | Cloudflare (бесплатно)              | для домена клиента
+Secrets           | sops + age, либо HashiCorp Vault    | LXC 102
+
+═══════════════════════════════════════════════════════════════════════════════
+ИНТЕРФЕЙСЫ И ЕДИНОЕ СОСТОЯНИЕ
+
+3 канала входа — Web / Telegram / Nextcloud Talk — должны делить:
+- Conversation history (Postgres)
+- RAG-память (Qdrant/pgvector)
+- Audit log (отдельная таблица в Postgres)
+
+То есть Александр пишет в TG: «Принтер не печатает». Потом утром идёт в Web →
+видит ту же беседу с продолжением. В Nextcloud Talk пишет вечером — тот же
+контекст.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЗНАНИЯ И ОБУЧЕНИЕ
+
+Старт-импорт в RAG из моего vault (передам файлы через scp или git-clone):
+- projects/benilux/README.md
+- projects/benilux/credentials.md (только данные Александра, не моих)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md
+- snippets/clients/alexandr-benelux-power-recovery.md
+- claude-memory/benelux.md
+- claude-memory/benelux-topology.md
+- decisions/2026-05-20-benelux-compromise.md (история инцидента — учит «бот
+  всегда сначала диагностирует, потом действует»)
+- decisions/2026-05-20-amneziavpn-macos-v1-v2-incompat.md
+
+Также добавить универсальные знания (без привязки к Александру):
+- как закрыть приложение из памяти на iOS/Android/macOS
+- как сделать DNS-flush на Mac
+- как проверить включён ли Private Relay
+- как разбудить HP-принтер из deep sleep
+- типичные коды ошибок AmneziaVPN
+
+Self-update memory: после каждой решённой проблемы бот спрашивает Александра
+«Это помогло?». Если да — записывает в RAG как новое решение. Через месяц у
+бота своя локальная база типичных кейсов Александра.
+
+═══════════════════════════════════════════════════════════════════════════════
+PERSONA (стиль общения)
+
+- Имя бота — Олег решит (поле для заполнения, например «Помощник Бенелюкса»)
+- Тон: спокойный, дружелюбный, на «ты», без жаргона
+- НЕ использовать: «критическая ошибка», «сбой», «недоступен», «провал»
+- Использовать: «немного не работает», «давай посмотрим», «починим за минуту»
+- Если Александр злится — извиниться, обещать разобраться, не оправдываться
+- Перед действием объяснять простыми словами что будет делать
+- После действия описывать результат человеческим языком
+
+═══════════════════════════════════════════════════════════════════════════════
+ДОСТУП БОТА К СЕТИ АЛЕКСАНДРА (для диагностики)
+
+Сейчас на пилоте — бот живёт в моей LAN dttb (10.0.0.147), к сети Александра
+(192.168.1.0/24 за роутером Cudy в Бенелюксе) подключается через NetBird.
+Cudy уже в моём NetBird (openwrt-benilux 100.70.207.97). Выдам боту отдельный
+NetBird-setup-key с доступом только в группу Бенелюкса.
+
+После переезда ПК к клиенту — бот в его LAN напрямую, прямой доступ к
+Cudy/Cloud Key/принтеру/устройствам семьи без NetBird-overhead.
+
+SSH-ключи к устройствам Александра:
+- Cudy роутер: ssh-ключ Олежиного Mac уже добавлен; добавим ключ бота
+- Cloud Key Gen2+ (192.168.1.199): только по ключу, ключ Александра не у меня
+  — попросим Александра добавить наш ключ через UniFi OS Console
+- Mac Александра (aleksandrgrigorev): добавим публичный ключ бота
+- Принтер HP M775 (192.168.1.148): через CUPS, не SSH
+
+═══════════════════════════════════════════════════════════════════════════════
+ЭТАПЫ РЕАЛИЗАЦИИ (предложение)
+
+Этап 1: Базовая инфра (без интернета извне)
+  ─ LXC 102 «assistant» на pve-147 (Debian, 4 GB RAM)
+  ─ Docker внутри LXC
+  ─ Postgres + Qdrant в Docker
+  ─ Каркас бота (openclaw-форк, OmniRoute с моими токенами)
+  ─ Telegram-bot создан через @BotFather (handle и токен — Олег предоставит)
+  ─ Простейший Web UI (Open WebUI)
+  ─ Тест: «привет, как дела?» в TG → ответ из Sonnet через OmniRoute
+
+Этап 2: Tools (read-only)
+  ─ ping_host, check_router_health, check_printer, check_dns
+  ─ NetBird-setup на боте (доступ в Бенелюкс)
+  ─ SSH-ключ бота добавлен на Cudy, Mac Александра
+  ─ Тест: «проверь работает ли подкоп» → бот делает awg show на Cudy
+  
+Этап 3: RAG и знания
+  ─ Импорт vault Александра в Qdrant
+  ─ MCP-инструменты для бота: search_knowledge, recall_history
+  ─ Тест: «как починить TG если не открывается» → бот выдаёт инструкцию из RAG
+
+Этап 4: Tools (write-action с подтверждением)
+  ─ Inline keyboard в TG: «Да, разрешаю» / «Нет»
+  ─ restart_podkop, flush_dns_on_mac, restart_printer_queue
+  ─ Audit log в отдельный TG-канал для Олега
+  ─ Тест: «принтер не печатает» → бот предлагает действие → клик → перезапуск
+
+Этап 5: Внешний доступ
+  ─ Куплен домен (Олег)
+  ─ Cloudflare Tunnel настроен (LXC 102 → CF edge → домен)
+  ─ Web UI доступен снаружи по HTTPS через домен
+  ─ Telegram-bot работает (он и так через TG-API, без туннеля)
+
+Этап 6: Nextcloud Talk и почта
+  ─ Nextcloud в Docker на ZimaOS-NAS
+  ─ Talk бот через long-poll (по образцу моего nextcloud-talk-bot для Антошки)
+  ─ MCP-imap: подключение к почте Александра (IMAP-сервер уточню)
+  ─ RAG-индексация писем и документов из NAS-share
+
+Этап 7: Документы
+  ─ ZimaOS-NAS share по SMB
+  ─ Бот видит файлы через MCP-filesystem
+  ─ Индексация в RAG
+
+Этап 8: Обучение и калибровка
+  ─ Олег проводит 5-10 тестовых диалогов
+  ─ Калибровка persona (тон, длина ответов, эмодзи)
+  ─ Тест на семейных сценариях: «помоги маме закрыть рекламу в Сафари»
+
+Этап 9: Юридическое и передача
+  ─ Простое соглашение на 1 страницу (Олег подготовит)
+  ─ Демо Александру по видеосвязи
+  ─ Если покупает — выезд к нему, физический переезд ПК
+
+═══════════════════════════════════════════════════════════════════════════════
+ОТКРЫТЫЕ ВОПРОСЫ (для уточнения у Олега в новой сессии)
+
+1. Имя бота? (Алекс, Помощник, Лёша, Билли, что-то фирменное?)
+2. Telegram-handle? Олег создаст через @BotFather и даст токен
+3. Домен — какой Олег купит? (alexbot.ru, ai-helper.ru, your-helper.online?)
+4. VPS Spaceweb — выделить отдельный или использовать существующий?
+   IP, доступ?
+5. Email сервис Александра — Yandex/Gmail/Mail.ru/iCloud? IMAP-host? App-pass
+   или OAuth?
+6. Где Александр хранит документы — Mac локально / iCloud / OneDrive? Как
+   ассистент к ним получит доступ?
+7. Cloudflare Tunnel: использовать существующий аккаунт Олега (если есть) или
+   создать новый под клиента?
+8. Цена пилота для Александра?
+9. Топ-5 типичных сценариев которые точно должны работать к демо
+   (TG не открывается, принтер не печатает, что ещё?)
+10. Готов ли Олег дать боту admin-уровень доступа к Cudy / Cloud Key, или
+    только конкретные команды через sudo-whitelist?
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТНЫЕ ССЫЛКИ (мой vault, прочитать перед стартом)
+
+- projects/benilux/README.md — что такое объект Бенелюкс
+- projects/benilux/credentials.md — пароли (для копирования в Alex-vault)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md — история инцидента
+- snippets/clients/alexandr-benelux-power-recovery.md — типичные кейсы семьи
+- claude-memory/benelux.md — текущее состояние Cudy
+- claude-memory/benelux-topology.md — карта сети + список устройств
+- decisions/2026-05-20-benelux-compromise.md — урок про безопасность
+- projects/dttb/proxmox-pve-147.md — карточка целевого хоста
+- claude-memory/MEMORY.md — общая память (для понимания моего стиля и инфры)
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНЕЦ ПРОМТА. Действуй: задай мне 10 открытых вопросов одним сообщением,
+получи ответы, начни с Этапа 1. По итогам каждого этапа — короткий статус
+в чате (что сделал, что проверил, что осталось).
+```
+
+---
+
+## Что Олег решает в чате (НЕ внутри промта)
+
+Перед открытием новой сессии:
+
+- [ ] Создать TG-бота через @BotFather → получить токен и handle
+- [ ] Купить домен (или выбрать из существующих свободных)
+- [ ] Проверить статус VPS Spaceweb (есть ли свободный с белым IP)
+- [ ] Решить имя бота (или дать новой сессии выбрать варианты)
+- [ ] Прикинуть цену пилота — €15/мес? €25? разово €300?
+
+## Что в новой сессии делать НЕ нужно
+
+- ❌ Использовать мой openclaw (LXC 137) — пилот строит свой независимый бот
+- ❌ Использовать мою claude-memory или мой Anthropic-API-token
+- ❌ Подключать к моему vault через rclone/git
+- ❌ Использовать мой Postgres/Qdrant из dttb-инфры
+- ❌ Копировать в Alex-vault инфо о других клиентах (ММФБ, НИИКН и т.п.)
+
+## Связанные файлы в vault
+
+- [[proxmox-pve-147]] — целевой хост
+- [[../benilux/README]] — объект клиента
+- [[../../snippets/clients/alexandr-benelux-amnezia-reinstall]] — история работы
+- [[../../snippets/clients/alexandr-benelux-power-recovery]] — типовой плейбук
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+✅ **Whitelist добавлен** — `github.com`, `sgmail.github.com`, `sendgrid.net` теперь в белом списке umnybot.ru, rspamd их пропустит (и greylisting обойдут).
+
+**Причина была не в приёме, а в фильтре:** письма GitHub **долетали до сервера**, но rspamd резал их как спам (новый домен без репутации + SendGrid). Теперь не будет.
+
+👉 **Нажми на странице GitHub `Resend the code`** — код шёл через SendGrid и был отклонён, нужен свежий. Как нажмёшь — **напиши «готово»**, и я за пару секунд выдерну код из ящ
+
+---
+*Автосохранено из session [`83491ec7`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/83491ec7-16d3-47aa-9bcc-655c342ad2a2.jsonl) — 9 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write*

notes/claude/2026-05-31-112752-session.md

@@ -0,0 +1,327 @@
+---
+date: 2026-05-31
+type: claude-session
+session_id: 83491ec7-16d3-47aa-9bcc-655c342ad2a2
+started: 2026-05-30T08:49:37.558Z
+ended: 2026-05-31T08:27:52.574Z
+messages: 10
+tools: [AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write]
+tags: [claude, session]
+---
+
+# ---
+
+## Запрос
+
+---
+date: 2026-05-30
+type: project-spec
+tags: [product, ai-assistant, pilot, openclaw, alexandr, business]
+status: draft
+---
+
+# AI-ассистент в коробке — пилот для Александра
+
+> **Это первая страница нового продукта Олега.** Цель — собрать автономного AI-консьержа на маленьком ПК, продать Александру (КП Бенелюкс) как пилот. Если зайдёт — переезжает к клиенту физически, дальше масштабирование на других клиентов.
+
+Этот файл — **промт для следующей Claude-сессии**, которая будет строить систему. Открываешь новый чат и вставляешь всё ниже целиком.
+
+---
+
+## 📋 Промт для копирования в новую сессию
+
+```
+Я разрабатываю коммерческий AI-консьерж-продукт. Маленький ПК с предустановленным
+ассистентом, который покупает домохозяйство и ставит в свою сеть. Сегодня пилот
+для одного конкретного клиента — Александра Григорьева (КП Бенелюкс, Истра).
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТ — кто я и что у меня уже есть
+
+Я Олег Батлаев, DevOps. У меня уже работает похожая система для себя — Антошка
+(openclaw в LXC 137 на моём Proxmox). Она использует OmniRoute (бесплатный
+ProxyDispatcher к Sonnet 4.5/Opus/GPT-5.4), есть Telegram-бот, есть Nextcloud
+Talk-бот, есть RAG над моим Obsidian-vault. Это базовая референс-архитектура.
+
+Я обслуживаю Александра как сетевого админа уже несколько недель. Знаю всю его
+инфру наизусть — описано в моём vault (см. ссылки ниже). Хочу выделить из этой
+работы продукт.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЦЕЛЬ ПРОЕКТА
+
+Собрать на маленьком ПК (Proxmox VE 9.1, ZOTAC H61 / i3-2100 / 15 GB RAM / 
+SSD 112 GB + HDD 1.8 TB, IP 10.0.0.147 пока у меня) автономный AI-ассистент,
+который умеет:
+
+1. Помогать Александру с типичными бытовыми IT-проблемами его сети
+   («не работает Telegram», «принтер не печатает», «почта не отправляется»)
+2. Сам диагностировать (read-only тулы) и предлагать решения
+3. Выполнять починку (write-action тулы) только после подтверждения клиента
+4. Работать с его документами и почтой через RAG
+5. Общаться через 3 интерфейса с единой памятью: Web / Telegram / Nextcloud Talk
+6. Постепенно обучаться (расширяемая RAG-база, не fine-tuning)
+
+Бизнес: пилот → если Александр покупает, ПК физически переезжает к нему домой,
+переходит в его LAN. Дальше масштабирую на других клиентов.
+
+═══════════════════════════════════════════════════════════════════════════════
+АРХИТЕКТУРА (принципы)
+
+✅ ПОЛНАЯ АВТОНОМНОСТЬ от моей dttb-инфры. Бот не должен зависеть от:
+   - моего openclaw / claude-memory
+   - моего vault / Gitea
+   - моего code-server / openclaw-NetBird
+   - моего OmniRoute (его instance может крутиться где угодно — отдельно)
+   После переезда ПК к клиенту — никаких связей со мной не остаётся, кроме
+   возможности удалённой поддержки.
+
+✅ ОТДЕЛЬНЫЙ vault — новый git-репозиторий `alexandr-knowledge-base`. Туда
+   копируется ТОЛЬКО инфра Александра (из моего vault projects/benilux/,
+   snippets/clients/alexandr-*, claude-memory/benelux*.md, плюс универсальные
+   snippets). Данные других моих клиентов (НИИКН, ММФБ, Знаменское, Главторг)
+   НЕ копируются ни в каком виде — это утечка их данных третьему лицу.
+
+✅ ВНЕШНИЙ ДОСТУП через мой VPS на Spaceweb с белым IP. Я куплю домен (имя
+   уточню позже). От бота до VPS — обратный туннель (рекомендую Cloudflare
+   Tunnel — бесплатно, SSL автоматом, не требует port-forward на роутере
+   клиента; альтернатива — FRP или WireGuard). На VPS — Nginx Proxy Manager
+   или Caddy с Let's Encrypt → проксирует на бота через туннель.
+
+✅ ОДИН ПОЛЬЗОВАТЕЛЬ (Александр). Многопользовательский режим для семьи —
+   возможный апгрейд в будущем, но не сейчас.
+
+✅ ГИБРИДНЫЕ TOOLS:
+   - read-only (ping, lpstat, awg show, curl, RAG search) — всегда без
+     подтверждения
+   - write-action (restart_podkop, flush_dns_on_mac, change_uci_setting) —
+     ВСЕГДА требуют клик кнопки «Да, разрешаю» в TG/Web inline keyboard
+   - все действия логируются → отдельный audit-log канал в TG для меня
+
+═══════════════════════════════════════════════════════════════════════════════
+СТЕК ТЕХНОЛОГИЙ (предложение)
+
+Слой              | Технология                          | Где живёт
+──────────────────┼─────────────────────────────────────┼──────────────────────
+Гипервизор        | Proxmox VE 9.1.0                    | host (уже стоит)
+NAS-OS            | ZimaOS в VM 100 (8 GB / 128 GB)     | KVM (запущена сегодня)
+Reverse proxy     | NPM в LXC 101 (10.0.0.207)          | LXC (уже работает)
+Контейнер бота    | LXC (Debian, ~4 GB RAM)             | новый LXC 102
+LLM роутер        | OmniRoute (форк или свой instance)  | LXC 102
+Conversation DB   | PostgreSQL                          | LXC 102 в Docker
+RAG / vector DB   | Qdrant или pgvector                 | LXC 102 в Docker
+Embeddings        | через API (OpenAI text-embedding или        |
+                  | Voyage AI или Sonnet с описанием)   | внешние
+Email клиент      | MCP-imap server                     | LXC 102 в Docker
+Web UI            | Open WebUI или собственный простой  | LXC 102
+Telegram bot      | python-telegram-bot или Telethon    | LXC 102
+Nextcloud Talk    | Nextcloud в Docker внутри ZimaOS    | VM 100 (Zima)
+                  | + Talk-плагин + nextcloud-talk-bot  |
+                  | (или повторить мой Антошка-Talk     |
+                  | через long-poll скрипт)             |
+Туннель           | Cloudflare Tunnel (рекомендую)      | LXC 102 → CF edge
+DNS               | Cloudflare (бесплатно)              | для домена клиента
+Secrets           | sops + age, либо HashiCorp Vault    | LXC 102
+
+═══════════════════════════════════════════════════════════════════════════════
+ИНТЕРФЕЙСЫ И ЕДИНОЕ СОСТОЯНИЕ
+
+3 канала входа — Web / Telegram / Nextcloud Talk — должны делить:
+- Conversation history (Postgres)
+- RAG-память (Qdrant/pgvector)
+- Audit log (отдельная таблица в Postgres)
+
+То есть Александр пишет в TG: «Принтер не печатает». Потом утром идёт в Web →
+видит ту же беседу с продолжением. В Nextcloud Talk пишет вечером — тот же
+контекст.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЗНАНИЯ И ОБУЧЕНИЕ
+
+Старт-импорт в RAG из моего vault (передам файлы через scp или git-clone):
+- projects/benilux/README.md
+- projects/benilux/credentials.md (только данные Александра, не моих)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md
+- snippets/clients/alexandr-benelux-power-recovery.md
+- claude-memory/benelux.md
+- claude-memory/benelux-topology.md
+- decisions/2026-05-20-benelux-compromise.md (история инцидента — учит «бот
+  всегда сначала диагностирует, потом действует»)
+- decisions/2026-05-20-amneziavpn-macos-v1-v2-incompat.md
+
+Также добавить универсальные знания (без привязки к Александру):
+- как закрыть приложение из памяти на iOS/Android/macOS
+- как сделать DNS-flush на Mac
+- как проверить включён ли Private Relay
+- как разбудить HP-принтер из deep sleep
+- типичные коды ошибок AmneziaVPN
+
+Self-update memory: после каждой решённой проблемы бот спрашивает Александра
+«Это помогло?». Если да — записывает в RAG как новое решение. Через месяц у
+бота своя локальная база типичных кейсов Александра.
+
+═══════════════════════════════════════════════════════════════════════════════
+PERSONA (стиль общения)
+
+- Имя бота — Олег решит (поле для заполнения, например «Помощник Бенелюкса»)
+- Тон: спокойный, дружелюбный, на «ты», без жаргона
+- НЕ использовать: «критическая ошибка», «сбой», «недоступен», «провал»
+- Использовать: «немного не работает», «давай посмотрим», «починим за минуту»
+- Если Александр злится — извиниться, обещать разобраться, не оправдываться
+- Перед действием объяснять простыми словами что будет делать
+- После действия описывать результат человеческим языком
+
+═══════════════════════════════════════════════════════════════════════════════
+ДОСТУП БОТА К СЕТИ АЛЕКСАНДРА (для диагностики)
+
+Сейчас на пилоте — бот живёт в моей LAN dttb (10.0.0.147), к сети Александра
+(192.168.1.0/24 за роутером Cudy в Бенелюксе) подключается через NetBird.
+Cudy уже в моём NetBird (openwrt-benilux 100.70.207.97). Выдам боту отдельный
+NetBird-setup-key с доступом только в группу Бенелюкса.
+
+После переезда ПК к клиенту — бот в его LAN напрямую, прямой доступ к
+Cudy/Cloud Key/принтеру/устройствам семьи без NetBird-overhead.
+
+SSH-ключи к устройствам Александра:
+- Cudy роутер: ssh-ключ Олежиного Mac уже добавлен; добавим ключ бота
+- Cloud Key Gen2+ (192.168.1.199): только по ключу, ключ Александра не у меня
+  — попросим Александра добавить наш ключ через UniFi OS Console
+- Mac Александра (aleksandrgrigorev): добавим публичный ключ бота
+- Принтер HP M775 (192.168.1.148): через CUPS, не SSH
+
+═══════════════════════════════════════════════════════════════════════════════
+ЭТАПЫ РЕАЛИЗАЦИИ (предложение)
+
+Этап 1: Базовая инфра (без интернета извне)
+  ─ LXC 102 «assistant» на pve-147 (Debian, 4 GB RAM)
+  ─ Docker внутри LXC
+  ─ Postgres + Qdrant в Docker
+  ─ Каркас бота (openclaw-форк, OmniRoute с моими токенами)
+  ─ Telegram-bot создан через @BotFather (handle и токен — Олег предоставит)
+  ─ Простейший Web UI (Open WebUI)
+  ─ Тест: «привет, как дела?» в TG → ответ из Sonnet через OmniRoute
+
+Этап 2: Tools (read-only)
+  ─ ping_host, check_router_health, check_printer, check_dns
+  ─ NetBird-setup на боте (доступ в Бенелюкс)
+  ─ SSH-ключ бота добавлен на Cudy, Mac Александра
+  ─ Тест: «проверь работает ли подкоп» → бот делает awg show на Cudy
+  
+Этап 3: RAG и знания
+  ─ Импорт vault Александра в Qdrant
+  ─ MCP-инструменты для бота: search_knowledge, recall_history
+  ─ Тест: «как починить TG если не открывается» → бот выдаёт инструкцию из RAG
+
+Этап 4: Tools (write-action с подтверждением)
+  ─ Inline keyboard в TG: «Да, разрешаю» / «Нет»
+  ─ restart_podkop, flush_dns_on_mac, restart_printer_queue
+  ─ Audit log в отдельный TG-канал для Олега
+  ─ Тест: «принтер не печатает» → бот предлагает действие → клик → перезапуск
+
+Этап 5: Внешний доступ
+  ─ Куплен домен (Олег)
+  ─ Cloudflare Tunnel настроен (LXC 102 → CF edge → домен)
+  ─ Web UI доступен снаружи по HTTPS через домен
+  ─ Telegram-bot работает (он и так через TG-API, без туннеля)
+
+Этап 6: Nextcloud Talk и почта
+  ─ Nextcloud в Docker на ZimaOS-NAS
+  ─ Talk бот через long-poll (по образцу моего nextcloud-talk-bot для Антошки)
+  ─ MCP-imap: подключение к почте Александра (IMAP-сервер уточню)
+  ─ RAG-индексация писем и документов из NAS-share
+
+Этап 7: Документы
+  ─ ZimaOS-NAS share по SMB
+  ─ Бот видит файлы через MCP-filesystem
+  ─ Индексация в RAG
+
+Этап 8: Обучение и калибровка
+  ─ Олег проводит 5-10 тестовых диалогов
+  ─ Калибровка persona (тон, длина ответов, эмодзи)
+  ─ Тест на семейных сценариях: «помоги маме закрыть рекламу в Сафари»
+
+Этап 9: Юридическое и передача
+  ─ Простое соглашение на 1 страницу (Олег подготовит)
+  ─ Демо Александру по видеосвязи
+  ─ Если покупает — выезд к нему, физический переезд ПК
+
+═══════════════════════════════════════════════════════════════════════════════
+ОТКРЫТЫЕ ВОПРОСЫ (для уточнения у Олега в новой сессии)
+
+1. Имя бота? (Алекс, Помощник, Лёша, Билли, что-то фирменное?)
+2. Telegram-handle? Олег создаст через @BotFather и даст токен
+3. Домен — какой Олег купит? (alexbot.ru, ai-helper.ru, your-helper.online?)
+4. VPS Spaceweb — выделить отдельный или использовать существующий?
+   IP, доступ?
+5. Email сервис Александра — Yandex/Gmail/Mail.ru/iCloud? IMAP-host? App-pass
+   или OAuth?
+6. Где Александр хранит документы — Mac локально / iCloud / OneDrive? Как
+   ассистент к ним получит доступ?
+7. Cloudflare Tunnel: использовать существующий аккаунт Олега (если есть) или
+   создать новый под клиента?
+8. Цена пилота для Александра?
+9. Топ-5 типичных сценариев которые точно должны работать к демо
+   (TG не открывается, принтер не печатает, что ещё?)
+10. Готов ли Олег дать боту admin-уровень доступа к Cudy / Cloud Key, или
+    только конкретные команды через sudo-whitelist?
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТНЫЕ ССЫЛКИ (мой vault, прочитать перед стартом)
+
+- projects/benilux/README.md — что такое объект Бенелюкс
+- projects/benilux/credentials.md — пароли (для копирования в Alex-vault)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md — история инцидента
+- snippets/clients/alexandr-benelux-power-recovery.md — типичные кейсы семьи
+- claude-memory/benelux.md — текущее состояние Cudy
+- claude-memory/benelux-topology.md — карта сети + список устройств
+- decisions/2026-05-20-benelux-compromise.md — урок про безопасность
+- projects/dttb/proxmox-pve-147.md — карточка целевого хоста
+- claude-memory/MEMORY.md — общая память (для понимания моего стиля и инфры)
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНЕЦ ПРОМТА. Действуй: задай мне 10 открытых вопросов одним сообщением,
+получи ответы, начни с Этапа 1. По итогам каждого этапа — короткий статус
+в чате (что сделал, что проверил, что осталось).
+```
+
+---
+
+## Что Олег решает в чате (НЕ внутри промта)
+
+Перед открытием новой сессии:
+
+- [ ] Создать TG-бота через @BotFather → получить токен и handle
+- [ ] Купить домен (или выбрать из существующих свободных)
+- [ ] Проверить статус VPS Spaceweb (есть ли свободный с белым IP)
+- [ ] Решить имя бота (или дать новой сессии выбрать варианты)
+- [ ] Прикинуть цену пилота — €15/мес? €25? разово €300?
+
+## Что в новой сессии делать НЕ нужно
+
+- ❌ Использовать мой openclaw (LXC 137) — пилот строит свой независимый бот
+- ❌ Использовать мою claude-memory или мой Anthropic-API-token
+- ❌ Подключать к моему vault через rclone/git
+- ❌ Использовать мой Postgres/Qdrant из dttb-инфры
+- ❌ Копировать в Alex-vault инфо о других клиентах (ММФБ, НИИКН и т.п.)
+
+## Связанные файлы в vault
+
+- [[proxmox-pve-147]] — целевой хост
+- [[../benilux/README]] — объект клиента
+- [[../../snippets/clients/alexandr-benelux-amnezia-reinstall]] — история работы
+- [[../../snippets/clients/alexandr-benelux-power-recovery]] — типовой плейбук
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+## Код: **`32488179`**
+
+Вводи в GitHub. (Из письма «🚀 Your GitHub launch code» — «entering the code below: **32488179**».)
+
+🎉 **Весь почтовый тракт сработал end-to-end:** GitHub → SendGrid → MX `umnybot.ru` → Mailcow → catch-all `kiro1@`→`assistant@` → я прочитал по IMAP. Письмо легло в **Junk** (rspamd зачёл спамноватым, но whitelist не дал отклонить) — для кодов нормально, читаю и оттуда.
+
+**Дальше:** как создашь GitHub-аккаунт — напиши **«аккаунт готов»**, и я запускаю Kiro:
+```
+omniroute oau
+
+---
+*Автосохранено из session [`83491ec7`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/83491ec7-16d3-47aa-9bcc-655c342ad2a2.jsonl) — 10 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write*

