oleg/knowledge-base
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Compare commits

base: oleg:7b17f95810a6db17432555102444dac2505ccb21
Branches Tags
oleg:main oleg:claude/great-mirzakhani-3bd52c oleg:claude/heuristic-mestorf-6c7a4a
...
compare: oleg:claude/heuristic-mestorf-6c7a4a
Branches Tags
oleg:main oleg:claude/great-mirzakhani-3bd52c oleg:claude/heuristic-mestorf-6c7a4a

25 Commits
7b17f95810 ... claude/heu

Author SHA1 Message Date
dttb
2e45ce20a7 niikn: обход FakeIP для zakupki.gov.ru через OpenWrt DNS override 
zakupki.gov.ru в community-list russia_outside → podkop FakeIP-ил его в
198.18.0.76, трафик шёл через awg0 Финляндию, там таймаут. При этом сам
zakupki НЕ блокирует МТС WAN (85.235.181.190) - проверено curl'ом напрямую
через vmbr0 pve-niikn: HTTP 200, 2.4 MB.

Решение то же что и для nspd.gov.ru, но без NetBird route:
+ uci add_list dhcp.@dnsmasq[0].server='/zakupki.gov.ru/8.8.8.8'

DNS теперь возвращает реальные 95.167.245.92 / 94.25.27.250, Windows
идёт через обычный default-gw → МТС, открывается HTTP 200.

Проверено на 192.168.1.202: zakupki.gov.ru → HTTP 200 size=2474668.

lk.zakupki.gov.ru (личный кабинет) - SSL handshake failure на любом
exit-IP, требует ГОСТ-TLS через КриптоПро/Яндекс.Браузер (не связано
с IP-блокировкой).
 2026-04-22 15:56:14 +03:00
dttb
cb33ecb0d3 niikn: PowerShell-версия скрипта установки NetBird 
Чище .bat-версии: автопроверка прав без re-exec, нативная Windows
кодировка (без chcp), цветной вывод, прямой запуск через
'irm <url>/download | iex'.

Публичная ссылка: https://dttb.ru/s/jr3CAej6nDaazCW/download
 2026-04-21 12:51:26 +03:00
dttb
f1b14be451 niikn: скрипт установки NetBird для сотрудников 
Один .bat-файл для самостоятельной установки NetBird на Windows-машины
НИИКН. Автоэлевация через UAC, silent-install последней версии с
pkgs.netbird.io, подключение с reusable setup-key, который авто-привязывает
пира к группе NIIKN (она получает NetBird route 2.63.246.0/24 → pve-LionART
для обхода блокировки nspd.gov.ru).

Setup-key: 6507CC68-2919-4D04-AB8E-3F8507906220 (reusable, без истечения,
NetBird API id d7jj4c3l0ubs73auc270).

Сотрудник скачивает файл, ПКМ → Запустить от имени администратора.
Публичная ссылка для раздачи: https://dttb.ru/s/5o6fXDt2tkraDdW
 2026-04-21 11:18:54 +03:00
dttb
9a203fef4a niikn: обход блокировки nspd.gov.ru через NetBird route 
Заменил socat+DNAT+hosts (утренняя попытка 2026-04-21 не решила авторизацию,
поддомены sso/auth через FakeIP sing-box уходили в awg0→Финляндию где тоже
блок) на два централизованных изменения:

- NetBird Network Route 2.63.246.0/24 → pve-LionART для группы All:
  pushed на все 50 пиров автоматически, никаких действий на Windows-клиентах.
- OpenWrt dnsmasq override server=/nspd.gov.ru/8.8.8.8: минует sing-box
  FakeIP, клиенты LAN НИИКН получают реальные 2.63.246.71-76 и Windows
  маршрутизирует их через wt0 (NetBird) → pve-LionART → Telekom (195.26.30.163),
  WAF НСПД пропускает. Работает для главной + всех поддоменов (sso/auth/api).

Снесено:
- nspd-socat.service на pve-LionART
- DNAT "NSPD socat bypass for NIIKN" на MikroTik LionART
- bat-снипы niikn-nspd-hosts-install/uninstall
- hosts-записи + дубликат Ethernet-маршрута на WIN-BC0OTBOBBCH (192.168.1.202)

Протестировано: fallback через awg0 для non-NetBird клиентов не работает —
НСПД блочит hosting Amnezia-Финляндии тоже. Единственный known-good exit
сейчас — pve-LionART/Telekom 195.26.30.163. Non-NetBird машины НИИКН не
откроют НСПД до установки NetBird.

Добавлен отчёт для руководства НИИКН (projects/niikn/nspd-incident-report.md).
 2026-04-21 11:07:20 +03:00
dttb
0e054aaf97 obsidian auto-sync 2026-04-20 11:37:23 2026-04-20 11:37:23 +03:00
dttb
ebfdaff1a6 obsidian auto-sync 2026-04-20 11:32:15 2026-04-20 11:32:15 +03:00
dttb
30aa609fa9 obsidian auto-sync 2026-04-20 11:22:02 2026-04-20 11:22:02 +03:00
dttb
d4f4402719 obsidian auto-sync 2026-04-20 11:16:54 2026-04-20 11:16:54 +03:00
dttb
3b525db7a2 obsidian auto-sync 2026-04-20 11:11:46 2026-04-20 11:11:46 +03:00
dttb
6e1827866a obsidian auto-sync 2026-04-20 11:06:38 2026-04-20 11:06:38 +03:00
dttb
cfebfc0b35 obsidian auto-sync 2026-04-20 11:01:30 2026-04-20 11:01:30 +03:00
dttb
8f880faaa1 obsidian auto-sync 2026-04-20 10:46:12 2026-04-20 10:46:12 +03:00
dttb
4449f064d9 obsidian auto-sync 2026-04-20 10:41:04 2026-04-20 10:41:04 +03:00
dttb
cbaf0f6a22 obsidian auto-sync 2026-04-20 10:25:46 2026-04-20 10:25:46 +03:00
dttb
500c666f23 obsidian auto-sync 2026-04-20 10:20:38 2026-04-20 10:20:38 +03:00
dttb
83fd5cf552 obsidian auto-sync 2026-04-20 10:15:30 2026-04-20 10:15:30 +03:00
dttb
b778e0ce4f obsidian auto-sync 2026-04-20 10:10:22 2026-04-20 10:10:22 +03:00
dttb
792f0a3608 obsidian auto-sync 2026-04-20 10:05:14 2026-04-20 10:05:14 +03:00
dttb
65dead53d6 obsidian auto-sync 2026-04-20 10:00:06 2026-04-20 10:00:06 +03:00
dttb
027220049e obsidian auto-sync 2026-04-19 21:17:56 2026-04-19 21:17:56 +03:00
root
bee249f515 auto-backup claude-memory 2026-04-19_12:00 2026-04-19 12:00:42 +00:00
code-server
2464dbd26b kb-agent-loop: score 98 → 15 (−83) 2026-04-19 07:13:40 +00:00
code-server
80759eb781 agent-loop: update audit report after cleanup (score 98 -> 15) 2026-04-19 07:13:21 +00:00
code-server
9f5d11a793 agent-loop: resolve orphans via wikilinks, date TODOs, fix broken path 
- claude-memory/MEMORY.md: add wikilink index for 21+ memory files to close orphan debt
- claude-memory/mas-niikn.md: add date (2026-03-05) to 5 MAS-related TODOs
- notes/README.md: add karpathy-method to navigation index
- projects/dttb/spaceweb-dns.md: fix broken path -> wikilink [[feedback_spaceweb_dns]]

Score: 98 -> 15 (only remaining penalty is 3 legitimate duplicate basenames).
 2026-04-19 07:13:17 +00:00
code-server
6570cf5678 code-server auto-sync 2026-04-19T07:10:01+00:00 2026-04-19 07:10:01 +00:00
41 changed files with 1651 additions and 58 deletions
Expand all files Collapse all files

59
audit/2026-04-19-health.md
View File

@@ -2,14 +2,14 @@
date: 2026-04-19
type: audit
source: kb-health.py
score: 96
score: 15
tags: [audit, health, metric]
---
# KB health — 2026-04-19
**Score (меньше = лучше): `96`**
Проверено файлов: 191
**Score (меньше = лучше): `15`**
Проверено файлов: 194
## Разбивка
@@ -17,56 +17,11 @@ tags: [audit, health, metric]
|---|---:|---:|---:|
| broken_wikilinks | 0 | 10 | 0 |
| broken_paths | 0 | 10 | 0 |
| missing_frontmatter | 10 | 3 | 30 |
| orphan_files | 23 | 2 | 46 |
| undated_todos | 5 | 1 | 5 |
| missing_frontmatter | 0 | 3 | 0 |
| orphan_files | 0 | 2 | 0 |
| undated_todos | 0 | 1 | 0 |
| duplicate_basenames | 3 | 5 | 15 |
| **ИТОГО** | | | **96** |
## Без frontmatter (10)
- `claude-memory/servicedesk-dttb.md`
- `claude-memory/benelux.md`
- `claude-memory/nextcloud-dttb.md`
- `claude-memory/nvr-fix.md`
- `claude-memory/videonablyudenie.md`
- `claude-memory/znamenskoe-home.md`
- `claude-memory/niikn-nextcloud.md`
- `claude-memory/krasnogorsk.md`
- `claude-memory/mas-niikn.md`
- `claude-memory/MEMORY.md`
## Orphan — без бэклинков (23)
_Эти файлы никто не упоминает через `[[..]]`. Кандидаты на удаление или добавление ссылок._
- `claude-memory/cliproxy_code_server.md`
- `claude-memory/servicedesk-dttb.md`
- `claude-memory/benelux-topology.md`
- `claude-memory/benelux.md`
- `claude-memory/znamenskoye-cameras.md`
- `claude-memory/nextcloud-dttb.md`
- `claude-memory/nvr-fix.md`
- `claude-memory/feedback_spaceweb_dns.md`
- `claude-memory/niikn-vpn-status.md`
- `claude-memory/znamenskoye-ohothozyistvo.md`
- `claude-memory/znamenskoye-network.md`
- `claude-memory/niikn-nextcloud-incident.md`
- `claude-memory/videonablyudenie.md`
- `claude-memory/znamenskoe-home.md`
- `claude-memory/feedback_dns_fakeip.md`
- `claude-memory/niikn-nextcloud.md`
- `claude-memory/feedback_finland_vps.md`
- `claude-memory/whatsapp-proxy.md`
- `claude-memory/gitea-dttb.md`
- `claude-memory/krasnogorsk.md`
- `claude-memory/mas-niikn.md`
- `claude-memory/project_direct_api_migration.md`
- `claude-memory/omniroute.md`
## TODO без даты (5 шт в 1 файлах)
- `claude-memory/mas-niikn.md` — 5 шт
| **ИТОГО** | | | **15** |
## Дубликаты имён (3)