notes/claude/2026-05-31-114634-session.md

@@ -0,0 +1,325 @@
+---
+date: 2026-05-31
+type: claude-session
+session_id: 83491ec7-16d3-47aa-9bcc-655c342ad2a2
+started: 2026-05-30T08:49:37.558Z
+ended: 2026-05-31T08:46:34.068Z
+messages: 12
+tools: [AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write]
+tags: [claude, session]
+---
+
+# ---
+
+## Запрос
+
+---
+date: 2026-05-30
+type: project-spec
+tags: [product, ai-assistant, pilot, openclaw, alexandr, business]
+status: draft
+---
+
+# AI-ассистент в коробке — пилот для Александра
+
+> **Это первая страница нового продукта Олега.** Цель — собрать автономного AI-консьержа на маленьком ПК, продать Александру (КП Бенелюкс) как пилот. Если зайдёт — переезжает к клиенту физически, дальше масштабирование на других клиентов.
+
+Этот файл — **промт для следующей Claude-сессии**, которая будет строить систему. Открываешь новый чат и вставляешь всё ниже целиком.
+
+---
+
+## 📋 Промт для копирования в новую сессию
+
+```
+Я разрабатываю коммерческий AI-консьерж-продукт. Маленький ПК с предустановленным
+ассистентом, который покупает домохозяйство и ставит в свою сеть. Сегодня пилот
+для одного конкретного клиента — Александра Григорьева (КП Бенелюкс, Истра).
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТ — кто я и что у меня уже есть
+
+Я Олег Батлаев, DevOps. У меня уже работает похожая система для себя — Антошка
+(openclaw в LXC 137 на моём Proxmox). Она использует OmniRoute (бесплатный
+ProxyDispatcher к Sonnet 4.5/Opus/GPT-5.4), есть Telegram-бот, есть Nextcloud
+Talk-бот, есть RAG над моим Obsidian-vault. Это базовая референс-архитектура.
+
+Я обслуживаю Александра как сетевого админа уже несколько недель. Знаю всю его
+инфру наизусть — описано в моём vault (см. ссылки ниже). Хочу выделить из этой
+работы продукт.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЦЕЛЬ ПРОЕКТА
+
+Собрать на маленьком ПК (Proxmox VE 9.1, ZOTAC H61 / i3-2100 / 15 GB RAM / 
+SSD 112 GB + HDD 1.8 TB, IP 10.0.0.147 пока у меня) автономный AI-ассистент,
+который умеет:
+
+1. Помогать Александру с типичными бытовыми IT-проблемами его сети
+   («не работает Telegram», «принтер не печатает», «почта не отправляется»)
+2. Сам диагностировать (read-only тулы) и предлагать решения
+3. Выполнять починку (write-action тулы) только после подтверждения клиента
+4. Работать с его документами и почтой через RAG
+5. Общаться через 3 интерфейса с единой памятью: Web / Telegram / Nextcloud Talk
+6. Постепенно обучаться (расширяемая RAG-база, не fine-tuning)
+
+Бизнес: пилот → если Александр покупает, ПК физически переезжает к нему домой,
+переходит в его LAN. Дальше масштабирую на других клиентов.
+
+═══════════════════════════════════════════════════════════════════════════════
+АРХИТЕКТУРА (принципы)
+
+✅ ПОЛНАЯ АВТОНОМНОСТЬ от моей dttb-инфры. Бот не должен зависеть от:
+   - моего openclaw / claude-memory
+   - моего vault / Gitea
+   - моего code-server / openclaw-NetBird
+   - моего OmniRoute (его instance может крутиться где угодно — отдельно)
+   После переезда ПК к клиенту — никаких связей со мной не остаётся, кроме
+   возможности удалённой поддержки.
+
+✅ ОТДЕЛЬНЫЙ vault — новый git-репозиторий `alexandr-knowledge-base`. Туда
+   копируется ТОЛЬКО инфра Александра (из моего vault projects/benilux/,
+   snippets/clients/alexandr-*, claude-memory/benelux*.md, плюс универсальные
+   snippets). Данные других моих клиентов (НИИКН, ММФБ, Знаменское, Главторг)
+   НЕ копируются ни в каком виде — это утечка их данных третьему лицу.
+
+✅ ВНЕШНИЙ ДОСТУП через мой VPS на Spaceweb с белым IP. Я куплю домен (имя
+   уточню позже). От бота до VPS — обратный туннель (рекомендую Cloudflare
+   Tunnel — бесплатно, SSL автоматом, не требует port-forward на роутере
+   клиента; альтернатива — FRP или WireGuard). На VPS — Nginx Proxy Manager
+   или Caddy с Let's Encrypt → проксирует на бота через туннель.
+
+✅ ОДИН ПОЛЬЗОВАТЕЛЬ (Александр). Многопользовательский режим для семьи —
+   возможный апгрейд в будущем, но не сейчас.
+
+✅ ГИБРИДНЫЕ TOOLS:
+   - read-only (ping, lpstat, awg show, curl, RAG search) — всегда без
+     подтверждения
+   - write-action (restart_podkop, flush_dns_on_mac, change_uci_setting) —
+     ВСЕГДА требуют клик кнопки «Да, разрешаю» в TG/Web inline keyboard
+   - все действия логируются → отдельный audit-log канал в TG для меня
+
+═══════════════════════════════════════════════════════════════════════════════
+СТЕК ТЕХНОЛОГИЙ (предложение)
+
+Слой              | Технология                          | Где живёт
+──────────────────┼─────────────────────────────────────┼──────────────────────
+Гипервизор        | Proxmox VE 9.1.0                    | host (уже стоит)
+NAS-OS            | ZimaOS в VM 100 (8 GB / 128 GB)     | KVM (запущена сегодня)
+Reverse proxy     | NPM в LXC 101 (10.0.0.207)          | LXC (уже работает)
+Контейнер бота    | LXC (Debian, ~4 GB RAM)             | новый LXC 102
+LLM роутер        | OmniRoute (форк или свой instance)  | LXC 102
+Conversation DB   | PostgreSQL                          | LXC 102 в Docker
+RAG / vector DB   | Qdrant или pgvector                 | LXC 102 в Docker
+Embeddings        | через API (OpenAI text-embedding или        |
+                  | Voyage AI или Sonnet с описанием)   | внешние
+Email клиент      | MCP-imap server                     | LXC 102 в Docker
+Web UI            | Open WebUI или собственный простой  | LXC 102
+Telegram bot      | python-telegram-bot или Telethon    | LXC 102
+Nextcloud Talk    | Nextcloud в Docker внутри ZimaOS    | VM 100 (Zima)
+                  | + Talk-плагин + nextcloud-talk-bot  |
+                  | (или повторить мой Антошка-Talk     |
+                  | через long-poll скрипт)             |
+Туннель           | Cloudflare Tunnel (рекомендую)      | LXC 102 → CF edge
+DNS               | Cloudflare (бесплатно)              | для домена клиента
+Secrets           | sops + age, либо HashiCorp Vault    | LXC 102
+
+═══════════════════════════════════════════════════════════════════════════════
+ИНТЕРФЕЙСЫ И ЕДИНОЕ СОСТОЯНИЕ
+
+3 канала входа — Web / Telegram / Nextcloud Talk — должны делить:
+- Conversation history (Postgres)
+- RAG-память (Qdrant/pgvector)
+- Audit log (отдельная таблица в Postgres)
+
+То есть Александр пишет в TG: «Принтер не печатает». Потом утром идёт в Web →
+видит ту же беседу с продолжением. В Nextcloud Talk пишет вечером — тот же
+контекст.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЗНАНИЯ И ОБУЧЕНИЕ
+
+Старт-импорт в RAG из моего vault (передам файлы через scp или git-clone):
+- projects/benilux/README.md
+- projects/benilux/credentials.md (только данные Александра, не моих)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md
+- snippets/clients/alexandr-benelux-power-recovery.md
+- claude-memory/benelux.md
+- claude-memory/benelux-topology.md
+- decisions/2026-05-20-benelux-compromise.md (история инцидента — учит «бот
+  всегда сначала диагностирует, потом действует»)
+- decisions/2026-05-20-amneziavpn-macos-v1-v2-incompat.md
+
+Также добавить универсальные знания (без привязки к Александру):
+- как закрыть приложение из памяти на iOS/Android/macOS
+- как сделать DNS-flush на Mac
+- как проверить включён ли Private Relay
+- как разбудить HP-принтер из deep sleep
+- типичные коды ошибок AmneziaVPN
+
+Self-update memory: после каждой решённой проблемы бот спрашивает Александра
+«Это помогло?». Если да — записывает в RAG как новое решение. Через месяц у
+бота своя локальная база типичных кейсов Александра.
+
+═══════════════════════════════════════════════════════════════════════════════
+PERSONA (стиль общения)
+
+- Имя бота — Олег решит (поле для заполнения, например «Помощник Бенелюкса»)
+- Тон: спокойный, дружелюбный, на «ты», без жаргона
+- НЕ использовать: «критическая ошибка», «сбой», «недоступен», «провал»
+- Использовать: «немного не работает», «давай посмотрим», «починим за минуту»
+- Если Александр злится — извиниться, обещать разобраться, не оправдываться
+- Перед действием объяснять простыми словами что будет делать
+- После действия описывать результат человеческим языком
+
+═══════════════════════════════════════════════════════════════════════════════
+ДОСТУП БОТА К СЕТИ АЛЕКСАНДРА (для диагностики)
+
+Сейчас на пилоте — бот живёт в моей LAN dttb (10.0.0.147), к сети Александра
+(192.168.1.0/24 за роутером Cudy в Бенелюксе) подключается через NetBird.
+Cudy уже в моём NetBird (openwrt-benilux 100.70.207.97). Выдам боту отдельный
+NetBird-setup-key с доступом только в группу Бенелюкса.
+
+После переезда ПК к клиенту — бот в его LAN напрямую, прямой доступ к
+Cudy/Cloud Key/принтеру/устройствам семьи без NetBird-overhead.
+
+SSH-ключи к устройствам Александра:
+- Cudy роутер: ssh-ключ Олежиного Mac уже добавлен; добавим ключ бота
+- Cloud Key Gen2+ (192.168.1.199): только по ключу, ключ Александра не у меня
+  — попросим Александра добавить наш ключ через UniFi OS Console
+- Mac Александра (aleksandrgrigorev): добавим публичный ключ бота
+- Принтер HP M775 (192.168.1.148): через CUPS, не SSH
+
+═══════════════════════════════════════════════════════════════════════════════
+ЭТАПЫ РЕАЛИЗАЦИИ (предложение)
+
+Этап 1: Базовая инфра (без интернета извне)
+  ─ LXC 102 «assistant» на pve-147 (Debian, 4 GB RAM)
+  ─ Docker внутри LXC
+  ─ Postgres + Qdrant в Docker
+  ─ Каркас бота (openclaw-форк, OmniRoute с моими токенами)
+  ─ Telegram-bot создан через @BotFather (handle и токен — Олег предоставит)
+  ─ Простейший Web UI (Open WebUI)
+  ─ Тест: «привет, как дела?» в TG → ответ из Sonnet через OmniRoute
+
+Этап 2: Tools (read-only)
+  ─ ping_host, check_router_health, check_printer, check_dns
+  ─ NetBird-setup на боте (доступ в Бенелюкс)
+  ─ SSH-ключ бота добавлен на Cudy, Mac Александра
+  ─ Тест: «проверь работает ли подкоп» → бот делает awg show на Cudy
+  
+Этап 3: RAG и знания
+  ─ Импорт vault Александра в Qdrant
+  ─ MCP-инструменты для бота: search_knowledge, recall_history
+  ─ Тест: «как починить TG если не открывается» → бот выдаёт инструкцию из RAG
+
+Этап 4: Tools (write-action с подтверждением)
+  ─ Inline keyboard в TG: «Да, разрешаю» / «Нет»
+  ─ restart_podkop, flush_dns_on_mac, restart_printer_queue
+  ─ Audit log в отдельный TG-канал для Олега
+  ─ Тест: «принтер не печатает» → бот предлагает действие → клик → перезапуск
+
+Этап 5: Внешний доступ
+  ─ Куплен домен (Олег)
+  ─ Cloudflare Tunnel настроен (LXC 102 → CF edge → домен)
+  ─ Web UI доступен снаружи по HTTPS через домен
+  ─ Telegram-bot работает (он и так через TG-API, без туннеля)
+
+Этап 6: Nextcloud Talk и почта
+  ─ Nextcloud в Docker на ZimaOS-NAS
+  ─ Talk бот через long-poll (по образцу моего nextcloud-talk-bot для Антошки)
+  ─ MCP-imap: подключение к почте Александра (IMAP-сервер уточню)
+  ─ RAG-индексация писем и документов из NAS-share
+
+Этап 7: Документы
+  ─ ZimaOS-NAS share по SMB
+  ─ Бот видит файлы через MCP-filesystem
+  ─ Индексация в RAG
+
+Этап 8: Обучение и калибровка
+  ─ Олег проводит 5-10 тестовых диалогов
+  ─ Калибровка persona (тон, длина ответов, эмодзи)
+  ─ Тест на семейных сценариях: «помоги маме закрыть рекламу в Сафари»
+
+Этап 9: Юридическое и передача
+  ─ Простое соглашение на 1 страницу (Олег подготовит)
+  ─ Демо Александру по видеосвязи
+  ─ Если покупает — выезд к нему, физический переезд ПК
+
+═══════════════════════════════════════════════════════════════════════════════
+ОТКРЫТЫЕ ВОПРОСЫ (для уточнения у Олега в новой сессии)
+
+1. Имя бота? (Алекс, Помощник, Лёша, Билли, что-то фирменное?)
+2. Telegram-handle? Олег создаст через @BotFather и даст токен
+3. Домен — какой Олег купит? (alexbot.ru, ai-helper.ru, your-helper.online?)
+4. VPS Spaceweb — выделить отдельный или использовать существующий?
+   IP, доступ?
+5. Email сервис Александра — Yandex/Gmail/Mail.ru/iCloud? IMAP-host? App-pass
+   или OAuth?
+6. Где Александр хранит документы — Mac локально / iCloud / OneDrive? Как
+   ассистент к ним получит доступ?
+7. Cloudflare Tunnel: использовать существующий аккаунт Олега (если есть) или
+   создать новый под клиента?
+8. Цена пилота для Александра?
+9. Топ-5 типичных сценариев которые точно должны работать к демо
+   (TG не открывается, принтер не печатает, что ещё?)
+10. Готов ли Олег дать боту admin-уровень доступа к Cudy / Cloud Key, или
+    только конкретные команды через sudo-whitelist?
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТНЫЕ ССЫЛКИ (мой vault, прочитать перед стартом)
+
+- projects/benilux/README.md — что такое объект Бенелюкс
+- projects/benilux/credentials.md — пароли (для копирования в Alex-vault)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md — история инцидента
+- snippets/clients/alexandr-benelux-power-recovery.md — типичные кейсы семьи
+- claude-memory/benelux.md — текущее состояние Cudy
+- claude-memory/benelux-topology.md — карта сети + список устройств
+- decisions/2026-05-20-benelux-compromise.md — урок про безопасность
+- projects/dttb/proxmox-pve-147.md — карточка целевого хоста
+- claude-memory/MEMORY.md — общая память (для понимания моего стиля и инфры)
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНЕЦ ПРОМТА. Действуй: задай мне 10 открытых вопросов одним сообщением,
+получи ответы, начни с Этапа 1. По итогам каждого этапа — короткий статус
+в чате (что сделал, что проверил, что осталось).
+```
+
+---
+
+## Что Олег решает в чате (НЕ внутри промта)
+
+Перед открытием новой сессии:
+
+- [ ] Создать TG-бота через @BotFather → получить токен и handle
+- [ ] Купить домен (или выбрать из существующих свободных)
+- [ ] Проверить статус VPS Spaceweb (есть ли свободный с белым IP)
+- [ ] Решить имя бота (или дать новой сессии выбрать варианты)
+- [ ] Прикинуть цену пилота — €15/мес? €25? разово €300?
+
+## Что в новой сессии делать НЕ нужно
+
+- ❌ Использовать мой openclaw (LXC 137) — пилот строит свой независимый бот
+- ❌ Использовать мою claude-memory или мой Anthropic-API-token
+- ❌ Подключать к моему vault через rclone/git
+- ❌ Использовать мой Postgres/Qdrant из dttb-инфры
+- ❌ Копировать в Alex-vault инфо о других клиентах (ММФБ, НИИКН и т.п.)
+
+## Связанные файлы в vault
+
+- [[proxmox-pve-147]] — целевой хост
+- [[../benilux/README]] — объект клиента
+- [[../../snippets/clients/alexandr-benelux-amnezia-reinstall]] — история работы
+- [[../../snippets/clients/alexandr-benelux-power-recovery]] — типовой плейбук
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+✅ Поллинг работает корректно — сервер отвечает `{"pending":true}`, т.е. **ждёт именно твоего подтверждения** на странице Kiro. Формат верный, поймаю автоматически.
+
+**Заверши на app.kiro.dev:**
+- Открыл ли ты ссылку **https://app.kiro.dev/account/device?user_code=QBJR-CXWW&login_provider=Github**?
+- Войди через **GitHub** (`kiro1@umnybot.ru`) → подтверди код **`QBJR-CXWW`** → **Allow/Authorize**.
+
+Как только нажмёшь Authorize — следующий опрос поймает токен, и я сразу подключу Kiro + переключу б
+
+---
+*Автосохранено из session [`83491ec7`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/83491ec7-16d3-47aa-9bcc-655c342ad2a2.jsonl) — 12 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write*

notes/claude/2026-05-31-114933-session.md

@@ -0,0 +1,326 @@
+---
+date: 2026-05-31
+type: claude-session
+session_id: 83491ec7-16d3-47aa-9bcc-655c342ad2a2
+started: 2026-05-30T08:49:37.558Z
+ended: 2026-05-31T08:49:33.443Z
+messages: 12
+tools: [AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write]
+tags: [claude, session]
+---
+
+# ---
+
+## Запрос
+
+---
+date: 2026-05-30
+type: project-spec
+tags: [product, ai-assistant, pilot, openclaw, alexandr, business]
+status: draft
+---
+
+# AI-ассистент в коробке — пилот для Александра
+
+> **Это первая страница нового продукта Олега.** Цель — собрать автономного AI-консьержа на маленьком ПК, продать Александру (КП Бенелюкс) как пилот. Если зайдёт — переезжает к клиенту физически, дальше масштабирование на других клиентов.
+
+Этот файл — **промт для следующей Claude-сессии**, которая будет строить систему. Открываешь новый чат и вставляешь всё ниже целиком.
+
+---
+
+## 📋 Промт для копирования в новую сессию
+
+```
+Я разрабатываю коммерческий AI-консьерж-продукт. Маленький ПК с предустановленным
+ассистентом, который покупает домохозяйство и ставит в свою сеть. Сегодня пилот
+для одного конкретного клиента — Александра Григорьева (КП Бенелюкс, Истра).
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТ — кто я и что у меня уже есть
+
+Я Олег Батлаев, DevOps. У меня уже работает похожая система для себя — Антошка
+(openclaw в LXC 137 на моём Proxmox). Она использует OmniRoute (бесплатный
+ProxyDispatcher к Sonnet 4.5/Opus/GPT-5.4), есть Telegram-бот, есть Nextcloud
+Talk-бот, есть RAG над моим Obsidian-vault. Это базовая референс-архитектура.
+
+Я обслуживаю Александра как сетевого админа уже несколько недель. Знаю всю его
+инфру наизусть — описано в моём vault (см. ссылки ниже). Хочу выделить из этой
+работы продукт.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЦЕЛЬ ПРОЕКТА
+
+Собрать на маленьком ПК (Proxmox VE 9.1, ZOTAC H61 / i3-2100 / 15 GB RAM / 
+SSD 112 GB + HDD 1.8 TB, IP 10.0.0.147 пока у меня) автономный AI-ассистент,
+который умеет:
+
+1. Помогать Александру с типичными бытовыми IT-проблемами его сети
+   («не работает Telegram», «принтер не печатает», «почта не отправляется»)
+2. Сам диагностировать (read-only тулы) и предлагать решения
+3. Выполнять починку (write-action тулы) только после подтверждения клиента
+4. Работать с его документами и почтой через RAG
+5. Общаться через 3 интерфейса с единой памятью: Web / Telegram / Nextcloud Talk
+6. Постепенно обучаться (расширяемая RAG-база, не fine-tuning)
+
+Бизнес: пилот → если Александр покупает, ПК физически переезжает к нему домой,
+переходит в его LAN. Дальше масштабирую на других клиентов.
+
+═══════════════════════════════════════════════════════════════════════════════
+АРХИТЕКТУРА (принципы)
+
+✅ ПОЛНАЯ АВТОНОМНОСТЬ от моей dttb-инфры. Бот не должен зависеть от:
+   - моего openclaw / claude-memory
+   - моего vault / Gitea
+   - моего code-server / openclaw-NetBird
+   - моего OmniRoute (его instance может крутиться где угодно — отдельно)
+   После переезда ПК к клиенту — никаких связей со мной не остаётся, кроме
+   возможности удалённой поддержки.
+
+✅ ОТДЕЛЬНЫЙ vault — новый git-репозиторий `alexandr-knowledge-base`. Туда
+   копируется ТОЛЬКО инфра Александра (из моего vault projects/benilux/,
+   snippets/clients/alexandr-*, claude-memory/benelux*.md, плюс универсальные
+   snippets). Данные других моих клиентов (НИИКН, ММФБ, Знаменское, Главторг)
+   НЕ копируются ни в каком виде — это утечка их данных третьему лицу.
+
+✅ ВНЕШНИЙ ДОСТУП через мой VPS на Spaceweb с белым IP. Я куплю домен (имя
+   уточню позже). От бота до VPS — обратный туннель (рекомендую Cloudflare
+   Tunnel — бесплатно, SSL автоматом, не требует port-forward на роутере
+   клиента; альтернатива — FRP или WireGuard). На VPS — Nginx Proxy Manager
+   или Caddy с Let's Encrypt → проксирует на бота через туннель.
+
+✅ ОДИН ПОЛЬЗОВАТЕЛЬ (Александр). Многопользовательский режим для семьи —
+   возможный апгрейд в будущем, но не сейчас.
+
+✅ ГИБРИДНЫЕ TOOLS:
+   - read-only (ping, lpstat, awg show, curl, RAG search) — всегда без
+     подтверждения
+   - write-action (restart_podkop, flush_dns_on_mac, change_uci_setting) —
+     ВСЕГДА требуют клик кнопки «Да, разрешаю» в TG/Web inline keyboard
+   - все действия логируются → отдельный audit-log канал в TG для меня
+
+═══════════════════════════════════════════════════════════════════════════════
+СТЕК ТЕХНОЛОГИЙ (предложение)
+
+Слой              | Технология                          | Где живёт
+──────────────────┼─────────────────────────────────────┼──────────────────────
+Гипервизор        | Proxmox VE 9.1.0                    | host (уже стоит)
+NAS-OS            | ZimaOS в VM 100 (8 GB / 128 GB)     | KVM (запущена сегодня)
+Reverse proxy     | NPM в LXC 101 (10.0.0.207)          | LXC (уже работает)
+Контейнер бота    | LXC (Debian, ~4 GB RAM)             | новый LXC 102
+LLM роутер        | OmniRoute (форк или свой instance)  | LXC 102
+Conversation DB   | PostgreSQL                          | LXC 102 в Docker
+RAG / vector DB   | Qdrant или pgvector                 | LXC 102 в Docker
+Embeddings        | через API (OpenAI text-embedding или        |
+                  | Voyage AI или Sonnet с описанием)   | внешние
+Email клиент      | MCP-imap server                     | LXC 102 в Docker
+Web UI            | Open WebUI или собственный простой  | LXC 102
+Telegram bot      | python-telegram-bot или Telethon    | LXC 102
+Nextcloud Talk    | Nextcloud в Docker внутри ZimaOS    | VM 100 (Zima)
+                  | + Talk-плагин + nextcloud-talk-bot  |
+                  | (или повторить мой Антошка-Talk     |
+                  | через long-poll скрипт)             |
+Туннель           | Cloudflare Tunnel (рекомендую)      | LXC 102 → CF edge
+DNS               | Cloudflare (бесплатно)              | для домена клиента
+Secrets           | sops + age, либо HashiCorp Vault    | LXC 102
+
+═══════════════════════════════════════════════════════════════════════════════
+ИНТЕРФЕЙСЫ И ЕДИНОЕ СОСТОЯНИЕ
+
+3 канала входа — Web / Telegram / Nextcloud Talk — должны делить:
+- Conversation history (Postgres)
+- RAG-память (Qdrant/pgvector)
+- Audit log (отдельная таблица в Postgres)
+
+То есть Александр пишет в TG: «Принтер не печатает». Потом утром идёт в Web →
+видит ту же беседу с продолжением. В Nextcloud Talk пишет вечером — тот же
+контекст.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЗНАНИЯ И ОБУЧЕНИЕ
+
+Старт-импорт в RAG из моего vault (передам файлы через scp или git-clone):
+- projects/benilux/README.md
+- projects/benilux/credentials.md (только данные Александра, не моих)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md
+- snippets/clients/alexandr-benelux-power-recovery.md
+- claude-memory/benelux.md
+- claude-memory/benelux-topology.md
+- decisions/2026-05-20-benelux-compromise.md (история инцидента — учит «бот
+  всегда сначала диагностирует, потом действует»)
+- decisions/2026-05-20-amneziavpn-macos-v1-v2-incompat.md
+
+Также добавить универсальные знания (без привязки к Александру):
+- как закрыть приложение из памяти на iOS/Android/macOS
+- как сделать DNS-flush на Mac
+- как проверить включён ли Private Relay
+- как разбудить HP-принтер из deep sleep
+- типичные коды ошибок AmneziaVPN
+
+Self-update memory: после каждой решённой проблемы бот спрашивает Александра
+«Это помогло?». Если да — записывает в RAG как новое решение. Через месяц у
+бота своя локальная база типичных кейсов Александра.
+
+═══════════════════════════════════════════════════════════════════════════════
+PERSONA (стиль общения)
+
+- Имя бота — Олег решит (поле для заполнения, например «Помощник Бенелюкса»)
+- Тон: спокойный, дружелюбный, на «ты», без жаргона
+- НЕ использовать: «критическая ошибка», «сбой», «недоступен», «провал»
+- Использовать: «немного не работает», «давай посмотрим», «починим за минуту»
+- Если Александр злится — извиниться, обещать разобраться, не оправдываться
+- Перед действием объяснять простыми словами что будет делать
+- После действия описывать результат человеческим языком
+
+═══════════════════════════════════════════════════════════════════════════════
+ДОСТУП БОТА К СЕТИ АЛЕКСАНДРА (для диагностики)
+
+Сейчас на пилоте — бот живёт в моей LAN dttb (10.0.0.147), к сети Александра
+(192.168.1.0/24 за роутером Cudy в Бенелюксе) подключается через NetBird.
+Cudy уже в моём NetBird (openwrt-benilux 100.70.207.97). Выдам боту отдельный
+NetBird-setup-key с доступом только в группу Бенелюкса.
+
+После переезда ПК к клиенту — бот в его LAN напрямую, прямой доступ к
+Cudy/Cloud Key/принтеру/устройствам семьи без NetBird-overhead.
+
+SSH-ключи к устройствам Александра:
+- Cudy роутер: ssh-ключ Олежиного Mac уже добавлен; добавим ключ бота
+- Cloud Key Gen2+ (192.168.1.199): только по ключу, ключ Александра не у меня
+  — попросим Александра добавить наш ключ через UniFi OS Console
+- Mac Александра (aleksandrgrigorev): добавим публичный ключ бота
+- Принтер HP M775 (192.168.1.148): через CUPS, не SSH
+
+═══════════════════════════════════════════════════════════════════════════════
+ЭТАПЫ РЕАЛИЗАЦИИ (предложение)
+
+Этап 1: Базовая инфра (без интернета извне)
+  ─ LXC 102 «assistant» на pve-147 (Debian, 4 GB RAM)
+  ─ Docker внутри LXC
+  ─ Postgres + Qdrant в Docker
+  ─ Каркас бота (openclaw-форк, OmniRoute с моими токенами)
+  ─ Telegram-bot создан через @BotFather (handle и токен — Олег предоставит)
+  ─ Простейший Web UI (Open WebUI)
+  ─ Тест: «привет, как дела?» в TG → ответ из Sonnet через OmniRoute
+
+Этап 2: Tools (read-only)
+  ─ ping_host, check_router_health, check_printer, check_dns
+  ─ NetBird-setup на боте (доступ в Бенелюкс)
+  ─ SSH-ключ бота добавлен на Cudy, Mac Александра
+  ─ Тест: «проверь работает ли подкоп» → бот делает awg show на Cudy
+  
+Этап 3: RAG и знания
+  ─ Импорт vault Александра в Qdrant
+  ─ MCP-инструменты для бота: search_knowledge, recall_history
+  ─ Тест: «как починить TG если не открывается» → бот выдаёт инструкцию из RAG
+
+Этап 4: Tools (write-action с подтверждением)
+  ─ Inline keyboard в TG: «Да, разрешаю» / «Нет»
+  ─ restart_podkop, flush_dns_on_mac, restart_printer_queue
+  ─ Audit log в отдельный TG-канал для Олега
+  ─ Тест: «принтер не печатает» → бот предлагает действие → клик → перезапуск
+
+Этап 5: Внешний доступ
+  ─ Куплен домен (Олег)
+  ─ Cloudflare Tunnel настроен (LXC 102 → CF edge → домен)
+  ─ Web UI доступен снаружи по HTTPS через домен
+  ─ Telegram-bot работает (он и так через TG-API, без туннеля)
+
+Этап 6: Nextcloud Talk и почта
+  ─ Nextcloud в Docker на ZimaOS-NAS
+  ─ Talk бот через long-poll (по образцу моего nextcloud-talk-bot для Антошки)
+  ─ MCP-imap: подключение к почте Александра (IMAP-сервер уточню)
+  ─ RAG-индексация писем и документов из NAS-share
+
+Этап 7: Документы
+  ─ ZimaOS-NAS share по SMB
+  ─ Бот видит файлы через MCP-filesystem
+  ─ Индексация в RAG
+
+Этап 8: Обучение и калибровка
+  ─ Олег проводит 5-10 тестовых диалогов
+  ─ Калибровка persona (тон, длина ответов, эмодзи)
+  ─ Тест на семейных сценариях: «помоги маме закрыть рекламу в Сафари»
+
+Этап 9: Юридическое и передача
+  ─ Простое соглашение на 1 страницу (Олег подготовит)
+  ─ Демо Александру по видеосвязи
+  ─ Если покупает — выезд к нему, физический переезд ПК
+
+═══════════════════════════════════════════════════════════════════════════════
+ОТКРЫТЫЕ ВОПРОСЫ (для уточнения у Олега в новой сессии)
+
+1. Имя бота? (Алекс, Помощник, Лёша, Билли, что-то фирменное?)
+2. Telegram-handle? Олег создаст через @BotFather и даст токен
+3. Домен — какой Олег купит? (alexbot.ru, ai-helper.ru, your-helper.online?)
+4. VPS Spaceweb — выделить отдельный или использовать существующий?
+   IP, доступ?
+5. Email сервис Александра — Yandex/Gmail/Mail.ru/iCloud? IMAP-host? App-pass
+   или OAuth?
+6. Где Александр хранит документы — Mac локально / iCloud / OneDrive? Как
+   ассистент к ним получит доступ?
+7. Cloudflare Tunnel: использовать существующий аккаунт Олега (если есть) или
+   создать новый под клиента?
+8. Цена пилота для Александра?
+9. Топ-5 типичных сценариев которые точно должны работать к демо
+   (TG не открывается, принтер не печатает, что ещё?)
+10. Готов ли Олег дать боту admin-уровень доступа к Cudy / Cloud Key, или
+    только конкретные команды через sudo-whitelist?
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТНЫЕ ССЫЛКИ (мой vault, прочитать перед стартом)
+
+- projects/benilux/README.md — что такое объект Бенелюкс
+- projects/benilux/credentials.md — пароли (для копирования в Alex-vault)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md — история инцидента
+- snippets/clients/alexandr-benelux-power-recovery.md — типичные кейсы семьи
+- claude-memory/benelux.md — текущее состояние Cudy
+- claude-memory/benelux-topology.md — карта сети + список устройств
+- decisions/2026-05-20-benelux-compromise.md — урок про безопасность
+- projects/dttb/proxmox-pve-147.md — карточка целевого хоста
+- claude-memory/MEMORY.md — общая память (для понимания моего стиля и инфры)
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНЕЦ ПРОМТА. Действуй: задай мне 10 открытых вопросов одним сообщением,
+получи ответы, начни с Этапа 1. По итогам каждого этапа — короткий статус
+в чате (что сделал, что проверил, что осталось).
+```
+
+---
+
+## Что Олег решает в чате (НЕ внутри промта)
+
+Перед открытием новой сессии:
+
+- [ ] Создать TG-бота через @BotFather → получить токен и handle
+- [ ] Купить домен (или выбрать из существующих свободных)
+- [ ] Проверить статус VPS Spaceweb (есть ли свободный с белым IP)
+- [ ] Решить имя бота (или дать новой сессии выбрать варианты)
+- [ ] Прикинуть цену пилота — €15/мес? €25? разово €300?
+
+## Что в новой сессии делать НЕ нужно
+
+- ❌ Использовать мой openclaw (LXC 137) — пилот строит свой независимый бот
+- ❌ Использовать мою claude-memory или мой Anthropic-API-token
+- ❌ Подключать к моему vault через rclone/git
+- ❌ Использовать мой Postgres/Qdrant из dttb-инфры
+- ❌ Копировать в Alex-vault инфо о других клиентах (ММФБ, НИИКН и т.п.)
+
+## Связанные файлы в vault
+
+- [[proxmox-pve-147]] — целевой хост
+- [[../benilux/README]] — объект клиента
+- [[../../snippets/clients/alexandr-benelux-amnezia-reinstall]] — история работы
+- [[../../snippets/clients/alexandr-benelux-power-recovery]] — типовой плейбук
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Свежий код готов, поллинг крутится на коробке (в файл — связь не помешает). **Прошлый раз авторизация не зарегистрировалась — скорее всего не дошёл до финального «Authorize».** В этот раз по шагам:
+
+## 👉 Открой свежую ссылку:
+**https://app.kiro.dev/account/device?user_code=WCVP-DSCF&login_provider=Github**
+
+1. Проверь, что на странице код **`WCVP-DSCF`**.
+2. Войди через **GitHub** (аккаунт `kiro1@umnybot.ru`).
+3. ⚠️ **Если Kiro попросит зарегистрироваться** (новый аккаунт → может потребовать соз
+
+---
+*Автосохранено из session [`83491ec7`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/83491ec7-16d3-47aa-9bcc-655c342ad2a2.jsonl) — 12 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write*

notes/claude/2026-05-31-122819-session.md

@@ -0,0 +1,321 @@
+---
+date: 2026-05-31
+type: claude-session
+session_id: 83491ec7-16d3-47aa-9bcc-655c342ad2a2
+started: 2026-05-30T08:49:37.558Z
+ended: 2026-05-31T09:28:19.088Z
+messages: 15
+tools: [AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write]
+tags: [claude, session]
+---
+
+# ---
+
+## Запрос
+
+---
+date: 2026-05-30
+type: project-spec
+tags: [product, ai-assistant, pilot, openclaw, alexandr, business]
+status: draft
+---
+
+# AI-ассистент в коробке — пилот для Александра
+
+> **Это первая страница нового продукта Олега.** Цель — собрать автономного AI-консьержа на маленьком ПК, продать Александру (КП Бенелюкс) как пилот. Если зайдёт — переезжает к клиенту физически, дальше масштабирование на других клиентов.
+
+Этот файл — **промт для следующей Claude-сессии**, которая будет строить систему. Открываешь новый чат и вставляешь всё ниже целиком.
+
+---
+
+## 📋 Промт для копирования в новую сессию
+
+```
+Я разрабатываю коммерческий AI-консьерж-продукт. Маленький ПК с предустановленным
+ассистентом, который покупает домохозяйство и ставит в свою сеть. Сегодня пилот
+для одного конкретного клиента — Александра Григорьева (КП Бенелюкс, Истра).
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТ — кто я и что у меня уже есть
+
+Я Олег Батлаев, DevOps. У меня уже работает похожая система для себя — Антошка
+(openclaw в LXC 137 на моём Proxmox). Она использует OmniRoute (бесплатный
+ProxyDispatcher к Sonnet 4.5/Opus/GPT-5.4), есть Telegram-бот, есть Nextcloud
+Talk-бот, есть RAG над моим Obsidian-vault. Это базовая референс-архитектура.
+
+Я обслуживаю Александра как сетевого админа уже несколько недель. Знаю всю его
+инфру наизусть — описано в моём vault (см. ссылки ниже). Хочу выделить из этой
+работы продукт.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЦЕЛЬ ПРОЕКТА
+
+Собрать на маленьком ПК (Proxmox VE 9.1, ZOTAC H61 / i3-2100 / 15 GB RAM / 
+SSD 112 GB + HDD 1.8 TB, IP 10.0.0.147 пока у меня) автономный AI-ассистент,
+который умеет:
+
+1. Помогать Александру с типичными бытовыми IT-проблемами его сети
+   («не работает Telegram», «принтер не печатает», «почта не отправляется»)
+2. Сам диагностировать (read-only тулы) и предлагать решения
+3. Выполнять починку (write-action тулы) только после подтверждения клиента
+4. Работать с его документами и почтой через RAG
+5. Общаться через 3 интерфейса с единой памятью: Web / Telegram / Nextcloud Talk
+6. Постепенно обучаться (расширяемая RAG-база, не fine-tuning)
+
+Бизнес: пилот → если Александр покупает, ПК физически переезжает к нему домой,
+переходит в его LAN. Дальше масштабирую на других клиентов.
+
+═══════════════════════════════════════════════════════════════════════════════
+АРХИТЕКТУРА (принципы)
+
+✅ ПОЛНАЯ АВТОНОМНОСТЬ от моей dttb-инфры. Бот не должен зависеть от:
+   - моего openclaw / claude-memory
+   - моего vault / Gitea
+   - моего code-server / openclaw-NetBird
+   - моего OmniRoute (его instance может крутиться где угодно — отдельно)
+   После переезда ПК к клиенту — никаких связей со мной не остаётся, кроме
+   возможности удалённой поддержки.
+
+✅ ОТДЕЛЬНЫЙ vault — новый git-репозиторий `alexandr-knowledge-base`. Туда
+   копируется ТОЛЬКО инфра Александра (из моего vault projects/benilux/,
+   snippets/clients/alexandr-*, claude-memory/benelux*.md, плюс универсальные
+   snippets). Данные других моих клиентов (НИИКН, ММФБ, Знаменское, Главторг)
+   НЕ копируются ни в каком виде — это утечка их данных третьему лицу.
+
+✅ ВНЕШНИЙ ДОСТУП через мой VPS на Spaceweb с белым IP. Я куплю домен (имя
+   уточню позже). От бота до VPS — обратный туннель (рекомендую Cloudflare
+   Tunnel — бесплатно, SSL автоматом, не требует port-forward на роутере
+   клиента; альтернатива — FRP или WireGuard). На VPS — Nginx Proxy Manager
+   или Caddy с Let's Encrypt → проксирует на бота через туннель.
+
+✅ ОДИН ПОЛЬЗОВАТЕЛЬ (Александр). Многопользовательский режим для семьи —
+   возможный апгрейд в будущем, но не сейчас.
+
+✅ ГИБРИДНЫЕ TOOLS:
+   - read-only (ping, lpstat, awg show, curl, RAG search) — всегда без
+     подтверждения
+   - write-action (restart_podkop, flush_dns_on_mac, change_uci_setting) —
+     ВСЕГДА требуют клик кнопки «Да, разрешаю» в TG/Web inline keyboard
+   - все действия логируются → отдельный audit-log канал в TG для меня
+
+═══════════════════════════════════════════════════════════════════════════════
+СТЕК ТЕХНОЛОГИЙ (предложение)
+
+Слой              | Технология                          | Где живёт
+──────────────────┼─────────────────────────────────────┼──────────────────────
+Гипервизор        | Proxmox VE 9.1.0                    | host (уже стоит)
+NAS-OS            | ZimaOS в VM 100 (8 GB / 128 GB)     | KVM (запущена сегодня)
+Reverse proxy     | NPM в LXC 101 (10.0.0.207)          | LXC (уже работает)
+Контейнер бота    | LXC (Debian, ~4 GB RAM)             | новый LXC 102
+LLM роутер        | OmniRoute (форк или свой instance)  | LXC 102
+Conversation DB   | PostgreSQL                          | LXC 102 в Docker
+RAG / vector DB   | Qdrant или pgvector                 | LXC 102 в Docker
+Embeddings        | через API (OpenAI text-embedding или        |
+                  | Voyage AI или Sonnet с описанием)   | внешние
+Email клиент      | MCP-imap server                     | LXC 102 в Docker
+Web UI            | Open WebUI или собственный простой  | LXC 102
+Telegram bot      | python-telegram-bot или Telethon    | LXC 102
+Nextcloud Talk    | Nextcloud в Docker внутри ZimaOS    | VM 100 (Zima)
+                  | + Talk-плагин + nextcloud-talk-bot  |
+                  | (или повторить мой Антошка-Talk     |
+                  | через long-poll скрипт)             |
+Туннель           | Cloudflare Tunnel (рекомендую)      | LXC 102 → CF edge
+DNS               | Cloudflare (бесплатно)              | для домена клиента
+Secrets           | sops + age, либо HashiCorp Vault    | LXC 102
+
+═══════════════════════════════════════════════════════════════════════════════
+ИНТЕРФЕЙСЫ И ЕДИНОЕ СОСТОЯНИЕ
+
+3 канала входа — Web / Telegram / Nextcloud Talk — должны делить:
+- Conversation history (Postgres)
+- RAG-память (Qdrant/pgvector)
+- Audit log (отдельная таблица в Postgres)
+
+То есть Александр пишет в TG: «Принтер не печатает». Потом утром идёт в Web →
+видит ту же беседу с продолжением. В Nextcloud Talk пишет вечером — тот же
+контекст.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЗНАНИЯ И ОБУЧЕНИЕ
+
+Старт-импорт в RAG из моего vault (передам файлы через scp или git-clone):
+- projects/benilux/README.md
+- projects/benilux/credentials.md (только данные Александра, не моих)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md
+- snippets/clients/alexandr-benelux-power-recovery.md
+- claude-memory/benelux.md
+- claude-memory/benelux-topology.md
+- decisions/2026-05-20-benelux-compromise.md (история инцидента — учит «бот
+  всегда сначала диагностирует, потом действует»)
+- decisions/2026-05-20-amneziavpn-macos-v1-v2-incompat.md
+
+Также добавить универсальные знания (без привязки к Александру):
+- как закрыть приложение из памяти на iOS/Android/macOS
+- как сделать DNS-flush на Mac
+- как проверить включён ли Private Relay
+- как разбудить HP-принтер из deep sleep
+- типичные коды ошибок AmneziaVPN
+
+Self-update memory: после каждой решённой проблемы бот спрашивает Александра
+«Это помогло?». Если да — записывает в RAG как новое решение. Через месяц у
+бота своя локальная база типичных кейсов Александра.
+
+═══════════════════════════════════════════════════════════════════════════════
+PERSONA (стиль общения)
+
+- Имя бота — Олег решит (поле для заполнения, например «Помощник Бенелюкса»)
+- Тон: спокойный, дружелюбный, на «ты», без жаргона
+- НЕ использовать: «критическая ошибка», «сбой», «недоступен», «провал»
+- Использовать: «немного не работает», «давай посмотрим», «починим за минуту»
+- Если Александр злится — извиниться, обещать разобраться, не оправдываться
+- Перед действием объяснять простыми словами что будет делать
+- После действия описывать результат человеческим языком
+
+═══════════════════════════════════════════════════════════════════════════════
+ДОСТУП БОТА К СЕТИ АЛЕКСАНДРА (для диагностики)
+
+Сейчас на пилоте — бот живёт в моей LAN dttb (10.0.0.147), к сети Александра
+(192.168.1.0/24 за роутером Cudy в Бенелюксе) подключается через NetBird.
+Cudy уже в моём NetBird (openwrt-benilux 100.70.207.97). Выдам боту отдельный
+NetBird-setup-key с доступом только в группу Бенелюкса.
+
+После переезда ПК к клиенту — бот в его LAN напрямую, прямой доступ к
+Cudy/Cloud Key/принтеру/устройствам семьи без NetBird-overhead.
+
+SSH-ключи к устройствам Александра:
+- Cudy роутер: ssh-ключ Олежиного Mac уже добавлен; добавим ключ бота
+- Cloud Key Gen2+ (192.168.1.199): только по ключу, ключ Александра не у меня
+  — попросим Александра добавить наш ключ через UniFi OS Console
+- Mac Александра (aleksandrgrigorev): добавим публичный ключ бота
+- Принтер HP M775 (192.168.1.148): через CUPS, не SSH
+
+═══════════════════════════════════════════════════════════════════════════════
+ЭТАПЫ РЕАЛИЗАЦИИ (предложение)
+
+Этап 1: Базовая инфра (без интернета извне)
+  ─ LXC 102 «assistant» на pve-147 (Debian, 4 GB RAM)
+  ─ Docker внутри LXC
+  ─ Postgres + Qdrant в Docker
+  ─ Каркас бота (openclaw-форк, OmniRoute с моими токенами)
+  ─ Telegram-bot создан через @BotFather (handle и токен — Олег предоставит)
+  ─ Простейший Web UI (Open WebUI)
+  ─ Тест: «привет, как дела?» в TG → ответ из Sonnet через OmniRoute
+
+Этап 2: Tools (read-only)
+  ─ ping_host, check_router_health, check_printer, check_dns
+  ─ NetBird-setup на боте (доступ в Бенелюкс)
+  ─ SSH-ключ бота добавлен на Cudy, Mac Александра
+  ─ Тест: «проверь работает ли подкоп» → бот делает awg show на Cudy
+  
+Этап 3: RAG и знания
+  ─ Импорт vault Александра в Qdrant
+  ─ MCP-инструменты для бота: search_knowledge, recall_history
+  ─ Тест: «как починить TG если не открывается» → бот выдаёт инструкцию из RAG
+
+Этап 4: Tools (write-action с подтверждением)
+  ─ Inline keyboard в TG: «Да, разрешаю» / «Нет»
+  ─ restart_podkop, flush_dns_on_mac, restart_printer_queue
+  ─ Audit log в отдельный TG-канал для Олега
+  ─ Тест: «принтер не печатает» → бот предлагает действие → клик → перезапуск
+
+Этап 5: Внешний доступ
+  ─ Куплен домен (Олег)
+  ─ Cloudflare Tunnel настроен (LXC 102 → CF edge → домен)
+  ─ Web UI доступен снаружи по HTTPS через домен
+  ─ Telegram-bot работает (он и так через TG-API, без туннеля)
+
+Этап 6: Nextcloud Talk и почта
+  ─ Nextcloud в Docker на ZimaOS-NAS
+  ─ Talk бот через long-poll (по образцу моего nextcloud-talk-bot для Антошки)
+  ─ MCP-imap: подключение к почте Александра (IMAP-сервер уточню)
+  ─ RAG-индексация писем и документов из NAS-share
+
+Этап 7: Документы
+  ─ ZimaOS-NAS share по SMB
+  ─ Бот видит файлы через MCP-filesystem
+  ─ Индексация в RAG
+
+Этап 8: Обучение и калибровка
+  ─ Олег проводит 5-10 тестовых диалогов
+  ─ Калибровка persona (тон, длина ответов, эмодзи)
+  ─ Тест на семейных сценариях: «помоги маме закрыть рекламу в Сафари»
+
+Этап 9: Юридическое и передача
+  ─ Простое соглашение на 1 страницу (Олег подготовит)
+  ─ Демо Александру по видеосвязи
+  ─ Если покупает — выезд к нему, физический переезд ПК
+
+═══════════════════════════════════════════════════════════════════════════════
+ОТКРЫТЫЕ ВОПРОСЫ (для уточнения у Олега в новой сессии)
+
+1. Имя бота? (Алекс, Помощник, Лёша, Билли, что-то фирменное?)
+2. Telegram-handle? Олег создаст через @BotFather и даст токен
+3. Домен — какой Олег купит? (alexbot.ru, ai-helper.ru, your-helper.online?)
+4. VPS Spaceweb — выделить отдельный или использовать существующий?
+   IP, доступ?
+5. Email сервис Александра — Yandex/Gmail/Mail.ru/iCloud? IMAP-host? App-pass
+   или OAuth?
+6. Где Александр хранит документы — Mac локально / iCloud / OneDrive? Как
+   ассистент к ним получит доступ?
+7. Cloudflare Tunnel: использовать существующий аккаунт Олега (если есть) или
+   создать новый под клиента?
+8. Цена пилота для Александра?
+9. Топ-5 типичных сценариев которые точно должны работать к демо
+   (TG не открывается, принтер не печатает, что ещё?)
+10. Готов ли Олег дать боту admin-уровень доступа к Cudy / Cloud Key, или
+    только конкретные команды через sudo-whitelist?
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТНЫЕ ССЫЛКИ (мой vault, прочитать перед стартом)
+
+- projects/benilux/README.md — что такое объект Бенелюкс
+- projects/benilux/credentials.md — пароли (для копирования в Alex-vault)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md — история инцидента
+- snippets/clients/alexandr-benelux-power-recovery.md — типичные кейсы семьи
+- claude-memory/benelux.md — текущее состояние Cudy
+- claude-memory/benelux-topology.md — карта сети + список устройств
+- decisions/2026-05-20-benelux-compromise.md — урок про безопасность
+- projects/dttb/proxmox-pve-147.md — карточка целевого хоста
+- claude-memory/MEMORY.md — общая память (для понимания моего стиля и инфры)
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНЕЦ ПРОМТА. Действуй: задай мне 10 открытых вопросов одним сообщением,
+получи ответы, начни с Этапа 1. По итогам каждого этапа — короткий статус
+в чате (что сделал, что проверил, что осталось).
+```
+
+---
+
+## Что Олег решает в чате (НЕ внутри промта)
+
+Перед открытием новой сессии:
+
+- [ ] Создать TG-бота через @BotFather → получить токен и handle
+- [ ] Купить домен (или выбрать из существующих свободных)
+- [ ] Проверить статус VPS Spaceweb (есть ли свободный с белым IP)
+- [ ] Решить имя бота (или дать новой сессии выбрать варианты)
+- [ ] Прикинуть цену пилота — €15/мес? €25? разово €300?
+
+## Что в новой сессии делать НЕ нужно
+
+- ❌ Использовать мой openclaw (LXC 137) — пилот строит свой независимый бот
+- ❌ Использовать мою claude-memory или мой Anthropic-API-token
+- ❌ Подключать к моему vault через rclone/git
+- ❌ Использовать мой Postgres/Qdrant из dttb-инфры
+- ❌ Копировать в Alex-vault инфо о других клиентах (ММФБ, НИИКН и т.п.)
+
+## Связанные файлы в vault
+
+- [[proxmox-pve-147]] — целевой хост
+- [[../benilux/README]] — объект клиента
+- [[../../snippets/clients/alexandr-benelux-amnezia-reinstall]] — история работы
+- [[../../snippets/clients/alexandr-benelux-power-recovery]] — типовой плейбук
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Готов — механизм openclaw понятен: `models auth paste-api-key` пропишет провайдера `omniroute` (baseUrl `http://127.0.0.1:20128/v1` + ключ `ork_VQo…`), затем `models set omniroute/<провайдер>/<модель>` и fallback-цепочка.
+
+**Стою на низком старте.** Как залогинишься в **https://omni.umnybot.ru** (пароль `A30Y7aan8dCKf9`) и подключишь рабочий провайдер (Codex/Claude-Max) — напиши **«подключил»** (и какой именно, если несложно). Дальше я сам за один проход: свяжу openclaw → модель + fallback → про
+
+---
+*Автосохранено из session [`83491ec7`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/83491ec7-16d3-47aa-9bcc-655c342ad2a2.jsonl) — 15 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write*