10
audit/health-latest.json
View File

@@ -1,12 +1,12 @@
{
"date": "2026-04-19",
"score": 96,
"score": 15,
"counts": {
"broken_wikilinks": 0,
"broken_paths": 0,
"missing_frontmatter": 10,
"orphan_files": 23,
"undated_todos": 5,
"missing_frontmatter": 0,
"orphan_files": 0,
"undated_todos": 0,
"duplicate_basenames": 3
},
"weights": {
@@ -17,5 +17,5 @@
"undated_todos": 1,
"duplicate_basenames": 5
},
"files_scanned": 191
"files_scanned": 194
}

125
decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md Normal file
View File

@@ -0,0 +1,125 @@
---
date: 2026-04-20
type: decision
status: ЗАМЕНЕНО
tags: [decision, niikn, mmfb, network, wireguard, superseded]
---
# 2026-04-20: Обход блокировки nspd.gov.ru в НИИКН через WG-туннель к LionART
> **⚠️ СТАТУС: ЗАМЕНЕНО РЕШЕНИЕМ [[2026-04-21-niikn-nspd-netbird-route]].**
> Эта схема (WG-туннель) откачена 2026-04-20 вечером — после поднятия сотрудники жаловались на медленный интернет. 2026-04-21 финальное решение: NetBird Network Route `2.63.246.0/24 → pve-LionART` + DNS override в OpenWrt dnsmasq. Только подсеть НСПД через туннель, не весь интернет. Описание ниже сохранено для референса.
## Проблема
Сотрудники НИИКН не могут открыть `https://nspd.gov.ru/` (Национальная система пространственных данных Росреестра). Возвращается страница "Запрещено" с Rule `57615a88d1ec0120b56fdce6`, Client IP `85.235.181.190`.
## Диагностика — что НЕ помогло
1. **DNS override на OpenWrt** (исключение `nspd.gov.ru` из podkop через `dnsmasq.server=/nspd.gov.ru/77.88.8.8`) — DNS возвращает реальный IP, но клиент видит блок
2. **Hosts на клиенте** (`2.63.246.71 nspd.gov.ru`) — то же самое
3. **Static route на клиенте** (`route -p add 2.63.246.0/24 → 192.168.1.1`) — то же самое
4. **Полное отключение OpenWrt + podkop-fakeip route на MikroTik** — то же самое
5. **Отключение DoH в Yandex Browser** — то же самое
## Корень проблемы
Публичный IP MikroTik НИИКН = `85.235.181.190` (диапазон `Customers_P2P_B16_WAN_NET` от MTS PJSC, AS8359, country RU). НСПД блокирует именно этот корпоративный диапазон МТС на уровне WAF — это **блокировка по IP на стороне сервера НСПД**, никакие настройки внутри НИИКН не помогут.
Подтверждение: с другого МТС-IP (`176.62.183.186`, dttb.ru) и с публичного IP LionART (`195.26.30.163`) НСПД отвечает HTTP 200.
## Решение
Поднят WireGuard site-to-site туннель **MikroTik НИИКН ↔ MikroTik LionART**. Только трафик к подсети НСПД (`2.63.246.0/24`) маршрутизируется через туннель — остальной интернет НИИКН идёт по-прежнему через МТС.
```
[Клиент НИИКН 192.168.1.x]
→ [MikroTik НИИКН 192.168.1.1, masq на wg-lionart → 10.99.99.2]
→ [WG туннель 10.99.99.0/30]
→ [MikroTik LionART 10.253.1.1, masq на ether1 → 195.26.30.163]
→ [НСПД 2.63.246.0/24] ✅ HTTP 200
```
## Конфигурация
### MikroTik LionART (`10.253.1.1`, hydropark, RouterOS 7.16.2)
```
/interface/wireguard add name=wg-niikn listen-port=51820 mtu=1420 \
comment="tunnel to NIIKN MikroTik for NSPD bypass"
/ip address add address=10.99.99.1/30 interface=wg-niikn
/interface/wireguard/peers add interface=wg-niikn \
public-key="ozex5MoF4rxnYpFyO5w44oittLehavs1YiPEq/ec4xU=" \
allowed-address=10.99.99.2/32 comment="NIIKN MikroTik"
/ip firewall filter add chain=input action=accept protocol=udp dst-port=51820 \
in-interface-list=WAN comment="WG NIIKN" place-before=0
/ip firewall filter add chain=forward action=accept in-interface=wg-niikn \
out-interface-list=WAN comment="WG NIIKN to WAN" place-before=0
/ip firewall filter add chain=forward action=accept in-interface-list=WAN \
out-interface=wg-niikn connection-state=established,related \
comment="WAN to WG NIIKN reply" place-before=0
```
- Public key LionART: `YuI6lQ1f1bF37x5dwa/JQuW30x4McO2//cl/mEWg4mE=`
- WAN: ether1-gw-telekom, публичный IP `195.26.30.163/27`
### MikroTik НИИКН (`192.168.1.1`, RouterOS 7.20.6)
```
/interface/wireguard add name=wg-lionart listen-port=51821 mtu=1420 \
comment="tunnel to LionART for NSPD bypass"
/ip address add address=10.99.99.2/30 interface=wg-lionart
/interface/wireguard/peers add interface=wg-lionart \
public-key="YuI6lQ1f1bF37x5dwa/JQuW30x4McO2//cl/mEWg4mE=" \
endpoint-address=195.26.30.163 endpoint-port=51820 \
allowed-address=10.99.99.0/30,2.63.246.0/24 \
persistent-keepalive=25s comment="LionART exit for NSPD"
/ip route add dst-address=2.63.246.0/24 gateway=10.99.99.1 \
comment="NSPD via LionART"
/ip firewall nat add chain=srcnat action=masquerade out-interface=wg-lionart \
comment="masq NSPD via LionART WG"
```
- Public key НИИКН: `ozex5MoF4rxnYpFyO5w44oittLehavs1YiPEq/ec4xU=`
## Критичные моменты
1. **Masquerade на wg-lionart на стороне НИИКН обязателен.** Без него LionART получает пакеты с source `192.168.1.x`, но conntrack/firewall не пропускает обратные ответы → SYN уходит, SYN-ACK теряется → timeout.
2. **Forward правила на LionART обязательны** — дефолтный firewall пропускает только трафик из/в LAN `10.253.1.0/24`. Трафик из `wg-niikn` в WAN нужно явно разрешить.
3. **AllowedIPs `2.63.246.0/24` на peer НИИКН** автоматически создаёт маршрут — но я добавил явный static route для надёжности (с понятным комментом).
4. NSPD не отвечает на ICMP — для проверки используй `/tool fetch` или `curl`, а не ping.
## Откат полной конфигурации
```
# На LionART
/interface/wireguard remove wg-niikn
/ip firewall filter remove [find comment~"WG NIIKN"]
# На НИИКН
/interface/wireguard remove wg-lionart
/ip route remove [find comment="NSPD via LionART"]
/ip firewall nat remove [find comment="masq NSPD via LionART WG"]
```
## Связанные изменения (временные, из той же сессии)
В процессе диагностики были сделаны изменения, **не связанные** с финальным решением — их можно откатить:
1. **MikroTik НИИКН: podkop-fakeip route disable** (`/ip route disable [find comment="podkop-fakeip"]`) — отключил маршрут `198.18.0.0/15 → 192.168.1.50`. Из-за этого WhatsApp/Telegram/Instagram через podkop сейчас не работают. Для возврата: `/ip route enable [find comment="podkop-fakeip"]`.
2. **MikroTik НИИКН: DHCP DNS изменён** на `77.88.8.8,8.8.8.8` (вместо `192.168.1.50`). Для возврата: `/ip dhcp-server network set [find] dns-server=192.168.1.50`.
3. **OpenWrt: dnsmasq override для nspd.gov.ru** — добавлен в `/etc/config/dhcp` (`server=/nspd.gov.ru/77.88.8.8`). Не мешает работе, можно оставить или удалить через UCI.
После решения с WG туннелем эти временные изменения **больше не нужны для NSPD** — можно вернуть podkop в исходное состояние.
## Долгосрочное решение
Связаться со службой поддержки Росреестра/НСПД и попросить разблокировать корпоративный IP `85.235.181.190` (МТС). Контакт: 8-800-100-34-34, https://nspd.gov.ru/feedback. Тогда WG-туннель можно будет удалить.
## Теги
`#niikn` `#mmfb` `#lionart` `#mikrotik` `#wireguard` `#nspd` `#bypass` `#fix`