notes/claude/2026-05-31-123513-session.md

@@ -0,0 +1,321 @@
+---
+date: 2026-05-31
+type: claude-session
+session_id: 83491ec7-16d3-47aa-9bcc-655c342ad2a2
+started: 2026-05-30T08:49:37.558Z
+ended: 2026-05-31T09:35:13.811Z
+messages: 15
+tools: [AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write]
+tags: [claude, session]
+---
+
+# ---
+
+## Запрос
+
+---
+date: 2026-05-30
+type: project-spec
+tags: [product, ai-assistant, pilot, openclaw, alexandr, business]
+status: draft
+---
+
+# AI-ассистент в коробке — пилот для Александра
+
+> **Это первая страница нового продукта Олега.** Цель — собрать автономного AI-консьержа на маленьком ПК, продать Александру (КП Бенелюкс) как пилот. Если зайдёт — переезжает к клиенту физически, дальше масштабирование на других клиентов.
+
+Этот файл — **промт для следующей Claude-сессии**, которая будет строить систему. Открываешь новый чат и вставляешь всё ниже целиком.
+
+---
+
+## 📋 Промт для копирования в новую сессию
+
+```
+Я разрабатываю коммерческий AI-консьерж-продукт. Маленький ПК с предустановленным
+ассистентом, который покупает домохозяйство и ставит в свою сеть. Сегодня пилот
+для одного конкретного клиента — Александра Григорьева (КП Бенелюкс, Истра).
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТ — кто я и что у меня уже есть
+
+Я Олег Батлаев, DevOps. У меня уже работает похожая система для себя — Антошка
+(openclaw в LXC 137 на моём Proxmox). Она использует OmniRoute (бесплатный
+ProxyDispatcher к Sonnet 4.5/Opus/GPT-5.4), есть Telegram-бот, есть Nextcloud
+Talk-бот, есть RAG над моим Obsidian-vault. Это базовая референс-архитектура.
+
+Я обслуживаю Александра как сетевого админа уже несколько недель. Знаю всю его
+инфру наизусть — описано в моём vault (см. ссылки ниже). Хочу выделить из этой
+работы продукт.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЦЕЛЬ ПРОЕКТА
+
+Собрать на маленьком ПК (Proxmox VE 9.1, ZOTAC H61 / i3-2100 / 15 GB RAM / 
+SSD 112 GB + HDD 1.8 TB, IP 10.0.0.147 пока у меня) автономный AI-ассистент,
+который умеет:
+
+1. Помогать Александру с типичными бытовыми IT-проблемами его сети
+   («не работает Telegram», «принтер не печатает», «почта не отправляется»)
+2. Сам диагностировать (read-only тулы) и предлагать решения
+3. Выполнять починку (write-action тулы) только после подтверждения клиента
+4. Работать с его документами и почтой через RAG
+5. Общаться через 3 интерфейса с единой памятью: Web / Telegram / Nextcloud Talk
+6. Постепенно обучаться (расширяемая RAG-база, не fine-tuning)
+
+Бизнес: пилот → если Александр покупает, ПК физически переезжает к нему домой,
+переходит в его LAN. Дальше масштабирую на других клиентов.
+
+═══════════════════════════════════════════════════════════════════════════════
+АРХИТЕКТУРА (принципы)
+
+✅ ПОЛНАЯ АВТОНОМНОСТЬ от моей dttb-инфры. Бот не должен зависеть от:
+   - моего openclaw / claude-memory
+   - моего vault / Gitea
+   - моего code-server / openclaw-NetBird
+   - моего OmniRoute (его instance может крутиться где угодно — отдельно)
+   После переезда ПК к клиенту — никаких связей со мной не остаётся, кроме
+   возможности удалённой поддержки.
+
+✅ ОТДЕЛЬНЫЙ vault — новый git-репозиторий `alexandr-knowledge-base`. Туда
+   копируется ТОЛЬКО инфра Александра (из моего vault projects/benilux/,
+   snippets/clients/alexandr-*, claude-memory/benelux*.md, плюс универсальные
+   snippets). Данные других моих клиентов (НИИКН, ММФБ, Знаменское, Главторг)
+   НЕ копируются ни в каком виде — это утечка их данных третьему лицу.
+
+✅ ВНЕШНИЙ ДОСТУП через мой VPS на Spaceweb с белым IP. Я куплю домен (имя
+   уточню позже). От бота до VPS — обратный туннель (рекомендую Cloudflare
+   Tunnel — бесплатно, SSL автоматом, не требует port-forward на роутере
+   клиента; альтернатива — FRP или WireGuard). На VPS — Nginx Proxy Manager
+   или Caddy с Let's Encrypt → проксирует на бота через туннель.
+
+✅ ОДИН ПОЛЬЗОВАТЕЛЬ (Александр). Многопользовательский режим для семьи —
+   возможный апгрейд в будущем, но не сейчас.
+
+✅ ГИБРИДНЫЕ TOOLS:
+   - read-only (ping, lpstat, awg show, curl, RAG search) — всегда без
+     подтверждения
+   - write-action (restart_podkop, flush_dns_on_mac, change_uci_setting) —
+     ВСЕГДА требуют клик кнопки «Да, разрешаю» в TG/Web inline keyboard
+   - все действия логируются → отдельный audit-log канал в TG для меня
+
+═══════════════════════════════════════════════════════════════════════════════
+СТЕК ТЕХНОЛОГИЙ (предложение)
+
+Слой              | Технология                          | Где живёт
+──────────────────┼─────────────────────────────────────┼──────────────────────
+Гипервизор        | Proxmox VE 9.1.0                    | host (уже стоит)
+NAS-OS            | ZimaOS в VM 100 (8 GB / 128 GB)     | KVM (запущена сегодня)
+Reverse proxy     | NPM в LXC 101 (10.0.0.207)          | LXC (уже работает)
+Контейнер бота    | LXC (Debian, ~4 GB RAM)             | новый LXC 102
+LLM роутер        | OmniRoute (форк или свой instance)  | LXC 102
+Conversation DB   | PostgreSQL                          | LXC 102 в Docker
+RAG / vector DB   | Qdrant или pgvector                 | LXC 102 в Docker
+Embeddings        | через API (OpenAI text-embedding или        |
+                  | Voyage AI или Sonnet с описанием)   | внешние
+Email клиент      | MCP-imap server                     | LXC 102 в Docker
+Web UI            | Open WebUI или собственный простой  | LXC 102
+Telegram bot      | python-telegram-bot или Telethon    | LXC 102
+Nextcloud Talk    | Nextcloud в Docker внутри ZimaOS    | VM 100 (Zima)
+                  | + Talk-плагин + nextcloud-talk-bot  |
+                  | (или повторить мой Антошка-Talk     |
+                  | через long-poll скрипт)             |
+Туннель           | Cloudflare Tunnel (рекомендую)      | LXC 102 → CF edge
+DNS               | Cloudflare (бесплатно)              | для домена клиента
+Secrets           | sops + age, либо HashiCorp Vault    | LXC 102
+
+═══════════════════════════════════════════════════════════════════════════════
+ИНТЕРФЕЙСЫ И ЕДИНОЕ СОСТОЯНИЕ
+
+3 канала входа — Web / Telegram / Nextcloud Talk — должны делить:
+- Conversation history (Postgres)
+- RAG-память (Qdrant/pgvector)
+- Audit log (отдельная таблица в Postgres)
+
+То есть Александр пишет в TG: «Принтер не печатает». Потом утром идёт в Web →
+видит ту же беседу с продолжением. В Nextcloud Talk пишет вечером — тот же
+контекст.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЗНАНИЯ И ОБУЧЕНИЕ
+
+Старт-импорт в RAG из моего vault (передам файлы через scp или git-clone):
+- projects/benilux/README.md
+- projects/benilux/credentials.md (только данные Александра, не моих)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md
+- snippets/clients/alexandr-benelux-power-recovery.md
+- claude-memory/benelux.md
+- claude-memory/benelux-topology.md
+- decisions/2026-05-20-benelux-compromise.md (история инцидента — учит «бот
+  всегда сначала диагностирует, потом действует»)
+- decisions/2026-05-20-amneziavpn-macos-v1-v2-incompat.md
+
+Также добавить универсальные знания (без привязки к Александру):
+- как закрыть приложение из памяти на iOS/Android/macOS
+- как сделать DNS-flush на Mac
+- как проверить включён ли Private Relay
+- как разбудить HP-принтер из deep sleep
+- типичные коды ошибок AmneziaVPN
+
+Self-update memory: после каждой решённой проблемы бот спрашивает Александра
+«Это помогло?». Если да — записывает в RAG как новое решение. Через месяц у
+бота своя локальная база типичных кейсов Александра.
+
+═══════════════════════════════════════════════════════════════════════════════
+PERSONA (стиль общения)
+
+- Имя бота — Олег решит (поле для заполнения, например «Помощник Бенелюкса»)
+- Тон: спокойный, дружелюбный, на «ты», без жаргона
+- НЕ использовать: «критическая ошибка», «сбой», «недоступен», «провал»
+- Использовать: «немного не работает», «давай посмотрим», «починим за минуту»
+- Если Александр злится — извиниться, обещать разобраться, не оправдываться
+- Перед действием объяснять простыми словами что будет делать
+- После действия описывать результат человеческим языком
+
+═══════════════════════════════════════════════════════════════════════════════
+ДОСТУП БОТА К СЕТИ АЛЕКСАНДРА (для диагностики)
+
+Сейчас на пилоте — бот живёт в моей LAN dttb (10.0.0.147), к сети Александра
+(192.168.1.0/24 за роутером Cudy в Бенелюксе) подключается через NetBird.
+Cudy уже в моём NetBird (openwrt-benilux 100.70.207.97). Выдам боту отдельный
+NetBird-setup-key с доступом только в группу Бенелюкса.
+
+После переезда ПК к клиенту — бот в его LAN напрямую, прямой доступ к
+Cudy/Cloud Key/принтеру/устройствам семьи без NetBird-overhead.
+
+SSH-ключи к устройствам Александра:
+- Cudy роутер: ssh-ключ Олежиного Mac уже добавлен; добавим ключ бота
+- Cloud Key Gen2+ (192.168.1.199): только по ключу, ключ Александра не у меня
+  — попросим Александра добавить наш ключ через UniFi OS Console
+- Mac Александра (aleksandrgrigorev): добавим публичный ключ бота
+- Принтер HP M775 (192.168.1.148): через CUPS, не SSH
+
+═══════════════════════════════════════════════════════════════════════════════
+ЭТАПЫ РЕАЛИЗАЦИИ (предложение)
+
+Этап 1: Базовая инфра (без интернета извне)
+  ─ LXC 102 «assistant» на pve-147 (Debian, 4 GB RAM)
+  ─ Docker внутри LXC
+  ─ Postgres + Qdrant в Docker
+  ─ Каркас бота (openclaw-форк, OmniRoute с моими токенами)
+  ─ Telegram-bot создан через @BotFather (handle и токен — Олег предоставит)
+  ─ Простейший Web UI (Open WebUI)
+  ─ Тест: «привет, как дела?» в TG → ответ из Sonnet через OmniRoute
+
+Этап 2: Tools (read-only)
+  ─ ping_host, check_router_health, check_printer, check_dns
+  ─ NetBird-setup на боте (доступ в Бенелюкс)
+  ─ SSH-ключ бота добавлен на Cudy, Mac Александра
+  ─ Тест: «проверь работает ли подкоп» → бот делает awg show на Cudy
+  
+Этап 3: RAG и знания
+  ─ Импорт vault Александра в Qdrant
+  ─ MCP-инструменты для бота: search_knowledge, recall_history
+  ─ Тест: «как починить TG если не открывается» → бот выдаёт инструкцию из RAG
+
+Этап 4: Tools (write-action с подтверждением)
+  ─ Inline keyboard в TG: «Да, разрешаю» / «Нет»
+  ─ restart_podkop, flush_dns_on_mac, restart_printer_queue
+  ─ Audit log в отдельный TG-канал для Олега
+  ─ Тест: «принтер не печатает» → бот предлагает действие → клик → перезапуск
+
+Этап 5: Внешний доступ
+  ─ Куплен домен (Олег)
+  ─ Cloudflare Tunnel настроен (LXC 102 → CF edge → домен)
+  ─ Web UI доступен снаружи по HTTPS через домен
+  ─ Telegram-bot работает (он и так через TG-API, без туннеля)
+
+Этап 6: Nextcloud Talk и почта
+  ─ Nextcloud в Docker на ZimaOS-NAS
+  ─ Talk бот через long-poll (по образцу моего nextcloud-talk-bot для Антошки)
+  ─ MCP-imap: подключение к почте Александра (IMAP-сервер уточню)
+  ─ RAG-индексация писем и документов из NAS-share
+
+Этап 7: Документы
+  ─ ZimaOS-NAS share по SMB
+  ─ Бот видит файлы через MCP-filesystem
+  ─ Индексация в RAG
+
+Этап 8: Обучение и калибровка
+  ─ Олег проводит 5-10 тестовых диалогов
+  ─ Калибровка persona (тон, длина ответов, эмодзи)
+  ─ Тест на семейных сценариях: «помоги маме закрыть рекламу в Сафари»
+
+Этап 9: Юридическое и передача
+  ─ Простое соглашение на 1 страницу (Олег подготовит)
+  ─ Демо Александру по видеосвязи
+  ─ Если покупает — выезд к нему, физический переезд ПК
+
+═══════════════════════════════════════════════════════════════════════════════
+ОТКРЫТЫЕ ВОПРОСЫ (для уточнения у Олега в новой сессии)
+
+1. Имя бота? (Алекс, Помощник, Лёша, Билли, что-то фирменное?)
+2. Telegram-handle? Олег создаст через @BotFather и даст токен
+3. Домен — какой Олег купит? (alexbot.ru, ai-helper.ru, your-helper.online?)
+4. VPS Spaceweb — выделить отдельный или использовать существующий?
+   IP, доступ?
+5. Email сервис Александра — Yandex/Gmail/Mail.ru/iCloud? IMAP-host? App-pass
+   или OAuth?
+6. Где Александр хранит документы — Mac локально / iCloud / OneDrive? Как
+   ассистент к ним получит доступ?
+7. Cloudflare Tunnel: использовать существующий аккаунт Олега (если есть) или
+   создать новый под клиента?
+8. Цена пилота для Александра?
+9. Топ-5 типичных сценариев которые точно должны работать к демо
+   (TG не открывается, принтер не печатает, что ещё?)
+10. Готов ли Олег дать боту admin-уровень доступа к Cudy / Cloud Key, или
+    только конкретные команды через sudo-whitelist?
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТНЫЕ ССЫЛКИ (мой vault, прочитать перед стартом)
+
+- projects/benilux/README.md — что такое объект Бенелюкс
+- projects/benilux/credentials.md — пароли (для копирования в Alex-vault)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md — история инцидента
+- snippets/clients/alexandr-benelux-power-recovery.md — типичные кейсы семьи
+- claude-memory/benelux.md — текущее состояние Cudy
+- claude-memory/benelux-topology.md — карта сети + список устройств
+- decisions/2026-05-20-benelux-compromise.md — урок про безопасность
+- projects/dttb/proxmox-pve-147.md — карточка целевого хоста
+- claude-memory/MEMORY.md — общая память (для понимания моего стиля и инфры)
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНЕЦ ПРОМТА. Действуй: задай мне 10 открытых вопросов одним сообщением,
+получи ответы, начни с Этапа 1. По итогам каждого этапа — короткий статус
+в чате (что сделал, что проверил, что осталось).
+```
+
+---
+
+## Что Олег решает в чате (НЕ внутри промта)
+
+Перед открытием новой сессии:
+
+- [ ] Создать TG-бота через @BotFather → получить токен и handle
+- [ ] Купить домен (или выбрать из существующих свободных)
+- [ ] Проверить статус VPS Spaceweb (есть ли свободный с белым IP)
+- [ ] Решить имя бота (или дать новой сессии выбрать варианты)
+- [ ] Прикинуть цену пилота — €15/мес? €25? разово €300?
+
+## Что в новой сессии делать НЕ нужно
+
+- ❌ Использовать мой openclaw (LXC 137) — пилот строит свой независимый бот
+- ❌ Использовать мою claude-memory или мой Anthropic-API-token
+- ❌ Подключать к моему vault через rclone/git
+- ❌ Использовать мой Postgres/Qdrant из dttb-инфры
+- ❌ Копировать в Alex-vault инфо о других клиентах (ММФБ, НИИКН и т.п.)
+
+## Связанные файлы в vault
+
+- [[proxmox-pve-147]] — целевой хост
+- [[../benilux/README]] — объект клиента
+- [[../../snippets/clients/alexandr-benelux-amnezia-reinstall]] — история работы
+- [[../../snippets/clients/alexandr-benelux-power-recovery]] — типовой плейбук
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+✅ Креды запушены в KB (Gitea, коммит `9f7eba7`) — `projects/dttb/ai-assistant-pilot/credentials.md`. Сохранилось durably, не потеряется.
+
+Итог по твоему вопросу: **Kiro — мимо** (upstream закрыл). Ты в дашборде — закрой окно Kiro и подключи **Codex** или **Claude (Max)**. Как будет рабочий провайдер — **«подключил» + какой**, и я за один проход довяжу openclaw и проверю «привет» в боте. Стою на старте.
+
+---
+*Автосохранено из session [`83491ec7`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/83491ec7-16d3-47aa-9bcc-655c342ad2a2.jsonl) — 15 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write*