163
decisions/2026-04-21-niikn-nspd-netbird-route.md Normal file
View File

@@ -0,0 +1,163 @@
---
date: 2026-04-21
type: decision
status: ACTIVE
tags: [decision, niikn, mmfb, lionart, netbird, nspd, bypass, dns]
---
# 2026-04-21: Обход блокировки nspd.gov.ru через NetBird Network Route
> **Заменяет** [[2026-04-20-niikn-nspd-bypass-via-lionart]] (WG-туннель, откачен) и промежуточную попытку через socat+DNAT+hosts (утро 2026-04-21, не сработала из-за FakeIP в sing-box на OpenWrt).
## Проблема
НСПД блокирует по WAF публичный IP НИИКН `85.235.181.190` (MTS Customers_P2P_B16, AS8359). Подробности корневой причины — [[2026-04-20-niikn-nspd-bypass-via-lionart]].
## Почему предыдущие попытки не сработали
### WG-туннель НИИКН↔LionART (откачен 2026-04-20)
Работал технически, но совпал с побочными изменениями (отключение podkop-fakeip route, смена DHCP DNS) → сотрудники пожаловались на общее замедление. Откачен.
### socat + DNAT + hosts (попытка 2026-04-21 утро, не полетела)
Схема: `hosts: 195.26.30.163 nspd.gov.ru` → DNAT на MikroTik LionART (`src=85.235.181.190 → 10.253.1.253:4443`) → socat TCP4-LISTEN:4443 → nspd.gov.ru:443.
**Почему не сработала:**
1. **OpenWrt 192.168.1.50 (podkop/sing-box) FakeIP-ил** весь домен `nspd.gov.ru` и поддомены в `198.18.0.0/15`. Windows получал FakeIP, шёл через podkop → awg0 (Финляндия), куда НСПД вообще не пускал.
2. **Auth-поддомены** (`sso.nspd.gov.ru`) не были в hosts → ломалась авторизация даже когда главная открывалась.
3. **Дублирующий Ethernet-маршрут** `2.63.246.0/24 via 192.168.1.1` с metric=1 конкурировал с wt0 при последующей попытке NetBird-route.
## Итоговое решение — NetBird Network Route + DNS override на OpenWrt
```
[Windows НИИКН] DNS запрос → 192.168.1.50 (OpenWrt dnsmasq)
↓ dnsmasq server=/nspd.gov.ru/8.8.8.8 (минует sing-box FakeIP 127.0.0.42)
↓ ответ: 2.63.246.71-76 (реальные IP)
[Windows НИИКН] routing table: 2.63.246.0/24 → wt0 (NetBird, metric=1)
↓ WireGuard → 100.70.128.49 (pve-LionART)
[pve-LionART 10.253.1.253] NetBird FORWARD + MASQUERADE
↓ default gateway 10.253.1.1
[MikroTik LionART 10.253.1.1] NAT masquerade на WAN
↓ src=195.26.30.163 (Telekom /27)
[НСПД 2.63.246.0/24] HTTP 200 ✅ (вкл. sso / auth / api субдомены)
```
### Ключевое отличие от WG-схемы 2026-04-20
- **Только подсеть `2.63.246.0/24`** идёт через туннель, не весь интернет → общий traffic не замедляется.
- **NetBird push** доставляет маршрут на все 50 пиров в группе `All` автоматически → ничего устанавливать на Windows-машины НИИКН.
- Удалённые сотрудники (Мексика, Казахстан) получают фикс автоматически.
## Конфигурация
### 1. NetBird Network Route (через API)
```bash
TOKEN='nbp_YTEmAVpS0hLhnTeJ09q3wYaC0AAXjN21NPvM' # из 2026-04-16-unifi-migration-peredelki
curl -X POST -H "Authorization: Token $TOKEN" -H "Content-Type: application/json" \
https://api.netbird.io/api/routes \
-d '{
"description": "NSPD bypass (2.63.246.0/24 → pve-LionART WAN 195.26.30.163)",
"network_id": "nspd-bypass",
"enabled": true,
"peer": "cuisnd3l0ubs73bsbbl0",
"network": "2.63.246.0/24",
"metric": 9999,
"masquerade": true,
"groups": ["cqgcidrl0ubs73f2hgf0"]
}'
```
| Поле | Значение |
|------|----------|
| Route ID | `d7ji3ajl0ubs73a92s40` |
| Peer (exit) | `cuisnd3l0ubs73bsbbl0` = pve-LionART (100.70.128.49) |
| Groups | `cqgcidrl0ubs73f2hgf0` = All (50 пиров) |
| Masquerade | true (NetBird ставит iptables MASQUERADE для WG→WAN SNAT) |
### 2. OpenWrt 192.168.1.50 — dnsmasq DNS override
Sing-box podkop FakeIP-ит `nspd.gov.ru` (и ряд других gov.ru-доменов, например `zakupki.gov.ru`) через community-list `russia_outside`. Решение — делегировать эти домены на 8.8.8.8 напрямую, минуя sing-box:
```bash
# ssh root@192.168.1.50
uci add_list dhcp.@dnsmasq[0].server='/nspd.gov.ru/8.8.8.8'
uci add_list dhcp.@dnsmasq[0].server='/zakupki.gov.ru/8.8.8.8'
uci commit dhcp
/etc/init.d/dnsmasq restart
```
После этого dnsmasq для запросов `*.nspd.gov.ru` и `*.zakupki.gov.ru` идёт на 8.8.8.8, не на `127.0.0.42:53` (sing-box).
> Для `zakupki.gov.ru` **NetBird route не нужен** — МТС WAN его не блокирует, достаточно обхода FakeIP. Только NSPD требует exit-node через pve-LionART (правило выше).
Проверка:
```bash
nslookup nspd.gov.ru 192.168.1.50
# Должно вернуть 2.63.246.71-76, не 198.18.0.x
```
### 3. Клиенты — ничего делать не нужно
- NetBird-пиры в группе `All` получают маршрут `2.63.246.0/24 → wt0` автоматически.
- Клиенты LAN НИИКН получают реальные IP НСПД через OpenWrt dnsmasq.
- Если на машине остались старые hosts-записи `195.26.30.163 nspd.gov.ru` от снесённой попытки — убрать (браузер иначе пойдёт на 195.26.30.163:443, там никто не слушает).
## Cleanup старого socat-пути (выполнено 2026-04-21)
```bash
# pve-LionART
systemctl disable --now nspd-socat.service
rm /etc/systemd/system/nspd-socat.service
systemctl daemon-reload
# MikroTik LionART
/ip firewall nat remove [find comment="NSPD socat bypass for NIIKN"]
# Windows 192.168.1.202 — hosts почищен вручную через WinRM
```
## Диагностика
### Проверить NetBird route на клиенте
```powershell
Get-NetRoute -DestinationPrefix "2.63.246.0/24"
# Должно быть: InterfaceAlias=wt0, RouteMetric=1
Find-NetRoute -RemoteIPAddress 2.63.246.71
# Должно: InterfaceAlias=wt0
```
### Проверить DNS (не должен быть FakeIP)
```powershell
Resolve-DnsName nspd.gov.ru -Server 192.168.1.50 -DnsOnly
# Должно: 2.63.246.71-76, НЕ 198.18.0.x
```
### Проверить трафик на pve-LionART
```bash
ssh root@pve-LionART 'tcpdump -i wt0 -n "dst net 2.63.246.0/24" -c 10'
```
## Откат
### NetBird route
```bash
curl -X DELETE -H "Authorization: Token $TOKEN" \
https://api.netbird.io/api/routes/d7ji3ajl0ubs73a92s40
```
### OpenWrt DNS override
```bash
uci del_list dhcp.@dnsmasq[0].server='/nspd.gov.ru/8.8.8.8'
uci commit dhcp
/etc/init.d/dnsmasq restart
```
## Риски и ограничения
1. **NetBird зависимость** — если daemon упадёт на клиенте, маршрут `2.63.246.0/24` пропадёт и запросы уйдут через обычный WAN → WAF block.
2. **OpenWrt зависимость** — если OpenWrt 192.168.1.50 упадёт, DNS `nspd.gov.ru` вернётся к FakeIP (или перестанет резолвиться). Остальной интернет не ломается.
3. **Cert-pinning** — НСПД использует сертификат Минцифры. NetBird не трогает TLS, end-to-end между клиентом и НСПД. Проблем быть не должно.
4. **Росреестр разблочит 85.235.181.190** (заявка 8-800-100-34-34) — тогда можно удалить NetBird route и dnsmasq override, НСПД заработает напрямую.
## Теги
`#niikn` `#mmfb` `#lionart` `#netbird` `#nspd` `#bypass` `#dns` `#fix`

1
notes/README.md
View File

@@ -7,3 +7,4 @@
- [[notes/2026-02-26-full-session-log]]
- [[notes/2026-02-26-knowledge-base-setup]]
- [[notes/2026-02-26-session-summary]]
- [[notes/karpathy-method]]

33
notes/claude/2026-04-19-094340-httpsgithubcomcursortouchmacos-mcp-настрой.md Normal file
View File

@@ -0,0 +1,33 @@
---
date: 2026-04-19
type: claude-session
session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
started: 2026-04-16T22:27:27.766Z
ended: 2026-04-19T06:43:40.713Z
messages: 65
tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
tags: [claude, session]
---
# https://github.com/CursorTouch/MacOS-MCP настрой
## Запрос
https://github.com/CursorTouch/MacOS-MCP настрой
## Итог (последний ответ Claude, до 500 симв.)
## Готово
### Починено на openclaw (Максимке):
1. **Conflict-файл** `nextcloud-sync-schema.md.conflict2` удалён
2. **`/root/clawd/AGENTS.md`** переписан — теперь при каждой сессии бот читает про:
- актуальную KB в `/root/knowledge-base/` (клон vault, обновляется каждые 15 мин)
- decisions про sync-схему и level 4 agent-loop
- скрипты автоматизации (`/scripts/`), аудит-отчёты (`/audit/`)
- ссылки на твои credentials, proxmox-inventory, npm-hosts
Теперь если попросишь в Telegram «как
---
*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 65 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

34
notes/claude/2026-04-19-094629-httpsgithubcomcursortouchmacos-mcp-настрой.md Normal file
View File

@@ -0,0 +1,34 @@
---
date: 2026-04-19
type: claude-session
session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
started: 2026-04-16T22:27:27.766Z
ended: 2026-04-19T06:46:29.806Z
messages: 66
tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
tags: [claude, session]
---
# https://github.com/CursorTouch/MacOS-MCP настрой
## Запрос
https://github.com/CursorTouch/MacOS-MCP настрой
## Итог (последний ответ Claude, до 500 симв.)
Стоп — **Максимка тебя обманул про «корпати»** 😅
**Karpathy** — это **Андрей Карпати**, человек. Известный ML-исследователь (бывший OpenAI, ex-Tesla AI). Его GitHub-проект `karpathy/autoresearch` — именно то, что мы повторили:
- AI-агент читает код, предлагает изменения
- Метрика (у него val_bpb, у нас kb-health score)
- Автомерж если метрика улучшилась, reset если ухудшилась
Не copy-paste. Скажи боту чтобы запомнил правильно, или я коммитну в memory фикс.
---
## Про WinServer для Profi.ru —
---
*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 66 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

29
notes/claude/2026-04-19-094854-httpsgithubcomcursortouchmacos-mcp-настрой.md Normal file
View File