notes/claude/2026-05-31-125729-session.md

@@ -0,0 +1,325 @@
+---
+date: 2026-05-31
+type: claude-session
+session_id: 83491ec7-16d3-47aa-9bcc-655c342ad2a2
+started: 2026-05-30T08:49:37.558Z
+ended: 2026-05-31T09:57:29.687Z
+messages: 16
+tools: [AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write]
+tags: [claude, session]
+---
+
+# ---
+
+## Запрос
+
+---
+date: 2026-05-30
+type: project-spec
+tags: [product, ai-assistant, pilot, openclaw, alexandr, business]
+status: draft
+---
+
+# AI-ассистент в коробке — пилот для Александра
+
+> **Это первая страница нового продукта Олега.** Цель — собрать автономного AI-консьержа на маленьком ПК, продать Александру (КП Бенелюкс) как пилот. Если зайдёт — переезжает к клиенту физически, дальше масштабирование на других клиентов.
+
+Этот файл — **промт для следующей Claude-сессии**, которая будет строить систему. Открываешь новый чат и вставляешь всё ниже целиком.
+
+---
+
+## 📋 Промт для копирования в новую сессию
+
+```
+Я разрабатываю коммерческий AI-консьерж-продукт. Маленький ПК с предустановленным
+ассистентом, который покупает домохозяйство и ставит в свою сеть. Сегодня пилот
+для одного конкретного клиента — Александра Григорьева (КП Бенелюкс, Истра).
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТ — кто я и что у меня уже есть
+
+Я Олег Батлаев, DevOps. У меня уже работает похожая система для себя — Антошка
+(openclaw в LXC 137 на моём Proxmox). Она использует OmniRoute (бесплатный
+ProxyDispatcher к Sonnet 4.5/Opus/GPT-5.4), есть Telegram-бот, есть Nextcloud
+Talk-бот, есть RAG над моим Obsidian-vault. Это базовая референс-архитектура.
+
+Я обслуживаю Александра как сетевого админа уже несколько недель. Знаю всю его
+инфру наизусть — описано в моём vault (см. ссылки ниже). Хочу выделить из этой
+работы продукт.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЦЕЛЬ ПРОЕКТА
+
+Собрать на маленьком ПК (Proxmox VE 9.1, ZOTAC H61 / i3-2100 / 15 GB RAM / 
+SSD 112 GB + HDD 1.8 TB, IP 10.0.0.147 пока у меня) автономный AI-ассистент,
+который умеет:
+
+1. Помогать Александру с типичными бытовыми IT-проблемами его сети
+   («не работает Telegram», «принтер не печатает», «почта не отправляется»)
+2. Сам диагностировать (read-only тулы) и предлагать решения
+3. Выполнять починку (write-action тулы) только после подтверждения клиента
+4. Работать с его документами и почтой через RAG
+5. Общаться через 3 интерфейса с единой памятью: Web / Telegram / Nextcloud Talk
+6. Постепенно обучаться (расширяемая RAG-база, не fine-tuning)
+
+Бизнес: пилот → если Александр покупает, ПК физически переезжает к нему домой,
+переходит в его LAN. Дальше масштабирую на других клиентов.
+
+═══════════════════════════════════════════════════════════════════════════════
+АРХИТЕКТУРА (принципы)
+
+✅ ПОЛНАЯ АВТОНОМНОСТЬ от моей dttb-инфры. Бот не должен зависеть от:
+   - моего openclaw / claude-memory
+   - моего vault / Gitea
+   - моего code-server / openclaw-NetBird
+   - моего OmniRoute (его instance может крутиться где угодно — отдельно)
+   После переезда ПК к клиенту — никаких связей со мной не остаётся, кроме
+   возможности удалённой поддержки.
+
+✅ ОТДЕЛЬНЫЙ vault — новый git-репозиторий `alexandr-knowledge-base`. Туда
+   копируется ТОЛЬКО инфра Александра (из моего vault projects/benilux/,
+   snippets/clients/alexandr-*, claude-memory/benelux*.md, плюс универсальные
+   snippets). Данные других моих клиентов (НИИКН, ММФБ, Знаменское, Главторг)
+   НЕ копируются ни в каком виде — это утечка их данных третьему лицу.
+
+✅ ВНЕШНИЙ ДОСТУП через мой VPS на Spaceweb с белым IP. Я куплю домен (имя
+   уточню позже). От бота до VPS — обратный туннель (рекомендую Cloudflare
+   Tunnel — бесплатно, SSL автоматом, не требует port-forward на роутере
+   клиента; альтернатива — FRP или WireGuard). На VPS — Nginx Proxy Manager
+   или Caddy с Let's Encrypt → проксирует на бота через туннель.
+
+✅ ОДИН ПОЛЬЗОВАТЕЛЬ (Александр). Многопользовательский режим для семьи —
+   возможный апгрейд в будущем, но не сейчас.
+
+✅ ГИБРИДНЫЕ TOOLS:
+   - read-only (ping, lpstat, awg show, curl, RAG search) — всегда без
+     подтверждения
+   - write-action (restart_podkop, flush_dns_on_mac, change_uci_setting) —
+     ВСЕГДА требуют клик кнопки «Да, разрешаю» в TG/Web inline keyboard
+   - все действия логируются → отдельный audit-log канал в TG для меня
+
+═══════════════════════════════════════════════════════════════════════════════
+СТЕК ТЕХНОЛОГИЙ (предложение)
+
+Слой              | Технология                          | Где живёт
+──────────────────┼─────────────────────────────────────┼──────────────────────
+Гипервизор        | Proxmox VE 9.1.0                    | host (уже стоит)
+NAS-OS            | ZimaOS в VM 100 (8 GB / 128 GB)     | KVM (запущена сегодня)
+Reverse proxy     | NPM в LXC 101 (10.0.0.207)          | LXC (уже работает)
+Контейнер бота    | LXC (Debian, ~4 GB RAM)             | новый LXC 102
+LLM роутер        | OmniRoute (форк или свой instance)  | LXC 102
+Conversation DB   | PostgreSQL                          | LXC 102 в Docker
+RAG / vector DB   | Qdrant или pgvector                 | LXC 102 в Docker
+Embeddings        | через API (OpenAI text-embedding или        |
+                  | Voyage AI или Sonnet с описанием)   | внешние
+Email клиент      | MCP-imap server                     | LXC 102 в Docker
+Web UI            | Open WebUI или собственный простой  | LXC 102
+Telegram bot      | python-telegram-bot или Telethon    | LXC 102
+Nextcloud Talk    | Nextcloud в Docker внутри ZimaOS    | VM 100 (Zima)
+                  | + Talk-плагин + nextcloud-talk-bot  |
+                  | (или повторить мой Антошка-Talk     |
+                  | через long-poll скрипт)             |
+Туннель           | Cloudflare Tunnel (рекомендую)      | LXC 102 → CF edge
+DNS               | Cloudflare (бесплатно)              | для домена клиента
+Secrets           | sops + age, либо HashiCorp Vault    | LXC 102
+
+═══════════════════════════════════════════════════════════════════════════════
+ИНТЕРФЕЙСЫ И ЕДИНОЕ СОСТОЯНИЕ
+
+3 канала входа — Web / Telegram / Nextcloud Talk — должны делить:
+- Conversation history (Postgres)
+- RAG-память (Qdrant/pgvector)
+- Audit log (отдельная таблица в Postgres)
+
+То есть Александр пишет в TG: «Принтер не печатает». Потом утром идёт в Web →
+видит ту же беседу с продолжением. В Nextcloud Talk пишет вечером — тот же
+контекст.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЗНАНИЯ И ОБУЧЕНИЕ
+
+Старт-импорт в RAG из моего vault (передам файлы через scp или git-clone):
+- projects/benilux/README.md
+- projects/benilux/credentials.md (только данные Александра, не моих)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md
+- snippets/clients/alexandr-benelux-power-recovery.md
+- claude-memory/benelux.md
+- claude-memory/benelux-topology.md
+- decisions/2026-05-20-benelux-compromise.md (история инцидента — учит «бот
+  всегда сначала диагностирует, потом действует»)
+- decisions/2026-05-20-amneziavpn-macos-v1-v2-incompat.md
+
+Также добавить универсальные знания (без привязки к Александру):
+- как закрыть приложение из памяти на iOS/Android/macOS
+- как сделать DNS-flush на Mac
+- как проверить включён ли Private Relay
+- как разбудить HP-принтер из deep sleep
+- типичные коды ошибок AmneziaVPN
+
+Self-update memory: после каждой решённой проблемы бот спрашивает Александра
+«Это помогло?». Если да — записывает в RAG как новое решение. Через месяц у
+бота своя локальная база типичных кейсов Александра.
+
+═══════════════════════════════════════════════════════════════════════════════
+PERSONA (стиль общения)
+
+- Имя бота — Олег решит (поле для заполнения, например «Помощник Бенелюкса»)
+- Тон: спокойный, дружелюбный, на «ты», без жаргона
+- НЕ использовать: «критическая ошибка», «сбой», «недоступен», «провал»
+- Использовать: «немного не работает», «давай посмотрим», «починим за минуту»
+- Если Александр злится — извиниться, обещать разобраться, не оправдываться
+- Перед действием объяснять простыми словами что будет делать
+- После действия описывать результат человеческим языком
+
+═══════════════════════════════════════════════════════════════════════════════
+ДОСТУП БОТА К СЕТИ АЛЕКСАНДРА (для диагностики)
+
+Сейчас на пилоте — бот живёт в моей LAN dttb (10.0.0.147), к сети Александра
+(192.168.1.0/24 за роутером Cudy в Бенелюксе) подключается через NetBird.
+Cudy уже в моём NetBird (openwrt-benilux 100.70.207.97). Выдам боту отдельный
+NetBird-setup-key с доступом только в группу Бенелюкса.
+
+После переезда ПК к клиенту — бот в его LAN напрямую, прямой доступ к
+Cudy/Cloud Key/принтеру/устройствам семьи без NetBird-overhead.
+
+SSH-ключи к устройствам Александра:
+- Cudy роутер: ssh-ключ Олежиного Mac уже добавлен; добавим ключ бота
+- Cloud Key Gen2+ (192.168.1.199): только по ключу, ключ Александра не у меня
+  — попросим Александра добавить наш ключ через UniFi OS Console
+- Mac Александра (aleksandrgrigorev): добавим публичный ключ бота
+- Принтер HP M775 (192.168.1.148): через CUPS, не SSH
+
+═══════════════════════════════════════════════════════════════════════════════
+ЭТАПЫ РЕАЛИЗАЦИИ (предложение)
+
+Этап 1: Базовая инфра (без интернета извне)
+  ─ LXC 102 «assistant» на pve-147 (Debian, 4 GB RAM)
+  ─ Docker внутри LXC
+  ─ Postgres + Qdrant в Docker
+  ─ Каркас бота (openclaw-форк, OmniRoute с моими токенами)
+  ─ Telegram-bot создан через @BotFather (handle и токен — Олег предоставит)
+  ─ Простейший Web UI (Open WebUI)
+  ─ Тест: «привет, как дела?» в TG → ответ из Sonnet через OmniRoute
+
+Этап 2: Tools (read-only)
+  ─ ping_host, check_router_health, check_printer, check_dns
+  ─ NetBird-setup на боте (доступ в Бенелюкс)
+  ─ SSH-ключ бота добавлен на Cudy, Mac Александра
+  ─ Тест: «проверь работает ли подкоп» → бот делает awg show на Cudy
+  
+Этап 3: RAG и знания
+  ─ Импорт vault Александра в Qdrant
+  ─ MCP-инструменты для бота: search_knowledge, recall_history
+  ─ Тест: «как починить TG если не открывается» → бот выдаёт инструкцию из RAG
+
+Этап 4: Tools (write-action с подтверждением)
+  ─ Inline keyboard в TG: «Да, разрешаю» / «Нет»
+  ─ restart_podkop, flush_dns_on_mac, restart_printer_queue
+  ─ Audit log в отдельный TG-канал для Олега
+  ─ Тест: «принтер не печатает» → бот предлагает действие → клик → перезапуск
+
+Этап 5: Внешний доступ
+  ─ Куплен домен (Олег)
+  ─ Cloudflare Tunnel настроен (LXC 102 → CF edge → домен)
+  ─ Web UI доступен снаружи по HTTPS через домен
+  ─ Telegram-bot работает (он и так через TG-API, без туннеля)
+
+Этап 6: Nextcloud Talk и почта
+  ─ Nextcloud в Docker на ZimaOS-NAS
+  ─ Talk бот через long-poll (по образцу моего nextcloud-talk-bot для Антошки)
+  ─ MCP-imap: подключение к почте Александра (IMAP-сервер уточню)
+  ─ RAG-индексация писем и документов из NAS-share
+
+Этап 7: Документы
+  ─ ZimaOS-NAS share по SMB
+  ─ Бот видит файлы через MCP-filesystem
+  ─ Индексация в RAG
+
+Этап 8: Обучение и калибровка
+  ─ Олег проводит 5-10 тестовых диалогов
+  ─ Калибровка persona (тон, длина ответов, эмодзи)
+  ─ Тест на семейных сценариях: «помоги маме закрыть рекламу в Сафари»
+
+Этап 9: Юридическое и передача
+  ─ Простое соглашение на 1 страницу (Олег подготовит)
+  ─ Демо Александру по видеосвязи
+  ─ Если покупает — выезд к нему, физический переезд ПК
+
+═══════════════════════════════════════════════════════════════════════════════
+ОТКРЫТЫЕ ВОПРОСЫ (для уточнения у Олега в новой сессии)
+
+1. Имя бота? (Алекс, Помощник, Лёша, Билли, что-то фирменное?)
+2. Telegram-handle? Олег создаст через @BotFather и даст токен
+3. Домен — какой Олег купит? (alexbot.ru, ai-helper.ru, your-helper.online?)
+4. VPS Spaceweb — выделить отдельный или использовать существующий?
+   IP, доступ?
+5. Email сервис Александра — Yandex/Gmail/Mail.ru/iCloud? IMAP-host? App-pass
+   или OAuth?
+6. Где Александр хранит документы — Mac локально / iCloud / OneDrive? Как
+   ассистент к ним получит доступ?
+7. Cloudflare Tunnel: использовать существующий аккаунт Олега (если есть) или
+   создать новый под клиента?
+8. Цена пилота для Александра?
+9. Топ-5 типичных сценариев которые точно должны работать к демо
+   (TG не открывается, принтер не печатает, что ещё?)
+10. Готов ли Олег дать боту admin-уровень доступа к Cudy / Cloud Key, или
+    только конкретные команды через sudo-whitelist?
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТНЫЕ ССЫЛКИ (мой vault, прочитать перед стартом)
+
+- projects/benilux/README.md — что такое объект Бенелюкс
+- projects/benilux/credentials.md — пароли (для копирования в Alex-vault)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md — история инцидента
+- snippets/clients/alexandr-benelux-power-recovery.md — типичные кейсы семьи
+- claude-memory/benelux.md — текущее состояние Cudy
+- claude-memory/benelux-topology.md — карта сети + список устройств
+- decisions/2026-05-20-benelux-compromise.md — урок про безопасность
+- projects/dttb/proxmox-pve-147.md — карточка целевого хоста
+- claude-memory/MEMORY.md — общая память (для понимания моего стиля и инфры)
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНЕЦ ПРОМТА. Действуй: задай мне 10 открытых вопросов одним сообщением,
+получи ответы, начни с Этапа 1. По итогам каждого этапа — короткий статус
+в чате (что сделал, что проверил, что осталось).
+```
+
+---
+
+## Что Олег решает в чате (НЕ внутри промта)
+
+Перед открытием новой сессии:
+
+- [ ] Создать TG-бота через @BotFather → получить токен и handle
+- [ ] Купить домен (или выбрать из существующих свободных)
+- [ ] Проверить статус VPS Spaceweb (есть ли свободный с белым IP)
+- [ ] Решить имя бота (или дать новой сессии выбрать варианты)
+- [ ] Прикинуть цену пилота — €15/мес? €25? разово €300?
+
+## Что в новой сессии делать НЕ нужно
+
+- ❌ Использовать мой openclaw (LXC 137) — пилот строит свой независимый бот
+- ❌ Использовать мою claude-memory или мой Anthropic-API-token
+- ❌ Подключать к моему vault через rclone/git
+- ❌ Использовать мой Postgres/Qdrant из dttb-инфры
+- ❌ Копировать в Alex-vault инфо о других клиентах (ММФБ, НИИКН и т.п.)
+
+## Связанные файлы в vault
+
+- [[proxmox-pve-147]] — целевой хост
+- [[../benilux/README]] — объект клиента
+- [[../../snippets/clients/alexandr-benelux-amnezia-reinstall]] — история работы
+- [[../../snippets/clients/alexandr-benelux-power-recovery]] — типовой плейбук
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+👍 **Отличный ход** — OpenRouter с бесплатным Qwen заведётся сразу, без OAuth-плясок, просто по API-ключу. И openclaw **нативно умеет OpenRouter** (у него есть `models scan` ровно для бесплатных OpenRouter-моделей с поддержкой tools).
+
+**Кидай ключ** (вставь сюда, формат `sk-or-v1-…`). Дальше я за один проход:
+1. Пропишу ключ в openclaw.
+2. `models scan` → выберу **бесплатную Qwen с поддержкой tools** (важно — боту нужны tool-calls для будущих диагностик).
+3. `models set` + рестарт gateway.
+4. Пр
+
+---
+*Автосохранено из session [`83491ec7`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/83491ec7-16d3-47aa-9bcc-655c342ad2a2.jsonl) — 16 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write*

notes/claude/2026-05-31-130846-session.md

@@ -0,0 +1,321 @@
+---
+date: 2026-05-31
+type: claude-session
+session_id: 83491ec7-16d3-47aa-9bcc-655c342ad2a2
+started: 2026-05-30T08:49:37.558Z
+ended: 2026-05-31T10:08:46.875Z
+messages: 17
+tools: [AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write]
+tags: [claude, session]
+---
+
+# ---
+
+## Запрос
+
+---
+date: 2026-05-30
+type: project-spec
+tags: [product, ai-assistant, pilot, openclaw, alexandr, business]
+status: draft
+---
+
+# AI-ассистент в коробке — пилот для Александра
+
+> **Это первая страница нового продукта Олега.** Цель — собрать автономного AI-консьержа на маленьком ПК, продать Александру (КП Бенелюкс) как пилот. Если зайдёт — переезжает к клиенту физически, дальше масштабирование на других клиентов.
+
+Этот файл — **промт для следующей Claude-сессии**, которая будет строить систему. Открываешь новый чат и вставляешь всё ниже целиком.
+
+---
+
+## 📋 Промт для копирования в новую сессию
+
+```
+Я разрабатываю коммерческий AI-консьерж-продукт. Маленький ПК с предустановленным
+ассистентом, который покупает домохозяйство и ставит в свою сеть. Сегодня пилот
+для одного конкретного клиента — Александра Григорьева (КП Бенелюкс, Истра).
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТ — кто я и что у меня уже есть
+
+Я Олег Батлаев, DevOps. У меня уже работает похожая система для себя — Антошка
+(openclaw в LXC 137 на моём Proxmox). Она использует OmniRoute (бесплатный
+ProxyDispatcher к Sonnet 4.5/Opus/GPT-5.4), есть Telegram-бот, есть Nextcloud
+Talk-бот, есть RAG над моим Obsidian-vault. Это базовая референс-архитектура.
+
+Я обслуживаю Александра как сетевого админа уже несколько недель. Знаю всю его
+инфру наизусть — описано в моём vault (см. ссылки ниже). Хочу выделить из этой
+работы продукт.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЦЕЛЬ ПРОЕКТА
+
+Собрать на маленьком ПК (Proxmox VE 9.1, ZOTAC H61 / i3-2100 / 15 GB RAM / 
+SSD 112 GB + HDD 1.8 TB, IP 10.0.0.147 пока у меня) автономный AI-ассистент,
+который умеет:
+
+1. Помогать Александру с типичными бытовыми IT-проблемами его сети
+   («не работает Telegram», «принтер не печатает», «почта не отправляется»)
+2. Сам диагностировать (read-only тулы) и предлагать решения
+3. Выполнять починку (write-action тулы) только после подтверждения клиента
+4. Работать с его документами и почтой через RAG
+5. Общаться через 3 интерфейса с единой памятью: Web / Telegram / Nextcloud Talk
+6. Постепенно обучаться (расширяемая RAG-база, не fine-tuning)
+
+Бизнес: пилот → если Александр покупает, ПК физически переезжает к нему домой,
+переходит в его LAN. Дальше масштабирую на других клиентов.
+
+═══════════════════════════════════════════════════════════════════════════════
+АРХИТЕКТУРА (принципы)
+
+✅ ПОЛНАЯ АВТОНОМНОСТЬ от моей dttb-инфры. Бот не должен зависеть от:
+   - моего openclaw / claude-memory
+   - моего vault / Gitea
+   - моего code-server / openclaw-NetBird
+   - моего OmniRoute (его instance может крутиться где угодно — отдельно)
+   После переезда ПК к клиенту — никаких связей со мной не остаётся, кроме
+   возможности удалённой поддержки.
+
+✅ ОТДЕЛЬНЫЙ vault — новый git-репозиторий `alexandr-knowledge-base`. Туда
+   копируется ТОЛЬКО инфра Александра (из моего vault projects/benilux/,
+   snippets/clients/alexandr-*, claude-memory/benelux*.md, плюс универсальные
+   snippets). Данные других моих клиентов (НИИКН, ММФБ, Знаменское, Главторг)
+   НЕ копируются ни в каком виде — это утечка их данных третьему лицу.
+
+✅ ВНЕШНИЙ ДОСТУП через мой VPS на Spaceweb с белым IP. Я куплю домен (имя
+   уточню позже). От бота до VPS — обратный туннель (рекомендую Cloudflare
+   Tunnel — бесплатно, SSL автоматом, не требует port-forward на роутере
+   клиента; альтернатива — FRP или WireGuard). На VPS — Nginx Proxy Manager
+   или Caddy с Let's Encrypt → проксирует на бота через туннель.
+
+✅ ОДИН ПОЛЬЗОВАТЕЛЬ (Александр). Многопользовательский режим для семьи —
+   возможный апгрейд в будущем, но не сейчас.
+
+✅ ГИБРИДНЫЕ TOOLS:
+   - read-only (ping, lpstat, awg show, curl, RAG search) — всегда без
+     подтверждения
+   - write-action (restart_podkop, flush_dns_on_mac, change_uci_setting) —
+     ВСЕГДА требуют клик кнопки «Да, разрешаю» в TG/Web inline keyboard
+   - все действия логируются → отдельный audit-log канал в TG для меня
+
+═══════════════════════════════════════════════════════════════════════════════
+СТЕК ТЕХНОЛОГИЙ (предложение)
+
+Слой              | Технология                          | Где живёт
+──────────────────┼─────────────────────────────────────┼──────────────────────
+Гипервизор        | Proxmox VE 9.1.0                    | host (уже стоит)
+NAS-OS            | ZimaOS в VM 100 (8 GB / 128 GB)     | KVM (запущена сегодня)
+Reverse proxy     | NPM в LXC 101 (10.0.0.207)          | LXC (уже работает)
+Контейнер бота    | LXC (Debian, ~4 GB RAM)             | новый LXC 102
+LLM роутер        | OmniRoute (форк или свой instance)  | LXC 102
+Conversation DB   | PostgreSQL                          | LXC 102 в Docker
+RAG / vector DB   | Qdrant или pgvector                 | LXC 102 в Docker
+Embeddings        | через API (OpenAI text-embedding или        |
+                  | Voyage AI или Sonnet с описанием)   | внешние
+Email клиент      | MCP-imap server                     | LXC 102 в Docker
+Web UI            | Open WebUI или собственный простой  | LXC 102
+Telegram bot      | python-telegram-bot или Telethon    | LXC 102
+Nextcloud Talk    | Nextcloud в Docker внутри ZimaOS    | VM 100 (Zima)
+                  | + Talk-плагин + nextcloud-talk-bot  |
+                  | (или повторить мой Антошка-Talk     |
+                  | через long-poll скрипт)             |
+Туннель           | Cloudflare Tunnel (рекомендую)      | LXC 102 → CF edge
+DNS               | Cloudflare (бесплатно)              | для домена клиента
+Secrets           | sops + age, либо HashiCorp Vault    | LXC 102
+
+═══════════════════════════════════════════════════════════════════════════════
+ИНТЕРФЕЙСЫ И ЕДИНОЕ СОСТОЯНИЕ
+
+3 канала входа — Web / Telegram / Nextcloud Talk — должны делить:
+- Conversation history (Postgres)
+- RAG-память (Qdrant/pgvector)
+- Audit log (отдельная таблица в Postgres)
+
+То есть Александр пишет в TG: «Принтер не печатает». Потом утром идёт в Web →
+видит ту же беседу с продолжением. В Nextcloud Talk пишет вечером — тот же
+контекст.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЗНАНИЯ И ОБУЧЕНИЕ
+
+Старт-импорт в RAG из моего vault (передам файлы через scp или git-clone):
+- projects/benilux/README.md
+- projects/benilux/credentials.md (только данные Александра, не моих)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md
+- snippets/clients/alexandr-benelux-power-recovery.md
+- claude-memory/benelux.md
+- claude-memory/benelux-topology.md
+- decisions/2026-05-20-benelux-compromise.md (история инцидента — учит «бот
+  всегда сначала диагностирует, потом действует»)
+- decisions/2026-05-20-amneziavpn-macos-v1-v2-incompat.md
+
+Также добавить универсальные знания (без привязки к Александру):
+- как закрыть приложение из памяти на iOS/Android/macOS
+- как сделать DNS-flush на Mac
+- как проверить включён ли Private Relay
+- как разбудить HP-принтер из deep sleep
+- типичные коды ошибок AmneziaVPN
+
+Self-update memory: после каждой решённой проблемы бот спрашивает Александра
+«Это помогло?». Если да — записывает в RAG как новое решение. Через месяц у
+бота своя локальная база типичных кейсов Александра.
+
+═══════════════════════════════════════════════════════════════════════════════
+PERSONA (стиль общения)
+
+- Имя бота — Олег решит (поле для заполнения, например «Помощник Бенелюкса»)
+- Тон: спокойный, дружелюбный, на «ты», без жаргона
+- НЕ использовать: «критическая ошибка», «сбой», «недоступен», «провал»
+- Использовать: «немного не работает», «давай посмотрим», «починим за минуту»
+- Если Александр злится — извиниться, обещать разобраться, не оправдываться
+- Перед действием объяснять простыми словами что будет делать
+- После действия описывать результат человеческим языком
+
+═══════════════════════════════════════════════════════════════════════════════
+ДОСТУП БОТА К СЕТИ АЛЕКСАНДРА (для диагностики)
+
+Сейчас на пилоте — бот живёт в моей LAN dttb (10.0.0.147), к сети Александра
+(192.168.1.0/24 за роутером Cudy в Бенелюксе) подключается через NetBird.
+Cudy уже в моём NetBird (openwrt-benilux 100.70.207.97). Выдам боту отдельный
+NetBird-setup-key с доступом только в группу Бенелюкса.
+
+После переезда ПК к клиенту — бот в его LAN напрямую, прямой доступ к
+Cudy/Cloud Key/принтеру/устройствам семьи без NetBird-overhead.
+
+SSH-ключи к устройствам Александра:
+- Cudy роутер: ssh-ключ Олежиного Mac уже добавлен; добавим ключ бота
+- Cloud Key Gen2+ (192.168.1.199): только по ключу, ключ Александра не у меня
+  — попросим Александра добавить наш ключ через UniFi OS Console
+- Mac Александра (aleksandrgrigorev): добавим публичный ключ бота
+- Принтер HP M775 (192.168.1.148): через CUPS, не SSH
+
+═══════════════════════════════════════════════════════════════════════════════
+ЭТАПЫ РЕАЛИЗАЦИИ (предложение)
+
+Этап 1: Базовая инфра (без интернета извне)
+  ─ LXC 102 «assistant» на pve-147 (Debian, 4 GB RAM)
+  ─ Docker внутри LXC
+  ─ Postgres + Qdrant в Docker
+  ─ Каркас бота (openclaw-форк, OmniRoute с моими токенами)
+  ─ Telegram-bot создан через @BotFather (handle и токен — Олег предоставит)
+  ─ Простейший Web UI (Open WebUI)
+  ─ Тест: «привет, как дела?» в TG → ответ из Sonnet через OmniRoute
+
+Этап 2: Tools (read-only)
+  ─ ping_host, check_router_health, check_printer, check_dns
+  ─ NetBird-setup на боте (доступ в Бенелюкс)
+  ─ SSH-ключ бота добавлен на Cudy, Mac Александра
+  ─ Тест: «проверь работает ли подкоп» → бот делает awg show на Cudy
+  
+Этап 3: RAG и знания
+  ─ Импорт vault Александра в Qdrant
+  ─ MCP-инструменты для бота: search_knowledge, recall_history
+  ─ Тест: «как починить TG если не открывается» → бот выдаёт инструкцию из RAG
+
+Этап 4: Tools (write-action с подтверждением)
+  ─ Inline keyboard в TG: «Да, разрешаю» / «Нет»
+  ─ restart_podkop, flush_dns_on_mac, restart_printer_queue
+  ─ Audit log в отдельный TG-канал для Олега
+  ─ Тест: «принтер не печатает» → бот предлагает действие → клик → перезапуск
+
+Этап 5: Внешний доступ
+  ─ Куплен домен (Олег)
+  ─ Cloudflare Tunnel настроен (LXC 102 → CF edge → домен)
+  ─ Web UI доступен снаружи по HTTPS через домен
+  ─ Telegram-bot работает (он и так через TG-API, без туннеля)
+
+Этап 6: Nextcloud Talk и почта
+  ─ Nextcloud в Docker на ZimaOS-NAS
+  ─ Talk бот через long-poll (по образцу моего nextcloud-talk-bot для Антошки)
+  ─ MCP-imap: подключение к почте Александра (IMAP-сервер уточню)
+  ─ RAG-индексация писем и документов из NAS-share
+
+Этап 7: Документы
+  ─ ZimaOS-NAS share по SMB
+  ─ Бот видит файлы через MCP-filesystem
+  ─ Индексация в RAG
+
+Этап 8: Обучение и калибровка
+  ─ Олег проводит 5-10 тестовых диалогов
+  ─ Калибровка persona (тон, длина ответов, эмодзи)
+  ─ Тест на семейных сценариях: «помоги маме закрыть рекламу в Сафари»
+
+Этап 9: Юридическое и передача
+  ─ Простое соглашение на 1 страницу (Олег подготовит)
+  ─ Демо Александру по видеосвязи
+  ─ Если покупает — выезд к нему, физический переезд ПК
+
+═══════════════════════════════════════════════════════════════════════════════
+ОТКРЫТЫЕ ВОПРОСЫ (для уточнения у Олега в новой сессии)
+
+1. Имя бота? (Алекс, Помощник, Лёша, Билли, что-то фирменное?)
+2. Telegram-handle? Олег создаст через @BotFather и даст токен
+3. Домен — какой Олег купит? (alexbot.ru, ai-helper.ru, your-helper.online?)
+4. VPS Spaceweb — выделить отдельный или использовать существующий?
+   IP, доступ?
+5. Email сервис Александра — Yandex/Gmail/Mail.ru/iCloud? IMAP-host? App-pass
+   или OAuth?
+6. Где Александр хранит документы — Mac локально / iCloud / OneDrive? Как
+   ассистент к ним получит доступ?
+7. Cloudflare Tunnel: использовать существующий аккаунт Олега (если есть) или
+   создать новый под клиента?
+8. Цена пилота для Александра?
+9. Топ-5 типичных сценариев которые точно должны работать к демо
+   (TG не открывается, принтер не печатает, что ещё?)
+10. Готов ли Олег дать боту admin-уровень доступа к Cudy / Cloud Key, или
+    только конкретные команды через sudo-whitelist?
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТНЫЕ ССЫЛКИ (мой vault, прочитать перед стартом)
+
+- projects/benilux/README.md — что такое объект Бенелюкс
+- projects/benilux/credentials.md — пароли (для копирования в Alex-vault)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md — история инцидента
+- snippets/clients/alexandr-benelux-power-recovery.md — типичные кейсы семьи
+- claude-memory/benelux.md — текущее состояние Cudy
+- claude-memory/benelux-topology.md — карта сети + список устройств
+- decisions/2026-05-20-benelux-compromise.md — урок про безопасность
+- projects/dttb/proxmox-pve-147.md — карточка целевого хоста
+- claude-memory/MEMORY.md — общая память (для понимания моего стиля и инфры)
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНЕЦ ПРОМТА. Действуй: задай мне 10 открытых вопросов одним сообщением,
+получи ответы, начни с Этапа 1. По итогам каждого этапа — короткий статус
+в чате (что сделал, что проверил, что осталось).
+```
+
+---
+
+## Что Олег решает в чате (НЕ внутри промта)
+
+Перед открытием новой сессии:
+
+- [ ] Создать TG-бота через @BotFather → получить токен и handle
+- [ ] Купить домен (или выбрать из существующих свободных)
+- [ ] Проверить статус VPS Spaceweb (есть ли свободный с белым IP)
+- [ ] Решить имя бота (или дать новой сессии выбрать варианты)
+- [ ] Прикинуть цену пилота — €15/мес? €25? разово €300?
+
+## Что в новой сессии делать НЕ нужно
+
+- ❌ Использовать мой openclaw (LXC 137) — пилот строит свой независимый бот
+- ❌ Использовать мою claude-memory или мой Anthropic-API-token
+- ❌ Подключать к моему vault через rclone/git
+- ❌ Использовать мой Postgres/Qdrant из dttb-инфры
+- ❌ Копировать в Alex-vault инфо о других клиентах (ММФБ, НИИКН и т.п.)
+
+## Связанные файлы в vault
+
+- [[proxmox-pve-147]] — целевой хост
+- [[../benilux/README]] — объект клиента
+- [[../../snippets/clients/alexandr-benelux-amnezia-reinstall]] — история работы
+- [[../../snippets/clients/alexandr-benelux-power-recovery]] — типовой плейбук
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Зафиксировал в трекере (Этап 1 — бот заговорил). 
+
+Стою на старте — как проверишь **@alex_umny_bot** в Telegram, скажи «отвечает» (или что именно ответил), и решим порядок добивки: **persona → донастройка через OmniRoute → NPM на коробку**. Поздравляю, костяк продукта живой и говорит 🎉
+
+---
+*Автосохранено из session [`83491ec7`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/83491ec7-16d3-47aa-9bcc-655c342ad2a2.jsonl) — 17 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write*