@@ -0,0 +1,29 @@
---
date: 2026-04-19
type: claude-session
session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
started: 2026-04-16T22:27:27.766Z
ended: 2026-04-19T06:48:54.839Z
messages: 67
tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
tags: [claude, session]
---
# https://github.com/CursorTouch/MacOS-MCP настрой
## Запрос
https://github.com/CursorTouch/MacOS-MCP настрой
## Итог (последний ответ Claude, до 500 симв.)
Готово — два фронта закрыты:
1. **На openclaw** (`/root/clawd/MEMORY.md`): явная секция «Karpathy — это ЧЕЛОВЕК, не метод копипаста» + что такое autoresearch. Бот читает при каждом старте сессии.
2. **В vault** (`notes/karpathy-method.md`): подробное объяснение с ссылками на наши скрипты. Закоммичено, через 15 мин openclaw подтянет новой версией своего `/root/knowledge-base/` клона.
**Следующий раз как спросишь Максимке про корпати** — ответит корректно. Если всё ещё будет путаться — значит с
---
*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 67 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

32
notes/claude/2026-04-19-103216-httpsgithubcomcursortouchmacos-mcp-настрой.md Normal file
View File

@@ -0,0 +1,32 @@
---
date: 2026-04-19
type: claude-session
session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
started: 2026-04-16T22:27:27.766Z
ended: 2026-04-19T07:32:16.193Z
messages: 68
tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
tags: [claude, session]
---
# https://github.com/CursorTouch/MacOS-MCP настрой
## Запрос
https://github.com/CursorTouch/MacOS-MCP настрой
## Итог (последний ответ Claude, до 500 симв.)
Skills работают так: каждый skill — папка с `SKILL.md` (манифест + промпт). Бот **сам подхватывает** нужный skill по контексту запроса, и если нужен внешний bin (типа `obsidian-cli`) — ставит через brew/apt.
## Выбираем какие включить
Реально полезное тебе:
| Skill | Что реально сделает | Нужны зависимости |
|---|---|---|
| **obsidian** | Telegram: «найди заметку про VPN» → бот ищет в твоём vault | obsidian-cli |
| **coding-agent** | `@maxim через опус сделай X` → опус на code-server с полным
---
*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 68 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

33
notes/claude/2026-04-19-103754-httpsgithubcomcursortouchmacos-mcp-настрой.md Normal file
View File

@@ -0,0 +1,33 @@
---
date: 2026-04-19
type: claude-session
session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
started: 2026-04-16T22:27:27.766Z
ended: 2026-04-19T07:37:54.765Z
messages: 69
tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
tags: [claude, session]
---
# https://github.com/CursorTouch/MacOS-MCP настрой
## Запрос
https://github.com/CursorTouch/MacOS-MCP настрой
## Итог (последний ответ Claude, до 500 симв.)
## Готово — 3 skills активированы
### Что установлено и работает
| Skill | Как | Протестировано |
|---|---|---|
| **obsidian** | `obsidian-cli` v0.3.5 (notesmd-cli) на openclaw + vault зарегистрирован в `~/.config/obsidian/obsidian.json` | ✅ list + print + list-vaults |
| **coding-agent** | Через наш wrapper `/root/clawd/scripts/claude-code-wrapper.sh` (не native skill) | ✅ протестировано ранее |
| **summarize** | Без bin-а, бот читает файлы сам | готов |
### Gateway рестартнут
`openclaw-gatew
---
*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 69 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

40
notes/claude/2026-04-19-104328-httpsgithubcomcursortouchmacos-mcp-настрой.md Normal file
View File

@@ -0,0 +1,40 @@
---
date: 2026-04-19
type: claude-session
session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
started: 2026-04-16T22:27:27.766Z
ended: 2026-04-19T07:43:28.003Z
messages: 70
tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
tags: [claude, session]
---
# https://github.com/CursorTouch/MacOS-MCP настрой
## Запрос
https://github.com/CursorTouch/MacOS-MCP настрой
## Итог (последний ответ Claude, до 500 симв.)
**Бот отвечает** — 3 запроса от тебя обработаны. Статус:
## Что происходит в логах
### ✅ Работает
- Gateway запущен, 7 плагинов активны (включая telegram @maxim_dttb_bot)
- **3 твоих запроса** обработаны: 7:40, 7:41, 7:42
- Все через fallback успешно завершены
### ⚠ Медленно из-за FailoverError на старой сессии
```
kr/claude-sonnet-4.5 → UNKNOWN → fallback → zai/kr/claude-sonnet-4.5 → OK
```
**Overhead на каждый запрос:**
- Первый: ~71 сек (07:40→07:41:34) — **долго**
- Второй: ~4 сек
- Трет
---
*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 70 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

31
notes/claude/2026-04-20-095720-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md Normal file
View File

@@ -0,0 +1,31 @@
---
date: 2026-04-20
type: claude-session
session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852
started: 2026-04-20T06:51:15.969Z
ended: 2026-04-20T06:57:20.111Z
messages: 3
tools: [Glob, Grep, Read]
tags: [claude, session]
---
# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http
## Запрос
Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн
## Итог (последний ответ Claude, до 500 симв.)
Скриншот подтверждает диагноз: **IP клиента 85.235.181.190 — это Финский VPS** (тот самый `78.17.4.225` маскируется через выходную ноду). Сайт видит зарубежный IP и блокирует.
## Что такое список `russia_inside`
Списки podkop берутся из репозитория [itdoginfo/allow-domains](https://github.com/itdoginfo/allow-domains). Названия объясняют **где сайт работает**, а не где его юзать:
| Список | Что в нём | Для кого полезен |
|--------|-----------|------------------|
| `russia_inside` | Российские
---
*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 3 сообщ., тулы: Glob, Grep, Read*

31
notes/claude/2026-04-20-095844-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md Normal file
View File

@@ -0,0 +1,31 @@
---
date: 2026-04-20
type: claude-session
session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852
started: 2026-04-20T06:51:15.969Z
ended: 2026-04-20T06:58:44.629Z
messages: 6
tools: [Glob, Grep, Read]
tags: [claude, session]
---
# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http
## Запрос
Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн
## Итог (последний ответ Claude, до 500 симв.)
Скриншот подтверждает диагноз: **IP клиента 85.235.181.190 — это Финский VPS** (тот самый `78.17.4.225` маскируется через выходную ноду). Сайт видит зарубежный IP и блокирует.
## Что такое список `russia_inside`
Списки podkop берутся из репозитория [itdoginfo/allow-domains](https://github.com/itdoginfo/allow-domains). Названия объясняют **где сайт работает**, а не где его юзать:
| Список | Что в нём | Для кого полезен |
|--------|-----------|------------------|
| `russia_inside` | Российские
---
*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 6 сообщ., тулы: Glob, Grep, Read*

40
notes/claude/2026-04-20-100507-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md Normal file
View File

@@ -0,0 +1,40 @@
---
date: 2026-04-20
type: claude-session
session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852
started: 2026-04-20T06:51:15.969Z
ended: 2026-04-20T07:05:07.944Z
messages: 7
tools: [Glob, Grep, Read]
tags: [claude, session]
---
# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http
## Запрос
Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн
## Итог (последний ответ Claude, до 500 симв.)
Скорее всего кэш — либо FakeIP, либо браузер/система клиента. Давай продиагностируем.
## Шаг 1. Проверить что sing-box подхватил новый конфиг
```bash
ssh root@192.168.1.50
# Текущие списки
uci show podkop | grep community_lists
# Должно быть ТОЛЬКО russia_outside (или russia_outside + meta + telegram)
# russia_inside — НЕ ДОЛЖНО быть!
# Что отдаёт sing-box для nspd.gov.ru
nslookup nspd.gov.ru 127.0.0.42
```
**Интерпретация:**
- Вернул `198.18.x.x` (FakeIP) → правило ещё работает на проксиро
---
*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 7 сообщ., тулы: Glob, Grep, Read*

23
notes/claude/2026-04-20-101023-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md Normal file
View File

@@ -0,0 +1,23 @@
---
date: 2026-04-20
type: claude-session
session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852
started: 2026-04-20T06:51:15.969Z
ended: 2026-04-20T07:10:23.703Z
messages: 8
tools: [Bash, Edit, Glob, Grep, Read]
tags: [claude, session]
---
# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http
## Запрос
Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн
## Итог (последний ответ Claude, до 500 симв.)
Документация обновлена в [openwrt-bypass.md](projects/niikn/openwrt-bypass.md). Жду подтверждения что сайт открылся.
---
*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 8 сообщ., тулы: Bash, Edit, Glob, Grep, Read*

37
notes/claude/2026-04-20-101224-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md Normal file
View File

@@ -0,0 +1,37 @@
---
date: 2026-04-20
type: claude-session
session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852
started: 2026-04-20T06:51:15.969Z
ended: 2026-04-20T07:12:24.632Z
messages: 9
tools: [Bash, Edit, Glob, Grep, Read]
tags: [claude, session]
---
# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http
## Запрос
Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн
## Итог (последний ответ Claude, до 500 симв.)
Client IP всё ещё финский VPS — значит клиент по-прежнему получает FakeIP `198.18.x.x` и трафик идёт через AWG. DNS override на OpenWrt работает (проверено), но клиент его не использует. Скорее всего **браузер использует DoH** (DNS over HTTPS) — это обходит DNS на роутере полностью.
## Проверь на клиенте
Открой cmd/PowerShell на Windows и выполни:
```cmd
ipconfig /flushdns
nslookup nspd.gov.ru
nslookup nspd.gov.ru 192.168.1.50
```
Покажи вывод. Это покажет:
- Какой реально DNS используется
-
---
*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 9 сообщ., тулы: Bash, Edit, Glob, Grep, Read*

33
notes/claude/2026-04-20-101319-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md Normal file
View File

@@ -0,0 +1,33 @@
---
date: 2026-04-20
type: claude-session
session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852
started: 2026-04-20T06:51:15.969Z
ended: 2026-04-20T07:13:19.975Z
messages: 10
tools: [Bash, Edit, Glob, Grep, Read]
tags: [claude, session]
---
# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http
## Запрос
Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн
## Итог (последний ответ Claude, до 500 симв.)
DNS на OpenWrt отдаёт правильные IP — `2.63.246.x`. Значит клиент **не использует** этот DNS, а ходит мимо него (DoH в браузере).
На скриншоте у тебя был **Yandex Browser**его и фиксим.
## Yandex Browser — отключить DoH
1. Открой: `browser://settings/security`
2. Прокрути до раздела **"Защита от угроз"**
3. Найди **"Защищать соединение от DNS-спуфинга"** или **"DNS over HTTPS"** → **выключи**
4. Закрой и снова открой браузер
5. Зайди на `nspd.gov.ru` (можно сразу в инкогнито: `Ctrl+Shift+N
---
*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 10 сообщ., тулы: Bash, Edit, Glob, Grep, Read*

34
notes/claude/2026-04-20-101433-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md Normal file
View File