notes/claude/2026-05-31-131213-session.md

@@ -0,0 +1,323 @@
+---
+date: 2026-05-31
+type: claude-session
+session_id: 83491ec7-16d3-47aa-9bcc-655c342ad2a2
+started: 2026-05-30T08:49:37.558Z
+ended: 2026-05-31T10:12:13.975Z
+messages: 18
+tools: [AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write]
+tags: [claude, session]
+---
+
+# ---
+
+## Запрос
+
+---
+date: 2026-05-30
+type: project-spec
+tags: [product, ai-assistant, pilot, openclaw, alexandr, business]
+status: draft
+---
+
+# AI-ассистент в коробке — пилот для Александра
+
+> **Это первая страница нового продукта Олега.** Цель — собрать автономного AI-консьержа на маленьком ПК, продать Александру (КП Бенелюкс) как пилот. Если зайдёт — переезжает к клиенту физически, дальше масштабирование на других клиентов.
+
+Этот файл — **промт для следующей Claude-сессии**, которая будет строить систему. Открываешь новый чат и вставляешь всё ниже целиком.
+
+---
+
+## 📋 Промт для копирования в новую сессию
+
+```
+Я разрабатываю коммерческий AI-консьерж-продукт. Маленький ПК с предустановленным
+ассистентом, который покупает домохозяйство и ставит в свою сеть. Сегодня пилот
+для одного конкретного клиента — Александра Григорьева (КП Бенелюкс, Истра).
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТ — кто я и что у меня уже есть
+
+Я Олег Батлаев, DevOps. У меня уже работает похожая система для себя — Антошка
+(openclaw в LXC 137 на моём Proxmox). Она использует OmniRoute (бесплатный
+ProxyDispatcher к Sonnet 4.5/Opus/GPT-5.4), есть Telegram-бот, есть Nextcloud
+Talk-бот, есть RAG над моим Obsidian-vault. Это базовая референс-архитектура.
+
+Я обслуживаю Александра как сетевого админа уже несколько недель. Знаю всю его
+инфру наизусть — описано в моём vault (см. ссылки ниже). Хочу выделить из этой
+работы продукт.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЦЕЛЬ ПРОЕКТА
+
+Собрать на маленьком ПК (Proxmox VE 9.1, ZOTAC H61 / i3-2100 / 15 GB RAM / 
+SSD 112 GB + HDD 1.8 TB, IP 10.0.0.147 пока у меня) автономный AI-ассистент,
+который умеет:
+
+1. Помогать Александру с типичными бытовыми IT-проблемами его сети
+   («не работает Telegram», «принтер не печатает», «почта не отправляется»)
+2. Сам диагностировать (read-only тулы) и предлагать решения
+3. Выполнять починку (write-action тулы) только после подтверждения клиента
+4. Работать с его документами и почтой через RAG
+5. Общаться через 3 интерфейса с единой памятью: Web / Telegram / Nextcloud Talk
+6. Постепенно обучаться (расширяемая RAG-база, не fine-tuning)
+
+Бизнес: пилот → если Александр покупает, ПК физически переезжает к нему домой,
+переходит в его LAN. Дальше масштабирую на других клиентов.
+
+═══════════════════════════════════════════════════════════════════════════════
+АРХИТЕКТУРА (принципы)
+
+✅ ПОЛНАЯ АВТОНОМНОСТЬ от моей dttb-инфры. Бот не должен зависеть от:
+   - моего openclaw / claude-memory
+   - моего vault / Gitea
+   - моего code-server / openclaw-NetBird
+   - моего OmniRoute (его instance может крутиться где угодно — отдельно)
+   После переезда ПК к клиенту — никаких связей со мной не остаётся, кроме
+   возможности удалённой поддержки.
+
+✅ ОТДЕЛЬНЫЙ vault — новый git-репозиторий `alexandr-knowledge-base`. Туда
+   копируется ТОЛЬКО инфра Александра (из моего vault projects/benilux/,
+   snippets/clients/alexandr-*, claude-memory/benelux*.md, плюс универсальные
+   snippets). Данные других моих клиентов (НИИКН, ММФБ, Знаменское, Главторг)
+   НЕ копируются ни в каком виде — это утечка их данных третьему лицу.
+
+✅ ВНЕШНИЙ ДОСТУП через мой VPS на Spaceweb с белым IP. Я куплю домен (имя
+   уточню позже). От бота до VPS — обратный туннель (рекомендую Cloudflare
+   Tunnel — бесплатно, SSL автоматом, не требует port-forward на роутере
+   клиента; альтернатива — FRP или WireGuard). На VPS — Nginx Proxy Manager
+   или Caddy с Let's Encrypt → проксирует на бота через туннель.
+
+✅ ОДИН ПОЛЬЗОВАТЕЛЬ (Александр). Многопользовательский режим для семьи —
+   возможный апгрейд в будущем, но не сейчас.
+
+✅ ГИБРИДНЫЕ TOOLS:
+   - read-only (ping, lpstat, awg show, curl, RAG search) — всегда без
+     подтверждения
+   - write-action (restart_podkop, flush_dns_on_mac, change_uci_setting) —
+     ВСЕГДА требуют клик кнопки «Да, разрешаю» в TG/Web inline keyboard
+   - все действия логируются → отдельный audit-log канал в TG для меня
+
+═══════════════════════════════════════════════════════════════════════════════
+СТЕК ТЕХНОЛОГИЙ (предложение)
+
+Слой              | Технология                          | Где живёт
+──────────────────┼─────────────────────────────────────┼──────────────────────
+Гипервизор        | Proxmox VE 9.1.0                    | host (уже стоит)
+NAS-OS            | ZimaOS в VM 100 (8 GB / 128 GB)     | KVM (запущена сегодня)
+Reverse proxy     | NPM в LXC 101 (10.0.0.207)          | LXC (уже работает)
+Контейнер бота    | LXC (Debian, ~4 GB RAM)             | новый LXC 102
+LLM роутер        | OmniRoute (форк или свой instance)  | LXC 102
+Conversation DB   | PostgreSQL                          | LXC 102 в Docker
+RAG / vector DB   | Qdrant или pgvector                 | LXC 102 в Docker
+Embeddings        | через API (OpenAI text-embedding или        |
+                  | Voyage AI или Sonnet с описанием)   | внешние
+Email клиент      | MCP-imap server                     | LXC 102 в Docker
+Web UI            | Open WebUI или собственный простой  | LXC 102
+Telegram bot      | python-telegram-bot или Telethon    | LXC 102
+Nextcloud Talk    | Nextcloud в Docker внутри ZimaOS    | VM 100 (Zima)
+                  | + Talk-плагин + nextcloud-talk-bot  |
+                  | (или повторить мой Антошка-Talk     |
+                  | через long-poll скрипт)             |
+Туннель           | Cloudflare Tunnel (рекомендую)      | LXC 102 → CF edge
+DNS               | Cloudflare (бесплатно)              | для домена клиента
+Secrets           | sops + age, либо HashiCorp Vault    | LXC 102
+
+═══════════════════════════════════════════════════════════════════════════════
+ИНТЕРФЕЙСЫ И ЕДИНОЕ СОСТОЯНИЕ
+
+3 канала входа — Web / Telegram / Nextcloud Talk — должны делить:
+- Conversation history (Postgres)
+- RAG-память (Qdrant/pgvector)
+- Audit log (отдельная таблица в Postgres)
+
+То есть Александр пишет в TG: «Принтер не печатает». Потом утром идёт в Web →
+видит ту же беседу с продолжением. В Nextcloud Talk пишет вечером — тот же
+контекст.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЗНАНИЯ И ОБУЧЕНИЕ
+
+Старт-импорт в RAG из моего vault (передам файлы через scp или git-clone):
+- projects/benilux/README.md
+- projects/benilux/credentials.md (только данные Александра, не моих)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md
+- snippets/clients/alexandr-benelux-power-recovery.md
+- claude-memory/benelux.md
+- claude-memory/benelux-topology.md
+- decisions/2026-05-20-benelux-compromise.md (история инцидента — учит «бот
+  всегда сначала диагностирует, потом действует»)
+- decisions/2026-05-20-amneziavpn-macos-v1-v2-incompat.md
+
+Также добавить универсальные знания (без привязки к Александру):
+- как закрыть приложение из памяти на iOS/Android/macOS
+- как сделать DNS-flush на Mac
+- как проверить включён ли Private Relay
+- как разбудить HP-принтер из deep sleep
+- типичные коды ошибок AmneziaVPN
+
+Self-update memory: после каждой решённой проблемы бот спрашивает Александра
+«Это помогло?». Если да — записывает в RAG как новое решение. Через месяц у
+бота своя локальная база типичных кейсов Александра.
+
+═══════════════════════════════════════════════════════════════════════════════
+PERSONA (стиль общения)
+
+- Имя бота — Олег решит (поле для заполнения, например «Помощник Бенелюкса»)
+- Тон: спокойный, дружелюбный, на «ты», без жаргона
+- НЕ использовать: «критическая ошибка», «сбой», «недоступен», «провал»
+- Использовать: «немного не работает», «давай посмотрим», «починим за минуту»
+- Если Александр злится — извиниться, обещать разобраться, не оправдываться
+- Перед действием объяснять простыми словами что будет делать
+- После действия описывать результат человеческим языком
+
+═══════════════════════════════════════════════════════════════════════════════
+ДОСТУП БОТА К СЕТИ АЛЕКСАНДРА (для диагностики)
+
+Сейчас на пилоте — бот живёт в моей LAN dttb (10.0.0.147), к сети Александра
+(192.168.1.0/24 за роутером Cudy в Бенелюксе) подключается через NetBird.
+Cudy уже в моём NetBird (openwrt-benilux 100.70.207.97). Выдам боту отдельный
+NetBird-setup-key с доступом только в группу Бенелюкса.
+
+После переезда ПК к клиенту — бот в его LAN напрямую, прямой доступ к
+Cudy/Cloud Key/принтеру/устройствам семьи без NetBird-overhead.
+
+SSH-ключи к устройствам Александра:
+- Cudy роутер: ssh-ключ Олежиного Mac уже добавлен; добавим ключ бота
+- Cloud Key Gen2+ (192.168.1.199): только по ключу, ключ Александра не у меня
+  — попросим Александра добавить наш ключ через UniFi OS Console
+- Mac Александра (aleksandrgrigorev): добавим публичный ключ бота
+- Принтер HP M775 (192.168.1.148): через CUPS, не SSH
+
+═══════════════════════════════════════════════════════════════════════════════
+ЭТАПЫ РЕАЛИЗАЦИИ (предложение)
+
+Этап 1: Базовая инфра (без интернета извне)
+  ─ LXC 102 «assistant» на pve-147 (Debian, 4 GB RAM)
+  ─ Docker внутри LXC
+  ─ Postgres + Qdrant в Docker
+  ─ Каркас бота (openclaw-форк, OmniRoute с моими токенами)
+  ─ Telegram-bot создан через @BotFather (handle и токен — Олег предоставит)
+  ─ Простейший Web UI (Open WebUI)
+  ─ Тест: «привет, как дела?» в TG → ответ из Sonnet через OmniRoute
+
+Этап 2: Tools (read-only)
+  ─ ping_host, check_router_health, check_printer, check_dns
+  ─ NetBird-setup на боте (доступ в Бенелюкс)
+  ─ SSH-ключ бота добавлен на Cudy, Mac Александра
+  ─ Тест: «проверь работает ли подкоп» → бот делает awg show на Cudy
+  
+Этап 3: RAG и знания
+  ─ Импорт vault Александра в Qdrant
+  ─ MCP-инструменты для бота: search_knowledge, recall_history
+  ─ Тест: «как починить TG если не открывается» → бот выдаёт инструкцию из RAG
+
+Этап 4: Tools (write-action с подтверждением)
+  ─ Inline keyboard в TG: «Да, разрешаю» / «Нет»
+  ─ restart_podkop, flush_dns_on_mac, restart_printer_queue
+  ─ Audit log в отдельный TG-канал для Олега
+  ─ Тест: «принтер не печатает» → бот предлагает действие → клик → перезапуск
+
+Этап 5: Внешний доступ
+  ─ Куплен домен (Олег)
+  ─ Cloudflare Tunnel настроен (LXC 102 → CF edge → домен)
+  ─ Web UI доступен снаружи по HTTPS через домен
+  ─ Telegram-bot работает (он и так через TG-API, без туннеля)
+
+Этап 6: Nextcloud Talk и почта
+  ─ Nextcloud в Docker на ZimaOS-NAS
+  ─ Talk бот через long-poll (по образцу моего nextcloud-talk-bot для Антошки)
+  ─ MCP-imap: подключение к почте Александра (IMAP-сервер уточню)
+  ─ RAG-индексация писем и документов из NAS-share
+
+Этап 7: Документы
+  ─ ZimaOS-NAS share по SMB
+  ─ Бот видит файлы через MCP-filesystem
+  ─ Индексация в RAG
+
+Этап 8: Обучение и калибровка
+  ─ Олег проводит 5-10 тестовых диалогов
+  ─ Калибровка persona (тон, длина ответов, эмодзи)
+  ─ Тест на семейных сценариях: «помоги маме закрыть рекламу в Сафари»
+
+Этап 9: Юридическое и передача
+  ─ Простое соглашение на 1 страницу (Олег подготовит)
+  ─ Демо Александру по видеосвязи
+  ─ Если покупает — выезд к нему, физический переезд ПК
+
+═══════════════════════════════════════════════════════════════════════════════
+ОТКРЫТЫЕ ВОПРОСЫ (для уточнения у Олега в новой сессии)
+
+1. Имя бота? (Алекс, Помощник, Лёша, Билли, что-то фирменное?)
+2. Telegram-handle? Олег создаст через @BotFather и даст токен
+3. Домен — какой Олег купит? (alexbot.ru, ai-helper.ru, your-helper.online?)
+4. VPS Spaceweb — выделить отдельный или использовать существующий?
+   IP, доступ?
+5. Email сервис Александра — Yandex/Gmail/Mail.ru/iCloud? IMAP-host? App-pass
+   или OAuth?
+6. Где Александр хранит документы — Mac локально / iCloud / OneDrive? Как
+   ассистент к ним получит доступ?
+7. Cloudflare Tunnel: использовать существующий аккаунт Олега (если есть) или
+   создать новый под клиента?
+8. Цена пилота для Александра?
+9. Топ-5 типичных сценариев которые точно должны работать к демо
+   (TG не открывается, принтер не печатает, что ещё?)
+10. Готов ли Олег дать боту admin-уровень доступа к Cudy / Cloud Key, или
+    только конкретные команды через sudo-whitelist?
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТНЫЕ ССЫЛКИ (мой vault, прочитать перед стартом)
+
+- projects/benilux/README.md — что такое объект Бенелюкс
+- projects/benilux/credentials.md — пароли (для копирования в Alex-vault)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md — история инцидента
+- snippets/clients/alexandr-benelux-power-recovery.md — типичные кейсы семьи
+- claude-memory/benelux.md — текущее состояние Cudy
+- claude-memory/benelux-topology.md — карта сети + список устройств
+- decisions/2026-05-20-benelux-compromise.md — урок про безопасность
+- projects/dttb/proxmox-pve-147.md — карточка целевого хоста
+- claude-memory/MEMORY.md — общая память (для понимания моего стиля и инфры)
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНЕЦ ПРОМТА. Действуй: задай мне 10 открытых вопросов одним сообщением,
+получи ответы, начни с Этапа 1. По итогам каждого этапа — короткий статус
+в чате (что сделал, что проверил, что осталось).
+```
+
+---
+
+## Что Олег решает в чате (НЕ внутри промта)
+
+Перед открытием новой сессии:
+
+- [ ] Создать TG-бота через @BotFather → получить токен и handle
+- [ ] Купить домен (или выбрать из существующих свободных)
+- [ ] Проверить статус VPS Spaceweb (есть ли свободный с белым IP)
+- [ ] Решить имя бота (или дать новой сессии выбрать варианты)
+- [ ] Прикинуть цену пилота — €15/мес? €25? разово €300?
+
+## Что в новой сессии делать НЕ нужно
+
+- ❌ Использовать мой openclaw (LXC 137) — пилот строит свой независимый бот
+- ❌ Использовать мою claude-memory или мой Anthropic-API-token
+- ❌ Подключать к моему vault через rclone/git
+- ❌ Использовать мой Postgres/Qdrant из dttb-инфры
+- ❌ Копировать в Alex-vault инфо о других клиентах (ММФБ, НИИКН и т.п.)
+
+## Связанные файлы в vault
+
+- [[proxmox-pve-147]] — целевой хост
+- [[../benilux/README]] — объект клиента
+- [[../../snippets/clients/alexandr-benelux-amnezia-reinstall]] — история работы
+- [[../../snippets/clients/alexandr-benelux-power-recovery]] — типовой плейбук
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+✅ **Одобрено!** `Approved telegram sender 1292155421` — твой Telegram теперь в доступе, и заодно назначен **owner** бота (полные права). (Ошибка `pairing list` — просто синтаксис команды, само одобрение прошло.)
+
+## 👉 Напиши **@alex_umny_bot** «привет» ещё раз — теперь ответит 🙂
+
+Если ответит — **Этап 1 закрыт полностью** (бот живой в Telegram, отвечает одобренному юзеру). Тогда выберем, что добиваем первым: **persona/имя** бота, **NPM на коробку**, или **донастройку через OmniRoute**.
+
+---
+*Автосохранено из session [`83491ec7`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/83491ec7-16d3-47aa-9bcc-655c342ad2a2.jsonl) — 18 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write*

notes/claude/2026-05-31-131530-session.md

@@ -0,0 +1,323 @@
+---
+date: 2026-05-31
+type: claude-session
+session_id: 83491ec7-16d3-47aa-9bcc-655c342ad2a2
+started: 2026-05-30T08:49:37.558Z
+ended: 2026-05-31T10:15:30.380Z
+messages: 19
+tools: [AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write]
+tags: [claude, session]
+---
+
+# ---
+
+## Запрос
+
+---
+date: 2026-05-30
+type: project-spec
+tags: [product, ai-assistant, pilot, openclaw, alexandr, business]
+status: draft
+---
+
+# AI-ассистент в коробке — пилот для Александра
+
+> **Это первая страница нового продукта Олега.** Цель — собрать автономного AI-консьержа на маленьком ПК, продать Александру (КП Бенелюкс) как пилот. Если зайдёт — переезжает к клиенту физически, дальше масштабирование на других клиентов.
+
+Этот файл — **промт для следующей Claude-сессии**, которая будет строить систему. Открываешь новый чат и вставляешь всё ниже целиком.
+
+---
+
+## 📋 Промт для копирования в новую сессию
+
+```
+Я разрабатываю коммерческий AI-консьерж-продукт. Маленький ПК с предустановленным
+ассистентом, который покупает домохозяйство и ставит в свою сеть. Сегодня пилот
+для одного конкретного клиента — Александра Григорьева (КП Бенелюкс, Истра).
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТ — кто я и что у меня уже есть
+
+Я Олег Батлаев, DevOps. У меня уже работает похожая система для себя — Антошка
+(openclaw в LXC 137 на моём Proxmox). Она использует OmniRoute (бесплатный
+ProxyDispatcher к Sonnet 4.5/Opus/GPT-5.4), есть Telegram-бот, есть Nextcloud
+Talk-бот, есть RAG над моим Obsidian-vault. Это базовая референс-архитектура.
+
+Я обслуживаю Александра как сетевого админа уже несколько недель. Знаю всю его
+инфру наизусть — описано в моём vault (см. ссылки ниже). Хочу выделить из этой
+работы продукт.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЦЕЛЬ ПРОЕКТА
+
+Собрать на маленьком ПК (Proxmox VE 9.1, ZOTAC H61 / i3-2100 / 15 GB RAM / 
+SSD 112 GB + HDD 1.8 TB, IP 10.0.0.147 пока у меня) автономный AI-ассистент,
+который умеет:
+
+1. Помогать Александру с типичными бытовыми IT-проблемами его сети
+   («не работает Telegram», «принтер не печатает», «почта не отправляется»)
+2. Сам диагностировать (read-only тулы) и предлагать решения
+3. Выполнять починку (write-action тулы) только после подтверждения клиента
+4. Работать с его документами и почтой через RAG
+5. Общаться через 3 интерфейса с единой памятью: Web / Telegram / Nextcloud Talk
+6. Постепенно обучаться (расширяемая RAG-база, не fine-tuning)
+
+Бизнес: пилот → если Александр покупает, ПК физически переезжает к нему домой,
+переходит в его LAN. Дальше масштабирую на других клиентов.
+
+═══════════════════════════════════════════════════════════════════════════════
+АРХИТЕКТУРА (принципы)
+
+✅ ПОЛНАЯ АВТОНОМНОСТЬ от моей dttb-инфры. Бот не должен зависеть от:
+   - моего openclaw / claude-memory
+   - моего vault / Gitea
+   - моего code-server / openclaw-NetBird
+   - моего OmniRoute (его instance может крутиться где угодно — отдельно)
+   После переезда ПК к клиенту — никаких связей со мной не остаётся, кроме
+   возможности удалённой поддержки.
+
+✅ ОТДЕЛЬНЫЙ vault — новый git-репозиторий `alexandr-knowledge-base`. Туда
+   копируется ТОЛЬКО инфра Александра (из моего vault projects/benilux/,
+   snippets/clients/alexandr-*, claude-memory/benelux*.md, плюс универсальные
+   snippets). Данные других моих клиентов (НИИКН, ММФБ, Знаменское, Главторг)
+   НЕ копируются ни в каком виде — это утечка их данных третьему лицу.
+
+✅ ВНЕШНИЙ ДОСТУП через мой VPS на Spaceweb с белым IP. Я куплю домен (имя
+   уточню позже). От бота до VPS — обратный туннель (рекомендую Cloudflare
+   Tunnel — бесплатно, SSL автоматом, не требует port-forward на роутере
+   клиента; альтернатива — FRP или WireGuard). На VPS — Nginx Proxy Manager
+   или Caddy с Let's Encrypt → проксирует на бота через туннель.
+
+✅ ОДИН ПОЛЬЗОВАТЕЛЬ (Александр). Многопользовательский режим для семьи —
+   возможный апгрейд в будущем, но не сейчас.
+
+✅ ГИБРИДНЫЕ TOOLS:
+   - read-only (ping, lpstat, awg show, curl, RAG search) — всегда без
+     подтверждения
+   - write-action (restart_podkop, flush_dns_on_mac, change_uci_setting) —
+     ВСЕГДА требуют клик кнопки «Да, разрешаю» в TG/Web inline keyboard
+   - все действия логируются → отдельный audit-log канал в TG для меня
+
+═══════════════════════════════════════════════════════════════════════════════
+СТЕК ТЕХНОЛОГИЙ (предложение)
+
+Слой              | Технология                          | Где живёт
+──────────────────┼─────────────────────────────────────┼──────────────────────
+Гипервизор        | Proxmox VE 9.1.0                    | host (уже стоит)
+NAS-OS            | ZimaOS в VM 100 (8 GB / 128 GB)     | KVM (запущена сегодня)
+Reverse proxy     | NPM в LXC 101 (10.0.0.207)          | LXC (уже работает)
+Контейнер бота    | LXC (Debian, ~4 GB RAM)             | новый LXC 102
+LLM роутер        | OmniRoute (форк или свой instance)  | LXC 102
+Conversation DB   | PostgreSQL                          | LXC 102 в Docker
+RAG / vector DB   | Qdrant или pgvector                 | LXC 102 в Docker
+Embeddings        | через API (OpenAI text-embedding или        |
+                  | Voyage AI или Sonnet с описанием)   | внешние
+Email клиент      | MCP-imap server                     | LXC 102 в Docker
+Web UI            | Open WebUI или собственный простой  | LXC 102
+Telegram bot      | python-telegram-bot или Telethon    | LXC 102
+Nextcloud Talk    | Nextcloud в Docker внутри ZimaOS    | VM 100 (Zima)
+                  | + Talk-плагин + nextcloud-talk-bot  |
+                  | (или повторить мой Антошка-Talk     |
+                  | через long-poll скрипт)             |
+Туннель           | Cloudflare Tunnel (рекомендую)      | LXC 102 → CF edge
+DNS               | Cloudflare (бесплатно)              | для домена клиента
+Secrets           | sops + age, либо HashiCorp Vault    | LXC 102
+
+═══════════════════════════════════════════════════════════════════════════════
+ИНТЕРФЕЙСЫ И ЕДИНОЕ СОСТОЯНИЕ
+
+3 канала входа — Web / Telegram / Nextcloud Talk — должны делить:
+- Conversation history (Postgres)
+- RAG-память (Qdrant/pgvector)
+- Audit log (отдельная таблица в Postgres)
+
+То есть Александр пишет в TG: «Принтер не печатает». Потом утром идёт в Web →
+видит ту же беседу с продолжением. В Nextcloud Talk пишет вечером — тот же
+контекст.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЗНАНИЯ И ОБУЧЕНИЕ
+
+Старт-импорт в RAG из моего vault (передам файлы через scp или git-clone):
+- projects/benilux/README.md
+- projects/benilux/credentials.md (только данные Александра, не моих)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md
+- snippets/clients/alexandr-benelux-power-recovery.md
+- claude-memory/benelux.md
+- claude-memory/benelux-topology.md
+- decisions/2026-05-20-benelux-compromise.md (история инцидента — учит «бот
+  всегда сначала диагностирует, потом действует»)
+- decisions/2026-05-20-amneziavpn-macos-v1-v2-incompat.md
+
+Также добавить универсальные знания (без привязки к Александру):
+- как закрыть приложение из памяти на iOS/Android/macOS
+- как сделать DNS-flush на Mac
+- как проверить включён ли Private Relay
+- как разбудить HP-принтер из deep sleep
+- типичные коды ошибок AmneziaVPN
+
+Self-update memory: после каждой решённой проблемы бот спрашивает Александра
+«Это помогло?». Если да — записывает в RAG как новое решение. Через месяц у
+бота своя локальная база типичных кейсов Александра.
+
+═══════════════════════════════════════════════════════════════════════════════
+PERSONA (стиль общения)
+
+- Имя бота — Олег решит (поле для заполнения, например «Помощник Бенелюкса»)
+- Тон: спокойный, дружелюбный, на «ты», без жаргона
+- НЕ использовать: «критическая ошибка», «сбой», «недоступен», «провал»
+- Использовать: «немного не работает», «давай посмотрим», «починим за минуту»
+- Если Александр злится — извиниться, обещать разобраться, не оправдываться
+- Перед действием объяснять простыми словами что будет делать
+- После действия описывать результат человеческим языком
+
+═══════════════════════════════════════════════════════════════════════════════
+ДОСТУП БОТА К СЕТИ АЛЕКСАНДРА (для диагностики)
+
+Сейчас на пилоте — бот живёт в моей LAN dttb (10.0.0.147), к сети Александра
+(192.168.1.0/24 за роутером Cudy в Бенелюксе) подключается через NetBird.
+Cudy уже в моём NetBird (openwrt-benilux 100.70.207.97). Выдам боту отдельный
+NetBird-setup-key с доступом только в группу Бенелюкса.
+
+После переезда ПК к клиенту — бот в его LAN напрямую, прямой доступ к
+Cudy/Cloud Key/принтеру/устройствам семьи без NetBird-overhead.
+
+SSH-ключи к устройствам Александра:
+- Cudy роутер: ssh-ключ Олежиного Mac уже добавлен; добавим ключ бота
+- Cloud Key Gen2+ (192.168.1.199): только по ключу, ключ Александра не у меня
+  — попросим Александра добавить наш ключ через UniFi OS Console
+- Mac Александра (aleksandrgrigorev): добавим публичный ключ бота
+- Принтер HP M775 (192.168.1.148): через CUPS, не SSH
+
+═══════════════════════════════════════════════════════════════════════════════
+ЭТАПЫ РЕАЛИЗАЦИИ (предложение)
+
+Этап 1: Базовая инфра (без интернета извне)
+  ─ LXC 102 «assistant» на pve-147 (Debian, 4 GB RAM)
+  ─ Docker внутри LXC
+  ─ Postgres + Qdrant в Docker
+  ─ Каркас бота (openclaw-форк, OmniRoute с моими токенами)
+  ─ Telegram-bot создан через @BotFather (handle и токен — Олег предоставит)
+  ─ Простейший Web UI (Open WebUI)
+  ─ Тест: «привет, как дела?» в TG → ответ из Sonnet через OmniRoute
+
+Этап 2: Tools (read-only)
+  ─ ping_host, check_router_health, check_printer, check_dns
+  ─ NetBird-setup на боте (доступ в Бенелюкс)
+  ─ SSH-ключ бота добавлен на Cudy, Mac Александра
+  ─ Тест: «проверь работает ли подкоп» → бот делает awg show на Cudy
+  
+Этап 3: RAG и знания
+  ─ Импорт vault Александра в Qdrant
+  ─ MCP-инструменты для бота: search_knowledge, recall_history
+  ─ Тест: «как починить TG если не открывается» → бот выдаёт инструкцию из RAG
+
+Этап 4: Tools (write-action с подтверждением)
+  ─ Inline keyboard в TG: «Да, разрешаю» / «Нет»
+  ─ restart_podkop, flush_dns_on_mac, restart_printer_queue
+  ─ Audit log в отдельный TG-канал для Олега
+  ─ Тест: «принтер не печатает» → бот предлагает действие → клик → перезапуск
+
+Этап 5: Внешний доступ
+  ─ Куплен домен (Олег)
+  ─ Cloudflare Tunnel настроен (LXC 102 → CF edge → домен)
+  ─ Web UI доступен снаружи по HTTPS через домен
+  ─ Telegram-bot работает (он и так через TG-API, без туннеля)
+
+Этап 6: Nextcloud Talk и почта
+  ─ Nextcloud в Docker на ZimaOS-NAS
+  ─ Talk бот через long-poll (по образцу моего nextcloud-talk-bot для Антошки)
+  ─ MCP-imap: подключение к почте Александра (IMAP-сервер уточню)
+  ─ RAG-индексация писем и документов из NAS-share
+
+Этап 7: Документы
+  ─ ZimaOS-NAS share по SMB
+  ─ Бот видит файлы через MCP-filesystem
+  ─ Индексация в RAG
+
+Этап 8: Обучение и калибровка
+  ─ Олег проводит 5-10 тестовых диалогов
+  ─ Калибровка persona (тон, длина ответов, эмодзи)
+  ─ Тест на семейных сценариях: «помоги маме закрыть рекламу в Сафари»
+
+Этап 9: Юридическое и передача
+  ─ Простое соглашение на 1 страницу (Олег подготовит)
+  ─ Демо Александру по видеосвязи
+  ─ Если покупает — выезд к нему, физический переезд ПК
+
+═══════════════════════════════════════════════════════════════════════════════
+ОТКРЫТЫЕ ВОПРОСЫ (для уточнения у Олега в новой сессии)
+
+1. Имя бота? (Алекс, Помощник, Лёша, Билли, что-то фирменное?)
+2. Telegram-handle? Олег создаст через @BotFather и даст токен
+3. Домен — какой Олег купит? (alexbot.ru, ai-helper.ru, your-helper.online?)
+4. VPS Spaceweb — выделить отдельный или использовать существующий?
+   IP, доступ?
+5. Email сервис Александра — Yandex/Gmail/Mail.ru/iCloud? IMAP-host? App-pass
+   или OAuth?
+6. Где Александр хранит документы — Mac локально / iCloud / OneDrive? Как
+   ассистент к ним получит доступ?
+7. Cloudflare Tunnel: использовать существующий аккаунт Олега (если есть) или
+   создать новый под клиента?
+8. Цена пилота для Александра?
+9. Топ-5 типичных сценариев которые точно должны работать к демо
+   (TG не открывается, принтер не печатает, что ещё?)
+10. Готов ли Олег дать боту admin-уровень доступа к Cudy / Cloud Key, или
+    только конкретные команды через sudo-whitelist?
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТНЫЕ ССЫЛКИ (мой vault, прочитать перед стартом)
+
+- projects/benilux/README.md — что такое объект Бенелюкс
+- projects/benilux/credentials.md — пароли (для копирования в Alex-vault)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md — история инцидента
+- snippets/clients/alexandr-benelux-power-recovery.md — типичные кейсы семьи
+- claude-memory/benelux.md — текущее состояние Cudy
+- claude-memory/benelux-topology.md — карта сети + список устройств
+- decisions/2026-05-20-benelux-compromise.md — урок про безопасность
+- projects/dttb/proxmox-pve-147.md — карточка целевого хоста
+- claude-memory/MEMORY.md — общая память (для понимания моего стиля и инфры)
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНЕЦ ПРОМТА. Действуй: задай мне 10 открытых вопросов одним сообщением,
+получи ответы, начни с Этапа 1. По итогам каждого этапа — короткий статус
+в чате (что сделал, что проверил, что осталось).
+```
+
+---
+
+## Что Олег решает в чате (НЕ внутри промта)
+
+Перед открытием новой сессии:
+
+- [ ] Создать TG-бота через @BotFather → получить токен и handle
+- [ ] Купить домен (или выбрать из существующих свободных)
+- [ ] Проверить статус VPS Spaceweb (есть ли свободный с белым IP)
+- [ ] Решить имя бота (или дать новой сессии выбрать варианты)
+- [ ] Прикинуть цену пилота — €15/мес? €25? разово €300?
+
+## Что в новой сессии делать НЕ нужно
+
+- ❌ Использовать мой openclaw (LXC 137) — пилот строит свой независимый бот
+- ❌ Использовать мою claude-memory или мой Anthropic-API-token
+- ❌ Подключать к моему vault через rclone/git
+- ❌ Использовать мой Postgres/Qdrant из dttb-инфры
+- ❌ Копировать в Alex-vault инфо о других клиентах (ММФБ, НИИКН и т.п.)
+
+## Связанные файлы в vault
+
+- [[proxmox-pve-147]] — целевой хост
+- [[../benilux/README]] — объект клиента
+- [[../../snippets/clients/alexandr-benelux-amnezia-reinstall]] — история работы
+- [[../../snippets/clients/alexandr-benelux-power-recovery]] — типовой плейбук
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Gateway перезапущен (pid 12118), **подхватил рабочие модели** (nemotron + 6 fallback) и одобренный pairing, Telegram-провайдер polling'ит `@alex_umny_bot`.
+
+## 👉 Напиши боту «привет» ещё раз
+
+Теперь он на рабочем конфиге — должен ответить. Если снова молчит — **сразу скажи**, и я в ту же секунду посмотрю в логе, что стало с твоим сообщением (какая модель, 429 или ответ). Жду.
+
+---
+*Автосохранено из session [`83491ec7`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/83491ec7-16d3-47aa-9bcc-655c342ad2a2.jsonl) — 19 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write*

notes/claude/2026-05-31-132635-session.md

@@ -0,0 +1,338 @@
+---
+date: 2026-05-31
+type: claude-session
+session_id: 83491ec7-16d3-47aa-9bcc-655c342ad2a2
+started: 2026-05-30T08:49:37.558Z
+ended: 2026-05-31T10:26:35.030Z
+messages: 20
+tools: [AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write]
+tags: [claude, session]
+---
+
+# ---
+
+## Запрос
+
+---
+date: 2026-05-30
+type: project-spec
+tags: [product, ai-assistant, pilot, openclaw, alexandr, business]
+status: draft
+---
+
+# AI-ассистент в коробке — пилот для Александра
+
+> **Это первая страница нового продукта Олега.** Цель — собрать автономного AI-консьержа на маленьком ПК, продать Александру (КП Бенелюкс) как пилот. Если зайдёт — переезжает к клиенту физически, дальше масштабирование на других клиентов.
+
+Этот файл — **промт для следующей Claude-сессии**, которая будет строить систему. Открываешь новый чат и вставляешь всё ниже целиком.
+
+---
+
+## 📋 Промт для копирования в новую сессию
+
+```
+Я разрабатываю коммерческий AI-консьерж-продукт. Маленький ПК с предустановленным
+ассистентом, который покупает домохозяйство и ставит в свою сеть. Сегодня пилот
+для одного конкретного клиента — Александра Григорьева (КП Бенелюкс, Истра).
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТ — кто я и что у меня уже есть
+
+Я Олег Батлаев, DevOps. У меня уже работает похожая система для себя — Антошка
+(openclaw в LXC 137 на моём Proxmox). Она использует OmniRoute (бесплатный
+ProxyDispatcher к Sonnet 4.5/Opus/GPT-5.4), есть Telegram-бот, есть Nextcloud
+Talk-бот, есть RAG над моим Obsidian-vault. Это базовая референс-архитектура.
+
+Я обслуживаю Александра как сетевого админа уже несколько недель. Знаю всю его
+инфру наизусть — описано в моём vault (см. ссылки ниже). Хочу выделить из этой
+работы продукт.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЦЕЛЬ ПРОЕКТА
+
+Собрать на маленьком ПК (Proxmox VE 9.1, ZOTAC H61 / i3-2100 / 15 GB RAM / 
+SSD 112 GB + HDD 1.8 TB, IP 10.0.0.147 пока у меня) автономный AI-ассистент,
+который умеет:
+
+1. Помогать Александру с типичными бытовыми IT-проблемами его сети
+   («не работает Telegram», «принтер не печатает», «почта не отправляется»)
+2. Сам диагностировать (read-only тулы) и предлагать решения
+3. Выполнять починку (write-action тулы) только после подтверждения клиента
+4. Работать с его документами и почтой через RAG
+5. Общаться через 3 интерфейса с единой памятью: Web / Telegram / Nextcloud Talk
+6. Постепенно обучаться (расширяемая RAG-база, не fine-tuning)
+
+Бизнес: пилот → если Александр покупает, ПК физически переезжает к нему домой,
+переходит в его LAN. Дальше масштабирую на других клиентов.
+
+═══════════════════════════════════════════════════════════════════════════════
+АРХИТЕКТУРА (принципы)
+
+✅ ПОЛНАЯ АВТОНОМНОСТЬ от моей dttb-инфры. Бот не должен зависеть от:
+   - моего openclaw / claude-memory
+   - моего vault / Gitea
+   - моего code-server / openclaw-NetBird
+   - моего OmniRoute (его instance может крутиться где угодно — отдельно)
+   После переезда ПК к клиенту — никаких связей со мной не остаётся, кроме
+   возможности удалённой поддержки.
+
+✅ ОТДЕЛЬНЫЙ vault — новый git-репозиторий `alexandr-knowledge-base`. Туда
+   копируется ТОЛЬКО инфра Александра (из моего vault projects/benilux/,
+   snippets/clients/alexandr-*, claude-memory/benelux*.md, плюс универсальные
+   snippets). Данные других моих клиентов (НИИКН, ММФБ, Знаменское, Главторг)
+   НЕ копируются ни в каком виде — это утечка их данных третьему лицу.
+
+✅ ВНЕШНИЙ ДОСТУП через мой VPS на Spaceweb с белым IP. Я куплю домен (имя
+   уточню позже). От бота до VPS — обратный туннель (рекомендую Cloudflare
+   Tunnel — бесплатно, SSL автоматом, не требует port-forward на роутере
+   клиента; альтернатива — FRP или WireGuard). На VPS — Nginx Proxy Manager
+   или Caddy с Let's Encrypt → проксирует на бота через туннель.
+
+✅ ОДИН ПОЛЬЗОВАТЕЛЬ (Александр). Многопользовательский режим для семьи —
+   возможный апгрейд в будущем, но не сейчас.
+
+✅ ГИБРИДНЫЕ TOOLS:
+   - read-only (ping, lpstat, awg show, curl, RAG search) — всегда без
+     подтверждения
+   - write-action (restart_podkop, flush_dns_on_mac, change_uci_setting) —
+     ВСЕГДА требуют клик кнопки «Да, разрешаю» в TG/Web inline keyboard
+   - все действия логируются → отдельный audit-log канал в TG для меня
+
+═══════════════════════════════════════════════════════════════════════════════
+СТЕК ТЕХНОЛОГИЙ (предложение)
+
+Слой              | Технология                          | Где живёт
+──────────────────┼─────────────────────────────────────┼──────────────────────
+Гипервизор        | Proxmox VE 9.1.0                    | host (уже стоит)
+NAS-OS            | ZimaOS в VM 100 (8 GB / 128 GB)     | KVM (запущена сегодня)
+Reverse proxy     | NPM в LXC 101 (10.0.0.207)          | LXC (уже работает)
+Контейнер бота    | LXC (Debian, ~4 GB RAM)             | новый LXC 102
+LLM роутер        | OmniRoute (форк или свой instance)  | LXC 102
+Conversation DB   | PostgreSQL                          | LXC 102 в Docker
+RAG / vector DB   | Qdrant или pgvector                 | LXC 102 в Docker
+Embeddings        | через API (OpenAI text-embedding или        |
+                  | Voyage AI или Sonnet с описанием)   | внешние
+Email клиент      | MCP-imap server                     | LXC 102 в Docker
+Web UI            | Open WebUI или собственный простой  | LXC 102
+Telegram bot      | python-telegram-bot или Telethon    | LXC 102
+Nextcloud Talk    | Nextcloud в Docker внутри ZimaOS    | VM 100 (Zima)
+                  | + Talk-плагин + nextcloud-talk-bot  |
+                  | (или повторить мой Антошка-Talk     |
+                  | через long-poll скрипт)             |
+Туннель           | Cloudflare Tunnel (рекомендую)      | LXC 102 → CF edge
+DNS               | Cloudflare (бесплатно)              | для домена клиента
+Secrets           | sops + age, либо HashiCorp Vault    | LXC 102
+
+═══════════════════════════════════════════════════════════════════════════════
+ИНТЕРФЕЙСЫ И ЕДИНОЕ СОСТОЯНИЕ
+
+3 канала входа — Web / Telegram / Nextcloud Talk — должны делить:
+- Conversation history (Postgres)
+- RAG-память (Qdrant/pgvector)
+- Audit log (отдельная таблица в Postgres)
+
+То есть Александр пишет в TG: «Принтер не печатает». Потом утром идёт в Web →
+видит ту же беседу с продолжением. В Nextcloud Talk пишет вечером — тот же
+контекст.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЗНАНИЯ И ОБУЧЕНИЕ
+
+Старт-импорт в RAG из моего vault (передам файлы через scp или git-clone):
+- projects/benilux/README.md
+- projects/benilux/credentials.md (только данные Александра, не моих)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md
+- snippets/clients/alexandr-benelux-power-recovery.md
+- claude-memory/benelux.md
+- claude-memory/benelux-topology.md
+- decisions/2026-05-20-benelux-compromise.md (история инцидента — учит «бот
+  всегда сначала диагностирует, потом действует»)
+- decisions/2026-05-20-amneziavpn-macos-v1-v2-incompat.md
+
+Также добавить универсальные знания (без привязки к Александру):
+- как закрыть приложение из памяти на iOS/Android/macOS
+- как сделать DNS-flush на Mac
+- как проверить включён ли Private Relay
+- как разбудить HP-принтер из deep sleep
+- типичные коды ошибок AmneziaVPN
+
+Self-update memory: после каждой решённой проблемы бот спрашивает Александра
+«Это помогло?». Если да — записывает в RAG как новое решение. Через месяц у
+бота своя локальная база типичных кейсов Александра.
+
+═══════════════════════════════════════════════════════════════════════════════
+PERSONA (стиль общения)
+
+- Имя бота — Олег решит (поле для заполнения, например «Помощник Бенелюкса»)
+- Тон: спокойный, дружелюбный, на «ты», без жаргона
+- НЕ использовать: «критическая ошибка», «сбой», «недоступен», «провал»
+- Использовать: «немного не работает», «давай посмотрим», «починим за минуту»
+- Если Александр злится — извиниться, обещать разобраться, не оправдываться
+- Перед действием объяснять простыми словами что будет делать
+- После действия описывать результат человеческим языком
+
+═══════════════════════════════════════════════════════════════════════════════
+ДОСТУП БОТА К СЕТИ АЛЕКСАНДРА (для диагностики)
+
+Сейчас на пилоте — бот живёт в моей LAN dttb (10.0.0.147), к сети Александра
+(192.168.1.0/24 за роутером Cudy в Бенелюксе) подключается через NetBird.
+Cudy уже в моём NetBird (openwrt-benilux 100.70.207.97). Выдам боту отдельный
+NetBird-setup-key с доступом только в группу Бенелюкса.
+
+После переезда ПК к клиенту — бот в его LAN напрямую, прямой доступ к
+Cudy/Cloud Key/принтеру/устройствам семьи без NetBird-overhead.
+
+SSH-ключи к устройствам Александра:
+- Cudy роутер: ssh-ключ Олежиного Mac уже добавлен; добавим ключ бота
+- Cloud Key Gen2+ (192.168.1.199): только по ключу, ключ Александра не у меня
+  — попросим Александра добавить наш ключ через UniFi OS Console
+- Mac Александра (aleksandrgrigorev): добавим публичный ключ бота
+- Принтер HP M775 (192.168.1.148): через CUPS, не SSH
+
+═══════════════════════════════════════════════════════════════════════════════
+ЭТАПЫ РЕАЛИЗАЦИИ (предложение)
+
+Этап 1: Базовая инфра (без интернета извне)
+  ─ LXC 102 «assistant» на pve-147 (Debian, 4 GB RAM)
+  ─ Docker внутри LXC
+  ─ Postgres + Qdrant в Docker
+  ─ Каркас бота (openclaw-форк, OmniRoute с моими токенами)
+  ─ Telegram-bot создан через @BotFather (handle и токен — Олег предоставит)
+  ─ Простейший Web UI (Open WebUI)
+  ─ Тест: «привет, как дела?» в TG → ответ из Sonnet через OmniRoute
+
+Этап 2: Tools (read-only)
+  ─ ping_host, check_router_health, check_printer, check_dns
+  ─ NetBird-setup на боте (доступ в Бенелюкс)
+  ─ SSH-ключ бота добавлен на Cudy, Mac Александра
+  ─ Тест: «проверь работает ли подкоп» → бот делает awg show на Cudy
+  
+Этап 3: RAG и знания
+  ─ Импорт vault Александра в Qdrant
+  ─ MCP-инструменты для бота: search_knowledge, recall_history
+  ─ Тест: «как починить TG если не открывается» → бот выдаёт инструкцию из RAG
+
+Этап 4: Tools (write-action с подтверждением)
+  ─ Inline keyboard в TG: «Да, разрешаю» / «Нет»
+  ─ restart_podkop, flush_dns_on_mac, restart_printer_queue
+  ─ Audit log в отдельный TG-канал для Олега
+  ─ Тест: «принтер не печатает» → бот предлагает действие → клик → перезапуск
+
+Этап 5: Внешний доступ
+  ─ Куплен домен (Олег)
+  ─ Cloudflare Tunnel настроен (LXC 102 → CF edge → домен)
+  ─ Web UI доступен снаружи по HTTPS через домен
+  ─ Telegram-bot работает (он и так через TG-API, без туннеля)
+
+Этап 6: Nextcloud Talk и почта
+  ─ Nextcloud в Docker на ZimaOS-NAS
+  ─ Talk бот через long-poll (по образцу моего nextcloud-talk-bot для Антошки)
+  ─ MCP-imap: подключение к почте Александра (IMAP-сервер уточню)
+  ─ RAG-индексация писем и документов из NAS-share
+
+Этап 7: Документы
+  ─ ZimaOS-NAS share по SMB
+  ─ Бот видит файлы через MCP-filesystem
+  ─ Индексация в RAG
+
+Этап 8: Обучение и калибровка
+  ─ Олег проводит 5-10 тестовых диалогов
+  ─ Калибровка persona (тон, длина ответов, эмодзи)
+  ─ Тест на семейных сценариях: «помоги маме закрыть рекламу в Сафари»
+
+Этап 9: Юридическое и передача
+  ─ Простое соглашение на 1 страницу (Олег подготовит)
+  ─ Демо Александру по видеосвязи
+  ─ Если покупает — выезд к нему, физический переезд ПК
+
+═══════════════════════════════════════════════════════════════════════════════
+ОТКРЫТЫЕ ВОПРОСЫ (для уточнения у Олега в новой сессии)
+
+1. Имя бота? (Алекс, Помощник, Лёша, Билли, что-то фирменное?)
+2. Telegram-handle? Олег создаст через @BotFather и даст токен
+3. Домен — какой Олег купит? (alexbot.ru, ai-helper.ru, your-helper.online?)
+4. VPS Spaceweb — выделить отдельный или использовать существующий?
+   IP, доступ?
+5. Email сервис Александра — Yandex/Gmail/Mail.ru/iCloud? IMAP-host? App-pass
+   или OAuth?
+6. Где Александр хранит документы — Mac локально / iCloud / OneDrive? Как
+   ассистент к ним получит доступ?
+7. Cloudflare Tunnel: использовать существующий аккаунт Олега (если есть) или
+   создать новый под клиента?
+8. Цена пилота для Александра?
+9. Топ-5 типичных сценариев которые точно должны работать к демо
+   (TG не открывается, принтер не печатает, что ещё?)
+10. Готов ли Олег дать боту admin-уровень доступа к Cudy / Cloud Key, или
+    только конкретные команды через sudo-whitelist?
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТНЫЕ ССЫЛКИ (мой vault, прочитать перед стартом)
+
+- projects/benilux/README.md — что такое объект Бенелюкс
+- projects/benilux/credentials.md — пароли (для копирования в Alex-vault)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md — история инцидента
+- snippets/clients/alexandr-benelux-power-recovery.md — типичные кейсы семьи
+- claude-memory/benelux.md — текущее состояние Cudy
+- claude-memory/benelux-topology.md — карта сети + список устройств
+- decisions/2026-05-20-benelux-compromise.md — урок про безопасность
+- projects/dttb/proxmox-pve-147.md — карточка целевого хоста
+- claude-memory/MEMORY.md — общая память (для понимания моего стиля и инфры)
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНЕЦ ПРОМТА. Действуй: задай мне 10 открытых вопросов одним сообщением,
+получи ответы, начни с Этапа 1. По итогам каждого этапа — короткий статус
+в чате (что сделал, что проверил, что осталось).
+```
+
+---
+
+## Что Олег решает в чате (НЕ внутри промта)
+
+Перед открытием новой сессии:
+
+- [ ] Создать TG-бота через @BotFather → получить токен и handle
+- [ ] Купить домен (или выбрать из существующих свободных)
+- [ ] Проверить статус VPS Spaceweb (есть ли свободный с белым IP)
+- [ ] Решить имя бота (или дать новой сессии выбрать варианты)
+- [ ] Прикинуть цену пилота — €15/мес? €25? разово €300?
+
+## Что в новой сессии делать НЕ нужно
+
+- ❌ Использовать мой openclaw (LXC 137) — пилот строит свой независимый бот
+- ❌ Использовать мою claude-memory или мой Anthropic-API-token
+- ❌ Подключать к моему vault через rclone/git
+- ❌ Использовать мой Postgres/Qdrant из dttb-инфры
+- ❌ Копировать в Alex-vault инфо о других клиентах (ММФБ, НИИКН и т.п.)
+
+## Связанные файлы в vault
+
+- [[proxmox-pve-147]] — целевой хост
+- [[../benilux/README]] — объект клиента
+- [[../../snippets/clients/alexandr-benelux-amnezia-reinstall]] — история работы
+- [[../../snippets/clients/alexandr-benelux-power-recovery]] — типовой плейбук
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Сохранено в кб (коммит `8de53f6`). Вот ящики:
+
+## 8 ящиков для Codex/OpenAI
+
+```
+codex1@umnybot.ru
+codex2@umnybot.ru
+codex3@umnybot.ru
+codex4@umnybot.ru
+codex5@umnybot.ru
+codex6@umnybot.ru
+codex7@umnybot.ru
+codex8@umnybot.ru
+```
+**Общий пароль:** `1BU5zqB9NxC84h`
+**Вебмейл:** https://mail.dttb.ru (логин любым `codexN@umnybot.ru` + пароль)
+
+**Коды подтверждения** могу сам выдёргивать по IMAP (как с GitHub-кодом) — просто скажи, на каком ящике регаешь, верну код за секунды. Или читай в вебмейле.
+
+
+
+---
+*Автосохранено из session [`83491ec7`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/83491ec7-16d3-47aa-9bcc-655c342ad2a2.jsonl) — 20 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write*