@@ -0,0 +1,34 @@
---
date: 2026-04-20
type: claude-session
session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852
started: 2026-04-20T06:51:15.969Z
ended: 2026-04-20T07:14:33.340Z
messages: 11
tools: [Bash, Edit, Glob, Grep, Read]
tags: [claude, session]
---
# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http
## Запрос
Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн
## Итог (последний ответ Claude, до 500 симв.)
**Это победа!** 🎉
`404 Not Found` приходит от **самого сервера НСПД** — значит трафик дошёл туда напрямую с российского IP. Раньше был `403 Запрещено` (блокировка из-за финского IP) — теперь блокировки нет.
`404` на корне — это нормально, у НСПД главная отдаётся через JS, корень `/` без параметров часто отвечает 404. Реальный сайт — на `https://nspd.gov.ru/map` или `/#top_section`.
## Проверь в браузере
Если уже отключил DoH в Yandex Browser:
1. **Закрой все вкладки nspd.gov.ru**
2. **Перез
---
*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 11 сообщ., тулы: Bash, Edit, Glob, Grep, Read*

35
notes/claude/2026-04-20-101624-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md Normal file
View File

@@ -0,0 +1,35 @@
---
date: 2026-04-20
type: claude-session
session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852
started: 2026-04-20T06:51:15.969Z
ended: 2026-04-20T07:16:24.949Z
messages: 12
tools: [Bash, Edit, Glob, Grep, Read]
tags: [claude, session]
---
# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http
## Запрос
Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн
## Итог (последний ответ Claude, до 500 симв.)
Браузер по-прежнему ходит мимо нашего DNS. Делаю точечную диагностику — нужно понять где именно DoH не отключился.
## Быстрый тест — другой браузер
Открой `https://nspd.gov.ru` **в Edge или Internet Explorer** (на Windows Server они есть). Если откроется — точно DoH в Yandex Browser, и его не выключило.
## И параллельно — проверь системный DNS на Windows
В PowerShell:
```powershell
ipconfig /all | Select-String "DNS-сер","DNS Serv"
Get-DnsClientServerAddress -AddressFamily IPv4 | Format-Tab
---
*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 12 сообщ., тулы: Bash, Edit, Glob, Grep, Read*

37
notes/claude/2026-04-20-102004-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md Normal file
View File

@@ -0,0 +1,37 @@
---
date: 2026-04-20
type: claude-session
session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852
started: 2026-04-20T06:51:15.969Z
ended: 2026-04-20T07:20:04.048Z
messages: 15
tools: [Bash, Edit, Glob, Grep, Read]
tags: [claude, session]
---
# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http
## Запрос
Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн
## Итог (последний ответ Claude, до 500 симв.)
Системный DNS правильный — `192.168.1.50`. Значит **DoH в браузере** упорно не отключается, либо браузер игнорирует системный DNS.
Делаю самое надёжное — пропишу IP прямо в `hosts` на Windows. Это перекроет любой DNS, включая DoH.
## Шаг 1 — hosts на Windows (на клиенте)
В PowerShell **от админа** (правый клик → "Запуск от имени администратора"):
```powershell
Add-Content -Path "$env:WINDIR\System32\drivers\etc\hosts" -Value "`n2.63.246.75 nspd.gov.ru"
ipconfig /flushdns
```
Затем:
1. **Зак
---
*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 15 сообщ., тулы: Bash, Edit, Glob, Grep, Read*

33
notes/claude/2026-04-20-102336-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md Normal file
View File

@@ -0,0 +1,33 @@
---
date: 2026-04-20
type: claude-session
session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852
started: 2026-04-20T06:51:15.969Z
ended: 2026-04-20T07:23:36.059Z
messages: 16
tools: [Bash, Edit, Glob, Grep, Read]
tags: [claude, session]
---
# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http
## Запрос
Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн
## Итог (последний ответ Claude, до 500 симв.)
**Стоп — это меняет диагноз полностью!** Если podkop ВЫКЛЮЧЕН, а Client IP всё равно финский — значит **VPN установлен прямо на этой Windows-машине** (AmneziaVPN/WireGuard клиент). Никакие настройки OpenWrt не помогут — трафик не доходит до него.
## Срочно проверь на клиенте — какой VPN запущен
В PowerShell от админа:
```powershell
Get-NetAdapter | Where-Object {$_.Status -eq "Up"} | Format-Table Name, InterfaceDescription, Status -AutoSize
```
Ищи интерфейсы типа `wt0`, `wg0`, `awg0`, `Wire
---
*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 16 сообщ., тулы: Bash, Edit, Glob, Grep, Read*

36
notes/claude/2026-04-20-102522-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md Normal file
View File

@@ -0,0 +1,36 @@
---
date: 2026-04-20
type: claude-session
session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852
started: 2026-04-20T06:51:15.969Z
ended: 2026-04-20T07:25:22.979Z
messages: 19
tools: [Bash, Edit, Glob, Grep, Read]
tags: [claude, session]
---
# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http
## Запрос
Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн
## Итог (последний ответ Claude, до 500 симв.)
Подожди — если podkop **выключен** а Client IP всё равно финский, значит трафик всё равно куда-то заворачивается. Нужно понять куда. Срочный диагноз — 2 команды:
## На клиенте Windows в PowerShell
```powershell
ipconfig | Select-String "Шлюз","Gateway"
tracert -d -h 5 nspd.gov.ru
```
Покажи вывод обеих команд **полностью**.
## Что я ищу
- **Шлюз по умолчанию** должен быть `192.168.1.1` (MikroTik). Если там стоит `192.168.1.50` (OpenWrt) — весь трафик идёт через OpenWrt → дальше через AWG →
---
*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 19 сообщ., тулы: Bash, Edit, Glob, Grep, Read*

23
notes/claude/2026-04-20-103947-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md Normal file
View File

@@ -0,0 +1,23 @@
---
date: 2026-04-20
type: claude-session
session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852
started: 2026-04-20T06:51:15.969Z
ended: 2026-04-20T07:39:47.431Z
messages: 21
tools: [Bash, Edit, Glob, Grep, Read]
tags: [claude, session]
---
# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http
## Запрос
Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн
## Итог (последний ответ Claude, до 500 симв.)
Доступ к OpenWrt у меня сейчас отвалился — возможно временно. Жду твой вывод с клиента — там вся нужная инфа. Покажи 4 команды что я просил выше.
---
*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 21 сообщ., тулы: Bash, Edit, Glob, Grep, Read*

29
notes/claude/2026-04-20-104113-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md Normal file
View File

@@ -0,0 +1,29 @@
---
date: 2026-04-20
type: claude-session
session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852
started: 2026-04-20T06:51:15.969Z
ended: 2026-04-20T07:41:13.617Z
messages: 21
tools: [Bash, Edit, Glob, Grep, Read]
tags: [claude, session]
---
# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http
## Запрос
Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн
## Итог (последний ответ Claude, до 500 симв.)
**Открытие!** Сайт **полностью работает** с моего российского IP — HTTP 200, 0.23s. То есть никакой блокировки на уровне РФ нет — у НСПД просто WAF блокирует зарубежные IP.
**Важная деталь:** для проверки потребовался флаг `-k` (skip SSL verification) — у НСПД сертификат от **российского Минцифры CA**, который не встроен в стандартные браузеры. **Yandex Browser его поддерживает** (поэтому видит блок-страницу, а не ошибку SSL).
## Включи OpenWrt обратно
Без неё клиенты НИИКН вообще без DNS ост
---
*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 21 сообщ., тулы: Bash, Edit, Glob, Grep, Read*

32
notes/claude/2026-04-20-104414-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md Normal file
View File

@@ -0,0 +1,32 @@
---
date: 2026-04-20
type: claude-session
session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852
started: 2026-04-20T06:51:15.969Z
ended: 2026-04-20T07:44:14.382Z
messages: 22
tools: [Bash, Edit, Glob, Grep, Read]
tags: [claude, session]
---
# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http
## Запрос
Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн
## Итог (последний ответ Claude, до 500 симв.)
**Нашёл!** Смотри:
```
IPv4-адрес. . : 100.70.181.152 ← это NetBird!
```
Сеть `100.70.x.x` — это **NetBird mesh**. И судя по моей памяти, у тебя в проектах ММФБ и Главторг тоже NetBird используется (`100.70.128.49`, `100.70.195.47`). На этой машине НИИКН **установлен NetBird**, и он маршрутизирует трафик через "exit node" = финский VPS `85.235.181.190`. Вот почему:
- Клиент IP сайта видится финский
- Никакие настройки OpenWrt не помогают (трафик уходит мимо MikroTik вообще)
- Даже отключение
---
*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 22 сообщ., тулы: Bash, Edit, Glob, Grep, Read*

43
notes/claude/2026-04-20-105951-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md Normal file
View File

@@ -0,0 +1,43 @@
---
date: 2026-04-20
type: claude-session
session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852
started: 2026-04-20T06:51:15.969Z
ended: 2026-04-20T07:59:51.090Z
messages: 23
tools: [Bash, Edit, Glob, Grep, Read]
tags: [claude, session]
---
# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http
## Запрос
Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн
## Итог (последний ответ Claude, до 500 симв.)
✅ Готово на MikroTik:
- Маршрут `198.18.0.0/15 → OpenWrt`**отключён** (можно вернуть одной командой)
- DHCP DNS — теперь `77.88.8.8` (Yandex) + `8.8.8.8` (Google)
## Что нужно сделать на клиенте
Чтобы сразу получить новый DNS (а не ждать 10 минут lease):
```cmd
ipconfig /release
ipconfig /renew
ipconfig /flushdns
```
Также **закрой Yandex Browser через Диспетчер задач** и открой заново.
## Что сейчас работает / не работает
| Что | Состояние |
|-----|-----------|
| Обычные сайты (Google,
---
*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 23 сообщ., тулы: Bash, Edit, Glob, Grep, Read*

29
notes/claude/2026-04-20-110433-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md Normal file
View File

@@ -0,0 +1,29 @@
---
date: 2026-04-20
type: claude-session
session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852
started: 2026-04-20T06:51:15.969Z
ended: 2026-04-20T08:04:33.258Z
messages: 24
tools: [Bash, Edit, Glob, Grep, Read]
tags: [claude, session]
---
# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http
## Запрос
Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн
## Итог (последний ответ Claude, до 500 симв.)
Это **ожидаемый результат** — я предупреждал. `85.235.181.190` — это публичный IP МТС твоего МикроТика, его невозможно поменять "изнутри". НСПД блокирует именно этот IP. Любая команда на MikroTik/OpenWrt/Windows не изменит твой публичный IP.
**Чтобы открыть НСПД, нужно ФИЗИЧЕСКИ выйти с другого IP**. Других путей нет.
## Самый быстрый способ — через твой dttb (5 минут)
У тебя есть `dttb.ru` с публичным IP `176.62.183.186` — НСПД его НЕ блокирует (проверено: HTTP 200). Поднимем SOCKS5 прокси н
---
*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 24 сообщ., тулы: Bash, Edit, Glob, Grep, Read*

32
notes/claude/2026-04-20-110738-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md Normal file
View File

@@ -0,0 +1,32 @@
---
date: 2026-04-20
type: claude-session