notes/claude/2026-05-31-134253-session.md

@@ -0,0 +1,327 @@
+---
+date: 2026-05-31
+type: claude-session
+session_id: 83491ec7-16d3-47aa-9bcc-655c342ad2a2
+started: 2026-05-30T08:49:37.558Z
+ended: 2026-05-31T10:42:53.433Z
+messages: 21
+tools: [AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write]
+tags: [claude, session]
+---
+
+# ---
+
+## Запрос
+
+---
+date: 2026-05-30
+type: project-spec
+tags: [product, ai-assistant, pilot, openclaw, alexandr, business]
+status: draft
+---
+
+# AI-ассистент в коробке — пилот для Александра
+
+> **Это первая страница нового продукта Олега.** Цель — собрать автономного AI-консьержа на маленьком ПК, продать Александру (КП Бенелюкс) как пилот. Если зайдёт — переезжает к клиенту физически, дальше масштабирование на других клиентов.
+
+Этот файл — **промт для следующей Claude-сессии**, которая будет строить систему. Открываешь новый чат и вставляешь всё ниже целиком.
+
+---
+
+## 📋 Промт для копирования в новую сессию
+
+```
+Я разрабатываю коммерческий AI-консьерж-продукт. Маленький ПК с предустановленным
+ассистентом, который покупает домохозяйство и ставит в свою сеть. Сегодня пилот
+для одного конкретного клиента — Александра Григорьева (КП Бенелюкс, Истра).
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТ — кто я и что у меня уже есть
+
+Я Олег Батлаев, DevOps. У меня уже работает похожая система для себя — Антошка
+(openclaw в LXC 137 на моём Proxmox). Она использует OmniRoute (бесплатный
+ProxyDispatcher к Sonnet 4.5/Opus/GPT-5.4), есть Telegram-бот, есть Nextcloud
+Talk-бот, есть RAG над моим Obsidian-vault. Это базовая референс-архитектура.
+
+Я обслуживаю Александра как сетевого админа уже несколько недель. Знаю всю его
+инфру наизусть — описано в моём vault (см. ссылки ниже). Хочу выделить из этой
+работы продукт.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЦЕЛЬ ПРОЕКТА
+
+Собрать на маленьком ПК (Proxmox VE 9.1, ZOTAC H61 / i3-2100 / 15 GB RAM / 
+SSD 112 GB + HDD 1.8 TB, IP 10.0.0.147 пока у меня) автономный AI-ассистент,
+который умеет:
+
+1. Помогать Александру с типичными бытовыми IT-проблемами его сети
+   («не работает Telegram», «принтер не печатает», «почта не отправляется»)
+2. Сам диагностировать (read-only тулы) и предлагать решения
+3. Выполнять починку (write-action тулы) только после подтверждения клиента
+4. Работать с его документами и почтой через RAG
+5. Общаться через 3 интерфейса с единой памятью: Web / Telegram / Nextcloud Talk
+6. Постепенно обучаться (расширяемая RAG-база, не fine-tuning)
+
+Бизнес: пилот → если Александр покупает, ПК физически переезжает к нему домой,
+переходит в его LAN. Дальше масштабирую на других клиентов.
+
+═══════════════════════════════════════════════════════════════════════════════
+АРХИТЕКТУРА (принципы)
+
+✅ ПОЛНАЯ АВТОНОМНОСТЬ от моей dttb-инфры. Бот не должен зависеть от:
+   - моего openclaw / claude-memory
+   - моего vault / Gitea
+   - моего code-server / openclaw-NetBird
+   - моего OmniRoute (его instance может крутиться где угодно — отдельно)
+   После переезда ПК к клиенту — никаких связей со мной не остаётся, кроме
+   возможности удалённой поддержки.
+
+✅ ОТДЕЛЬНЫЙ vault — новый git-репозиторий `alexandr-knowledge-base`. Туда
+   копируется ТОЛЬКО инфра Александра (из моего vault projects/benilux/,
+   snippets/clients/alexandr-*, claude-memory/benelux*.md, плюс универсальные
+   snippets). Данные других моих клиентов (НИИКН, ММФБ, Знаменское, Главторг)
+   НЕ копируются ни в каком виде — это утечка их данных третьему лицу.
+
+✅ ВНЕШНИЙ ДОСТУП через мой VPS на Spaceweb с белым IP. Я куплю домен (имя
+   уточню позже). От бота до VPS — обратный туннель (рекомендую Cloudflare
+   Tunnel — бесплатно, SSL автоматом, не требует port-forward на роутере
+   клиента; альтернатива — FRP или WireGuard). На VPS — Nginx Proxy Manager
+   или Caddy с Let's Encrypt → проксирует на бота через туннель.
+
+✅ ОДИН ПОЛЬЗОВАТЕЛЬ (Александр). Многопользовательский режим для семьи —
+   возможный апгрейд в будущем, но не сейчас.
+
+✅ ГИБРИДНЫЕ TOOLS:
+   - read-only (ping, lpstat, awg show, curl, RAG search) — всегда без
+     подтверждения
+   - write-action (restart_podkop, flush_dns_on_mac, change_uci_setting) —
+     ВСЕГДА требуют клик кнопки «Да, разрешаю» в TG/Web inline keyboard
+   - все действия логируются → отдельный audit-log канал в TG для меня
+
+═══════════════════════════════════════════════════════════════════════════════
+СТЕК ТЕХНОЛОГИЙ (предложение)
+
+Слой              | Технология                          | Где живёт
+──────────────────┼─────────────────────────────────────┼──────────────────────
+Гипервизор        | Proxmox VE 9.1.0                    | host (уже стоит)
+NAS-OS            | ZimaOS в VM 100 (8 GB / 128 GB)     | KVM (запущена сегодня)
+Reverse proxy     | NPM в LXC 101 (10.0.0.207)          | LXC (уже работает)
+Контейнер бота    | LXC (Debian, ~4 GB RAM)             | новый LXC 102
+LLM роутер        | OmniRoute (форк или свой instance)  | LXC 102
+Conversation DB   | PostgreSQL                          | LXC 102 в Docker
+RAG / vector DB   | Qdrant или pgvector                 | LXC 102 в Docker
+Embeddings        | через API (OpenAI text-embedding или        |
+                  | Voyage AI или Sonnet с описанием)   | внешние
+Email клиент      | MCP-imap server                     | LXC 102 в Docker
+Web UI            | Open WebUI или собственный простой  | LXC 102
+Telegram bot      | python-telegram-bot или Telethon    | LXC 102
+Nextcloud Talk    | Nextcloud в Docker внутри ZimaOS    | VM 100 (Zima)
+                  | + Talk-плагин + nextcloud-talk-bot  |
+                  | (или повторить мой Антошка-Talk     |
+                  | через long-poll скрипт)             |
+Туннель           | Cloudflare Tunnel (рекомендую)      | LXC 102 → CF edge
+DNS               | Cloudflare (бесплатно)              | для домена клиента
+Secrets           | sops + age, либо HashiCorp Vault    | LXC 102
+
+═══════════════════════════════════════════════════════════════════════════════
+ИНТЕРФЕЙСЫ И ЕДИНОЕ СОСТОЯНИЕ
+
+3 канала входа — Web / Telegram / Nextcloud Talk — должны делить:
+- Conversation history (Postgres)
+- RAG-память (Qdrant/pgvector)
+- Audit log (отдельная таблица в Postgres)
+
+То есть Александр пишет в TG: «Принтер не печатает». Потом утром идёт в Web →
+видит ту же беседу с продолжением. В Nextcloud Talk пишет вечером — тот же
+контекст.
+
+═══════════════════════════════════════════════════════════════════════════════
+ЗНАНИЯ И ОБУЧЕНИЕ
+
+Старт-импорт в RAG из моего vault (передам файлы через scp или git-clone):
+- projects/benilux/README.md
+- projects/benilux/credentials.md (только данные Александра, не моих)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md
+- snippets/clients/alexandr-benelux-power-recovery.md
+- claude-memory/benelux.md
+- claude-memory/benelux-topology.md
+- decisions/2026-05-20-benelux-compromise.md (история инцидента — учит «бот
+  всегда сначала диагностирует, потом действует»)
+- decisions/2026-05-20-amneziavpn-macos-v1-v2-incompat.md
+
+Также добавить универсальные знания (без привязки к Александру):
+- как закрыть приложение из памяти на iOS/Android/macOS
+- как сделать DNS-flush на Mac
+- как проверить включён ли Private Relay
+- как разбудить HP-принтер из deep sleep
+- типичные коды ошибок AmneziaVPN
+
+Self-update memory: после каждой решённой проблемы бот спрашивает Александра
+«Это помогло?». Если да — записывает в RAG как новое решение. Через месяц у
+бота своя локальная база типичных кейсов Александра.
+
+═══════════════════════════════════════════════════════════════════════════════
+PERSONA (стиль общения)
+
+- Имя бота — Олег решит (поле для заполнения, например «Помощник Бенелюкса»)
+- Тон: спокойный, дружелюбный, на «ты», без жаргона
+- НЕ использовать: «критическая ошибка», «сбой», «недоступен», «провал»
+- Использовать: «немного не работает», «давай посмотрим», «починим за минуту»
+- Если Александр злится — извиниться, обещать разобраться, не оправдываться
+- Перед действием объяснять простыми словами что будет делать
+- После действия описывать результат человеческим языком
+
+═══════════════════════════════════════════════════════════════════════════════
+ДОСТУП БОТА К СЕТИ АЛЕКСАНДРА (для диагностики)
+
+Сейчас на пилоте — бот живёт в моей LAN dttb (10.0.0.147), к сети Александра
+(192.168.1.0/24 за роутером Cudy в Бенелюксе) подключается через NetBird.
+Cudy уже в моём NetBird (openwrt-benilux 100.70.207.97). Выдам боту отдельный
+NetBird-setup-key с доступом только в группу Бенелюкса.
+
+После переезда ПК к клиенту — бот в его LAN напрямую, прямой доступ к
+Cudy/Cloud Key/принтеру/устройствам семьи без NetBird-overhead.
+
+SSH-ключи к устройствам Александра:
+- Cudy роутер: ssh-ключ Олежиного Mac уже добавлен; добавим ключ бота
+- Cloud Key Gen2+ (192.168.1.199): только по ключу, ключ Александра не у меня
+  — попросим Александра добавить наш ключ через UniFi OS Console
+- Mac Александра (aleksandrgrigorev): добавим публичный ключ бота
+- Принтер HP M775 (192.168.1.148): через CUPS, не SSH
+
+═══════════════════════════════════════════════════════════════════════════════
+ЭТАПЫ РЕАЛИЗАЦИИ (предложение)
+
+Этап 1: Базовая инфра (без интернета извне)
+  ─ LXC 102 «assistant» на pve-147 (Debian, 4 GB RAM)
+  ─ Docker внутри LXC
+  ─ Postgres + Qdrant в Docker
+  ─ Каркас бота (openclaw-форк, OmniRoute с моими токенами)
+  ─ Telegram-bot создан через @BotFather (handle и токен — Олег предоставит)
+  ─ Простейший Web UI (Open WebUI)
+  ─ Тест: «привет, как дела?» в TG → ответ из Sonnet через OmniRoute
+
+Этап 2: Tools (read-only)
+  ─ ping_host, check_router_health, check_printer, check_dns
+  ─ NetBird-setup на боте (доступ в Бенелюкс)
+  ─ SSH-ключ бота добавлен на Cudy, Mac Александра
+  ─ Тест: «проверь работает ли подкоп» → бот делает awg show на Cudy
+  
+Этап 3: RAG и знания
+  ─ Импорт vault Александра в Qdrant
+  ─ MCP-инструменты для бота: search_knowledge, recall_history
+  ─ Тест: «как починить TG если не открывается» → бот выдаёт инструкцию из RAG
+
+Этап 4: Tools (write-action с подтверждением)
+  ─ Inline keyboard в TG: «Да, разрешаю» / «Нет»
+  ─ restart_podkop, flush_dns_on_mac, restart_printer_queue
+  ─ Audit log в отдельный TG-канал для Олега
+  ─ Тест: «принтер не печатает» → бот предлагает действие → клик → перезапуск
+
+Этап 5: Внешний доступ
+  ─ Куплен домен (Олег)
+  ─ Cloudflare Tunnel настроен (LXC 102 → CF edge → домен)
+  ─ Web UI доступен снаружи по HTTPS через домен
+  ─ Telegram-bot работает (он и так через TG-API, без туннеля)
+
+Этап 6: Nextcloud Talk и почта
+  ─ Nextcloud в Docker на ZimaOS-NAS
+  ─ Talk бот через long-poll (по образцу моего nextcloud-talk-bot для Антошки)
+  ─ MCP-imap: подключение к почте Александра (IMAP-сервер уточню)
+  ─ RAG-индексация писем и документов из NAS-share
+
+Этап 7: Документы
+  ─ ZimaOS-NAS share по SMB
+  ─ Бот видит файлы через MCP-filesystem
+  ─ Индексация в RAG
+
+Этап 8: Обучение и калибровка
+  ─ Олег проводит 5-10 тестовых диалогов
+  ─ Калибровка persona (тон, длина ответов, эмодзи)
+  ─ Тест на семейных сценариях: «помоги маме закрыть рекламу в Сафари»
+
+Этап 9: Юридическое и передача
+  ─ Простое соглашение на 1 страницу (Олег подготовит)
+  ─ Демо Александру по видеосвязи
+  ─ Если покупает — выезд к нему, физический переезд ПК
+
+═══════════════════════════════════════════════════════════════════════════════
+ОТКРЫТЫЕ ВОПРОСЫ (для уточнения у Олега в новой сессии)
+
+1. Имя бота? (Алекс, Помощник, Лёша, Билли, что-то фирменное?)
+2. Telegram-handle? Олег создаст через @BotFather и даст токен
+3. Домен — какой Олег купит? (alexbot.ru, ai-helper.ru, your-helper.online?)
+4. VPS Spaceweb — выделить отдельный или использовать существующий?
+   IP, доступ?
+5. Email сервис Александра — Yandex/Gmail/Mail.ru/iCloud? IMAP-host? App-pass
+   или OAuth?
+6. Где Александр хранит документы — Mac локально / iCloud / OneDrive? Как
+   ассистент к ним получит доступ?
+7. Cloudflare Tunnel: использовать существующий аккаунт Олега (если есть) или
+   создать новый под клиента?
+8. Цена пилота для Александра?
+9. Топ-5 типичных сценариев которые точно должны работать к демо
+   (TG не открывается, принтер не печатает, что ещё?)
+10. Готов ли Олег дать боту admin-уровень доступа к Cudy / Cloud Key, или
+    только конкретные команды через sudo-whitelist?
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНТЕКСТНЫЕ ССЫЛКИ (мой vault, прочитать перед стартом)
+
+- projects/benilux/README.md — что такое объект Бенелюкс
+- projects/benilux/credentials.md — пароли (для копирования в Alex-vault)
+- snippets/clients/alexandr-benelux-amnezia-reinstall.md — история инцидента
+- snippets/clients/alexandr-benelux-power-recovery.md — типичные кейсы семьи
+- claude-memory/benelux.md — текущее состояние Cudy
+- claude-memory/benelux-topology.md — карта сети + список устройств
+- decisions/2026-05-20-benelux-compromise.md — урок про безопасность
+- projects/dttb/proxmox-pve-147.md — карточка целевого хоста
+- claude-memory/MEMORY.md — общая память (для понимания моего стиля и инфры)
+
+═══════════════════════════════════════════════════════════════════════════════
+КОНЕЦ ПРОМТА. Действуй: задай мне 10 открытых вопросов одним сообщением,
+получи ответы, начни с Этапа 1. По итогам каждого этапа — короткий статус
+в чате (что сделал, что проверил, что осталось).
+```
+
+---
+
+## Что Олег решает в чате (НЕ внутри промта)
+
+Перед открытием новой сессии:
+
+- [ ] Создать TG-бота через @BotFather → получить токен и handle
+- [ ] Купить домен (или выбрать из существующих свободных)
+- [ ] Проверить статус VPS Spaceweb (есть ли свободный с белым IP)
+- [ ] Решить имя бота (или дать новой сессии выбрать варианты)
+- [ ] Прикинуть цену пилота — €15/мес? €25? разово €300?
+
+## Что в новой сессии делать НЕ нужно
+
+- ❌ Использовать мой openclaw (LXC 137) — пилот строит свой независимый бот
+- ❌ Использовать мою claude-memory или мой Anthropic-API-token
+- ❌ Подключать к моему vault через rclone/git
+- ❌ Использовать мой Postgres/Qdrant из dttb-инфры
+- ❌ Копировать в Alex-vault инфо о других клиентах (ММФБ, НИИКН и т.п.)
+
+## Связанные файлы в vault
+
+- [[proxmox-pve-147]] — целевой хост
+- [[../benilux/README]] — объект клиента
+- [[../../snippets/clients/alexandr-benelux-amnezia-reinstall]] — история работы
+- [[../../snippets/clients/alexandr-benelux-power-recovery]] — типовой плейбук
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Отправитель OpenAI — **`em7877.tm.openai.com`** — whitelist'нул его (+ openai.com и др.) для umnybot.ru. Теперь greylisting и rspamd его не задержат.
+
+**Два пути:**
+- **Быстро:** нажми на странице OpenAI **«Resend / Отправить код снова»** — свежее письмо пройдёт сразу, и я мгновенно выдерну код.
+- **Или подожди ~1-3 мин** — OpenAI сам ретраит greylisted-письмо (теперь оно пройдёт).
+
+Как нажмёшь resend (или решишь подождать) — **скажи**, и я заберу код из `codex1@`. 
+
+На будущее: для следующих co
+
+---
+*Автосохранено из session [`83491ec7`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/83491ec7-16d3-47aa-9bcc-655c342ad2a2.jsonl) — 21 сообщ., тулы: AskUserQuestion, Bash, Edit, Read, TaskCreate, TaskUpdate, ToolSearch, Write*