session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852
started: 2026-04-20T06:51:15.969Z
ended: 2026-04-20T08:07:38.899Z
messages: 25
tools: [Bash, Edit, Glob, Grep, Read]
tags: [claude, session]
---
# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http
## Запрос
Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн
## Итог (последний ответ Claude, до 500 симв.)
**LionART идеально подходит!**
- Публичный IP: `195.26.30.163` (не МТС, **НСПД пропускает** — HTTP 200 за 0.1s)
- Уже настроен как exit-node в NetBird (`Networks: 0.0.0.0/0`) — то есть может пускать через себя любой трафик
- Mesh-сеть между LionART (`100.70.128.49`) и клиентом НИИКН (`100.70.181.152`) уже работает
Осталось переключить трафик на NSPD через LionART. Есть два пути.
## Вариант 1 — быстрый, 5 минут (для одного клиента)
SSH-туннель через NetBird mesh, в браузере прокси для `nspd.go
---
*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 25 сообщ., тулы: Bash, Edit, Glob, Grep, Read*

33
notes/claude/2026-04-20-110910-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md Normal file
View File

@@ -0,0 +1,33 @@
---
date: 2026-04-20
type: claude-session
session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852
started: 2026-04-20T06:51:15.969Z
ended: 2026-04-20T08:09:10.147Z
messages: 26
tools: [Bash, Edit, Glob, Grep, Read]
tags: [claude, session]
---
# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http
## Запрос
Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн
## Итог (последний ответ Claude, до 500 симв.)
**Точного срока никто не знает** — это зависит от типа блокировки у НСПД:
## Возможные сценарии
| Тип блока | Когда разблокируется |
|-----------|---------------------|
| **Временный rate-limit** | от 1 часа до 24 часов после прекращения активности |
| **Эвристика / поведенческая** | пара дней |
| **Permanent blacklist** | **никогда сама** — только по запросу |
Поскольку в моём тесте с другого МТС-IP (`176.62.183.186` dttb.ru) НСПД отвечает HTTP 200, а у тебя `85.235.181.190` блокируется — ск
---
*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 26 сообщ., тулы: Bash, Edit, Glob, Grep, Read*

37
notes/claude/2026-04-20-111241-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md Normal file
View File

@@ -0,0 +1,37 @@
---
date: 2026-04-20
type: claude-session
session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852
started: 2026-04-20T06:51:15.969Z
ended: 2026-04-20T08:12:41.023Z
messages: 27
tools: [Bash, Edit, Glob, Grep, Read]
tags: [claude, session]
---
# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http
## Запрос
Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн
## Итог (последний ответ Claude, до 500 симв.)
Креды от MikroTik LionART не подошли (`AI/OL260380eg` — не те). В базе кредов нет.
**Пришли логин/пароль от MikroTik LionART (`10.253.1.1`)** — и сразу делаю.
## План работ (когда будут креды)
```
[НИИКН клиенты] → [MikroTik НИИКН] → [WG туннель] → [MikroTik LionART] → [интернет с IP 195.26.30.163] → [НСПД]
```
### На MikroTik LionART
1. Поднять WireGuard сервер на UDP/13231
2. Создать peer для НИИКН (private subnet 10.99.99.0/30)
3. NAT masquerade исходящего трафика из 10.99.99.0/30
4. Доба
---
*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 27 сообщ., тулы: Bash, Edit, Glob, Grep, Read*

39
notes/claude/2026-04-20-112108-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md Normal file
View File

@@ -0,0 +1,39 @@
---
date: 2026-04-20
type: claude-session
session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852
started: 2026-04-20T06:51:15.969Z
ended: 2026-04-20T08:21:08.012Z
messages: 28
tools: [Bash, Edit, Glob, Grep, Read]
tags: [claude, session]
---
# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http
## Запрос
Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн
## Итог (последний ответ Claude, до 500 симв.)
🎉 **HTTP fetch с НИИКН MikroTik скачал 14 KiB за 1 секунду** — туннель работает! (ICMP timeout это нормально, НСПД не отвечает на ping).
## Проверь с клиента Windows
```cmd
ipconfig /flushdns
```
Затем **полностью закрой Yandex Browser через Диспетчер задач** → открой → **инкогнито**`https://nspd.gov.ru/`
Должно открыться. **Проверь — открылось?**
## Что работает сейчас
| Куда | Через что |
|------|-----------|
| `2.63.246.0/24` (НСПД) | через WG туннель → LionART → выход `195.26.30.163
---
*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 28 сообщ., тулы: Bash, Edit, Glob, Grep, Read*

42
notes/claude/2026-04-20-112938-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md Normal file
View File

@@ -0,0 +1,42 @@
---
date: 2026-04-20
type: claude-session
session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852
started: 2026-04-20T06:51:15.969Z
ended: 2026-04-20T08:29:38.675Z
messages: 29
tools: [Bash, Edit, Glob, Grep, Read]
tags: [claude, session]
---
# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http
## Запрос
Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн
## Итог (последний ответ Claude, до 500 симв.)
🎉 **РАБОТАЕТ!** 14 KiB скачано за 0 секунд с LAN source. Туннель полностью функционален.
## Проверь на клиенте Windows
```cmd
ipconfig /flushdns
```
**Полностью закрой Yandex Browser через Диспетчер задач** → открой → инкогнито → `https://nspd.gov.ru/`
Должно открыться. Сообщи результат.
## Что сделано (полная схема)
```
[Клиент НИИКН] → [MikroTik НИИКН] → [masq → 10.99.99.2] → [WG] →
[MikroTik LionART] → [masq → 195.26.30.163] → [НСПД ✅]
```
**Изменения только для подсети `2.63.246.0
---
*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 29 сообщ., тулы: Bash, Edit, Glob, Grep, Read*

36
notes/claude/2026-04-20-113423-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md Normal file
View File

@@ -0,0 +1,36 @@
---
date: 2026-04-20
type: claude-session
session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852
started: 2026-04-20T06:51:15.969Z
ended: 2026-04-20T08:34:23.775Z
messages: 30
tools: [Bash, Edit, Glob, Grep, Read, Write]
tags: [claude, session]
---
# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http
## Запрос
Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн
## Итог (последний ответ Claude, до 500 симв.)
Всё готово.
## Итог
| Что | Состояние |
|-----|-----------|
| **nspd.gov.ru** | ✅ через WG-туннель НИИКН ↔ LionART (`195.26.30.163`) |
| **WhatsApp/Telegram/Instagram** | ✅ через podkop/OpenWrt → AWG → Финляндия |
| **Остальной интернет** | ✅ напрямую через МТС |
## Зафиксировано в vault
- [decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md](decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md) — полное описание решения, ключи, откат
- [projects/niikn/mikrotik.md](projects/niikn/mikrotik
---
*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 30 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Write*

2
projects/dttb/spaceweb-dns.md
View File

@@ -25,5 +25,5 @@ tags: [dttb, dns]
- editMx params: {domain, subDomain:"", action:"add"/"edit", priority, value:"host.", index(edit)}
- editTxt params: {domain, action:"add"/"edit", subDomain:"@"/..., value, index(edit)}
- Капча после 2-3 запросов подряд — новая сессия сбрасывает
- [Spaceweb DNS API опасности](feedback_spaceweb_dns.md) — editMain в цикле ломает зону niikn.com; vpn.niikn.com устойчив к API
- [[feedback_spaceweb_dns]] — editMain в цикле ломает зону niikn.com; vpn.niikn.com устойчив к API
<!-- END AUTO-SYNC -->

27
projects/mmfb/mikrotik.md Normal file
View File

@@ -0,0 +1,27 @@
---
date: 2026-04-20
type: project
tags: [mmfb, lionart, network]
---
# MikroTik LionART (10.253.1.1, hydropark)
## Доступ
- **LAN IP:** 10.253.1.1/24 (bridge1)
- **Login:** AI / OL260380eg
- **Identity:** hydropark
- **Модель:** hAP ac³, RouterOS 7.16.2 stable
## Сеть
- **WAN:** ether1-gw-telekom, публичный IP **195.26.30.163/27**, gateway 195.26.30.161 (Telekom)
- **LAN:** bridge1, 10.253.1.0/24
- **NAT:** masquerade на out-interface=ether1-gw-telekom (WAN)
## Bypass для НСПД (активно)
MikroTik LionART в этом не участвует — только обычный WAN masquerade. NSPD bypass сделан на уровне NetBird Network Route `2.63.246.0/24 → pve-LionART (10.253.1.253)`. Трафик выходит через обычный NAT LionART с src=`195.26.30.163`, который WAF НСПД пропускает.
Подробности: [[../../decisions/2026-04-21-niikn-nspd-netbird-route]].
## Firewall (важное)
Дефолтный forward chain пропускает только LAN (`10.253.1.0/24`). Для NetBird-форварда pve-LionART ходит наружу через обычный masq как любой LAN-клиент.

9
projects/mmfb/proxmox-inventory.md
View File

@@ -45,7 +45,16 @@ tags: [mmfb, proxmox]
- **LXC 103 (NPM):** Docker контейнеры `npm-app-1` (jc21/nginx-proxy-manager, порты 80/81/443) и `portainer-ce` (8000/9443). Работают ~15 месяцев.
- **LXC 105 (agentdvr):** systemd `AgentDVR.service`. Архив — новый LVM `archive-vg/archive` (ext4, 4.55 TB) на отдельных sda+sdb. Скорость записи ~140 GB/день → глубина архива ~32 дня максимум. Retention в cron: 14 дней (`/AgentDVR/cleanup_old_recordings.sh`, 03:00 ежедневно). 11 камер, названия `10.253.1.{21,27,32,33,35,37,38,39,41,42,43}`. Камера 10.253.1.27 "Camera 2 mic" периодически не отвечает по ONVIF (в логах `Invalid Source`) — разобраться отдельно.
## Роль в NetBird
- **pve-LionART** выступает exit-node для NetBird routes:
- `10.253.1.0/24` → LAN ММФБ (группа All)
- `0.0.0.0/0` → группа Москва (роуминг-клиенты)
- `2.63.246.0/24` → NSPD bypass для группы All (см. [[../../decisions/2026-04-21-niikn-nspd-netbird-route]])
## История изменений
- **2026-04-21 (позже):** NetBird route `2.63.246.0/24 → pve-LionART` создан для обхода блокировки nspd.gov.ru на всех пирах (НИИКН, Мексика, Казахстан). Старый `nspd-socat.service` + DNAT на LionART снесены (были не нужны — проблема корневая была в FakeIP OpenWrt).
- **2026-04-21:** поднят `nspd-socat.service` на хосте для обхода блокировки nspd.gov.ru у НИИКН. Заменил WG-туннель wg-niikn на MikroTik LionART (откачен 2026-04-20). Снят тем же днём (не решал auth-поддомены).
- **2026-04-17:** создан LVM `archive-vg` на sda+sdb (4.55 TB), ext4, `/mnt/pve/Archive`. mp1 LXC 105 переключен с loop-файла 500G на новый LVM. Удалён `/mnt/pve/Work/ct-105-archive500.img` (освободил 500G на sdd). Очищено 105G скрытых данных под mountpoint `/AgentDVR/Media/WebServerRoot/Media` в rootfs LXC 105 (rootfs был 100% → 2%). Retention поднят с 7 до 14 дней.
- **2026-04-17:** все 11 камер переведены с continuous (`recordmode=2`) на запись по движению (`detector.type=Simple`, `recordmode=0`, `recordondetect=True`). Ожидаемая экономия ~50-80%, глубина архива до ~30 дней.
- **2026-04-17:** в NPM (LXC 103, 10.253.1.25:81) создан proxy host `dvr-mmfb.dttb.ru``10.253.1.40:8090` (id=9, WebSockets=ON). Ждёт DNS A-записи.

6
projects/niikn/mikrotik.md
View File

@@ -30,6 +30,12 @@ Hairpin NAT: NPM(80,443), TURN(3478→133), Talk TURN(3479→200), RustDesk(2111
Трафик на FakeIP-диапазон направляется на OpenWrt (192.168.1.50) с podkop.
## Обход блокировки nspd.gov.ru
Публичный IP НИИКН (`85.235.181.190`, MTS Customers_P2P_B16) в blacklist WAF НСПД. Решение — **NetBird Network Route `2.63.246.0/24 → pve-LionART`** (exit через LionART WAN `195.26.30.163`) + DNS override в OpenWrt dnsmasq (`server=/nspd.gov.ru/8.8.8.8`, минует FakeIP sing-box). **На MikroTik НИИКН изменений нет.**
Подробности: [[../../decisions/2026-04-21-niikn-nspd-netbird-route]].
## DHCP
```

95
projects/niikn/nspd-incident-report.md Normal file
View File

@@ -0,0 +1,95 @@
---
date: 2026-04-21
type: report
audience: management
tags: [niikn, nspd, incident, report]
---
# Отчёт: недоступность nspd.gov.ru из сети НИИКН
**Дата:** 21 апреля 2026
**Статус:** решено технически, ожидается долгосрочное решение от Росреестра
**Автор:** Олег Батлаев (DevOps)
---
## Краткая суть
С некоторого момента сотрудники НИИКН не могут открыть портал Росреестра **Национальной системы пространственных данных** (`https://nspd.gov.ru/`) — страница не грузится или возвращает сообщение «Запрещено». Проблема затрагивает всех пользователей, работающих с кадастром и пространственными данными.
**Причина** — не сбой у нас и не сбой у оператора связи. Защитная система Росреестра включила наш офисный интернет-адрес в список запрещённых. Это административно-сетевое решение стороны Росреестра.
**Сейчас** — доступ восстановлен техническим обходом, описанным ниже. Работа с порталом возможна в обычном режиме.
---
## Что именно произошло
Портал НСПД использует защитную систему (WAF), которая автоматически блокирует подозрительные IP-адреса. В чёрный список попал целый корпоративный диапазон оператора МТС`Customers_P2P_B16` — к которому принадлежит и публичный адрес нашего офиса `85.235.181.190`.
С других интернет-каналов (например, домашнего, с другого провайдера) тот же портал открывается без проблем. Блокировка действует **только при обращении с нашего офисного IP**, независимо от браузера, устройства и пользователя.
В блокировке на стороне Росреестра сотрудники НИИКН никаких нарушений не совершали — это, вероятно, **коллективная блокировка целого диапазона МТС** из-за действий сторонних клиентов оператора.
## Что сделано для восстановления доступа
У нас есть отдельный резервный интернет-канал на другой удалённой площадке, с другим оператором связи (провайдер Telekom). Этот канал не заблокирован Росреестром.
Все обращения к порталу НСПД (и его поддоменам авторизации) теперь проходят через этот резервный канал автоматически, без каких-либо действий пользователя:
```
Компьютер сотрудника НИИКН
└─► по защищённому туннелю на вторую площадку (Proxmox "LionART")
└─► через её интернет-канал (провайдер Telekom)
└─► на портал nspd.gov.ru — доступ разрешён
```
Всё остальное — обычный интернет, рабочие сервисы, видеосвязь — по-прежнему идёт через основной канал МТС без изменений. Только обращения конкретно к серверам НСПД направляются в обход.
## Что это даёт и насколько надёжно
-**Работает прозрачно для пользователя** — сотрудник просто открывает `https://nspd.gov.ru/` в браузере как обычно.
-**Работает для всех функций портала** — включая вход в личный кабинет, API, любые поддомены.
-**Покрывает удалённых сотрудников** — решение автоматически действует для удалёнщиков (Мексика, Казахстан, другие города), если у них на рабочем ноутбуке установлена наша корпоративная VPN-программа NetBird.
-**Не влияет на скорость остального интернета** — только трафик к НСПД уходит в обход, остальной — как раньше.
-**Реализовано централизованно** — администратор включил один раз, работает на всех машинах автоматически.
## Что требуется от сотрудников и руководства
**От сотрудников — ничего.** Устанавливать программы, менять настройки, очищать кэш — не нужно. Работает из коробки.
**Единственное условие** — на рабочем компьютере должна быть установлена наша корпоративная VPN-программа **NetBird**. Она уже установлена на большинстве рабочих машин в НИИКН и у удалённых сотрудников. На новых машинах её устанавливает системный администратор при первичной настройке (это же нужно для многих других рабочих сервисов).
**Если портал НСПД всё ещё не открывается у конкретного сотрудника** — сообщить администратору. Вероятная причина — на компьютере не запущена или не настроена программа NetBird.
## Риски и нюансы
| Риск | Оценка | Что делать |
|------|--------|------------|
| Второй канал (LionART) может пропасть из-за аварии провайдера Telekom | Низкий (дублирование через разных операторов — устойчивая схема) | При аварии доступ к НСПД восстановится автоматически после возвращения канала |
| Росреестр расширит блокировку, включив новые подсети НСПД | Средний | Расширение списка обхода на стороне администратора — вопрос 5 минут |
| Новые сотрудники/ноутбуки без VPN NetBird | Средний | Стандартная процедура: установка NetBird включена в чек-лист настройки рабочего места |
## Что делать для долгосрочного решения
Техническое решение — это обход. Правильный путь — **добиться исключения нашего корпоративного IP из чёрного списка Росреестра**.
Рекомендуемые действия от руководства НИИКН:
1. **Звонок в службу поддержки Росреестра**: **8-800-100-34-34**.
Суть обращения: «С корпоративного IP-адреса `85.235.181.190` не открывается портал nspd.gov.ru, WAF блокирует с правилом `57615a88d1ec0120b56fdce6`. Просим разблокировать.»
2. **Письменное обращение через форму обратной связи** портала: https://nspd.gov.ru/feedback.
Приложить скриншот страницы «Запрещено» с указанным `Client IP` и `Rule`.
3. **Если поддержка Росреестра игнорирует** — обращение в Минцифры или депутатский запрос. Услуга федерального значения, доступная только одному юрлицу — повод для формального разбирательства.
После разблокировки обход отключается за 30 секунд, портал начнёт работать напрямую.
## Контакты для вопросов
**Технический администратор:** Олег Батлаев
**Внутренние ссылки (для IT-службы):** [[../../decisions/2026-04-21-niikn-nspd-netbird-route]]

45
projects/niikn/openwrt-bypass.md
View File

@@ -147,6 +147,25 @@ FakeIP диапазон (198.18.0.0/15) направляется через Open
Клиенты получают DNS 192.168.1.50 (dnsmasq → sing-box FakeIP).
### DNS override для gov.ru-сервисов (bypass FakeIP)
Некоторые gov.ru-домены попадают в community-list `russia_outside` и FakeIP-ятся sing-box'ом. Это ломает доступ потому что:
- `nspd.gov.ru` — awg0 Финляндия блочится WAF НСПД (нужен NetBird route → pve-LionART, см. [[../../decisions/2026-04-21-niikn-nspd-netbird-route]])
- `zakupki.gov.ru` — awg0 Финляндия таймаутит; при этом МТС WAN его не блокирует — хватает только обхода FakeIP
Решение: dnsmasq делегирует эти домены напрямую в 8.8.8.8, минуя sing-box:
```bash
uci add_list dhcp.@dnsmasq[0].server='/nspd.gov.ru/8.8.8.8'
uci add_list dhcp.@dnsmasq[0].server='/zakupki.gov.ru/8.8.8.8'
uci commit dhcp
/etc/init.d/dnsmasq restart
```
После этого клиенты получают реальные IP (`nspd.gov.ru``2.63.246.71-76`, `zakupki.gov.ru``95.167.245.92`). Для NSPD маршрутизация дальше через NetBird route на pve-LionART. Для zakupki — обычный default-gw через МТС (МТС не блокирует этот домен).
**Примечание по `lk.zakupki.gov.ru`:** этот поддомен требует ГОСТ-TLS через КриптоПро (ЭЦП). Стандартные браузеры/curl получают SSL handshake failure независимо от exit-IP — открывается только из Яндекс.Браузера с установленным плагином КриптоПро. IP-блокировки нет.
## Как работает FakeIP схема
1. Клиент запрашивает DNS для `instagram.com` → получает FakeIP `198.18.0.239`
@@ -232,6 +251,32 @@ traceroute -n 198.18.0.1
# Первый hop должен быть 192.168.1.50
```
## Исключение доменов из проксирования
В podkop v0.7.14 нет UCI-параметра для исключения доменов из проксирования (`exclude_user_domains` отсутствует). Решение — DNS override в dnsmasq: запросы для конкретного домена идут в bypass-DNS, минуя sing-box, → клиент получает реальный IP → MikroTik роутит напрямую.
```bash
ssh root@192.168.1.50
# Добавить домен в обход проксирования
uci add_list dhcp.@dnsmasq[0].server='/nspd.gov.ru/77.88.8.8'
uci add_list dhcp.@dnsmasq[0].server='/nspd.gov.ru/8.8.8.8'
uci commit dhcp
/etc/init.d/dnsmasq restart
# Очистить кэш sing-box (старые FakeIP записи)
rm -f /tmp/sing-box/cache.db
/etc/init.d/sing-box restart
# Проверка
nslookup nspd.gov.ru 192.168.1.50
# Должен вернуть РЕАЛЬНЫЙ IP, не 198.18.x.x
```
После этого на клиенте сделать `ipconfig /flushdns` (Win) или `sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder` (Mac).
**Когда нужно:** российские госсайты (nspd.gov.ru, gosuslugi.ru) попавшие в community-листы блокируют зарубежные IP → выход через AWG получает Forbidden.
## Известные проблемы / Особенности
- `proto_amneziawg_check_installed: not found`баг в `/lib/netifd/proto/amneziawg.sh:298`, нефатальный, интерфейс поднимается

110
snippets/netbird-niikn-install.bat Normal file
View File

@@ -0,0 +1,110 @@
@echo off
REM ============================================================================
REM Установка корпоративного VPN NetBird для сотрудников НИИКН
REM
REM Что делает:
REM 1. Скачивает установщик NetBird (последняя версия с pkgs.netbird.io)
REM 2. Ставит silent-ом (без окон)
REM 3. Подключает компьютер к корпоративной сети с ключом группы NIIKN
REM 4. Проверяет статус и показывает результат
REM
REM Использование:
REM - Скачать этот файл
REM - ПКМ -> "Запустить от имени администратора"
REM
REM Версия: 2026-04-21
REM Контакт: системный администратор (Олег)
REM ============================================================================
chcp 65001 >nul 2>&1
setlocal
title Установка NetBird для НИИКН
REM ---- Автоэлевация: если запущен не от админа, перезапустить с UAC ----
>nul 2>&1 fltmc
if %errorlevel% NEQ 0 (
echo [info] Требуются права администратора. Нажмите "Да" в окне UAC.
powershell -Command "Start-Process -FilePath '%~f0' -Verb RunAs"
exit /b
)
set "SETUP_KEY=6507CC68-2919-4D04-AB8E-3F8507906220"
set "INSTALLER_URL=https://pkgs.netbird.io/windows/x64/netbird_installer_x64.exe"
set "TMPFILE=%TEMP%\netbird_installer_niikn.exe"
set "NB_EXE=C:\Program Files\Netbird\netbird.exe"
echo.
echo ============================================================
echo Установка корпоративного VPN NetBird для НИИКН
echo ============================================================
echo.
REM ---- Проверка: уже установлен? ----
if exist "%NB_EXE%" (
echo [info] NetBird уже установлен. Пропускаю шаг установки.
goto :connect
)
REM ---- 1. Скачиваем installer ----
echo [1/4] Скачиваю установщик NetBird...
powershell -ExecutionPolicy Bypass -Command ^
"$ProgressPreference='SilentlyContinue'; [Net.ServicePointManager]::SecurityProtocol=[Net.SecurityProtocolType]::Tls12; Invoke-WebRequest -Uri '%INSTALLER_URL%' -OutFile '%TMPFILE%' -UseBasicParsing"
if not exist "%TMPFILE%" (
echo [ОШИБКА] Не удалось скачать установщик. Проверьте интернет.
goto :error
)
echo готово (%TMPFILE%)
REM ---- 2. Silent install ----
echo [2/4] Устанавливаю NetBird (это 30-60 секунд)...
"%TMPFILE%" /S
REM ждём, пока сервис поднимется
timeout /t 10 /nobreak >nul
if not exist "%NB_EXE%" (
echo [ОШИБКА] Установка не прошла. Свяжитесь с администратором.
goto :error
)
echo готово
:connect
REM ---- 3. Подключение с setup-key ----
echo [3/4] Подключаю к корпоративной сети НИИКН...
"%NB_EXE%" up --setup-key %SETUP_KEY% --management-url https://api.netbird.io:443
if %errorlevel% NEQ 0 (
echo [ОШИБКА] Не удалось подключиться. Ключ мог истечь - свяжитесь с администратором.
goto :error
)
echo готово
REM ---- 4. Проверка статуса ----
echo [4/4] Проверяю статус подключения...
timeout /t 3 /nobreak >nul
"%NB_EXE%" status
echo.
echo ============================================================
echo УСТАНОВКА ЗАВЕРШЕНА УСПЕШНО
echo ============================================================
echo.
echo Откройте https://nspd.gov.ru/ в браузере - должно работать.
echo.
echo Подключение восстанавливается автоматически при перезагрузке.
echo Если что-то не работает - свяжитесь с администратором.
echo.
pause
REM ---- cleanup ----
if exist "%TMPFILE%" del /q "%TMPFILE%" 2>nul
exit /b 0
:error
echo.
echo ============================================================
echo УСТАНОВКА ПРЕРВАНА С ОШИБКОЙ
echo ============================================================
echo.
echo Сделайте скриншот этого окна и отправьте администратору.
echo.
pause
exit /b 1

111
snippets/netbird-niikn-install.ps1 Normal file
View File

@@ -0,0 +1,111 @@
# =============================================================================
# Установка NetBird для сотрудников НИИКН
#
# Запуск:
# PowerShell от имени администратора, одна строка:
# irm https://dttb.ru/s/<TOKEN>/download | iex
# или напрямую:
# Set-ExecutionPolicy Bypass -Scope Process -Force
# .\netbird-niikn-install.ps1
#
# Что делает:
# - Проверяет права администратора (требуется)
# - Скачивает последнюю версию installer с pkgs.netbird.io
# - Устанавливает silent
# - Подключает с корпоративным setup-key → группа NIIKN → NetBird route
# на 2.63.246.0/24 автоматом (для обхода блокировки nspd.gov.ru)
# - Выводит статус подключения
#
# Версия: 2026-04-21
# =============================================================================
$ErrorActionPreference = 'Stop'
$ProgressPreference = 'SilentlyContinue'
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
$SetupKey = '6507CC68-2919-4D04-AB8E-3F8507906220'
$InstallerUrl = 'https://pkgs.netbird.io/windows/x64/netbird_installer_x64.exe'
$TmpFile = Join-Path $env:TEMP 'netbird_installer_niikn.exe'
$NbExe = 'C:\Program Files\Netbird\netbird.exe'
$MgmtUrl = 'https://api.netbird.io:443'
function Write-Step($msg) { Write-Host "[>] $msg" -ForegroundColor Cyan }
function Write-Ok($msg) { Write-Host " OK: $msg" -ForegroundColor Green }
function Write-Err($msg) { Write-Host "[X] $msg" -ForegroundColor Red }
# --- Проверка: админ? ---
$isAdmin = ([Security.Principal.WindowsPrincipal] `
[Security.Principal.WindowsIdentity]::GetCurrent() `
).IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator)
if (-not $isAdmin) {
Write-Err 'Запустите PowerShell от имени администратора и выполните команду заново.'
Write-Host ''
Write-Host 'Как запустить от администратора:' -ForegroundColor Yellow
Write-Host ' 1. Пуск -> наберите "PowerShell"'
Write-Host ' 2. ПКМ по "Windows PowerShell" -> "Запустить от имени администратора"'
Write-Host ' 3. В открывшемся окне выполните команду установки ещё раз'
Read-Host 'Нажмите Enter для выхода'
exit 1
}
Write-Host ''
Write-Host '============================================================'
Write-Host ' Установка корпоративного VPN NetBird для НИИКН'
Write-Host '============================================================'
Write-Host ''
# --- 1. Installer: нужен? ---
if (Test-Path $NbExe) {
Write-Step 'NetBird уже установлен - пропускаю скачку/установку'
} else {
Write-Step 'Скачиваю установщик NetBird...'
try {
Invoke-WebRequest -Uri $InstallerUrl -OutFile $TmpFile -UseBasicParsing
Write-Ok "сохранён в $TmpFile"
} catch {
Write-Err "Не удалось скачать: $($_.Exception.Message)"
Read-Host 'Нажмите Enter'; exit 1
}
Write-Step 'Устанавливаю NetBird (silent, 30-60 сек)...'
Start-Process -FilePath $TmpFile -ArgumentList '/S' -Wait
Start-Sleep -Seconds 8
if (-not (Test-Path $NbExe)) {
Write-Err 'Установка не прошла - netbird.exe не найден.'
Read-Host 'Нажмите Enter'; exit 1
}
Write-Ok 'установлен'
}
# --- 2. Подключение с setup-key ---
Write-Step 'Подключаю к корпоративной сети (группа NIIKN)...'
try {
& $NbExe up --setup-key $SetupKey --management-url $MgmtUrl 2>&1 | ForEach-Object {
Write-Host " $_"
}
} catch {
Write-Err "Ошибка при подключении: $($_.Exception.Message)"
Read-Host 'Нажмите Enter'; exit 1
}
Start-Sleep -Seconds 3
# --- 3. Статус ---
Write-Step 'Проверяю статус...'
Write-Host ''
& $NbExe status
Write-Host ''
# --- cleanup ---
if (Test-Path $TmpFile) { Remove-Item $TmpFile -Force -ErrorAction SilentlyContinue }
Write-Host '============================================================' -ForegroundColor Green
Write-Host ' ГОТОВО' -ForegroundColor Green
Write-Host '============================================================' -ForegroundColor Green
Write-Host ''
Write-Host ' Откройте https://nspd.gov.ru/ в браузере - должно работать.'
Write-Host ' VPN подключается автоматически при каждой загрузке Windows.'
Write-Host ''
Read-Host 'Нажмите Enter для выхода'